/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Godtroende internet-brugere
Fra : Peter Schrøder


Dato : 07-12-01 12:54

Sikkerhed på internettet?
Det findes ikke!
Du kan intet gøre for at undgå at psykopater prøver
at tiltvinge sig vej til din computer.

Så snart der er den mindste sikkerhedsbrist i et program, findes
det straks af ihærdige amatører, der istedet for at
bidrage til at få fixet bristen, kæfter op i dagspressen
udelukkende til glæde for de samme psykopater, som man
prøver at holde ude.

Personal firewall, personal Antivirusprogram, opdatering af
dit styresystem: Lad være: Det hjælper alligevel ikke!!
Falsk tryghed!

Sikkerhedsseler, styrthjelm, låse din hoveddør, låse
din bil: Lad være at spilde tid på det. Der bliver slået masser af
mennesker ihjel i trafikken hver dag, der bliver begået masser
af indbrud hver dag og biler bliver stadig stjålet. Så: Det virker
slet ikke!! Falsk tryghed!

Nu bruger jeg ikke Zonealarm eller Norton for at føle mig tryg.
Jeg bruger det for at ha' en chance. Af samme grund låser jeg
min dør, når jeg går om morgenen, tager sikkerhedssele på,
osv.

Jeg bruger Windows fordi det tilgængeligt, af samme grund bruger
jeg Outlook Express, Zonealarm, Norton og antagelig også
andre produkter der er fulde af "sikkerhedshuller"
Windows foragtes fordi almindelige mennesker bruger
det, af samme grund hader jeg Folkevogne og Fiat'er:
Der er så satans mange af dem!
Skift til Linux, skift til "Xmosys", det er "sikre" systemer!
skriger alle straks.
Det passer jo ikke! Den eneste grund til at de måske er
sikrere i øjeblikket er, at de ikke interesserer nogen!
Hvis alle brugte Linux, ville alle sikkerhedshuller snart
blive opdaget og offentliggjort. Og misbrugt.

God Weekend.
--
Med venlig hilsen
Peter
pschATmail1.stofanet.dk
Replace AT with @ to reply.









 
 
Alex Holst (07-12-2001)
Kommentar
Fra : Alex Holst


Dato : 07-12-01 13:12

Peter Schrøder <nosp@mplea.se> wrote:
> Sikkerhed på internettet?
> Det findes ikke!
[..]

Du har misforstaaet et par ting. Spoergsmaalet er om du vil laese og forstaa
hvis jeg bruger tid paa at forklare det, eller om jeg skal spare paa
kraefterne. Hvad siger du?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/


Peter Schrøder (07-12-2001)
Kommentar
Fra : Peter Schrøder


Dato : 07-12-01 15:20


Alex Holst skrev
> Du har misforstaaet et par ting. Spoergsmaalet er om du vil laese og
forstaa
> hvis jeg bruger tid paa at forklare det, eller om jeg skal spare paa
> kraefterne. Hvad siger du?

Hej Alex
Der er ingen tvivl om at du er dygtig.
Jeg har læst din OSS adskillige gange, og hvis meningen var
at gøre mig tryggere, må jeg sige at den kiksede lidt i målet...
Jeg vil gerne lære mere om dette emne, om ikke for andet så
for at få det viden-overskud, der giver tryghed i sig selv.
Så endelig: Fortæl, fortæl!
--
Med venlig hilsen
Peter
pschATmail1.stofanet.dk
Replace AT with @ to reply.




Caspar Møller (07-12-2001)
Kommentar
Fra : Caspar Møller


Dato : 07-12-01 16:06

"Peter Schrøder" <nosp@mplea.se> wrote in message
news:3c10d031$0$25415$edfadb0f@dspool01.news.tele.dk...
>
> Jeg har læst din OSS adskillige gange, og hvis meningen var
> at gøre mig tryggere, må jeg sige at den kiksede lidt i målet...

Specielt afsnittet om at gøre Outlook og IE sikker, mener jeg ikke er til
gavn. Jeg tror langt de fleste ønsker deres brug af nettet skal være
nogenlunde fornøjelig. Hvis man slår alt det fra, som er angivet i
vejledningen, kan man i mine øjne ikke bruge IE til ret meget, ud over den
helt basale informationssøgning. F.eks. vil man ikke kunne tjekke sin
lånerstatus på biblioteket, da dette kræver Java. Ligeledes kræver andre
funktioner ActiveX.
Det må være muligt at beskrive den gyldne middelvej, mellem total
skødesløshed og livrem+seler...

Mvh Caspar



Kent Friis (07-12-2001)
Kommentar
Fra : Kent Friis


Dato : 07-12-01 17:19

Den Fri, 7 Dec 2001 16:06:13 +0100 skrev Caspar Møller:
>"Peter Schrøder" <nosp@mplea.se> wrote in message
>news:3c10d031$0$25415$edfadb0f@dspool01.news.tele.dk...
>>
>> Jeg har læst din OSS adskillige gange, og hvis meningen var
>> at gøre mig tryggere, må jeg sige at den kiksede lidt i målet...
>
>Specielt afsnittet om at gøre Outlook og IE sikker, mener jeg ikke er til
>gavn. Jeg tror langt de fleste ønsker deres brug af nettet skal være
>nogenlunde fornøjelig. Hvis man slår alt det fra, som er angivet i
>vejledningen, kan man i mine øjne ikke bruge IE til ret meget, ud over den
>helt basale informationssøgning. F.eks. vil man ikke kunne tjekke sin
>lånerstatus på biblioteket, da dette kræver Java. Ligeledes kræver andre
>funktioner ActiveX.

Hvad er det for et elendigt bibliotek? Java er et Sun-produkt, og
ActiveX er et Microsoft-produkt. Hvad med alle andre end de to firmaers
kunder?

Biblioteket er offentligt, og de kan derfor ikke tillade sig at
favorisere et (eller to) bestemt firma's produkter, for skatteydernes
penge - os der handler andre steder er jo også med til at betale.

For mig at se svarer det til hvis man kun kunne komme over storebælts-
broen hvis man kører Skoda eller Trabant. Alle andre må så pænt tage
via Æbeltoft - det er forholdsvis lige så stor en omvej, som at skulle
forbi biblioteket...

Mvh
Kent
--
http://www.celebrityshine.com/~kfr/

Caspar Møller (07-12-2001)
Kommentar
Fra : Caspar Møller


Dato : 07-12-01 17:26

"Kent Friis" <kfr@fleggaard.dk> wrote in message
news:9uqq51$ou5$1@sunsite.dk...
> Hvad er det for et elendigt bibliotek?

Samtlige Københavns Kommunes: http://www.kkb.bib.dk/is/WWW/indhold.asp,
Handelshøjskolens i KBH: http://hermescat.lib.cbs.dk/is/www/, og
Frederiksbergs: http://www.fkb.dk/is/WWWpub/

- af hvad jeg lige kender til...

Mvh Caspar




Bertel Lund Hansen (07-12-2001)
Kommentar
Fra : Bertel Lund Hansen


Dato : 07-12-01 22:04

Kent Friis skrev:

>Hvad er det for et elendigt bibliotek?

Det er lige så elendigt som folketinget. Hvis du skriver en mail
til en minister, får du et svar tilbage med en kort notits fra en
sekretær og et vedhæftet Word-dokument som er svaret fra
ministeren hvis han altså svarer.

Det er muligt at enkelte selv kan maile (det ved jeg ikke), men
de vedhæfter alligevel.

--
Bertel
Min usenetstatistik er blevet opdateret. Se min
Hjemmeside: http://lundhansen.dk/bertel/
Zipfil: http://lundhansen.dk/bertel/statistik/statistik.zip

Karsten H. (08-12-2001)
Kommentar
Fra : Karsten H.


Dato : 08-12-01 01:07

Thus spake Bertel Lund Hansen in
news:ijb21uc4rcrokenbhv2v23pfarm5fnb2ol@sunsite.auc.dk:

> Det er lige så elendigt som folketinget. Hvis du skriver en mail
> til en minister, får du et svar tilbage med en kort notits fra en
> sekretær og et vedhæftet Word-dokument som er svaret fra
> ministeren hvis han altså svarer.
>
> Det er muligt at enkelte selv kan maile (det ved jeg ikke), men
> de vedhæfter alligevel.

Jeg fik ellers en pænt formuleret mail fra en juridisk professor da jeg
sendte en mail til en minister angående afgifter på lagermedier.

Ikke noget attachment, eller foroptaget svar der.

--
Karsten H. (Public PGP key at www.egotrip.dk/pgp.php)
Som har skrevet delen før @ baglæns for at narre fjenden i Aalborg.

Niels Callesøe (07-12-2001)
Kommentar
Fra : Niels Callesøe


Dato : 07-12-01 22:36

Caspar Møller wrote:

> Specielt afsnittet om at gøre Outlook og IE sikker, mener jeg ikke
> er til gavn. Jeg tror langt de fleste ønsker deres brug af nettet
> skal være nogenlunde fornøjelig. Hvis man slår alt det fra, som er
> angivet i vejledningen, kan man i mine øjne ikke bruge IE til ret
> meget, ud over den helt basale informationssøgning. F.eks. vil man
> ikke kunne tjekke sin lånerstatus på biblioteket, da dette kræver
> Java. Ligeledes kræver andre funktioner ActiveX.
> Det må være muligt at beskrive den gyldne middelvej, mellem total
> skødesløshed og livrem+seler...

Du har fuldstændig misforstået vejledningen. Den omhandler sikkerhed i
OE og gør brug af IE's "restricted sites"-sikkerhedszone, der normalt
*ikke* er den der anvendes hverken til webbrowsing eller til email. Om
det er en god ide at ændre indstillingerne for "internet sites" til
det samme som dem der anbefales til "restricted sites", tager den ikke
stilling til.

Alle de funktioner som du mener er så nødvendige for at browsing skal
være underholdene er *ikke* nødvendige i OE og bør derfor slås fra.

--
Niels Callesøe - nørd light
Disclaimer:
http://www.spacefish.net/nica/index.php3?step=disclaim

Peter Schrøder (07-12-2001)
Kommentar
Fra : Peter Schrøder


Dato : 07-12-01 22:38


"Caspar Møller" skrev
> Specielt afsnittet om at gøre Outlook og IE sikker, mener jeg ikke er
til
> gavn. Jeg tror langt de fleste ønsker deres brug af nettet skal være
> nogenlunde fornøjelig. Hvis man slår alt det fra, som er angivet i
> vejledningen, kan man i mine øjne ikke bruge IE til ret meget, ud over
den
> helt basale informationssøgning.

Enkelte ødelægger det for alle andre...
Man bruger Webwasher for at slippe for reklamer,
som i visse tilfælde er hele nettes eksistensgrundlag,
(ihvertfald en masse menneskers) Man tør ikke aktivere
de små funktioner, der giver lidt spræl på hjemmesiderne,
fordi enkelte syge individer har fundet ud af at de kan
bruges til at hærge din computer og trænge ind
i din private sfære.
Man kan sende bakterier med posten, men
det er vel ikke det samme som, at man absolut skal, vel?
--

Venlig hilsen

Peter
psch[AT]mail1.stofanet.dk




Alex Holst (08-12-2001)
Kommentar
Fra : Alex Holst


Dato : 08-12-01 00:28

Caspar Møller <usenet@e-box.dk> wrote:
> Specielt afsnittet om at gøre Outlook og IE sikker, mener jeg ikke er til
> gavn. Jeg tror langt de fleste ønsker deres brug af nettet skal være
> nogenlunde fornøjelig. Hvis man slår alt det fra, som er angivet i
> vejledningen, kan man i mine øjne ikke bruge IE til ret meget, ud over den
> helt basale informationssøgning. F.eks. vil man ikke kunne tjekke sin
> lånerstatus på biblioteket, da dette kræver Java. Ligeledes kræver andre
> funktioner ActiveX.

Jeg har ikke selv skrevet det afsnit du hentyder til, saa jeg kan godt
tillade mig at sige gode ord om det uden at blive roed i hovedet. Da Niels
sendte mig afsnittet havde jeg planer om at tilfoeje information hvordan man
brugte sikkerhedszonerne effektivt. Jeg oenskede at give laeseren mulighed
for at forstaa opgaven i stedet for blot at give trin for trin vejledning.
Det kom jeg desvaerre vaek fra igen og har ikke haft lejlighed til at goere
noget ved det.

> Det må være muligt at beskrive den gyldne middelvej, mellem total
> skødesløshed og livrem+seler...

Ja, enten har OSS'en fejlet groft eller saa har du haft travlt da du laeste
den: Den "gyldne middelvej" er vidt forskellig fra person til person hvis
der overhovedet findes en saadan. Jeg kan ikke forudsige hvad du har brug
for, saa det bedste jeg kan goere er at forklare dig hvor problemerne er, og
hvor alvorlige de er. Hvis du saa har brug for vejledning til at tage en
sikkerhedsbeslutning maa du gerne skrive et fyldigt indlaeg om hvad du
forsoeger at opnaa. Saa skal jeg goere mit bedste.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/


Daniel Blankensteine~ (07-12-2001)
Kommentar
Fra : Daniel Blankensteine~


Dato : 07-12-01 13:34

"Peter Schrøder" <nosp@mplea.se> wrote in message
news:3c10adf1$0$7920$edfadb0f@dspool01.news.tele.dk...
> Sikkerhed på internettet?
> Det findes ikke!
> Du kan intet gøre for at undgå at psykopater prøver
> at tiltvinge sig vej til din computer.
Der er intet i vejen med denne hobby! Bare du ikke misbruger den til noget
ulovligt!

> Personal firewall, personal Antivirusprogram, opdatering af
> dit styresystem: Lad være: Det hjælper alligevel ikke!!
> Falsk tryghed!
Øøøhhh nå! Tja, dette gælder måske til Windows 95/98/ME.
Men firewalls til linux/unix giver nu en god sikkerhed!

> Det passer jo ikke! Den eneste grund til at de måske er
> sikrere i øjeblikket er, at de ikke interesserer nogen!
> Hvis alle brugte Linux, ville alle sikkerhedshuller snart
> blive opdaget og offentliggjort. Og misbrugt.
Du ved @£$¤# ikke hvad du snakker om. Alle hackere (dem der finder disse
huller) bruger linux eller unix. Sikkerhedmæssigt forskes der mere i Linux
og unix end windows. Men bare vent til alle disse hackere begynder på
windows. Så skal du bare se............!

mvh
db



Peter Schrøder (07-12-2001)
Kommentar
Fra : Peter Schrøder


Dato : 07-12-01 15:03


Daniel Blankensteiner svarede
> > Du kan intet gøre for at undgå at psykopater prøver
> > at tiltvinge sig vej til din computer.
> Der er intet i vejen med denne hobby! Bare du ikke misbruger den til
noget
> ulovligt!

Eller med andre ord: Det er i orden at bryde ind hos folk, når bare
du ikke roder eller stjæler?

> > Personal firewall, personal Antivirusprogram, opdatering af
> > dit styresystem: Lad være: Det hjælper alligevel ikke!!
> > Falsk tryghed!
> Øøøhhh nå! Tja, dette gælder måske til Windows 95/98/ME.
> Men firewalls til linux/unix giver nu en god sikkerhed!

God sikkerhed er ikke det samme som sikkerhed. Unix-miljøer bliver
hacket hver dag, man hører bare ikke så meget om det, fordi
de ramte selv har kapacitet til at lukke evt. huller og fordi skammen
er tilsvarende større?
Det, der virkelig irriterer mig er "strømmen af fodgængere, der lige
skal afprøve om døren nu virkelig er låst"

> > Det passer jo ikke! Den eneste grund til at de måske er
> > sikrere i øjeblikket er, at de ikke interesserer nogen!
> > Hvis alle brugte Linux, ville alle sikkerhedshuller snart
> > blive opdaget og offentliggjort. Og misbrugt.
> Du ved @£$¤# ikke hvad du snakker om. Alle hackere (dem der finder
disse
> huller) bruger linux eller unix. Sikkerhedmæssigt forskes der mere i
Linux
> og unix end windows. Men bare vent til alle disse hackere begynder på
> windows. Så skal du bare se............!

He he "Seriøse hacker bruger Linux" Har du læst dit eget indlæg
tidligere? Jeg er helt klar over at min lille Windows98 spilledåse ikke
indeholder noget af interesse for en virkelig hacker.
Selvfølgelig forskes der mere i Unix og Linux. De mennesker
der administrerer disse systemer laver formodentlig ikke
meget andet. De er nødt til at være dygtigere end hackerne
for at holde dem ude.
--
Med venlig hilsen
Peter
pschATmail1.stofanet.dk
Replace AT with @ to reply.




Daniel Blankensteine~ (07-12-2001)
Kommentar
Fra : Daniel Blankensteine~


Dato : 07-12-01 15:30

"Peter Schrøder" <nosp@mplea.se> wrote in message news:3c10cc3b$0$25411
> Eller med andre ord: Det er i orden at bryde ind hos folk, når bare
> du ikke roder eller stjæler?
Nej, man at hacke sig selv og "spille" hacker wargames med sine venner er
der intet galt i!

> God sikkerhed er ikke det samme som sikkerhed. Unix-miljøer bliver
> hacket hver dag,
Windows milijøer bliver der hacket hver dag!

> man hører bare ikke så meget om det, fordi
> de ramte selv har kapacitet til at lukke evt. huller og fordi skammen
> er tilsvarende større?
Ikke enig!

> He he "Seriøse hacker bruger Linux" Har du læst dit eget indlæg
> tidligere?
Hvilken???

> Jeg er helt klar over at min lille Windows98 spilledåse ikke
> indeholder noget af interesse for en virkelig hacker.
Sikkert ikke

> Selvfølgelig forskes der mere i Unix og Linux. De mennesker
> der administrerer disse systemer laver formodentlig ikke
> meget andet. De er nødt til at være dygtigere end hackerne
> for at holde dem ude.
Citat: "Det passer jo ikke! Den eneste grund til at de måske er
sikrere i øjeblikket er, at de ikke interesserer nogen!
Hvis alle brugte Linux, ville alle sikkerhedshuller snart
blive opdaget og offentliggjort. Og misbrugt."
Så er din påstand heller ikke rigtig!

mvh
db



Christian E. Lysel (07-12-2001)
Kommentar
Fra : Christian E. Lysel


Dato : 07-12-01 16:29

Peter Schrøder wrote:

> Jeg bruger Windows fordi det tilgængeligt, af samme grund bruger
> jeg Outlook Express, Zonealarm, Norton og antagelig også
> andre produkter der er fulde af "sikkerhedshuller"


Hvis folk tror at sikkerhed er nemt og billigt tager de fejl.

> Windows foragtes fordi almindelige mennesker bruger
> det, af samme grund hader jeg Folkevogne og Fiat'er:


Microsoft laver brugervenlige systemer, ikke sikkerhedssytemer. Deres
egen "VPN" er har fejl i designet, deres egen firewall har fejl i
designet. Deres TCP/IP stak har fejl i designet!

> Det passer jo ikke! Den eneste grund til at de måske er
> sikrere i øjeblikket er, at de ikke interesserer nogen!


Der er masser af huller i Linux, en typisk Linux distribution indeholder
over 2.000 pakker, og selvfølgelig er de hullet.

Den der mener at Linux distributioner ikke er fyldt med huller ved ikke
hvad Linux er.

Dog er Linux kernen noget andet, det er en kerne uden programmer, og ja
der er stadigvæk huller, blot ikke så mange.

> Hvis alle brugte Linux, ville alle sikkerhedshuller snart
> blive opdaget og offentliggjort. Og misbrugt.


Og løst korrekt!

Du har ikke en chance for at undersøge om de fejlrettelser som Microsoft
producere er korrekte, om de i virkeligheden løser fejlen, eller om de
blot skjuler den (hvilket sker tit).

Personligt er jeg træt af Linux distributioner, da det kan for meget.


Alex Holst (08-12-2001)
Kommentar
Fra : Alex Holst


Dato : 08-12-01 01:44

Peter Schrøder <nosp@mplea.se> wrote:
> Jeg har læst din OSS adskillige gange, og hvis meningen var
> at gøre mig tryggere, må jeg sige at den kiksede lidt i målet...

Tryghed maa siges at vaere et sekundaert maal. Det foerste maal er at
udbrede forstaaelse for hvordan vaerktoejer som ikke bliver brugt korrekt
kan skade brugeren. Som om det ikke var nok at mange nye brugere ikke fuldt
ud forstaar alle aspekter af risiko vedhaeftet denne fagre nye verden, er
mange af disse vaerktoejer ikke af saerlig hoej kvalitet.

Brian Snow sammenligner i sin tale "We need assurance" dagens sikkerheds-
produkter med bilerne fra 1930. Bilerne var smarte, kunne koere 100 km/t,
kunne bringe dig fra A til B og folk var generelt tilfredse. I tilfaelde af
misbrug, f.eks. en inkompetent chaffoer som styrede imod et trae var
resultatet ofte en katastrofe.

Bilerne i dag er anderledes end bilerne var i 1930'erne. Bilerne er smarte,
kan koere 100 km/t (og hurtigere), kan bringe dig fra A til B. Yderlige har
producenterne bygget funktioner ind som beskytter brugeren i tilfaelde af
misbrug. Som passager i nutidens biler har du en langt stoerre chance for at
slippe udskadt fra en glidetur ind i et trae.

Det er der vi skal hen. Vi har brug for en verden hvor kunderne stiller krav
om, at deres sikkerhed ikke bliver bragt i fare, blot fordi et software
produkt oplever omstaendigheder ud over det normale. De fleste privat
personer har ikke mulighed for at evaluere faren ved disse produkter og maa
ofte finde en metode hvorved de kan bruge produkter som de ikke har nogen
grund til at stole paa. Dette involverer ofte at bruge saa lidt
funktionalitet som muligt.

I mit arbejde har vi mulighed for at stille krav til kvaliteten af software
og vi har evnerne til at vurdere evt. risiko. Andre organisation burde goere
det samme men jeg ved at ikke mange goer det. Naesten samtlige producenter
som bliver inviteret ind til at vise deres produkt frem har aldrig har moedt
den slags krav som vi stiller. Mange produkter som ellers er blevet koebt af
banker og andre kritiske steder er dumpet hos os. Det sjove er saa naar
salgspersonen fortaeller at deres produkt skam er i brug hos Firma X, og de
ikke har klaget over det. Saa forklarer vi at der ikke er nogen grund til at
Firma X dikterer vores sikkerhedspolitik.

Ud af de produkter mit hold har evalueret over de sidste 2 aar er der kun
eet vi ikke fandt adskellige alvorlige fejl i. Jeg mindes eet web-baseret
produkt hvor jeg, uden adgang til kildekoden, paa et par minutter fik
kommandoline adgang til web serveren og database serveren blot ved at bruge
en web browser. Deres tekniske- og salgsmennesker i moedet.. eh, hvordan
siger man det, "sked en groen snemand"?

Det siger lidt om kvaliteten, saa naar software producenter kan slippe
afsted med at sende deres software ud blandt mennesker som ikke har mulighed
for at evaluere det, er det klart de goer det. Penge!

> Jeg vil gerne lære mere om dette emne, om ikke for andet så
> for at få det viden-overskud, der giver tryghed i sig selv.
> Så endelig: Fortæl, fortæl!

Ok, jeg snipper lige fra dit foerste indlaeg.

> Sikkerhed på internettet?
> Det findes ikke!
> Du kan intet gøre for at undgå at psykopater prøver
> at tiltvinge sig vej til din computer.

Det er naturligvis ikke korrekt. Det kraever blot forstaaelse og tid til at
tage hoejde for uhensigtsmaessigheder.

> Så snart der er den mindste sikkerhedsbrist i et program, findes det
> straks af ihærdige amatører, der istedet for at bidrage til at få fixet
> bristen, kæfter op i dagspressen udelukkende til glæde for de samme
> psykopater, som man prøver at holde ude.

Jeg ved ikke helt hvem du taler om her. Hvis det er sikkerhedsresearchere
som saetter sig ned og finder problemer i software boer du ofte sige tak til
vedkommende. De fleste researchere kontakter producenten og hjaelper denne
med at fixe problemet foer de fortaeller resten af verdenen det. I andre
tilfaelde kan det vaere noedvendigt at fortaelle resten af verdenen om det
med det samme, f.eks. hvis producenten ikke vil loese problemet, eller hvis
man ved at problemet bliver brugt i onde kredse til at bryde ind i systemer.

> Personal firewall, personal Antivirusprogram, opdatering af
> dit styresystem: Lad være: Det hjælper alligevel ikke!!
> Falsk tryghed!
>
> Sikkerhedsseler, styrthjelm, låse din hoveddør, låse
> din bil: Lad være at spilde tid på det. Der bliver slået masser af
> mennesker ihjel i trafikken hver dag, der bliver begået masser
> af indbrud hver dag og biler bliver stadig stjålet. Så: Det virker
> slet ikke!! Falsk tryghed!

Du skriver i en meget uheldig tone som jeg skal proeve at se bort fra.
Grunden til, at personlige firewalls og anti-virus software ikke er
_loesningen_ er fordi de er af den lave kvalitet jeg omtalte tidligere, og
fordi de lover ting som de ikke kan holde.

Samtlige "sikkerhedsprodukter" paa markedet i dag har haft problemer som
gjorde dem til en stoerre risiko end hvis du slet ikke brugte produktet.
Der er simpelthen ingen grund til at stole paa dem. Hvis du i stedet vaelger
at slaa visse funktioner fra i dit styresystem som du for det meste slet
ikke bruger kan du spare dig for megen hovedpine. Hvis der ikke er noget at
angribe kan ubehagelige mennesker ikke komme ind.

> Nu bruger jeg ikke Zonealarm eller Norton for at føle mig tryg.
> Jeg bruger det for at ha' en chance. Af samme grund låser jeg
> min dør, når jeg går om morgenen, tager sikkerhedssele på,
> osv.

Hvis du bliver stoppet af politet naar du koerer 170 km/t siger du saa ogsaa
"Nej, nej, betjent. Det er ok, fordi jeg har sele paa. Se selv."?

Selen hjaelper dig ikke hvis du koerer 170. Det kan godt ske at den holder
dig paa plads, men ved et 170 km/t sammenstoed bliver bilen knust, og det
goer du ogsaa. Denne analogi skal ikke illustere tankeloeshed, men naermere
at problemet er stoerre end "at blive i saedet."

> Jeg bruger Windows fordi det tilgængeligt, af samme grund bruger
> jeg Outlook Express, Zonealarm, Norton og antagelig også
> andre produkter der er fulde af "sikkerhedshuller"
> Windows foragtes fordi almindelige mennesker bruger
> det, af samme grund hader jeg Folkevogne og Fiat'er:
> Der er så satans mange af dem!

Er det ikke rockbands der er mange af? (Kudos til min sponsor af "I Kina
spiser de hunde").

> Skift til Linux, skift til "Xmosys", det er "sikre" systemer!
> skriger alle straks.

Det er hamrende ligegyldigt hvad der staar paa kassen. Det er kvaliten af
arbejdet bag ved produktet vi taler om. Ja, der er flere der piller ved
Windows fordi det er saa udbredt, og jeg synes saamaend ikke at de fleste
open source vaerktoejer er meget bedre end de closed source. Forskellen
ligger i, at det er meget lettere at tage stilling til hvad man stoler paa
naar man kan se koden -- hvis man har evnerne.

Jeg har talt lidt om fordelen og ulemperne ved open og closed software:

http://a.area51.dk/open-vs-closed

Hvis Windows arbejdsstationer blev installeret som standard med _ingen_
programmer der lyttede efter netvaerkstrafik ville det hjaelpe paa onde
menneskers evne til at udnytte sikkerhedsfejl. Hvis Windows yderligere var
knapt saa hjernelam i dets haandtering af programmer modtaget via email, og
lignende ville problemet ogsaa vaere mindre. Der er et par grunde til at
folk skriger "Skift til Linux!" og andet. Den foerste er, at de ikke ved
bedre. De tror vitterligt, at fordi der staar Linux paa kassen er produktet
automatisk af hoejere kvalitet end Microsoft's ditto.

En anden grund er, at Outlook kan en masse smarte ting pga. dens indbyggede
API. Jeg har faktisk _aldrig_ set andet end ondt software bruge mange af
disse funktioner. Det ville hjaelpe hvis disse var slaaet fra som standard.
Der findes masser af ganske brugervenlige email programmer til Windows som
ikke lider af samme hjerneskader som Outlook.

> Det passer jo ikke! Den eneste grund til at de måske er
> sikrere i øjeblikket er, at de ikke interesserer nogen!
> Hvis alle brugte Linux, ville alle sikkerhedshuller snart
> blive opdaget og offentliggjort. Og misbrugt.

Der bliver postet klynger af sikkerhedsfejl i alle mulige produkter hver
eneste dag. Jeg bruger selv OpenBSD fordi udviklerne er nogle paranoide svin
som _forstaar_ det programmeringssprog de skriver i. De laver kode gennemsyn
af hinandens kode for at fange fejl, da selv dygtige programmerer begaar
fejl nogle gange. Disse to ting betyder at OpenBSD kun oplever en broekdel
af kritiske fejl i forhold til andre mange andre systemer, og at de fleste
fejl bliver fundet af deres egne folk.

Dette indlaeg skal ikke ses som en reklame for OpenBSD. Jeg er ligeglad med
hvad du bruger, og det er OpenBSD holdet ioevrigt ogsaa. Sikkerhed har ikke
noget med navnet paa papkassen at goere. Det er kvaliteten bag, og OpenBSD
giver mig hvad jeg leder efter. FreeBSD goer ogsaa godt arbejde i den
retning og jeg vil vurdere at de ligger paa en 2. plads.

Jeg er traet og mit dansk er elendigt. Spoerg efter en [clarification] hvis
jeg har vroevlet paa noget tidspunkt.

HTH,
Alex

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/


Peter Schrøder (08-12-2001)
Kommentar
Fra : Peter Schrøder


Dato : 08-12-01 13:39


"Alex Holst" skrev
>
> Tryghed maa siges at vaere et sekundaert maal. Det foerste maal er at
> udbrede forstaaelse for hvordan vaerktoejer som ikke bliver brugt
korrekt
> kan skade brugeren. Som om det ikke var nok at mange nye brugere ikke
fuldt
> ud forstaar alle aspekter af risiko vedhaeftet denne fagre nye verden,
er
> mange af disse vaerktoejer ikke af saerlig hoej kvalitet.

Her spiller definitionen af kvalitet måske en rolle. Der er
(efter min mening) ingen tvivl om at vedkommende, der har
lavet f.eks. Outlook Express er vanvittig dygtig. At så
vedkommende ikke har haft øjne for de risici, der er, ved
at bruge programmets utallige smarte funktioner, er måske
ikke ligefrem undskyldeligt men ihvertfald forståeligt?

> Brian Snow sammenligner i sin tale "We need assurance" dagens
sikkerheds-
> produkter med bilerne fra 1930. Bilerne var smarte, kunne koere 100
km/t,
> kunne bringe dig fra A til B og folk var generelt tilfredse. I
tilfaelde af
> misbrug, f.eks. en inkompetent chaffoer som styrede imod et trae var
> resultatet ofte en katastrofe.
>
> Bilerne i dag er anderledes end bilerne var i 1930'erne. Bilerne er
smarte,
> kan koere 100 km/t (og hurtigere), kan bringe dig fra A til B.
Yderlige har
> producenterne bygget funktioner ind som beskytter brugeren i tilfaelde
af
> misbrug. Som passager i nutidens biler har du en langt stoerre chance
for at
> slippe udskadt fra en glidetur ind i et trae.

Jeg elsker også at tale i billeder. Og jeg har været der. En søvnig
fætter
besluttede sig for et venstresving på tværs af min kørebane. Jeg kunne

(eller nærmest kravle) væk fra min bil, fordi den var af god kvalitet.
Den kunne ikke forhindre uheldet, men den kunne begrænse skaden.
Man kan næsten sige, at min bil ofrede sig selv for at redde mig.
Ganske rørende egentlig...

> Det er der vi skal hen. Vi har brug for en verden hvor kunderne
stiller krav
> om, at deres sikkerhed ikke bliver bragt i fare, blot fordi et
software
> produkt oplever omstaendigheder ud over det normale. De fleste privat
> personer har ikke mulighed for at evaluere faren ved disse produkter
og maa
> ofte finde en metode hvorved de kan bruge produkter som de ikke har
nogen
> grund til at stole paa. Dette involverer ofte at bruge saa lidt
> funktionalitet som muligt.

De fleste bruge vel disse programmer, fordi de er gratis. At de
så, på overfladen, virker gennemtænkte og funktionelle er jo nok
til at de fleste bliver hængende. Mange mennesker er også afhængige
af at kunne spørge sidemanden om brugen af disse programmer.
Jeg prøvede f.eks. selv Free Agent som nyhedslæser engang.
Jeg kunne ikke vænne mig til måden den håndterede vinduerne
på og den begrænsede funktionalitet gjorde at jeg ikke
kunne indstille det efter mine behov. Betalingsversionen
skulle have fået visse af disse funktioner tilføjet, men det
er der ikke plads til (på mit budget) at eksperimentere med.
Så nu sidder jeg med Outlook Express igen...

[snip]
> Det siger lidt om kvaliteten, saa naar software producenter kan slippe
> afsted med at sende deres software ud blandt mennesker som ikke har
mulighed
> for at evaluere det, er det klart de goer det. Penge!

Det er det, der er så skønt ved gratis software; Man tænker
"hvorfor gør de det" altså forærer 1000'vis af mandetimer
bort til helt almindelige mennesker.
A: det er nogle storslåede mennesker der kun vil dig det godt!
B: det er nogle beregnende sataner, der er ude på at knække
hæderlige firmaer, der forsøger at få et levebrød ud af at
sælge tilsvarende produkter. Når disse firmaer er bukket under
kommer filantropens sande væsen frem og produktet, der før
var gratis, skal nu koste en formue.
C: det er nogle virkeligt snedige hackere, der, når alle
har fået installeret deres software, vil overtage verdenen.

F.eks. Zonealarm: jeg har ikke forstand på disse ting.
(ses det meget tydeligt?) Men jeg kan konstatere at
programmet har opsnappet div. indbrudsforsøg, mens
jeg har skrevet dette. 2 fra Korea, 1 fra Taiwan og
1 fra Californien. Spørgsmålet er så, om jeg er blevet
forskånet for indbrud på min computer, eller om de
"sikkerhedstilpasninger" jeg har lavet, ville have stoppet
det alligevel. Det er hér jeg mangler reel information.
Spørger man hér i gruppen bliver man dels henvist
til din OSS, dels bebrejdet et man bruger zonealarm uden at forstå
disse ting...

[snip] om sladretanter:
> Jeg ved ikke helt hvem du taler om her. Hvis det er
sikkerhedsresearchere
> som saetter sig ned og finder problemer i software boer du ofte sige
tak til
> vedkommende. De fleste researchere kontakter producenten og hjaelper
denne
> med at fixe problemet foer de fortaeller resten af verdenen det. I
andre
> tilfaelde kan det vaere noedvendigt at fortaelle resten af verdenen om
det
> med det samme, f.eks. hvis producenten ikke vil loese problemet, eller
hvis
> man ved at problemet bliver brugt i onde kredse til at bryde ind i
systemer.

Det véd jeg da godt Og jeg er også taknemmelig over at
der findes mennesker med den fornødne viden til at
stoppe disse huller. Det jeg nogle gange er ked af er, at
beskrivelsen af en sikkerhedsbrist ikke bare beskriver bristen,
men også rummer en komplet manual over, hvordan bristen
bedst misbruges. En masse halvhjerner får gratis en viden, som
de ikke havde ville kunne erhverve af sig selv.
Det svarer lidt til at sige: En folkevogns døre springer
op, hvis man slår den hårdt nok i taget.
I stedet for: Folkevogn har en problem med deres låse.

[snip]om falsk tryghed:
> Du skriver i en meget uheldig tone som jeg skal proeve at se bort fra.
> Grunden til, at personlige firewalls og anti-virus software ikke er
> _loesningen_ er fordi de er af den lave kvalitet jeg omtalte
tidligere, og
> fordi de lover ting som de ikke kan holde.

Beklager, hvis tonen var lidt uheldig, der var et _ringe_ forsøg på
at lidt Homer Simpson ind i dialogen: "If you can't win, don't try"
Der er (håber jeg) ingen tvivl om at en hardwarebaseret
firewall er mere effektiv, end en softwarebaseret som f.eks.
Zonealarm, som "alle" kender og "alle" bruger. Men hvordan
kan jeg være sikker. En hardwarefirewall koster 3-5000kr
og er den så så meget bedre?

> Samtlige "sikkerhedsprodukter" paa markedet i dag har haft problemer
som
> gjorde dem til en stoerre risiko end hvis du slet ikke brugte
produktet.
> Der er simpelthen ingen grund til at stole paa dem. Hvis du i stedet
vaelger
> at slaa visse funktioner fra i dit styresystem som du for det meste
slet
> ikke bruger kan du spare dig for megen hovedpine. Hvis der ikke er
noget at
> angribe kan ubehagelige mennesker ikke komme ind.

Dét var et emne for din OSS: Huller i kendte programmer og hvordan man
lukker dem.

[snip]om seler
> Hvis du bliver stoppet af politet naar du koerer 170 km/t siger du saa
ogsaa
> "Nej, nej, betjent. Det er ok, fordi jeg har sele paa. Se selv."?

Nixen. Tanken var at fortsætte som jeg hele tiden har gjort: bevidst
og med omtanke. Selen OG airbag'en beskytter mig så bare
yderligere. Om airbag'en overhovedet virker, får jeg forhåbentlig
aldrig at vide...

> Selen hjaelper dig ikke hvis du koerer 170. Det kan godt ske at den
holder
> dig paa plads, men ved et 170 km/t sammenstoed bliver bilen knust, og
det
> goer du ogsaa. Denne analogi skal ikke illustere tankeloeshed, men
naermere
> at problemet er stoerre end "at blive i saedet."

Problemet er, at selv om jeg (og min familie) færdes på nettet
med omtanke, er det ikke altid man selv er herre over, hvor man
havner. F.eks downloadede min søn lovlige MP3 filer fra en ganske
lovlig og etableret site som MP3.com, da et link tog ham
til en side, som foruden at fremvise billeder af "avanceret" art
også fluks lagde en Trojan på vores PC. Det kan jo ikke gardere sig
imod. Siden havde været hacket og omdirigeret til et andet sted.
Det er også engang sket for Microsoft og Walt Disney's sider.

> Er det ikke rockbands der er mange af? (Kudos til min sponsor af "I
Kina
> spiser de hunde").

Jo. Og rockbands

> Dette indlaeg skal ikke ses som en reklame for OpenBSD. Jeg er
ligeglad med
> hvad du bruger, og det er OpenBSD holdet ioevrigt ogsaa. Sikkerhed har
ikke
> noget med navnet paa papkassen at goere. Det er kvaliteten bag, og
OpenBSD
> giver mig hvad jeg leder efter. FreeBSD goer ogsaa godt arbejde i den
> retning og jeg vil vurdere at de ligger paa en 2. plads.

Andre styresystemer har ingen tiltrækning på mig pt.
Jeg bruger for meget til på arbejde og familie til at føle jeg
har den fornøden fred til at sætte mig ordentligt ind i tingene.
Desuden bruger ungerne pc'en til at spille en del på, så deet...

Tak fordi du tog dig tid til svare på mit indlæg.
--

Venlig hilsen

Peter
psch[AT]mail1.stofanet.dk





Alex Holst (09-12-2001)
Kommentar
Fra : Alex Holst


Dato : 09-12-01 21:19

Peter Schrøder <nosp@mplea.se> wrote:
>> Som om det ikke var nok at mange nye brugere ikke fuldt
>> ud forstaar alle aspekter af risiko vedhaeftet denne fagre nye verden, er
>> mange af disse vaerktoejer ikke af saerlig hoej kvalitet.
>
> Her spiller definitionen af kvalitet måske en rolle. Der er
> (efter min mening) ingen tvivl om at vedkommende, der har
> lavet f.eks. Outlook Express er vanvittig dygtig.

Jeg er ikke enig. Jeg tror den eneste grund til du mener vedkommende er
dygtig er fordi du ikke helt forstaar hvilket arbejde der ligger i opgaven.
Hvis hovedet paa din hammer faldte af og ramte dig over foden regelmaessigt
ville du saa ogsaa mene at haandvaerkeren der lavede den var dygtig?

>> Brian Snow sammenligner i sin tale "We need assurance" dagens
>> sikkerhedsprodukter med bilerne fra 1930.
[..]

> Jeg elsker også at tale i billeder.

Jeg bryder mig ikke om at tale i billeder da man kan abstrahere sig til
hvilken som helst konklusion, men nogle gange er det noedvendigt for at faa
folk til at forstaa at der ikke er noget magisk ved software, og naar et
stykke software fejler er det fordi et menneske under udviklingen har vaeret
doven eller inkompetent.

> [snip]
>> Det siger lidt om kvaliteten, saa naar software producenter kan slippe
>> afsted med at sende deres software ud blandt mennesker som ikke har
> mulighed
>> for at evaluere det, er det klart de goer det. Penge!
>
> Det er det, der er så skønt ved gratis software; Man tænker
> "hvorfor gør de det" altså forærer 1000'vis af mandetimer
> bort til helt almindelige mennesker.
> A: det er nogle storslåede mennesker der kun vil dig det godt!

I verdenen af gratis software jagter udviklerne naturligvis ikke penge, men
de jagter brugere, og det goer de gennem funktionalitet og nye features. Det
er kedeligt at teste, og det tager lang tid.

> F.eks. Zonealarm: jeg har ikke forstand på disse ting.
> (ses det meget tydeligt?) Men jeg kan konstatere at
> programmet har opsnappet div. indbrudsforsøg, mens
> jeg har skrevet dette.

Hvordan ved du, at det er indbrudsforsoeg? Det kan vaere tastefejl begaaet
af en bruger.

Jeg har personligt kendskab til en sag i danmark hvor en ung mand blev
anklaget for "hacking" og fik beslaglagt sine computere i 8 maaneder for
ca. 1 1/2 siden.

"Beviset" var i form af en Zone Alarm logfil der viste 10 forbindelser fra
"hackerens" IP adresse til PCen med Zone Alarm paa. Forbindelserne var FTP
forsoeg, med 30 sekunders mellemrum -- lige praecist som det var sat op i
"hackerens" FTP klient. Han havde blot begaaet en tastefejl som han ikke
havde opdaget, og programmet forsoegte automatisk at oprette forbindelsen
flere gange.

> Spørgsmålet er så, om jeg er blevet forskånet for indbrud på min computer,
> eller om de "sikkerhedstilpasninger" jeg har lavet, ville have stoppet det
> alligevel. Det er hér jeg mangler reel information.
> Spørger man hér i gruppen bliver man dels henvist til din OSS, dels
> bebrejdet et man bruger zonealarm uden at forstå disse ting...

Det foeler jeg ellers er forklaret - omend lidt kort - i OSS'en:

Hvornår er der ikke behov for en personlig firewall?

Jeg er glad for du spurgte! Med den holdning er du på vej mod langt
sikre Internet brug end de fleste.

Hvis din PC kun bruges som arbejdsplads, altså ikke deler nogle af sine
drev eller printere (via NetBIOS), og heller ikke kører FTP eller web
servere som du ønsker at begrænse adgangen til, er der ingen grund til at
bruge tid eller energi på en personlig firewall. Alle forbindelsesforsøg
vil blive afvist af dit operativsystem og at tilføje en firewall er blot
at introducere en mulighed for fejl.

>
> [snip] om sladretanter:
[..]
> Det véd jeg da godt Og jeg er også taknemmelig over at
> der findes mennesker med den fornødne viden til at
> stoppe disse huller. Det jeg nogle gange er ked af er, at
> beskrivelsen af en sikkerhedsbrist ikke bare beskriver bristen,
> men også rummer en komplet manual over, hvordan bristen
> bedst misbruges.

Det er diskussionen om "full disclosure" vi kommer ind paa nu. Jeg ser ikke
ikke det som noget stort problem, at halvhjerner faar denne viden. I mine
oejne er problemet at fejlene findes i softwaren til at starte med, og at
der generelt ikke er sket nogen forbedring paa kvaliteten af software som
sendes paa markedet. Det er langt billigere for producenter at vente paa
fejlrapporter som kommer ind end at gaa deres software igennem for fejl.

> Der er (håber jeg) ingen tvivl om at en hardwarebaseret
> firewall er mere effektiv, end en softwarebaseret som f.eks.
> Zonealarm, som "alle" kender og "alle" bruger. Men hvordan
> kan jeg være sikker. En hardwarefirewall koster 3-5000kr
> og er den så så meget bedre?

Zone Alarm koerer som hvilket helst andet program paa din PC, saa hvis du
som bruger starter et ondt program vil det vaere i stand til at aendre Zone
Alarm i hukommelsen og paa harddisken. Som tidligere beskrevet virker Zone
Alarm's forbindelses kontrol paa niveau med netvaerksdelen i dit OS (kaldet
TCP stack). Det virker trivielt at omgaa hvis man virkelig vil.

En firewall som ikke koerer paa det system du bruger som arbejdsmaskine vil
arbejde udlukkende med hvad det ser paa netvaerket, og kan ikke manipuleres
af evt. programmer der koerer paa arbejdsmaskinen. Der har dog vaeret fejl i
de fleste firewalls som har betydet at en angriber kunne liste
netvaerkstrafik forbi et regelsaet som ellers ville have blokeret det.

> Dét var et emne for din OSS: Huller i kendte programmer og hvordan man
> lukker dem.

Den opgave har jeg ikke tid til at tage paa mig. Securityfocus har en hel
database over fejl i programmer som bliver fundet. De fleste producenter af
software har baade lister over problemer og fixes paa deres websites, samt
mailinglister hvor der bliver sendt annonceringer om disse problemer ud.

Ofte lukkes hullerne ved at koden aendres af programmoeren, og brugeren
opdaterer til den nye version. I Windows kan Windows Update let bruges en
gang om ugen til at hente kritiske opdateringer.

> Problemet er, at selv om jeg (og min familie) færdes på nettet
> med omtanke, er det ikke altid man selv er herre over, hvor man
> havner. F.eks downloadede min søn lovlige MP3 filer fra en ganske
> lovlig og etableret site som MP3.com, da et link tog ham
> til en side, som foruden at fremvise billeder af "avanceret" art
> også fluks lagde en Trojan på vores PC. Det kan jo ikke gardere sig
> imod.

Jo, det kan man sagtens. Man kan laere folk at laese de vinduer som IE
popper op, og man kan saette sig ind i hvordan sikkerhedszonerne virker. Jeg
har taenkt mig at uddybe afsnittet om outlook og IE med en saadan
beskrivelse. Jeg har ogsaa taenkt mig at beskrive hvordan angribere skaffer
sig adgang til computere, saaledes det kan hjaepe brugere med at forstaar de
egentlige trussler.

> Andre styresystemer har ingen tiltrækning på mig pt.

Hvilken version af Windows bruger du? Windows NT, 2000 og XP har en
sikkerhedsmodel som kan forhindre, at det gaar ud over hele maskinen hvis
een bruger klokker i det. Det giver ogsaa mulighed for at hver bruger har
deres egen opsaetning af programmer osv.

Hvis jeg har vroevlet er det ikke fordi jeg er daarlig til dansk. Det er
fordi jeg fik alt for meget at drikke i gaar.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/


Christian E. Lysel (09-12-2001)
Kommentar
Fra : Christian E. Lysel


Dato : 09-12-01 23:43

Alex Holst wrote:

>>Det véd jeg da godt Og jeg er også taknemmelig over at
>>der findes mennesker med den fornødne viden til at
>>stoppe disse huller. Det jeg nogle gange er ked af er, at
>>beskrivelsen af en sikkerhedsbrist ikke bare beskriver bristen,
>>men også rummer en komplet manual over, hvordan bristen
>>bedst misbruges.


> Det er diskussionen om "full disclosure" vi kommer ind paa nu. Jeg ser ikke
> ikke det som noget stort problem, at halvhjerner faar denne viden. I mine
> oejne er problemet at fejlene findes i softwaren til at starte med, og at
> der generelt ikke er sket nogen forbedring paa kvaliteten af software som
> sendes paa markedet. Det er langt billigere for producenter at vente paa
> fejlrapporter som kommer ind end at gaa deres software igennem for fejl.


Enig.


*Suk* jeg er begyndt at støde på folk med Peter's holdning til ovenstående.


Hvad med at stille et simple spørgsmål, hvordan kan du Peter være sikker
på en sikkerhedsbrist er en sikkerhedsbrist, hvis der er ikke er et
eksempel på at bristen kan udnyttes?

Alle kan påstår de har fundet en sikkerhedsbrist, det er ikke svært, dog
forholder det sig anderledes hvis man også skal bevise det. Der er
faktisk set eksempler på annonceret sikkerhedsbrister, der ikke var
sande. Endvidere er sikkerhedsbristen nogle gange mere omfattende end
føst antaget.

Og når du nu vil rette sikkerhedbristen, hvordan sikre du dig så imod
disse brister, hvis der ikke er nogen teknisk beskrivelse af dem? Stoler
du på producenten af rejlrettelsen, eller fortrækker du selv at
teste/forstå sikkerhedsbristen?


Det er ret kedeligt at folk ikke har fattet dette...men spiller med på
Microsofts nye strategi, om at give teknisk information om
sikkerhedsbrister er det samme som at være kriminel.

Folk har en idé om at de personer der finder sikkerhedsbrister, er folk
der hader Microsoft og elsker Linux. Disse personer vil derfor gøre alt
for at finde huller i Microsofts produkter. Hvis Linux ikke eksistede
ville der ikke være huller i Microsofts produkter.


Peter Schrøder (10-12-2001)
Kommentar
Fra : Peter Schrøder


Dato : 10-12-01 20:01


"Christian E. Lysel"
> *Suk* jeg er begyndt at støde på folk med Peter's holdning til
ovenstående.

Rolig nu. jeg har ikke tilstrækkelig baggrundsviden til at ha' en
decideret holdning, ikke endnu.
Men hvis sådan een som jeg, kan hacke andre folks computere
ved hjælp af information fundet i f.eks. BT, er der så ikke tale
om over-information?

> Hvad med at stille et simple spørgsmål, hvordan kan du Peter være
sikker
> på en sikkerhedsbrist er en sikkerhedsbrist, hvis der er ikke er et
> eksempel på at bristen kan udnyttes?

Fundamental kildekritik.

> Alle kan påstår de har fundet en sikkerhedsbrist, det er ikke svært,
dog
> forholder det sig anderledes hvis man også skal bevise det. Der er
> faktisk set eksempler på annonceret sikkerhedsbrister, der ikke var
> sande. Endvidere er sikkerhedsbristen nogle gange mere omfattende end
> føst antaget.

Det er stadig en sag mellem "finderen" og producenten af produktet.
I første omgang ihvertfald.

> Og når du nu vil rette sikkerhedbristen, hvordan sikre du dig så imod
> disse brister, hvis der ikke er nogen teknisk beskrivelse af dem?
Stoler
> du på producenten af rejlrettelsen, eller fortrækker du selv at
> teste/forstå sikkerhedsbristen?

Jeg er, for mit eget vedkommende, nødt til at stole på
producenten. Når jeg ca. ugentlig kører en windowsupdate,
stoler jeg blindt på, at der er tale om en forbedring/fejlrettelse
og ikke en avanceret måde at f.eks checke om jeg skulle ha'
piratkopier installeret.

> Det er ret kedeligt at folk ikke har fattet dette...men spiller med på
> Microsofts nye strategi, om at give teknisk information om
> sikkerhedsbrister er det samme som at være kriminel.

Det er ikke bare held og mafiametoder, der har gjort Microsoft
store. Der hører også en del selv-beskyttelse med. Om man
så kan li' det eller ej.

> Folk har en idé om at de personer der finder sikkerhedsbrister, er
folk
> der hader Microsoft og elsker Linux. Disse personer vil derfor gøre
alt
> for at finde huller i Microsofts produkter. Hvis Linux ikke eksistede
> ville der ikke være huller i Microsofts produkter.

Jeg hverken elsker Microsoft eller hader Linux. Som Alex skriver
har Linux også fejl og huller. Jeg har bare aldrig set dem slået
op nogle steder...


Kent Friis (10-12-2001)
Kommentar
Fra : Kent Friis


Dato : 10-12-01 20:29

Den Mon, 10 Dec 2001 20:01:02 +0100 skrev Peter Schrøder:
>
>"Christian E. Lysel"
>> *Suk* jeg er begyndt at støde på folk med Peter's holdning til
>ovenstående.
>
>Rolig nu. jeg har ikke tilstrækkelig baggrundsviden til at ha' en
>decideret holdning, ikke endnu.
>Men hvis sådan een som jeg, kan hacke andre folks computere
>ved hjælp af information fundet i f.eks. BT, er der så ikke tale
>om over-information?

Hvis jeg kan køre folk ned ved hjælp af information fundet i teori-
bogen, er der så ikke tale om overinformation?

>> Og når du nu vil rette sikkerhedbristen, hvordan sikre du dig så imod
>> disse brister, hvis der ikke er nogen teknisk beskrivelse af dem?
>Stoler
>> du på producenten af rejlrettelsen, eller fortrækker du selv at
>> teste/forstå sikkerhedsbristen?
>
>Jeg er, for mit eget vedkommende, nødt til at stole på
>producenten. Når jeg ca. ugentlig kører en windowsupdate,
>stoler jeg blindt på, at der er tale om en forbedring/fejlrettelse
>og ikke en avanceret måde at f.eks checke om jeg skulle ha'
>piratkopier installeret.

Prøv at se på det sådan her:

Hvis OpenBSD-folkene finder et sikkerhedshul, så er jeg som linux-
bruger interesseret i at vide om hullet også findes i linux. For at
finde ud af det, skal jeg enten bruge et exploit-program (source, så
det kan recompileres), eller information nok til selv at kunne teste
det.

Hvis man får informationerne før der er et fix parat, er det desuden
muligt at finde en workaround (fx. en justering af sin firewall), hvis
man har informationer nok om hullet. Derved kan man sikre sin maskine
længe før man kan, hvis man skal vente på et fix.

> Folk har en idé om at de personer der finder sikkerhedsbrister, er
>folk
>> der hader Microsoft og elsker Linux. Disse personer vil derfor gøre
>alt
>> for at finde huller i Microsofts produkter. Hvis Linux ikke eksistede
>> ville der ikke være huller i Microsofts produkter.
>
>Jeg hverken elsker Microsoft eller hader Linux. Som Alex skriver
>har Linux også fejl og huller. Jeg har bare aldrig set dem slået
>op nogle steder...

Det er nok fordi du ikke kigger på linux-sites.

Mvh
Kent
--
http://www.celebrityshine.com/~kfr/

Bertel Lund Hansen (10-12-2001)
Kommentar
Fra : Bertel Lund Hansen


Dato : 10-12-01 21:25

Peter Schrøder skrev:

>Det er ikke bare held og mafiametoder, der har gjort Microsoft
>store.

Jeg er ganske uenig.

>Der hører også en del selv-beskyttelse med.

Hvad er det?

--
Bertel
http://lundhansen.dk/bertel/   FIDUSO: http://fiduso.dk/

Kent Friis (10-12-2001)
Kommentar
Fra : Kent Friis


Dato : 10-12-01 21:54

Den Mon, 10 Dec 2001 21:24:39 +0100 skrev Bertel Lund Hansen:
>Peter Schrøder skrev:
>
>>Det er ikke bare held og mafiametoder, der har gjort Microsoft
>>store.
>
>Jeg er ganske uenig.
>
>>Der hører også en del selv-beskyttelse med.
>
>Hvad er det?

At dømme efter det du klippede væk, må det være at fordreje sandheden,
for at beskytte sig mod kunderne.

Mvh
Kent
--
http://www.celebrityshine.com/~kfr/

Daniel Blankensteine~ (10-12-2001)
Kommentar
Fra : Daniel Blankensteine~


Dato : 10-12-01 21:23

"Peter Schrøder" <nosp@mplea.se> wrote in message
news:9v30k4$ha5$1@sunsite.dk...
> Jeg hverken elsker Microsoft eller hader Linux. Som Alex skriver
> har Linux også fejl og huller. Jeg har bare aldrig set dem slået
> op nogle steder...
Hvis du ikke har undersøgt dette, kan du ikke udtale sig om linux/unix
sikkerhed i forhold til windows!

www.astalavista.com
www.securityfocus.com
www.cert.org
Er bare tre af mange steder du kan finde exploits.

mvh
db



Christian E. Lysel (10-12-2001)
Kommentar
Fra : Christian E. Lysel


Dato : 10-12-01 22:59

Daniel Blankensteiner wrote:

> Hvis du ikke har undersøgt dette, kan du ikke udtale sig om linux/unix
> sikkerhed i forhold til windows!
>
> www.astalavista.com
> www.securityfocus.com
> www.cert.org
> Er bare tre af mange steder du kan finde exploits.


Var det Peter henviste til mon ikke pressen?


Daniel Blankensteine~ (10-12-2001)
Kommentar
Fra : Daniel Blankensteine~


Dato : 10-12-01 23:31

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote in message
news:3C15300E.7080901@example.net...
> > Hvis du ikke har undersøgt dette, kan du ikke udtale sig om linux/unix
> > sikkerhed i forhold til windows!
> >
> > www.astalavista.com
> > www.securityfocus.com
> > www.cert.org
> > Er bare tre af mange steder du kan finde exploits.
>
> Var det Peter henviste til mon ikke pressen?
Hvis det var det, så opfattet jeg ikke lige det. Men hvis man skulle høre om
det i pressen hver gang en exlpoit blev fundet, så vil vi jo ikke høre om
andet og folk vil tro at sikkerhed ikke fandes mht computere. Hvis man vil
følge udviklingen vedrørende IT-sikkerhed, så må man besøge ovenstående
sider (og andre) og tilmelde sig diverse mailing-lister.

mvh
db



Alex Holst (11-12-2001)
Kommentar
Fra : Alex Holst


Dato : 11-12-01 08:03

Daniel Blankensteiner <db@traceroute.dk> wrote:
> www.astalavista.com
> www.securityfocus.com
> www.cert.org
> Er bare tre af mange steder du kan finde exploits.

Jeg er ikke bekendt med at CERT/CC nogensinde har haft exploits liggende paa
deres site. Proev i stedet:

http://www.packetstormsecurity.org


--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/


Daniel Blankensteine~ (11-12-2001)
Kommentar
Fra : Daniel Blankensteine~


Dato : 11-12-01 12:15

"Alex Holst" <a@area51.dk> wrote in message news:slrna1bbtm.145e.a@C-
> Jeg er ikke bekendt med at CERT/CC nogensinde har haft exploits liggende
paa
> deres site. Proev i stedet:
>
> http://www.packetstormsecurity.org
Ja, det er også en af de fede sider!

mvh
db



Christian E. Lysel (10-12-2001)
Kommentar
Fra : Christian E. Lysel


Dato : 10-12-01 23:08

Peter Schrøder wrote:

> Rolig nu. jeg har ikke tilstrækkelig baggrundsviden til at ha' en
> decideret holdning, ikke endnu.


Skal man have baggrundsviden til det? :)

> Men hvis sådan een som jeg, kan hacke andre folks computere
> ved hjælp af information fundet i f.eks. BT, er der så ikke tale
> om over-information?


Hvad med google.com søgning, på exploit eller hack?

>>Alle kan påstår de har fundet en sikkerhedsbrist, det er ikke svært,
> dog
>>forholder det sig anderledes hvis man også skal bevise det. Der er
>>faktisk set eksempler på annonceret sikkerhedsbrister, der ikke var
>>sande. Endvidere er sikkerhedsbristen nogle gange mere omfattende end
>>føst antaget.
> Det er stadig en sag mellem "finderen" og producenten af produktet.
> I første omgang ihvertfald.


Ikke helt enig, kun delvist.

Normalt når man finder et sikkerhedshul, finder man også en måde at
sikre sig hullet, uden at patche.

Jeg mener til dels at en kort beskrivelse af huller og hvordan man kan
sikre sig imod hullet, bør offentliggøres med det samme, således andre
kan sikre sig imod hullet. Når producenten så har løst problemet, bør
man offentligøre den tekniske beskrivelse af hullet.

Dog ville jeg nok ikke selv gører ovenstående, da jeg er meget i tvivl.


Andre gange har man det problem, at producenten ikke anser det som et
sikkerhedshul og ignorere det!

>>Og når du nu vil rette sikkerhedbristen, hvordan sikre du dig så imod
>>disse brister, hvis der ikke er nogen teknisk beskrivelse af dem?
>> Stoler
>>du på producenten af rejlrettelsen, eller fortrækker du selv at
>>teste/forstå sikkerhedsbristen?
> Jeg er, for mit eget vedkommende, nødt til at stole på
> producenten. Når jeg ca. ugentlig kører en windowsupdate,
> stoler jeg blindt på, at der er tale om en forbedring/fejlrettelse
> og ikke en avanceret måde at f.eks checke om jeg skulle ha'
> piratkopier installeret.


Dvs. du læser ikke igennem hvad opdateringen betyder for din
installation, før den bliver lagt ind. Det kan ikke anbefaldes. Kun
nødvændige opdateringer bør ligges ind, det er min holdning. Ikke alt
nyt er godt nyt.

Du vil blive undre dig over hvilke krumspring software-udviklere gøre
for at "patche" et sikkerhedshul.

>>Det er ret kedeligt at folk ikke har fattet dette...men spiller med på
>>Microsofts nye strategi, om at give teknisk information om
>>sikkerhedsbrister er det samme som at være kriminel.


> Det er ikke bare held og mafiametoder, der har gjort Microsoft
> store. Der hører også en del selv-beskyttelse med. Om man
> så kan li' det eller ej.



Det ved jeg ikke.

>>Folk har en idé om at de personer der finder sikkerhedsbrister, er
>> folk
>>der hader Microsoft og elsker Linux. Disse personer vil derfor gøre
>> alt
>>for at finde huller i Microsofts produkter. Hvis Linux ikke eksistede
>>ville der ikke være huller i Microsofts produkter.
>>
>
> Jeg hverken elsker Microsoft eller hader Linux. Som Alex skriver
> har Linux også fejl og huller. Jeg har bare aldrig set dem slået
> op nogle steder...


I pressen nej, der er jo ikke så mange der kører det :)

På Internettet, jo.




Finn Nielsen (10-12-2001)
Kommentar
Fra : Finn Nielsen


Dato : 10-12-01 12:37

Alex Holst <a@area51.dk> writes:

> Jeg bryder mig ikke om at tale i billeder da man kan abstrahere sig til
> hvilken som helst konklusion, men nogle gange er det noedvendigt for at faa
> folk til at forstaa at der ikke er noget magisk ved software, og naar et
> stykke software fejler er det fordi et menneske under udviklingen har vaeret
> doven eller inkompetent.

Programmerer du selv meget? Programmering er ikke noget enhver bare lige
gør og ved store projekter er det umuligt at have det fulde overblik over
alle detaljer af alle dele af koden. Fejl sker og ikke kun på grund af
dovenhed eller inkompetance, men også på grund af komplexitet. Ok,
Outlook er lige lidt for slem så i det tilfælde har der sikkert været
både dovenskab og inkompetance med i spillet, men din udtalelse holder
ikke generelt for alt software.

--
Finn Nielsen - http://www.zznyyd.dk/

"Creatures seemed to turn up in the world randomly, and certainly not
according to any pictures in a book." - The science of Discworld

Alex Holst (10-12-2001)
Kommentar
Fra : Alex Holst


Dato : 10-12-01 14:12

Finn Nielsen <usenet01@zznyyd.dk> wrote:
> Alex Holst <a@area51.dk> writes:
>> [..] der ikke er noget magisk ved software, og naar et
>> stykke software fejler er det fordi et menneske under udviklingen har vaeret
>> doven eller inkompetent.
>
> Programmerer du selv meget? Programmering er ikke noget enhver bare lige
> gør og ved store projekter er det umuligt at have det fulde overblik over
> alle detaljer af alle dele af koden.

Jeg forventer fuldt ud, at mennesker som lever af at programmere har en vis
evne inden for omraadet. Jeg forventer, at de ved hvornaar man bruger
strcpy() og hvornaar man vaelger en anden metode til at manipulere data,
osv. Jeg forventer, at forfattere af email software ikke blot analyser MIME
content-typen og derefter blindt sender en .exe file videre til
operativsystemet.

Jeg forventer ogsaa at projekt og/eller quality managers giver tid til
rigeligt med tests i deres projekter -- det goeres der sjaeldent.

> Fejl sker og ikke kun på grund af dovenhed eller inkompetance, men også på
> grund af komplexitet.

Komplexitet kan man ofte designe sig ud af, og hvis man ikke kan, skal
komplexiteten modsvares af test. Hvis freelance sikkerhedsresearchere kan
finde problerne burde producenten ogsaa kunne. Der findes masser af
automatiske vaerktoejer som kan lave source level analyse og give hints om
problemer. Det er standard QA opgaver og der er ingen undskyldninger.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/


Finn Nielsen (10-12-2001)
Kommentar
Fra : Finn Nielsen


Dato : 10-12-01 15:08

Alex Holst <a@area51.dk> writes:

> Jeg forventer fuldt ud, at mennesker som lever af at programmere har en vis
> evne inden for omraadet. Jeg forventer, at de ved hvornaar man bruger
> strcpy() og hvornaar man vaelger en anden metode til at manipulere data,

Enig, men at vide hvornår man skal bruge strcpy() er at have overblik og
en specifik del af koden, ikke at have overblik over alle dele. Prøv at
holde styr på >100000 liniers kode fordelt på >50 moduler med alle mulige
måder at interagere med hinanden. Selv hvis man har skrevet det hele selv
(hvilket sjældent er tilfældet for den størrelse projekter) er det
umuligt at holde styr på det hele på samme tid. Man kan kun have det
fulde overblik over en smule ad gangen og den smule kan man sørge for
virker korrekt, men det beskytter ikke mod at et modul kan blive brugt på
andre måder end oprindeligt tænkt.

> osv. Jeg forventer, at forfattere af email software ikke blot analyser MIME
> content-typen og derefter blindt sender en .exe file videre til
> operativsystemet.

Enig, men igen så mener jeg kun det er en delmængde af et program. Der
er ingen undskyldning for de alvorlige problemer med Outlook, men du kan
ikke generalisere over alle programmører i verden fordi et enkelt firma
laver dårlige produkter.

Når Outlook er så dårligt tror jeg ikke det skyldes inkompetance, jeg
tror det skyldes griskhed.. Man har optimeret efter indtjening, ikke
efter sikkerhed eller kvalitet.

Hvis du så vil mene at griskhed i denne sammenhæng er en form for
inkompetance så skal jeg ikke modsige dig.

> Jeg forventer ogsaa at projekt og/eller quality managers giver tid til
> rigeligt med tests i deres projekter -- det goeres der sjaeldent.
>
> > Fejl sker og ikke kun på grund af dovenhed eller inkompetance, men også på
> > grund af komplexitet.
>
> Komplexitet kan man ofte designe sig ud af, og hvis man ikke kan, skal
> komplexiteten modsvares af test.

Man skal naturligvis teste så godt man overhovedet kan, men det er ikke
altid muligt at teste for alle situationer der kan opstå.

> Hvis freelance sikkerhedsresearchere kan
> finde problerne burde producenten ogsaa kunne. Der findes masser af
> automatiske vaerktoejer som kan lave source level analyse og give hints om
> problemer.

Men ingen værktøjer der kan finde alle fejl. Når et program fejler er det
ikke nødvendigvis en strcpy() eller andre kendte kald, der er problemet.

Man siger alle ikke-trivielle programmer indeholder fejl. Det undrer dig
ikke at stort set ingen programmer kommer med en garanti om at det vil
virke..

> Det er standard QA opgaver og der er ingen undskyldninger.

Måske ikke men det er menneskeligt at fejle og jeg mener bestemt ikke
man bør betegnes som inkompetent eller doven fordi man laver en fejl af
og til. Du vil vel ikke hævde at du selv aldrig laver fejl i dit arbejde?

--
Finn Nielsen - http://www.zznyyd.dk/

"Creatures seemed to turn up in the world randomly, and certainly not
according to any pictures in a book." - The science of Discworld

Alex Holst (10-12-2001)
Kommentar
Fra : Alex Holst


Dato : 10-12-01 16:55

Finn Nielsen <usenet01@zznyyd.dk> wrote:
> Alex Holst <a@area51.dk> writes:
>> Jeg forventer fuldt ud, at mennesker som lever af at programmere har en vis
>> evne inden for omraadet. Jeg forventer, at de ved hvornaar man bruger
>> strcpy() og hvornaar man vaelger en anden metode til at manipulere data,
>
> Enig, men at vide hvornår man skal bruge strcpy() er at have overblik og
> en specifik del af koden, ikke at have overblik over alle dele.

Hvert modul har vel en ansvarlig person, og det er op til denne person at
sikre sig deres moduler overholder specifikationen? Lad mig citere fra vores
secure coding guidelines:

For large complex transaction systems, input validation may be
required when data is passed between components of your system. This
is known as "Mutual Suspicion". Simply put, this means that one
component of a system can not rely on another component to act in a
correct manner, and sanity checking on information received from
another component is wise.

> Man kan kun have det fulde overblik over en smule ad gangen og den smule
> kan man sørge for virker korrekt, men det beskytter ikke mod at et modul
> kan blive brugt på andre måder end oprindeligt tænkt.

En gennemtaenkt specifikation og code review kan sikre korrekt brug.

> Enig, men igen så mener jeg kun det er en delmængde af et program. Der
> er ingen undskyldning for de alvorlige problemer med Outlook, men du kan
> ikke generalisere over alle programmører i verden fordi et enkelt firma
> laver dårlige produkter.

Har du fulgt hele traaden? Mine udtalelser er baseret paa min erfaring
med sikkerhedsevaluering af mange former for software pakker. Det er et
generelt problem, og Securityfocus' database over sikkerhedsfejl viser hvor
ofte det sker. Det er mest interessant at tale om produkter som folk herinde
kender saa de har mulighed for at gaa hen og undersoege om jeg bilder dem
noget ind.

>> Komplexitet kan man ofte designe sig ud af, og hvis man ikke kan, skal
>> komplexiteten modsvares af test.
>
> Man skal naturligvis teste så godt man overhovedet kan, men det er ikke
> altid muligt at teste for alle situationer der kan opstå.

Hvis du har adgang til koden er det ganske trivelt at skrive test cases som
tester hver eneste code path og sender 4000 tegn ind i programmet i et
forsoeg paa at crashe det. Det eneste som vil vaere svaert at teste
automatisk vil vaere ting som race conditions. Code review fanger normalt de
fleste tilfaelde af race conditions.

>> Hvis freelance sikkerhedsresearchere kan finde problerne burde
>> producenten ogsaa kunne. Der findes masser af automatiske vaerktoejer som
>> kan lave source level analyse og give hints om problemer.
>
> Men ingen værktøjer der kan finde alle fejl. Når et program fejler er det
> ikke nødvendigvis en strcpy() eller andre kendte kald, der er problemet.

Det aendrer ikke ved, at hvis en enlig hacker kan finde problemer, burde en
QA afdeling paa 10-50 mand ogsaa kunne. Min kommentar skulle ikke tolkes som
at endnu mere teknologi kan loese fejl begaaet af mennesker. Et dygtigt
menneske som bliver sat til at lave code review paa et stykke software kan
goere det hurtigere gennem korrekt brug af et statisk analyse vaerktoej end
at skulle lave code review uden et saadant vaerktoej.

> Man siger alle ikke-trivielle programmer indeholder fejl. Det undrer dig
> ikke at stort set ingen programmer kommer med en garanti om at det vil
> virke..

Nej, hvis jeg lavede software ville jeg nok kunne se det smarte i at ingen
kan sagsoege mig hvis jeg ikke goer mit arbejde ordenligt. Brian Snow siger
noget i stil med: "How many of you have read the shrink-wrap license where
all they gaurantee is that the media reads? All other bets are off. That's
absurd."

Manden har ret.

>> Det er standard QA opgaver og der er ingen undskyldninger.
>
> Måske ikke men det er menneskeligt at fejle og jeg mener bestemt ikke
> man bør betegnes som inkompetent eller doven fordi man laver en fejl af
> og til. Du vil vel ikke hævde at du selv aldrig laver fejl i dit arbejde?

Jeg laver faktisk et par forskellige typer fejl naesten hver dag. Den mest
almindelige fejl jeg laver er nok tastefejl naar jeg svarer paa email. Det
har sjaeldent alvorlige konsekvenser da mit tastatur har en backspace tast
som jeg kan bruge til at rette mine fejl. Hvis jeg skriver email som _skal_
vaere korrekt bliver det sendt til review i mit hold foer andre ser
beskeden. Det samme gaelder for design dokumenter og kode.

Mennesker laver fejl, men antallet af alvorlige fejl kan bringes drastisk
ned. Det tager lidt laengere tid og koster penge, men det er ikke en umulig
opgave.

Er emnet egenligt on topic her i gruppen?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/


Finn Nielsen (10-12-2001)
Kommentar
Fra : Finn Nielsen


Dato : 10-12-01 17:43

Alex Holst <a@area51.dk> writes:

> > Enig, men at vide hvornår man skal bruge strcpy() er at have overblik og
> > en specifik del af koden, ikke at have overblik over alle dele.
>
> Hvert modul har vel en ansvarlig person, og det er op til denne person at
> sikre sig deres moduler overholder specifikationen?

Nej, vi bruger ikke kode-ejerskab, men som regel er det samme person som
har lavet et modul der bliver sat til at rette hvis/når der er fejl.

> > Man kan kun have det fulde overblik over en smule ad gangen og den smule
> > kan man sørge for virker korrekt, men det beskytter ikke mod at et modul
> > kan blive brugt på andre måder end oprindeligt tænkt.
>
> En gennemtaenkt specifikation og code review kan sikre korrekt brug.

Ok, du er ikke udvikler. En fuldstændig gennemtænkt specifikation findes
ikke for store systemer, der er altid ekstra særtilfælde.

> > Enig, men igen så mener jeg kun det er en delmængde af et program. Der
> > er ingen undskyldning for de alvorlige problemer med Outlook, men du kan
> > ikke generalisere over alle programmører i verden fordi et enkelt firma
> > laver dårlige produkter.
>
> Har du fulgt hele traaden? Mine udtalelser er baseret paa min erfaring
> med sikkerhedsevaluering af mange former for software pakker.

Ja, jeg har fulgt tråden, men du fokuserer tilsyneladende for meget på
bufferoverflows og lignende fejl til at dine udtalelser kan være
generelle.

Det er også fair nok, men man kan ikke generalisere så meget som du gør.

Jeg er faktisk enig med det meste du skriver, jeg er bare ikke enig i at
programfejl (det være sig af sikkerhedsmæssig karakter eller ej) altid
skyldes dovenskab eller inkompetance.

Selv i ting som apache og postfix (dem kender du vel godt til) er der
fundet fejl (både sikkerhedsmæssige og ikke-sikkerhedsmæssige), men
derfor betyder det vel ikke at udviklerne er dovne eller inkompetente.

> Hvis du har adgang til koden er det ganske trivelt at skrive test cases som
> tester hver eneste code path og sender 4000 tegn ind i programmet i et
> forsoeg paa at crashe det.

Trivielt: ja, muligt: nej. Ved komplekst software kan muligheder nemt
øges næsten eksponentielt ved antallet af moduler.

"Ja, den fulde test der tager alt i betragtningt tager godt nok lige 50
år at gennemføre, det venter vi da bare på.."

> Nej, hvis jeg lavede software ville jeg nok kunne se det smarte i at ingen
> kan sagsoege mig hvis jeg ikke goer mit arbejde ordenligt. Brian Snow siger
> noget i stil med: "How many of you have read the shrink-wrap license where
> all they gaurantee is that the media reads? All other bets are off. That's
> absurd."
>
> Manden har ret.

Jeg er igen enig, men dermed ikke sagt at man kan garantere at noget
software virker korrekt i alle tilfælde. Der er sindsygt mange ting
brugere finder på at gøre med deres software. Der er sindsygt mange
muligheder for input. Man kan gardere sig mod det meste men desværre ikke
mod alt.

> Mennesker laver fejl, men antallet af alvorlige fejl kan bringes drastisk
> ned. Det tager lidt laengere tid og koster penge, men det er ikke en umulig
> opgave.

Nej, ikke hvis man er udødelig.

> Er emnet egenligt on topic her i gruppen?

Tildels, men vi er sikkert kørt lidt ud på et sidespor så vi må hellere
stoppe. Jeg tror også at min pointe (at ikke alle fejl skyldes dovenskab
eller inkompetance) er kommet igennem. Jeg stopper her.

--
Finn Nielsen - http://www.zznyyd.dk/

"Creatures seemed to turn up in the world randomly, and certainly not
according to any pictures in a book." - The science of Discworld

Kasper Dupont (13-12-2001)
Kommentar
Fra : Kasper Dupont


Dato : 13-12-01 14:07

Alex Holst wrote:
>
> Hvis du har adgang til koden er det ganske trivelt at skrive test cases som
> tester hver eneste code path og sender 4000 tegn ind i programmet i et
> forsoeg paa at crashe det.

Det er bestemt ikke trivielt, det er faktisk umuligt.
Man kan give et formelt bevis for, at man ikke kan
afgøre, om der findes input, der fører til en given
code path. Og hvorfor skulle man opdage bufferoverrruns
ved at sende 4000 tegn ind i programmet. Måske er
grænsen større, I Linux er der f.eks. mange buffere
hvis størrelse er 4096 bytes. Desuden kan det være at
der opstår problemer lige omkring grænsen. F.eks. er
der et bufferoverrun i DOS: Den øvre grænse for .COM
filer er 65278 bytes, men en .COM fil på 65279 bytes
accepteres også. Først når filen når op på 65280 bytes
får man en fejlmelding. For at finde sådan en fejl skal
man kende grænsen, og prøve en byte over og under
grænsen. (Selvfølgelig er DOS i denne forbindelse
uinteressant, men der kunne findes lignende fejl i
andre systemer.)

--
Kasper Dupont

Alex Holst (13-12-2001)
Kommentar
Fra : Alex Holst


Dato : 13-12-01 15:50

Kasper Dupont <kasperd@daimi.au.dk> wrote:
> Alex Holst wrote:
>> Hvis du har adgang til koden er det ganske trivelt at skrive test cases som
>> tester hver eneste code path og sender 4000 tegn ind i programmet i et
>> forsoeg paa at crashe det.
>
> Det er bestemt ikke trivielt, det er faktisk umuligt.
> Man kan give et formelt bevis for, at man ikke kan
> afgøre, om der findes input, der fører til en given
> code path. Og hvorfor skulle man opdage bufferoverrruns
> ved at sende 4000 tegn ind i programmet.

"4000" var et eksempel. Hvis du kan finde en gruppe hvor denne snak er on
topic kan vi fortsaette der. Software QA er ikke interessant for de fleste
herinde.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/


Jesper Dybdal (10-12-2001)
Kommentar
Fra : Jesper Dybdal


Dato : 10-12-01 20:51

Alex Holst <a@area51.dk> wrote:

>Det er standard QA opgaver og der er ingen undskyldninger.

Set fra det tekniske synspunkt er det særdeles rigtigt.

Men der findes jo desværre ganske mange mennesker som mener at
"det er billigere og folk køber alligevel vores bras" er en god
undskyldning. Eller varianten "Kunderne vil hellere have at vi
bruger vores resurser (og deres penge) på at udvikle nye
faciliteter end på at finde og rette sikkerhedsfejlene i den
eksisterende kode".

Og så længe de kan slippe afsted med at tjene penge på det er det
meget svært at overbevise dem om at de tager fejl.

--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

Peter Brodersen (10-12-2001)
Kommentar
Fra : Peter Brodersen


Dato : 10-12-01 02:19

On Sat, 8 Dec 2001 13:38:33 +0100, Peter Schrøder <nosp@mplea.se>
wrote:

>Der er
>(efter min mening) ingen tvivl om at vedkommende, der har
>lavet f.eks. Outlook Express er vanvittig dygtig.

Ét enkelt spørgsmål:

Hvordan når du til den konklusion i første omgang?

--
- Peter Brodersen
24 Days of Crashmas - julekalender:
http://jul.bums.dk/

Christian Andersen (10-12-2001)
Kommentar
Fra : Christian Andersen


Dato : 10-12-01 07:03

Peter Brodersen wrote:

>>Der er
>>(efter min mening) ingen tvivl om at vedkommende, der har
>>lavet f.eks. Outlook Express er vanvittig dygtig.

>Ét enkelt spørgsmål:
>
>Hvordan når du til den konklusion i første omgang?

Han er godtroende

--
Tina Dickow - Fuel. Et album du MÅ eje!

http://chran.dyndns.dk - Nu med statistik!

Peter Schrøder (10-12-2001)
Kommentar
Fra : Peter Schrøder


Dato : 10-12-01 20:10


"Peter Brodersen" skrev
> >Der er
> >(efter min mening) ingen tvivl om at vedkommende, der har
> >lavet f.eks. Outlook Express er vanvittig dygtig.
>
> Ét enkelt spørgsmål:
> Hvordan når du til den konklusion i første omgang?

Ud fra det jeg vurderer et program efter; Brugervenlighed
og forudsigelighed, samt selvfølgelig mængden af features.
Det _må_ simpelthen være et hestearbejde at få skidtet
til at hænge sammen.
--

Venlig hilsen

Peter
psch[AT]mail1.stofanet.dk




Kent Friis (10-12-2001)
Kommentar
Fra : Kent Friis


Dato : 10-12-01 20:31

Den Mon, 10 Dec 2001 20:09:43 +0100 skrev Peter Schrøder:
>
>"Peter Brodersen" skrev
>> >Der er
>> >(efter min mening) ingen tvivl om at vedkommende, der har
>> >lavet f.eks. Outlook Express er vanvittig dygtig.
>>
>> Ét enkelt spørgsmål:
>> Hvordan når du til den konklusion i første omgang?
>
>Ud fra det jeg vurderer et program efter; Brugervenlighed

Hvor lang en manual er der lige der skal til for selv en rutineret
bruger, bare for at sætte den op til et fornuftigt e-mail (og især
news)-format (72 tegn, "-- ", Re:,...)?

>og forudsigelighed, samt selvfølgelig mængden af features.

Det hedder med et fint ord "Feature creep".

>Det _må_ simpelthen være et hestearbejde at få skidtet
>til at hænge sammen.

Papirclips og tyggegummi

Mvh
Kent
--
http://www.celebrityshine.com/~kfr/

Peder Vendelbo Mikke~ (11-12-2001)
Kommentar
Fra : Peder Vendelbo Mikke~


Dato : 11-12-01 02:53

"Kent Friis" skrev

> >> >Outlook Express

> Hvor lang en manual er der lige der skal til for selv en rutineret
> bruger, bare for at sætte den op til et fornuftigt e-mail (og især
> news)-format

<URL: http://kommunalbastards.org/oe/tegnsaet.html >

Ja, der er fejl på siden: Man skal ikke bruge 8-bit i headere.

> (72 tegn,

Nu bliver du grov. Jeg har ikke kunnet finde en løsning på problemet
med linieombrydning (bortset fra at bede folk om selv at trykke på
entertasten, når linien skal ombrydes, eller bede dem installere
Hamster/ KorrNews).

> "-- ", Re:,...)?

<URL: http://hjem.get2net.dk/henrik-k-hansen/hjaelpeprogrammer.html >

Med venlig hilsen

Peder


Kent Friis (11-12-2001)
Kommentar
Fra : Kent Friis


Dato : 11-12-01 17:08

Den Tue, 11 Dec 2001 02:52:51 +0100 skrev Peder Vendelbo Mikkelsen:
>"Kent Friis" skrev
>
>> >> >Outlook Express
>
>> Hvor lang en manual er der lige der skal til for selv en rutineret
>> bruger, bare for at sætte den op til et fornuftigt e-mail (og især
>> news)-format
>
><URL: http://kommunalbastards.org/oe/tegnsaet.html >
>
>Ja, der er fejl på siden: Man skal ikke bruge 8-bit i headere.
>
>> (72 tegn,
>
>Nu bliver du grov. Jeg har ikke kunnet finde en løsning på problemet
>med linieombrydning (bortset fra at bede folk om selv at trykke på
>entertasten, når linien skal ombrydes, eller bede dem installere
>Hamster/ KorrNews).

Det bliver en lang manual...

>> "-- ", Re:,...)?
>
><URL: http://hjem.get2net.dk/henrik-k-hansen/hjaelpeprogrammer.html >

Jeg kunne ikke se nogen løsning på at få den til at indsætte "-- " før
signaturen - og forøvrigt plejer den også at sætte signaturen i toppen
i stedet for i bunden.

Mvh
Kent
--
http://www.celebrityshine.com/~kfr/

Bertel Lund Hansen (10-12-2001)
Kommentar
Fra : Bertel Lund Hansen


Dato : 10-12-01 21:26

Peter Schrøder skrev:

>Ud fra det jeg vurderer et program efter; Brugervenlighed
>og forudsigelighed

Det kræver altså ikke vanvittigt dygtige folk når de har haft så
mange år til at finpudse programmet.

>Det _må_ simpelthen være et hestearbejde at få skidtet
>til at hænge sammen.

Gør det da det?

--
Bertel
http://lundhansen.dk/bertel/   FIDUSO: http://fiduso.dk/

Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408849
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste