Kandu.dk - Sikkerhedstest - med "certifikat"?


/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

Sikkerhed

#	Navn	Point
1	stl_s	37026
2	arlet	26827
3	miritdk	20260
4	o.v.n.	12167
5	als	8951
6	refi	8694
7	tedd	8272
8	BjarneD	7338
9	Klaudi	7257
10	molokyle	6481

Sikkerhedstest - med "certifikat"?
Fra : Ole Thomsen

Dato : 09-12-02 11:12

En af mine venner(s firma) har udviklet en SQL-baseret
web-applikation, der både sælges som en hosted løsning,
men i de fleste tilfælde installeres hos kunden eller ISP.

Han er interesseret i at få testet sikkerheden i database
opsætning og kode (se Valus og H. Nyborg).
Selve webserverdelen menes der at være styr på, men
den må selvfølgelig gerne indgå.

Hvilke danske sikkerhedsfirmaer udfører (på troværdig vis)
sådanne tests, helst hvor det er muligt at få et "certifikat" på
testen til markedsføring overfor specielt sikkerhedsbevidste
kunder?

Ole Thomsen

Søren Christensen (09-12-2002)

Kommentar
Fra : Søren Christensen

Dato : 09-12-02 12:39

"Ole Thomsen" <ot@networks.dk> wrote in message
news:at1q9k$iu2$1@news.net.uni-c.dk...
> En af mine venner(s firma) har udviklet en SQL-baseret
> web-applikation, der både sælges som en hosted løsning,
> men i de fleste tilfælde installeres hos kunden eller ISP.
>
> Han er interesseret i at få testet sikkerheden i database
> opsætning og kode (se Valus og H. Nyborg).
> Selve webserverdelen menes der at være styr på, men
> den må selvfølgelig gerne indgå.
>
> Hvilke danske sikkerhedsfirmaer udfører (på troværdig vis)
> sådanne tests, helst hvor det er muligt at få et "certifikat" på
> testen til markedsføring overfor specielt sikkerhedsbevidste
> kunder?

Jeg kender ikke til nogen firmaer der tør udstede sådanne certifikater eller
bare stå frem og sige at de har testet det og det system. Det er der mange
gode grunde til, først og fremmest så inviterer sådanne certifikater eller
udtalelser til angreb, så en lømmel kan blære sig med at have hakket det og
det certifikat.

Desuden vil et seriøst sikkehedsfirma nok være lidt betrængt over at skulle
behandle sådan et system. Seriøs sikkerhed er noget man tager højde for og
implementerer i designfasen, ikke noget man tester for når systemet er
blevet udviklet. Ved sådanne sikkerhedstest tager man kun højde for
hvorledes og hvilket sikkerhedshuller der findes da testen blev udført -
ikke dem der er opdaget om 2 år. Hvorimod man ved implementering i
designfasen forhåbentligt får 'gennemsyret' systemet med 'sikkerhed' og
derved minimerer i de mange enkeltdele risikoen for gennembrud. Men det
hjælper jo nok ikke de ven ret meget nu.. Blink

Alex Holst (09-12-2002)

Kommentar
Fra : Alex Holst

Dato : 09-12-02 13:01

Ole Thomsen <ot@networks.dk> wrote:
> Hvilke danske sikkerhedsfirmaer udfører (på troværdig vis)
> sådanne tests, helst hvor det er muligt at få et "certifikat" på
> testen til markedsføring overfor specielt sikkerhedsbevidste
> kunder?

Sikkerhedsbevidste kunder tager alligevel ikke et certifikat for gode
varer, medmindre certifikatet automatisk giver en form for garanti eller
forsikring -- en saadan kunde forlanger X sider dokumentation som de kan
gennemlæse og stille spoergsmaal til.

Naar det er sagt har jeg for nyligt erfaret at PricewaterhouseCoopers
kan lave applikationstest og efterfoelgende levere et certifikat paa
sikkerhedsgodkendelsen. Jeg har absolut ingen erfaring med kvaliteten.

Jeg kender ogsaa til en anden virksomhed som udfoerer den slags opgaver,
men det falder vist under begrebet "reklame" og virksomheden udsteder
paa ingen maade certifikater, hoejst en masse dokumentation.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

Ole Thomsen (09-12-2002)

Kommentar
Fra : Ole Thomsen

Dato : 09-12-02 18:44

"Alex Holst" <a@mongers.org> wrote
>
> Sikkerhedsbevidste kunder tager alligevel ikke et certifikat for gode
> varer, medmindre certifikatet automatisk giver en form for garanti eller
> forsikring -- en saadan kunde forlanger X sider dokumentation som de kan
> gennemlæse og stille spoergsmaal til.

Fair nok.

Jeg tror også primært det skal bruges som dokumentation
for at troværdig tredjepart har evalueret det, ikke for at have
nogen at sagsøge hvis det går galt Glad

> Naar det er sagt har jeg for nyligt erfaret at PricewaterhouseCoopers
> kan lave applikationstest og efterfoelgende levere et certifikat paa
> sikkerhedsgodkendelsen. Jeg har absolut ingen erfaring med kvaliteten.

Tak, det vil jeg lade gå videre.

Ole Thomsen

Bjarke Søgaard (09-12-2002)

Kommentar
Fra : Bjarke Søgaard

Dato : 09-12-02 19:30

On Mon, 9 Dec 2002 11:12:01 +0100, "Ole Thomsen" <ot@networks.dk>
wrote:

>Hvilke danske sikkerhedsfirmaer udfører (på troværdig vis)
>sådanne tests, helst hvor det er muligt at få et "certifikat" på
>testen til markedsføring overfor specielt sikkerhedsbevidste
>kunder?

outpost24.com (dansk afdeling findes) har et produkt, der minder om
det du søger.
Teledanmark i en eller anden afdeling har eller har haft det.
Der er sikkert andre - hvor godt og hvor seriøst er jeg ikke
velfunderet nok til at tage stilling til.

/bjarke

Søg

Reklame

Statistik

Spørgsmål :	177501
Tips :	31968
Nyheder :	719565
Indlæg :	6408527
Brugere :	218887

Månedens bedste

Årets bedste

Sidste års bedste