EC laat na enquête audit uitvoeren van KeePass en Apache

De Europese Commissie heeft aangekondigd een audit van de broncode van twee opensourceprogramma's te laten uitvoeren, waarbij naar kwetsbaarheden wordt gezocht. Het gaat om de wachtwoordmanager KeePass en de webserversoftware Apache.

De keuze voor deze twee programma's is het resultaat van een enquête, die door 3282 personen is ingevuld. Deze werd gehouden in het kader van het FOSSA-project, waarmee de Europese Unie ervoor wil zorgen dat gebruikers op veelgebruikte software kunnen vertrouwen. De audits zijn onderdeel van een pilotprogramma.

De enquête is tussen 17 juni en 8 juli gehouden op basis van een voorselectie van de Europese Commissie. Daarbij kwamen Keepass en Apache als winnaars uit de bus, respectievelijk met 23,1 procent en 18,7 procent van de stemmen. De videosoftware VLC kwam op een derde plaats terecht en viel daarmee buiten de boot.

De audit wordt uitgevoerd in samenwerking met de teams achter de opensourceprojecten en zij zullen op de hoogte gesteld worden van de gevonden kwetsbaarheden. Een van de bedenkers van het FOSSA-project is Europarlementariër Julia Reda. Zij schrijft dat er een verzoek is ingediend om het project met twee tot drie jaar te verlengen.

Resultaten van de enquête

IT-banen

Reacties (85)

CAPSLOCK2000

Security
Netwerk en systeembeheer
Europese unie

22 juli 2016 18:28

Julia Reda! Deze dame is een doorlopende bron van interessante plannetjes en goede initiatieven. De Piratenpartij is misschien niet groot maar ze krijgen wel enorm veel gedaan in Europa.

Nu is dit maar een vrij klein projectje in vergelijking met wat de EU verder doet, maar het is er wel. Beginnen is meestal het moeilijkste bij innovatieve projecten. Nu het begin gemaakt is is het makkelijker om verder te gaan met het project en steeds meer software te auditten.

Ik vind het een enorm goede manier om het geld van de EU uit te geven. Iedereen gebruikt tegenwoordig software. Voor bedrijven is Apache een hoeksteen van het serverpark, als het daar mis gaat dan gaat alles mis.
Voor particulieren veel particulieren is een goede passwordmanager misschien wel de belangrijkste stap die ze kunnen nemen om veilig met hun computer om te gaan. Als er een passwordmanager is die gratis, goed én veilig is, dan zou dat een no-brainer moeten zijn.
Door KeePass te auditten geeft de EU steun aan honderden miljoenen Europese computergebruikers die (in potentie) KeePass kunnen draaien. Als je de kosten over zoveel mensen kan verdelen is het vanzelf goedkoop.

bille @CAPSLOCK2000 • 22 juli 2016 21:40

En hoe lang denk je dat Keepass nog veilig blijft als echt wat te halen valt bij de gebruikers van Keepass? Persoonlijk heb ik liever dat "de white-hat hacker community" (als er zoiets bestaat) uit zich zelf dit soort zaken oppakt zonder er al te veel ruchtbaarheid aan te geven. Lijkt me redelijk evident dat software nooit echt veilig is, ook niet als er geld van de EU tegenaan gesmeten wordt.. De grote olifant in de kamer is het "onveilige" OS. De meeste computers in de wereld draaien op MS Windows. Is het niet een beter idee om Microsoft wat meer te stimuleren om wat security issues te vinden en fixen? Of koop voor x miljoen euro een zooi 0-day exploits op en doneer die aan Microsoft.

[Reactie gewijzigd door bille op 23 juli 2024 19:27]

CAPSLOCK2000

Security
Netwerk en systeembeheer
Europese unie

@bille • 23 juli 2016 12:45

En hoe lang denk je dat Keepass nog veilig blijft als echt wat te halen valt bij de gebruikers van Keepass?

Dat stadium hebben we al lang bereikt. Keepass wordt enorm veel gebruikt.

Persoonlijk heb ik liever dat "de white-hat hacker community" (als er zoiets bestaat) uit zich zelf dit soort zaken oppakt zonder er al te veel ruchtbaarheid aan te geven.

Maar hoe weet je dan welk stuk software je moet gebruiken? Als ze de resultaten niet publiceren dan weet je niet of de software veilig is of juist vol gaten zit.

Lijkt me redelijk evident dat software nooit echt veilig is, ook niet als er geld van de EU tegenaan gesmeten wordt..

Klopt, 100% garantie bestaat niet, maar dat hoeft ook niet. Als je naar de dokter gaat dan kun je ook nooit echt zeker weten dat je gezond bent en nog een lang leven zal hebben. Het is echter wel de moeite waard om te proberen om gezond te zijn.
Hoe meer moeite je in software steekt, hoe veiliger het wordt, ook al zul je nooit absolute zekerheid bereiken.

De grote olifant in de kamer is het "onveilige" OS. De meeste computers in de wereld draaien op MS Windows. Is het niet een beter idee om Microsoft wat meer te stimuleren om wat security issues te vinden en fixen?

Hoe stimuleer je een bedrijf dat zó rijk is als MS? En wat zeg je tegen andere bedrijven die ook wel een gratis audit van de EU wil? Hoe weet je zeker dat de resultaten goed gebruikt worden?

Zo'n beetje de belangrijkste eigenschap van van Vrije Software en Open Source is dat de code vrij beschikbaar is en je zélf een audit kan (laten) doen en indien nodig zelf de code kan aanpassen.

Of koop voor x miljoen euro een zooi 0-day exploits op en doneer die aan Microsoft.

Ik denk niet dat dit project miljoenen euro's te besteden heeft. Daarbij vind ik het geen efficiente manier om met het geld om te gaan. Exploits kijken typisch alleen naar de symptomen en niet naar de onderliggende problemen.

latka @bille • 22 juli 2016 23:45

Als je kijkt naar de functionaliteit van Keepas versus die van een OS, is het auditen van Keepass haalbaar. Van Windows gewoonweg niet. Enerzijds door de omvang anderzijds door de filosofie (doe alles wat maar mogelijk is voor iedereen en backwards compatible aub. versus: sla deze data encrypted op). White hat hackers werken ook vaak op basis van een beloning, dus niet veel anders dan een audit (tenzij de audit gedaan wordt door een van de big-5 consultancy firmas (Deloitte etc.), dan had je het gewoon ook niet kunnen doen).

En MS helpen? Als ze EU nu gewoon voor iedere security exploit die in Windows gevonden wordt MS beboet voor het lek met 1% van de jaaromzet (dit geld uitaard voor alle bedrijven). Dan is er een incentive om te verbeteren. Nu kun je MS niet voor de rechter slepen voor shabby software. Als een auto ondeugdelijk is is de fabrkant aansprakelijk. Nooit begrepen waarom we dat voor software ook niet zouden doen.

bille @latka • 23 juli 2016 00:49

Als je kijkt naar de functionaliteit van Keepas versus die van een OS, is het auditen van Keepass haalbaar

Wellicht de software op zich wel, maar de software staat niet los van zijn context; het uitvoeren binnen een OS. Als het OS "eenvoudig" gehacked kan worden is alle software die erop uitgevoerd wordt in wezen ook niet meer veilig.
Het heeft gewoonweg weinig zin om je geld in een kluis te stoppen als je vervolgens de voordeur open laat staan. Het voelt misschien veilig, maar dat is schijn.

Dan is er een incentive om te verbeteren.

Maar goed, je zegt zelf dat het door de filosofie van het OS lastig is om het echt secure te maken. Dus kan je ook niet verwachten dat MS dat zelf wel kan.

Dan is er een incentive om te verbeteren.....Nooit begrepen waarom we dat voor software ook niet zouden doen

Er is een incentive om te verbeteren: het uitblijven van omzet omdat er geen licenties meer verkocht worden omdat het product ruk is. Alleen ZO ruk is het niet. Net zo goed komen er ook met regelmaat auto's op de markt waarvan het gaspedaal blijft hangen (https://en.wikipedia.org/...Toyota_vehicle_recalls).. of de remmen niet werken onder specifieke condities.. regels zijn geen garantie voor kwaliteit.

latka @bille • 23 juli 2016 10:25

Correct. Kwaliteit is het gevolg van goed werken. De drijfveer voor goed werk is echter minimaal: ik ken niemand die zijn software selecteer op het aantal bugs wat er in zit. Tevens is de houding 'zo slecht is het toch niet' een van de oorzaken dat er niet gestreept wordt naar perfectie.

indigo79 @latka • 23 juli 2016 20:41

Als een auto ondeugdelijk is is de fabrkant aansprakelijk. Nooit begrepen waarom we dat voor software ook niet zouden doen.

De vergelijking gaat (zoals wel vaker met auto-vergelijkingen) niet helemaal op. Als iemand mijn auto met een koevoet openbreekt en daarbij met de inhoud gaat lopen, treft de fabrikant geen enkele schuld. Ik had maar moeten zorgen dat er niks te rapen valt...

latka @indigo79 • 24 juli 2016 08:31

Wat is het software equivalent van de koevoet in jouw beleving? De hacktool? De parallel werkt als je deze consequent doorvoert: als een geldbus opengebroken wordt met een koevoet klaag ik de maker van de geldbus aan ja.

Amasik @latka • 25 juli 2016 11:58

Als er iemand met een enorme bulldozer de zijkant van de geldbus kapot rijdt kun je echt de maker van de geldbus niet aanklagen hoor. Ze geven misschien aan wat die geldbus aankan, maar als iemand met zwaarder geschut aankomt moet je niet bij de fabrikant aankloppen.

Een stuk software is geen auto. Dat mensen in de IT continue zoeken naar vergelijkingsmateriaal om lastige zaken in Jip en Janneke taal uit te leggen wil niet zeggen dat je met die vergelijkingen de andere kant op ineens harde conclusies kunt trekken hoe je met software en programmeurs om moet gaan.

Een boete geven voor elke potentiele bug in software betekend gewoon het einde van software ontwikkeling.

latka @Amasik • 25 juli 2016 22:01

Voor elke andere Engineering discipline gebeurt hetook. Cpus zijn complexer dan menig applicatie en die worden behoorlijk goed getest voordat ze uitkomen omdat updates niet altijd mogelijk zijn. Mijn punt is dat het wel kan maardat we het niet willen want het is duur, saai en verre van sexy. Dus roepen we (we in deze software Engineers, inclusief mijzelf) dat het niet kan. Voor hen die dit roepen: lees eens iets over formal software verification voordat iets als onmogelijk wordt afgeschoten.

Over de geldbus: de inhoud kan ik verzekeren en reken maar dat lukt ook al slecht met software ;-)

Amasik @latka • 26 juli 2016 12:50

Een CPU is zeker complex maar ik verwacht dat windows als OS wat meerdere verschillende CPUs aan kan spreken, naast de enorme berg andere hardware en software, toch echt wel complexer zal zijn dan een CPU.

Het feit dat er vast financieel en technisch meer mogelijk is om bugs te voorkomen betekent niet dat bedrijven ooit zullen garanderen dat hun software bugvrij is, dat is gewoon onrealistische. In het begin vind je het makkelijkst veel bugs, hoe langer je gaat zoeken hoe minder dat je gaat vinden. De allerlaatste bug vinden in een stuk software zoals een OS zal een onmogelijke taak blijken. Dat je aangeeft dat betere Quality control gestimuleerd moet worden is positief, maar een middel als een boete bij een bug uitdelen is niet eerlijk tegenover de ontwikkelaars.

Verzekeren van een geldbus betekent dat je niet meer naar de producent gaat kijken, voor veel zaken is het heel gewoon dat je verzekeringen afsluit waar een fabrikant iets niet meer kan garanderen. Als je in een bedrijf een brandblus systeem hebt neem je daarnaast echt nog wel een brandverzekering af. alarminstallatie en toch een inbraak verzekering.
Dat verzekeringsmaatschappijen niet tot slecht verzekeringen willen afsluiten voor software heb ik geen ervaring mee, maar het feit dat ze het al wel doen is wel een signaal. Het is gewoon de vraag welke kosten kunnen ze krijgen om te bepalen welke hoogte van de premie ze moeten afgeven.

edit - tiepvoud

[Reactie gewijzigd door Amasik op 23 juli 2024 19:27]

Ramon @bille • 23 juli 2016 02:21

Je denkt werkelijk dat MS zich niet bezig houdt met het zoeken en oplossen van bugs?

latka @Ramon • 23 juli 2016 10:26

Alleen als het niet anders kan. De eigenaren zouden de directie ontslaan als dit anders zou zijn (aandeelhouders).

Ramon @latka • 23 juli 2016 12:07

Onzin natuurlijk. MS heeft een speciale afdeling die zich fulltime bezig houdt met security: https://technet.microsoft.com/en-us/library/dn440717.aspx

latka @Ramon • 24 juli 2016 08:26

Dank voor de bevestiging: het 'respons' team reageert op bevindingen gedaan door anderen. Mijn punt bevestigd.

ONiel @bille • 24 juli 2016 01:47

Wat vertel jij nu voor onzin?
Linux draait op 90% van de (web)servers, supercomputers, televisies, auto's,... Als je alle apparaten erbij telt, is Linux veel meer gebruikt.

En waarom inzetten op Windows? Een al sowieso onveilige software die ze amper zouden kunnen testen omdat het closed-source is.
Beter inzetten in de toekomst (Unix/*nix).

bille @ONiel • 24 juli 2016 08:37

Ja je hebt gelijk, wellicht wordt Linux op meer computers gedraaid. Het merendeel daarvan zijn geen personal computers. De pc wordt gebruikt in een situatie waarin ook het gebruik van KeePass van toepassing is en er iets te halen valt bij de gebruiker.

Tja vertel even aan alle Windows gebruikers dat ze over moeten stappen op Linux omdat dat veiliger is? En hoe lang duurt het dan nog totdat daar massaal de gaten in geschoten gaat worden? Alles kan stuk.

[Reactie gewijzigd door bille op 23 juli 2024 19:27]

ONiel @bille • 24 juli 2016 12:24

De enige reden waarom mensen Windows blijven gebruiken is omdat hun games en software door nu nog het meeste ondersteund worden.

Zodra SteamOS en Steam op Linux beter wordt gaat groot deel van de gebruikers overstappen naar Linux.

Linux/macOS zijn die toekomst, Unix(-like) is nu eenmaal gewoon beter.

rbr320 @CAPSLOCK2000 • 22 juli 2016 19:57

Dit zijn goede initiatieven inderdaad. Bij het lezen van dit artikel moest ik eigenlijk meteen denken aan het Open Source Support Program dat de Mozilla Foundation onlangs heeft aangekondigd. Ook zij willen ondersteuning bieden aan software projecten om tot betere en veiligere code te komen.

Atmosphere 23 juli 2016 00:25

Dat noem ik een goede besteding van Europees geld! Beide sources worden heel veel gebruikt in andere projecten, en na alle commotie om eerder backdoors en bijzondere code in andere projecten een goed besluit..

Als er kwetsbaarheden ontdekt worden, met de scope van beide programma's, een groot lek in Internationale beveiliging vloot gelegd en verholpen worden ...

Hiernaast is het ook mogelijk dat er eerdere aanvallen/hacks aan het licht komen op gevoelige systemen.

b2vjfvj75gjx7 22 juli 2016 17:38

Vreemd dat Drupal (2.2%) er wel in staat, maar Wordpress niet;

Wordpress is toch groter / vaker gebruikt als gratis / open-source software dan Drupal (binnen het web-wereldje)?

- edit - Het zal ongetwijfeld kloppen, maar Typo3 (0,5%) wordt ook vermeld onder de respondenten... zal vast iets met de insteek van de survey te maken hebben

Wellicht dat ze enkel keken naar software, gebruikt door leden van de Europese Commissie?

Dan hoop ik niet dat ze echt Filezilla gebruiken... ivm. niet-encrypted (plain text) opslaan van de wachtwoorden...

[Reactie gewijzigd door b2vjfvj75gjx7 op 23 juli 2024 19:27]

Armin

Netwerk en systeembeheer
Security
Europese unie

@b2vjfvj75gjx7 • 22 juli 2016 18:25

Wellicht dat ze enkel keken naar software, gebruikt door leden van de Europese Commissie?

Het idee is dan ook goed, maar wel een beetje triest dat een equette onder minder dan 4000 mensen waarvan totaal niet vaststaat of ze representatief zijn de factor is waar we belastinggeld aan uitgeven

Apache lijkt me een goede uitkomst (verkeerd process, goede uitkomst $_/-\o_$ ), maar KeePass lijkt me niet "mission critical" voor de meeste inwoners.

Cerberus_tm

@Armin • 22 juli 2016 19:11

Het gaat wellicht ook niet per se om de meeste inwoners, maar om wat door computertechnici als belangrijk wordt beschouwd om door te lichten. Ik neem aan dat die 3000 mensen binnen die groep vallen, en dan ook nog binnen de openbronwereld.

Edit: kijk, zoiets: MSalters in 'nieuws: EC laat na enquête audit uitvoeren van KeePass en Apache'

[Reactie gewijzigd door Cerberus_tm op 23 juli 2024 19:27]

tERRiON @Cerberus_tm • 22 juli 2016 19:19

... maar om wat door computertechnici als belangrijk wordt beschouwd ...

Als je het zo bekijkt, vind ik het eigenlijk wel opmerkelijk dat Veracrypt zo laag is geëindigd. Vooral in een tijd van NSA en andere "geïntegreerde" diensten, lijkt het me nuttig maximaal op een dergelijke applicatie te kunnen vertrouwen. En kan dat nu?

lappro @tERRiON • 22 juli 2016 20:57

Heeft waarschijnlijk te maken door de vrij recente audit op truecrypt, waar in veracrypt al fixes voor zijn doorgevoerd voor de gevonden issues.

Armin

Netwerk en systeembeheer
Security
Europese unie

@lappro • 22 juli 2016 21:09

Plus dat Veracrypt niet echt veel gebruikt wordt buiten de extreme hobbie-sfeer.

De EU moet zich richten op applicaties die relevant zijn voor het grotere geheel. Veracrypt speelt daar geen rol in. Apache bijvoorbeeld wel.

NotHere @Cerberus_tm • 22 juli 2016 19:56

Het was letterlijk een openbare enquete. Ik heb gestemd en de link doorgestuurd naar mijn IT collega's.

Maar ik vermoed dat KeePass zo hoog gescoord heeft omdat zo verschrikkelijk veel mensen het gebruiken, ook non-technici, en die ook mochten stemmen. En dat is juist een goede zaak, heel belangrijk om een dergelijk programma te auditten.

Ik kan me overigens niet meer herinneren hoe ik over die enquete gehoord heb, had wel wat beter gecommuniceerd kunnen worden door de EU.

Ramon @NotHere • 23 juli 2016 02:14

Je had het ook wel even naar t.net redactie kunnen sturen

dasiro @Armin • 22 juli 2016 18:51

KeePass lijkt me niet "mission critical" voor de meeste inwoners.

het is alleen maar een centrale locatie waar je AL je paswoorden en gevoelige info in steekt, lijkt me uitermate relevant ivm de digitale diefstallen van tegenwoordig

Armin

Netwerk en systeembeheer
Security
Europese unie

@dasiro • 22 juli 2016 21:08

Ik referede meer naar: KeePass is slechts één van de tientallen programma's die dit kan en wordt gebruikt door enkel een fractie van de EU inwoners, waar Apache de meest dominante webserver software is die indirecte direct door vrijwel de gehele EU gebruikt wordt.

Bijbelastinggeld moet je immers ook kijken naar de meerwaarde, en eventueel opportunity cost ("wat als we dit geld uitgegeven hadden aan").

dasiro @Armin • 22 juli 2016 21:38

dat komt er natuurlijk van als je een bevraging bij een brede groep mensen doet. Aan de resultaten te zien is het toch een gezonde mix van gebruikers en it-beheerders. De ene is infrastructuur en de andere is een tool voor eindgebruikers.

CAPSLOCK2000

Security
Netwerk en systeembeheer
Europese unie

@Armin • 23 juli 2016 12:56

Het idee is dan ook goed, maar wel een beetje triest dat een equette onder minder dan 4000 mensen waarvan totaal niet vaststaat of ze representatief zijn de factor is waar we belastinggeld aan uitgeven

Het is maar een heel klein projectje he. Er zijn eindeloos veel van dit soort projectjes en de EU vraagt doorlopend onze mening over allerlei onderwerpen maar je moet wel zelf opletten welke onderzoeken er lopen en hoe je kan reageren. Over het algemeen worden deze onderzoekjes goed bekend gemaakt bij de doelgroep. Als je voldoende betrokken bent bij een bepaald onderwerp dan zie je ze vanzelf langs komen als je het nieuws en de vakliteratuur volgt.

Apache lijkt me een goede uitkomst (verkeerd process, goede uitkomst $_/-\o_$ ), maar KeePass lijkt me niet "mission critical" voor de meeste inwoners.

Ik denk dat KeePass "mission critical" zou moeten zijn. De meeste mensen lijken het niet te beseffen, maar je wachtwoorden zijn je nieuwe sleutelbos en paspoort in één. Als we heel Europa kunnen overtuigen om een passwordmanager te gebruiken zou dat een enorme stap vooruit zijn. KeePass is één van de grootste passwordmanagers en tevens open source. Het lijkt mij dus een goede keuze.

Amasik @Armin • 25 juli 2016 12:02

Als particulier is er op mijn PC niks belangrijker te vinden dan de wachtwoorden van mijn digitale identiteit.

CAPSLOCK2000

Security
Netwerk en systeembeheer
Europese unie

@b2vjfvj75gjx7 • 22 juli 2016 18:17

- edit - Het zal ongetwijfeld kloppen, maar Typo3 (0,5%) wordt ook vermeld onder de respondenten... zal vast iets met de insteek van de survey te maken hebben

Denk ik ook Drupal en Typo3 worden relatief veel gebruikt door overheden, dat heeft vast z'n afspiegeling op de invullers van de enquete.

MSalters

Europese unie

@b2vjfvj75gjx7 • 22 juli 2016 19:05

Het is de EU, dus dit soort zaken zijn gewoon openbaar. Daar had je in 1 minuut achter kunnen komen. Er is gekeken naar 15 Europese projecten, en de FOSS software die daarbinnen gebruikt werd. Uit deze projecten werd een lijst met kandidaat-software samengesteld, waarbij geselecteerd werd op software die breder dan binnen 1 project werd gebruikt.

De percentages zijn over de 3282 respondenten, en dat zijn vermoedelijk slechts voor een deel EU medewerkers. Ikzelf ben 1 van de ~600 stememrs op Apache Web Server, juist omdat het als web-facing software niet zomaar achter een firewall kan.

(De enquete vroeg om een gemotiveerd antwoord, mogelijk dat er daarom maar zo weinig reacties waren. 3282 personen op een EU bevolking van 500 miljoen man is niet veel)

m4ikel @b2vjfvj75gjx7 • 22 juli 2016 19:59

Dat zelfde kun je over Nginx stellen, komt ook niet terug op de lijst maar heeft een fors aandeel naast Apache.

Overigens kun je wel vraagtekens zetten bij dit voorstel. je zou immers verwachten dat voor dat onze data bij de overheid op de server komt te staan er al diverse audits op de plank moeten liggen, of doet men hier vermoeden dat er dus weinig onderzoek is gedaan al te voren men gebruik is gaan maken van bovenstaande software in het kader van "Open Source" dus super veilig.

Verder natuurlijk een prima idee, het is echter een illusie om na deze analyse te kunnen stellen dat bovenstaande software 'veilig' is. Immers met iedere update is er een potentiële kans dat er ongewenste payload wordt toegevoegd, zeker als je er van uit gaat dat in deze tijd veel software leunt op third party libraries waarbij de controle nog al eens te kort schiet.

Kortom, ik ben bang dat er wederom een bak overheidsgeld naar de FoxIT's van de wereld gaat omdat er geen concrete opvolging voor het voorstel is en men enkel een dik pak papier aanlevert waar nooit meer naar om wordt gekeken.

[Reactie gewijzigd door m4ikel op 23 juli 2024 19:27]

_Thanatos_ @b2vjfvj75gjx7 • 22 juli 2016 23:19

Wrs word Wordpress minder door mensen gebruikt die zich interesseren in beveiliging dan Drupal.

Dan hoop ik niet dat ze echt Filezilla gebruiken... ivm. niet-encrypted (plain text) opslaan van de wachtwoorden...

Dat is in veel gevallen helemaal geen issue als je bedenkt dat FTP-wachtwoorden sowieso in plaintext over de lijn gestuurd worden.

[Reactie gewijzigd door _Thanatos_ op 23 juli 2024 19:27]

b2vjfvj75gjx7 @_Thanatos_ • 22 juli 2016 23:23

Tja, maar sFTP wordt ook plain-text bewaard...

_Thanatos_ @b2vjfvj75gjx7 • 22 juli 2016 23:25

Vandaar dat ik mijn reactie kwalificeerde met "in veel gevallen".

PilatuS 22 juli 2016 17:29

Ben benieuwd naar het resultaat. KeePass gebruik ik al jaren en vind het een goede zaak dat er naar de broncode word gekeken. Mogelijk komt er iets naar boven wat niet zo fijn is, maar daar kan het programma ook alleen maar beter van worden.

Qws @PilatuS • 22 juli 2016 18:26

KeePass ziet er erg outdated uit...
http://keepass.info/screenshots/keepass_2x/main_big.png

ironx @Qws • 22 juli 2016 18:50

Voor dit soort programma's zie ik liever een lightweight "oude look" dat lekker vlot werkt dan een trage bloated candy-crush-look ala MSN of iets dergelijks in zijn laatste jaren...

Gebruik het zelf ook en ik heb er geen enkel probleem mee. Ik vind het overzichtelijk en kan snel vinden wat ik zoek. Bovendien draait het 99% van zijn tijd in de achtergrond en kijk je er niet eens naar.

Wel benieuwd naar de uitkomst van de audit. in ieder geval iets om naar uit te kijken

LowTone @ironx • 22 juli 2016 19:34

Precies dit. Ik heb het voor de combinatie van veiligheid en gebruiksgemak dus daar moet het goed voor in elkaar zitten. Als ik iets moois wil zien, kijk ik wel in de spiegel *kuch*

MadEgg @Qws • 22 juli 2016 18:32

Ik gebruik KeepassX, een compatible variant, omdat Keepass een soort van foeilelijke cross-platform .NET UI gebruikt die er op geen enkel OS goed uitziet. KeepassX is QT/C++ en doet het wmb een stuk beter qua UI. Had dan zelf ook liever een audit van de broncode daarvan gezien, maar zo wordt in ieder geval het bestandsformaat op lekker gecontroleers.

Verwijderd @MadEgg • 22 juli 2016 20:11

Die UI is niet veel beter helaas. Ik heb liever een UWP versie.

latka @Verwijderd • 22 juli 2016 23:49

Welke UI? Ik gebruik het met een plugin voor Firefox en het enige wat ik zie is de DB unlock van Keepass. Zonde van de tijd om een UI voor te maken en alleen maar weer extra code die problemen kan geven. Less is more zeg maar.

Verwijderd @latka • 23 juli 2016 12:46

Ik gebruik de standalone versie, geen plugin, die wil ik ook niet.

_Thanatos_ @Qws • 22 juli 2016 23:18

Wat maakt het nou uit hoe het eruit ziet? Het gaat erom hoe het werkt, en het werkt briljant.

Proxx @Qws • 23 juli 2016 00:04

Ja dan zal het wel slechte code bevatten

liever iets wat werkt als een trein maar zonder looks.
als fancy pancy wat een legio aan problemen bevat.

al het cosmetische wat er extra aan toegevoegd wordt kan mogelijk een risico vormen.
dus laat het maar lekker zijn zoals het is. lightweight en betrouwbaar (dat laaste gaat dit onderzoek hopelijk aantonen

[Reactie gewijzigd door Proxx op 23 juli 2024 19:27]

Qws @Proxx • 23 juli 2016 11:50

Als je het goed doet, dan werkt de GUI onafhankelijk van de backend code.... dus iets wat mooi is hoeft helemaal niet brak te zijn.

Amasik @Qws • 25 juli 2016 12:08

En iets wat er outdated uit ziet hoeft ook niet brak te zijn.

AmigaWolf @Qws • 23 juli 2016 01:54

Wat maakt het uit hoe hij eruit ziet, je maakt hem toch klein (minimaliseert) als je je wacht woord heb ingetypt?

Hij werkt erg goed, en zet de bestand met all je codes op je computer gecodeerd.

[Reactie gewijzigd door AmigaWolf op 23 juli 2024 19:27]

Ramon @Qws • 23 juli 2016 02:09

Doet dat er werkelijk toe?

Soldaatje @PilatuS • 22 juli 2016 18:22

Alleen komt er dan hopelijk niet een fout naar voren in het opslagbestand; dan kan het later wel gedicht worden maar als ze een kopie hebben van je oude database kunnen ze het alsnog kraken.

Verwijderd 22 juli 2016 20:15

En waarom Apache HTTPD en niet Nginx? En sowieso lijkt OpenSSL mij wat belangrijker…

Ventieldopje @Verwijderd • 22 juli 2016 20:26

Apache wordt veel meer gebruikt bij webhosting, nginx vaak alleen als reverse proxy.

OpenSSL heb je niks aan als je webserver lek is

latka @Verwijderd • 22 juli 2016 23:50

OpenSSL wordt al gedaan in de vorm van LibreSSL.

s.stok @Verwijderd • 23 juli 2016 12:50

Dan gaan ze gelijk blut

OpenSSL is een groot project, zeer complex en staat niet echt bekend om zijn (code) kwaliteit. Daarnaast ontvangt het OpenSSL project al veel donaties. Apache Httpd en Keepass zijn open source projecten die voor zover mij bekend geen commerciële donaties ontvangen.

Maanzaad 22 juli 2016 18:19

En wat is de waarde van het FOSSA review bij de volgende release?

BTW: "Daarbij kwamen Apache en Keepass als winnaars uit de bus, respectievelijk met 23,1 procent en 18,7 procent van de stemmen" klopt niet met het diagram.

Armin

Netwerk en systeembeheer
Security
Europese unie

@Maanzaad • 22 juli 2016 18:30

Als de diagram klopt, verwisselt Tweakers de #1 en #2 enkel.

Lijtk me enkel een mooi voorbeeld van waarom enquettes onder niet-representatieve doelgroepen geen goede maatstaaf zijn om als beslissingscriterea te dienen waar belastinggeld aan uit ge geven.

Je moet er niet aan denken dat men Notepad++ was gaan auditten ipv Apache

svennd @Armin • 22 juli 2016 19:14

Ik ben een grote fan van np++ maar hoe komt die in godsnaam in die lijst ? Die zit toch niet aan de network kant ? En gezien het doelpubliek van notepad++ ook niet de grootste target groep voor scam toestanden.

Apache lijkt me alvast een goeie keuze.

GNID @svennd • 22 juli 2016 19:58

Flash, Adobe Reader, MS Word, enz zitten ook niet aan de network kant ..

svennd @GNID • 22 juli 2016 20:57

Flash, AR wel, ook MS wordt vaak verstuurd, notepad++ daarentegen is gewoon een code editor...

RGAT @svennd • 22 juli 2016 22:27

Hij kan spul vanaf netwerkshares laden

Maar de kans dat Notepad++ exploits of backdoors bevat lijkt me klein, zou in ieder geval zeer makkelijk zijn om te ontdekken als een Editor die alleen lokale files open heeft ineens verbindingen gaat maken...

Amasik @svennd • 25 juli 2016 12:14

Adobe Reader en Word zijn ook gewoon editors/viewers voor specifieke bestanden. Als je via mail een bestand zou binnenkrijgen met een extentie die automatisch opent in N++, dan is dat prima te vergelijken met Word en AR en zou dat theoretisch een potentieel risico kunnen zijn.

Dat er veel minder kans is dat er iets fout gaat en dat veel minder mensen het geinstalleerd hebben maakt het natuurlijk praktisch gezien geen target voor exploits.

GNID @Armin • 22 juli 2016 19:43

Wie zegt dat de enquete gehouden is onder "niet-representatieve doelgroepen"? Ik lees dat niet terug in het onderzoek.

Ik heb trouwens liever dat het geld besteed wordt aan het doorspitten van de code dan aan een compleet referendum (en dan nog zul je zien dat er mensen zijn die klagen).
Dit is stap 1 (neem ik aan). Volgende keer worden de volgende pakketten onder handen genomen. Het is een vliegwiel dat in beweging wordt gezet. Ik zie geen negatieve bijwerkingen, hoogstens positieve.

Overigens: als "het publiek" voor Notepad++ had gekozen, heb je heel wat uit te leggen als je dat vervolgens negeert...

Ik vind het een (erg) goed initiatief. Het kost geld, maar kan (onder andere) overheden flink wat geld besparen doordat nu een open source pakket wèl veilig blijkt om te gebruiken en daardoor als vervanger kan dienen voor dat ene dure commerciële product. Eenmalige investering, duizenden malen plezier.

Grootste gevaar dat ik zie, is dat het een eenmalige "grote schoonmaak" per pakket gaat worden. Je zal de programmeurs moeten voorzien van tools, technieken en methoden om veilige code te kunnen schrijven. Anders blijft het dweilen met de kraan open.
Aan de andere kant denk ik dat de meeste programmeurs zich daar intussen wel van bewust zijn, dus kan zomaar meevallen. Bovendien lost het onderzoeksteam niet zelf de tekortkomingen op, maar geeft deze door aan de programmeurs. Dat zijn al de eerste leer-momenten.

[Reactie gewijzigd door GNID op 23 juli 2024 19:27]

Armin

Netwerk en systeembeheer
Security
Europese unie

@GNID • 22 juli 2016 21:20

Ik heb trouwens liever dat het geld besteed wordt aan het doorspitten van de code dan aan een compleet referendum

Ipv een enqute onder <4000 niet-representatieve inwoners had men ook een objectieve lijst van critera kunnen opstellen qua effect (risico, aantal inwoners dat gebruik maakt, gevolgen bij lek, etc) en op basis daarvan scoren en kandidaten uitzoeken. Dat is meer waar ik naar refereerde. Niet dat het doorspitten slecht is.

Apache scoort bijvoorbeeld hoog onder alle drie die criterea volgens bijvoorbeeld security framework SDL. KeePass slechts bij 1 van die 3 (impact hoog, relatieve risico volgens SDL laag en betrokken inwoners extreem laag). En toch komt KeePass als #1 eruit omdat de enquete groep kennelijk dit vaak gebruikt en dus evident sterk afwijkt van de EU inwoners doelgroep.

Merk namelijk op dat deze onderzoeksgroep in haar doelstelling expliciet het EU belang als geheel als doel heeft. Als men specifiek gericht had op developers of ICT'ers, had je een argument kunenn maken. Maar hun mission statement zoals goedgekeurd door het Europees Parlement, is expliciet niet dat.

Zoals ik elder dus zij, goed initiatief, maar slechte uitvoering. Desondanks komt er in ieder geval nog Apache uit zodat het uiteindelijk toch nog goed komt

GNID @Armin • 22 juli 2016 22:01

... had men ook een objectieve lijst van critera kunnen opstellen qua effect (risico, aantal inwoners dat gebruik maakt, gevolgen bij lek, etc) en op basis daarvan scoren en kandidaten uitzoeken....

Dit is nu typisch zo'n geval van "gewoon beginnen". Als je eerst door de Europese lidstaten de criteria laat vaststellen, vervolgens de wegingsfactoren en daarna alle (!!) open source software gaat controleren in hoeverre ze aan deze criteria voldoen, komt het waarschijnlijk nooit van de grond / uit de bureaulade. Dàt zou pas een slechte uitvoering zijn.

De resultaten uit de twee gekozen pakketten gaan waarschijnlijk ook tot aanbevelingen leiden. Als ik (open source) software ontwikkelaar was (ben ik niet, hoogstens een erg slechte), zou ik dat zeker in de gaten houden en toepassen op mijn code. Sneeuwbal-effect.

Offtopic (of misschien ook niet): ik verwacht dat er extra aandacht wordt besteed aan crypto-code. Een aantal van dergelijke algoritmen is nog in samenwerking met NSA geschreven. Denk dat daar (ook) het EU-belang in naar voren komt.

Armin

Netwerk en systeembeheer
Security
Europese unie

@GNID • 22 juli 2016 22:30

Als je eerst door de Europese lidstaten de criteria laat vaststellen

Door de onderzoekers zelf

Immers men heeft van het EP (geen lidstaten nodig) al een opdracht en budget. Ipv echter de objecten door een niet-representatieve enquette vast te stellen, kan men ook zelf de objecten vast stellen. Immers zij zijn de experts toch?

CivLord

Europese unie

@Maanzaad • 23 juli 2016 11:48

En wat is de waarde van het FOSSA review bij de volgende release?

Dat je weet dat de basis veilig is.
Een aantal recent ontdekte veiligheidsissues in beveiligingssoftware zaten er al jaren in.

Maanzaad @CivLord • 23 juli 2016 13:35

Wie garandeert me "de basis" bij een volgende release niet een wijziging heeft ondergaan? Of dat de toevoegingen veilig zijn. M.a.w. het is en blijft een moment opname. Security is een ongoing issue bij SW releases en niet iets eenmaligs.

Dat er security issues gevonden worden en opgelost is mooi, maar een enkel nieuw lek in een volgende release maakt de SW weer onveilig. Dus bij elke (desnoods alleen major) release is een security review noodzakelijk.

Verwijderd 22 juli 2016 17:49

Ben benieuwd wie de audit uit gaat voeren en tegen welke prijs. Hoop niet dat de audit uitgevoerd wordt door een duur consultancy bureau dat er meer aan gaat verdienen dan de developer van Keepass.

CAPSLOCK2000

Security
Netwerk en systeembeheer
Europese unie

@Verwijderd • 22 juli 2016 18:21

Ben benieuwd wie de audit uit gaat voeren en tegen welke prijs. Hoop niet dat de audit uitgevoerd wordt door een duur consultancy bureau dat er meer aan gaat verdienen dan de developer van Keepass.

Van de andere kant moet je zo'n audit ook weer niet laten doen door de developers zelf. Die hebben al alles gedaan wat ze kunnen bedenken om de applicatie zo veilig mogelijk te maken. Zo'n audit moet juist kijken naar de zaken die vergeten zijn of die niet werken zoals de ontwerper denkt. Dit soort audits laat je daarom eigenlijk altijd door een externe partij doen en audits zijn nu eenmaal verschrikkelijk duur.
Ik heb dus geen bezwaren tegen een duur consultancy bureau zolang ze maar kwaliteit leveren. Een goedkoop bureau dat slechte kwaliteit levert zou veel erger zijn.

jeroenathome 22 juli 2016 18:38

Jammer dat VeraCrypt te weinig stemmen (2%) heeft gekregen. Na de commotie rondom TrueCrypt ben ik nu wel benieuwd of het met VeraCrypt beter is.

MadEgg @jeroenathome • 22 juli 2016 19:11

Beter? De audit op truecrypt leverde geen noemenswaardige tekortkoming op. Ik zou wel graag weten of Veracrypt het net zo goed doet!

vespino 22 juli 2016 17:53

Beide een graag gezien stukje software, gebruik Apache al zo'n 15 jaar en ben recentelijk KeePass gaan gebruiken. Ben benieuwd!

Jonathan-458 22 juli 2016 17:56

Goed initiatief vanuit de Europese Commissie.

Zou leuk zijn als dit om het jaar of kwartaal met een aantal opensource projecten gebeurt.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (85)

Sorteer op:

Weergave: