Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 30 reacties
Bron: eWeek, submitter: sunturion

Microsoft Shared Source LogoMicrosoft heeft het Source Licensing Program waarmee MVPs (Most Valued Professionals) toegang tot Windows-broncode krijgen, uitgebreid. Het softwarebedrijf zei gisteren dat alle MVP's in de 27 landen die meedoen aan het Source Licensing Program nu kosteloos toegang krijgen tot de broncodes van verschillende software die deel uitmaakt van het programma. De software waar het programma betrekking op heeft, is: Windows 2000, Windows XP, Windows Server 2003 en toekomstige versies van het OS inclusief alle bijbehorende updates en service packs. MVP's hebben al toegang tot de broncode van verschillende andere software van Microsoft: Windows CE .NET, ASP .NET, Visual Studio .NET en Passport Manager. De MVP's hebben een steeds actievere rol in het Source Licensing Program, vandaar dat Microsoft besloten heeft het programma uit te breiden.

Moderatie-faq Wijzig weergave

Reacties (30)

De MVPs hebben een steeds actievere rol in het Source Lincensing Program,
Laat me raden, ze leren dat het bestuderen van code door derden een positief effect heeft op die code. Een belangrijk onderdeel van open source ontwikkeling.
Ik betwijfel of het bestuderen van de code een positief effect erop heeft, want in tegenstelling tot vrije software, mogen die MVP's de code niet zomaar gaan aanpassen.

Het enige voordeel van dit systeem lijkt mij dat de grote partners van MS kunnen checken of er geen verborgen backdoors in zitten enzo...
Als ik s'nacht zie hoe een inbreker het huis van mijn buurman binnendringt, dan ga ik daar niet zelf iets aan doen, dan bel ik de politie. Lijkt mij toch iets positiefs.

Als een programmeur in de code van MS een bug ontdekt en vervolgens MS hiervan op de hoogte brengt (eventueel met een mogelijk oplossing) dan kan MS het verder oplossen. Misschien minder direct dan bij opensource, maar toch een positief effect.
zone-h.org

Hah, onderaan de stats pagina staat vrij duidelijk hoe deze te interpreteren!

Als je op basis hiervan wil beweren dat Linux onveilig is dan het helemaal onveilig om een .com domein te hebben (37.8%).
Het is de vraag of toegang tot de broncode een systeem veiliger maakt. Ik denk het niet. Als je kijkt naar de statistieken op "zone-h" dan zie je dat Linux servers veel vaker gehacked worden dan Windows server. Wat hier interessant aan is is dat 23,5% van de hackers de broncode doorspitten en een nog niet ontdekte fout gebruiken om in te breken:

http://www.zone-h.org/en/stats
('t is een wat langzame site maar wel interessant)
hackers de broncode doorspitten
Dit maakt het MS systeem interessanter mbt veiligheid dan het free-for-all open source systeem. Hiermee hou je namelijk controle over wie de code wel en wie ze niet mag zien. Dus in principe geen hackers, maar mensen met goede bedoelingen.
En hoe is men aan de data gekomen?
statistieken zeggen niets zonder bronvermelding.

Uit die pagina kan je ook niet afleiden of die 23.5% hetzelfde is voor Linux en Windows servers.
Zone-H is een site waar hackers kunnen melden dat ze een site gekraakt hebben. Dit wordt vervolgens controleerd door zone-h. De bron zijn dus de hackers zelf, zie bijv: http://www.zone-h.org/en/defacements

Ook interessant:
http://www.zone-h.org/en/winvslinux2
En hoe is men aan de data gekomen?
van http://www.zone-h.org/
all the information related to computer crimes (i.e. defacements) contained in Zone-H were either collected online from public sources or directly notified to us.
M.a.w. wat men op het internet gevonden heeft en wat hun door vrijwilligers is aangeleverd. Onbekende representativiteit dus.

Verder zorgt het beschikbaar zijn van de source bij hackers voor een relatief makkelijke manier om problemen op te sporen. En dat werkt 2 kanten op.

Daarnaast vind ik het niet zo belangrijk dat er fouten in zitten (als programmeur weet ik hoe dat gaat) maar wat er mee gebeurd. Serieuze aanhangers van open source claimen niet dat het het veiligste is, maar dat het het beste/snelste problemen op kan lossen.
Als ik zo even de lijst met recent defacements bekijk zijn dat heel veel apache servers... met de Microsoft Frontpage Extensies... da's wel de meest ranzige Apache module die er ooit gemaakt is en tevens niet opensource is.

Allemaal door dezelfde hacker ook, die heeft gewoon een scripje lopen dat scant voor frontpage extensies.

Dus niet echt representatief imho.
Wat ik bedoel met "onbekende representativiteit" is dat het mij niet duidelijk is of dit bijvoorbeeld voornamelijk hackers zijn die zich met Linux bezighouden. Zijn deze 5000 een goede doorsnede van alle hacks die gedaan worden?

Ik ben wel met je eens dat 5000 een aardige groep is, maar als ik wil weten welk percentage van de bevolking borsthaar heeft en ik doe een oproep in de libelle, krijg ik een heel ander resultaat dan als ik de oproep doe in de playboy.

Nog een ander phenomeen dat de linux-hackers opstuwt is dat er volgens mij meer mensen zijn die op heel diepgaand niveau in Linux duiken dan in Windows. Gewoon omdat er meer resources zijn, waardoor het makkelijker is. Dit vertekent het veiligheidsbeeld ook.

Maar dat geeft op zich niet. Elke bug die gevonden en opgelost wordt maakt het systeem sterker. :7
Ik begrijp je punt en je voorbeeld over "borsthaar onderzoek" onder Libelle of Playboy lezers.

Als ik die analogie gebruik dan wil Zone-H weten welke sites gehacked worden en daarvoor doen ze een onderzoek onder hackers. Dat lijkt mij de meest directe bron (vergelijkbaar met een borsthaaronderzoek onder Playboy lezers)...
Agree. Het argument voor Open Source is vaak dat zowel goedwillenden als kwaadwillenden de code kunnen bekijken maar dat er altijd meer goedwillenden zijn. Ik ben het daar niet mee eens omdat kwaadwillenden een doel hebben om de code door te spitten en goedwillenden niet voor de lol een security audit van maanden gaan doen.

Het systeem van Microsoft geen theoretisch alleen goedwillenden toegang tot de broncode.
M.a.w. wat men op het internet gevonden heeft en wat hun door vrijwilligers is aangeleverd. Onbekende representativiteit dus.
Zo moet je dat niet zien. Als je http://www.zone-h.org/en/winvslinux2 leest gaat het om ca. 5000 "verified hacks".Als je vervolgens http://www.zone-h.org/en/defacements
leest dan zie je dat het een mix is van verschillende bedrijven, inclusief screenshot van de gekraakte site. Dit is mijns inziens vergelijkbaar met een sample size van 5000 bedrijven, wat enorm is.
Laten we even aannemen dat het inderdaad 5000 verschillende bedrijven zijn.

Dat zegt dus niets. Als één persoon 4999 bedrijven gehacked heeft via één backdoor van linux, is dat dan 1 sample of 4999? Verder is een sample van 5000 nog niet per definitie een willekeurige sample.

Als ik wil uitzoeken hoeveel mensen in Nederland moslim zijn ga je toch ook niet bij de uitgang van de Moskee staan? Dus geen steekprijs met enige wetenschappelijke waarde. Wél is dit een indicatie dat het standaard riedeltje dat enkel MS software kwetsbaar is al lang niet meer waar is.
Het systeem van Microsoft geen theoretisch alleen goedwillenden toegang tot de broncode
Tot de code eens uitlekt, en al de kwaadwillenen de code kunnen doorzoeken op lekken... en de goedwillenden er simpelweg niet naar kijken omdat ze bij eventuele tips aan MS bang zijn vervolgd te worden...
Maar waar staat nou eigenlijk dat die hacks gelukt zijn. Op de site hebben ze het steeds over "attacks".
Wat hier interessant aan is is dat 23,5% van de hackers de broncode doorspitten en een nog niet ontdekte fout gebruiken om in te breken
kijk eens, de ene moment is het linux die piekt en de andere windows.

http://www.zone-h.org/en/index
Ik heb altijd begrepen dat de code die je krijgt niet volledig compileerbaar is.
Zolang je de code niet zelf kunt compileren om het resultaat te vergelijken met wat er werkelijk op je systeem draait heb je niets aan die code voor security audits.
Je weet dan namelijk nog niet of die backdoor ook niet in de code zit die gebruikt is om de binaries te maken die op de cd staan.
Je weet dan namelijk nog niet of die backdoor ook niet in de code zit die gebruikt is om de binaries te maken die op de cd staan.
Volgens de regels op hun site heb je toegang tot alle versies van de code. Dus ook die voor de verspreidde versies en patches.

Daarnaast is het normaal dat als meerdere mensen dezelfde code lezen/testen ze dezefde bugs tegen kunnen komen. Het is aan degene die de aangemelde bugs moet verwerken (MS) om eventuele dubbel aangemelde of achterhaalde bugs weg te filteren. (en in een nieuwe patch te verwerken)
http://www.microsoft.com/resources/sharedsource/Licensing/mvp.mspx
Microsoft source code components
Lijkt mij niet hetzelfde als "complete source code" lijkt mij...
Het hoofddoel is niet het bug fixen en controlleren op lekken. Het is als hoofddoel dat Microsoft nog vaker toegepast gaat worden en dat er nog meer software geintegreerd kan worden in het OS, en OS compatible word.
Opzich wel slim van Microsoft. Hierdoor houden ze developers in de hand, omdat niet iedereen zomaar most valued professional word, en hierdoor Microsoft veel meer word toegepast in andere software en applicaties. Hierdoor vergroot Microsoft zijn marktaandeel alleen nog maar meer.
De broncode van Windows is behalve voor MVP's al tijden (gratis) beschikbaar voor overheden, bedrijven, educatieve instellingen, System Integrators en ontwikkelaars:

http://www.microsoft.com/sharedsource
Cisco doet dit al jaren, maar die geven dit op deze manier niet zo snel toe...
Het is natuurlijk onmogelijk voor een bedrijf om de software vanuit alle hoeken te testen, want klanten willen altijd nèt iets wat niet default is.
Betekent dit nu dat we eindelijk eens mogen zien hoe je met een Windows computer kan communiceren en data uitwisselen? Dat eenzijdige geheimzinnige gedoe is al lang niet modieus meer.

Anders heb je niks aan dit "open source" gedoe van microsoft. Dat Windows zou verbeteren doordat iedereen fouten kan gaan zoeken lijkt me onzin. Ik denk dat de meeste mensen wel een betere hobby kunnen verzinnen.

Dat overheden en zo dan zouden kunnen zien dat er echt niks engs in Windows zit is ook onzin, want wie zegt dat de Windows die je koopt dezelfde source heeft als de source die je te zien krijgt?
Ik lees op internet dat er open source projecten zijn waarvan je buitengesloot word zodra je enige inzage in windows source code hebt gehad. Dit om uit te sluiten dat microsoft via een omweg de vinger in de pap krijgt bij een open source project.
welke bedrijven vallen onder de mvp?
bedrijven als cisco en sun? of meer de windows only bedrijven als dell en compaq ;)
MVPs = Most Valued Professionals. Dus geen bedrijven :)

Edit: hier heb je trouwens de verschillende licentie vormen mbt de open source van MS: http://www.microsoft.com/resources/sharedsource/Licensing/default.mspx
Correctie! Geen Open Source maar Shared Source. De verschillen liggen mijlen wijd uit elkaar.

Desalnietemin positief dat MS wat meer vertrouwen gaat stellen in haar klanten. Zichtbaarheid van code kan een positieve invloed hebben op de kwaliteit en stelt de toegangsgerechtigden in staat om betere bugreports te geven en eigen code dichter op het systeem te schrijven.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True