Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 13 reacties
Bron: ZDNet

Na de vrijgave onder een eigen open-sourcelicentie van Solaris en het vrijgeven van verschillende patenten blijkt Sun nu ook zijn identity services vrij te gaan geven onder de eigen Common Development and Distribution License. De identity service van Sun, genaamd Java Access Manager, is bedoeld om een enkele inlogprocedure te creŽren voor alle software die bedrijven in gebruik hebben. Het open-sourceproject waaronder Sun de single sign-on oplossingen en zijn webauthenticatieservices gaat onderbrengen is Open Web Single Sign-On (opensso) gedoopt.

Sun

Ondanks dat Sun zelf een aantal producten op de markt heeft die gebruik maken van zijn identity services zullen de producten die uit het opensso-project voortkomen ook werken met andere identity services van bijvoorbeeld IBM en HP. Sun claimt overigens dat zij de eerste zijn met een open source identity service maar dit blijkt niet zo te zijn. Er is al een project genaamd Java Open Single Sign On, maar volgens Sun is de techniek van de eigen service vele malen geavanceerder. De verwachting is dat de eerste release van het opensso-project vrijgegeven zal worden in het vierde kwartaal van dit jaar.

Moderatie-faq Wijzig weergave

Reacties (13)

Een security product dat waarvan de source in de GNU gaat(?)
Is dat niet vragen om problemen??

@ATS en Pietje Puk
Thanx, Lampje is gaan branden
Richard Stallman en Bruce Schneier leggen het ongeveer als volgt uit: Een systeem maken dat je zelf niet kan kraken is simpel. Maar als je het zelf niet kan kraken betekent het niet dat het veilig is, alleen dat _jij_ niet slim genoeg bent om het te kraken. Om zekerheid te krijgen moet je het door anderen laten beoordelen. Pas als niemand anders fouten kan vinden heb je enige zekerheid dat het veilig is.
Verder heeft het voor Sun nog een enorm voordeel, ze kunnen hiermee bewijzen dat er geen geheime backdoors in zitten. Over Windows wordt al jaren beweert dat er een backdoor in zit, en Microsoft zal dat nooit echt afdoende kunnen bewijzen, zonder dat ze mensen zelf hun code laten compilen. Sun kan keihard maken dat hun systeem veilig is. Als je het niet gelooft kun je zelf de source controleren (of laten controleren als je het zelf niet kan), en daar je eigen systeem uit bouwen.
Tenzij er een backdoor zit op hardware niveau of dat er in elke compiler een backdoor wordt toegevoegd/of.... De enige manier om je er tegen te beschermen is zelf een computer bouwen (maar dan gaat het weer niet zo snel :) ). Dus om in de praktijk er zeker van te zijn dat je veilig zit is zo goed als onmogelijk.
Aan elke compiler een backdoor wordt toegevoegd? gcc is GPL'ed, dus ik mag patchen en redistributen zoveel ik wil. Weinig mensen zouden dat pikken. Bovendien lijkt het me enorm moeilijk om zo'n backdoor te implementeren, hoe ga jij encryptiecode herkennen?
Nee, waarom?
Security by obscurity heeft nooit goed gewerkt. De sourcecode van veel andere security-gerelateerde software is ook open (denk aan SSL, GPG, SHA, etc.), en dat werkt toch ook prima?
1) het wordt Open Source maar absoluut geen GNU Public License!

2) Als een beveiligingssysteem goed doordacht is mag iedereen de source zien. In zo'n geval is het namelijk het concept dat veiligheid garandeerd en niet de specifieke code. Net zoals je de source code van goede encryptie algoritmes (AES) gewoon van het internet kan downloaden. Wel kunnen er natuurlijk bugs in de implementatie zitten. Maar die bugs zijn op te lossen en uiteindelijk wordt het systeem alleen maar betrouwbaarder. Open source maakt een systeem niet per definitie onveiliger. Maar ook niet veiliger!
Waarom niet veiliger? Ik zie het als volgt:

Ik denk op de langere termijn zeker wel. Op korte termijn zullen er mensen zijn die de code gaan doorspitten op exploits, deze vinden en uitnutten. Door het uitnutten gaan mensen ze dichtontwikkelen, en uiteindelijk heb je dus een veiliger systeem
Volgens mij onderschat je de stabiliteit van dit product een beetje.
Uit dit artikel is mij alleen niet duidelijk Wat ze nu precies in de CDDL gooiien omdat er nogal wat onder de identity services valt:
http://www.sun.com/software/index.jsp?cat=Identity%20Management&tab=3
<edit- nog een keer artikel gelezen en het is de access manager >

Maar het is geen nieuwe software, en het heeft zichzelf in de praktijk wel redelijk stabiel en veilig bewezen.
Toen Solaris 10 open werd gemaakt kwamen er ook niet direct duizenden exploits (om even omhoog te schalen naar verhouding van de source) naar boven.
Hoogstens wat commentaar dat er zo weinig grof taalgebruik in de comments zat ;)
Nee, waarom? Bijna alle bekende encryptie algoritmen zijn ook Open Source. Mijns inziens worden ze daar alleen maar veiliger van.

Van die algoritmen is bekend hoe ze werken en er is wiskundig bewezen hoe veilig ze zijn, dat kun je met een closed source beveiliging alleen maar benaderen, maar nooit bewijzen.
Ik ga er vanuit dat bedrijven hun eigen keystores en identiteitsmanagement hebben (plugins voor JAAS ofzo) dus onveilig zou ik het niet willen noemen.
Waarschijnlijk worden er in de eerste week 300 critieke bugs ontdekt.... daarna is het als het goed is wel een stuk veiliger :P
Novell zet ook hoog in met hun closed source eDirectory in combinatie met nsure identity management. Ik benieuwd in hoeverre dit de identity markt gaat beinvloeden en Novell in het bijzonder.

Ook Red Hat is stevig bezig met gecentraliseerd ID management. Het is de achilleshiel van Linux.
Uit de bron:
The goal of Open Web SSO project is to provide an extensible implementation of identity services infrastructure that will facilitate single sign on for web applications hosted on web and application servers.
.
Nsure is meer gericht op directories dan op applicaties. Niet dat het een het ander uitsluit, maar SSO is echt gericht op de authenticatie terwijl Nsure meer synchronisatie van gegevens tussen meerdere systemen is. Sun's OpenSSO zal waarschijnlijk in combinatie met Nsure werken in plaats van.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True