Defensie Frankrijk vertrouwt OpenOffice.org onvoldoende

Crypto- en virologen verbonden aan het ESAT, onderdeel van het Franse ministerie van Defensie, hebben een rapport opgesteld over de veiligheid van de officesuite OpenOffice.org. Volgens de onderzoekers bevat het opensourceproduct enkele ontwerpfouten, die in potentie veiligheidsproblemen kunnen vormen, en is het daarom gevaarlijker OpenOffice.org te gebruiken dan Microsoft Office. Een groot probleem vonden de onderzoekers bij de omgang met macro's in de gratis officesuite. Waar Microsoft Office altijd een waarschuwing geeft als een document met macro's geopend worden, doet OpenOffice.org dit alleen als het zelf meent te weten dat de macro onveilig is. Daarin vergist de software zich echter nog wel eens waardoor potentieel gevaarlijke macrocode toch wordt uitgevoerd. Daar komt bij dat er nog geen antivirussoftware beschikbaar is die dit soort OpenOffice.org-macro's kan filteren, waardoor het Franse ministerie van Defensie niet erg te spreken is over de officesuite.

OpenOffice.org logo Volgens Eric Filiol, de leidend onderzoeker, is het probleem niet gelegen in slechte programmacode, maar is het een probleem op conceptueel gebied omdat de OpenOffice.org-ontwikkelaars onvoldoende hebben nagedacht over veiligheid. Men is de afgelopen tijd druk bezig geweest om de features en functionaliteit van Microsoft Office in het vrije officepakket te implementeren, waardoor minder tijd en energie is gestopt in de veiligheid van het softwareproduct, aldus Filiol. Inmiddels hebben het Franse ministerie van Defensie en vertegenwoordigers van OpenOffice.org een afspraak gemaakt om hen te vertellen waar het precies lijkt te zijn misgegaan en hoe deze problemen kunnen worden opgelost. Verder hebben de onderzoekers de resultaten van het onderzoek verspreid binnen de Franse overheid, zodat men er rekening mee kan houden.

Reacties (77)

Gerco

19 juli 2006 09:54

Ik vind het wat lastig te geloven dat dit onderzoek volledig genoeg is geweest. Dat je de veiligheid van OOo kan beoordelen geloof ik wel, dat is immers open-source.

Wat je niet kan is de veiligheid van MS Office beoordelen, aangezien je daar de source niet van hebt en alle informatie over bugs en risicos van de fabrikant zelf komt (dus: onbetrouwbaar).

Je kan best zeggen dat je OOo niet veilig genoeg vind, je kunt het alleen niet op een zinvolle manier vergelijken met MS Office.

PS. De veiligheid van een Office suite beoordelen op het beschikbaar zijn van 3rd party produkten die die veiligheid verbeteren vind ik overigens ook behoorlijk kansloos. Je kan net zo goed zeggen: "Er zijn geen virusscanners voor Solaris, dus Solaris is onveilig".

Verwijderd @Gerco • 19 juli 2006 10:18

Misschien is het wel verstandig om de opmerkingen mee te nemen in OOo? Dan is dat geen argument meer.

De virus scanner is natuurlijk onzin. Waarom moeten er OOo macros in de virus scanner zitten als er nog geen expoits voor bekend zijn? Een signitures van de virus scanner worden normaalgesproken pas toegevoegd als er een expoit voor is. (nimda etc stond ook nog niet in de virus scanner voor de eerste uitbraak)

Ik heb er nog eens over nagedacht maar ik denk dat de OOo manier beter is. Deze methode is namelijk veiliger, er wordt alleen gewaarschuwd bij gegronde redenen.

Iedereen weet hoe het gaat (bij Excel), je krijgt een melding dat er macro's in een document zitten. 99% doet "klick" ik accepteer het risico.

Optie bij settings (Huidige OOo manier/ Altijd waarschuwen / macro's altijd disablen). Dan kan de beheerder/gebruiker zelf beslissen wat hij wil.

Als macro's altijd potentieel onveilig zijn, denk ik dat het beter zou zijn om iets anders te ontwikkelen, wat veiliger is.

Gerco

@Verwijderd • 19 juli 2006 10:21

Natuurlijk moeten de bevindingen meegenomen worden in OOo, dat staat helemaal niet ter discussie. Wel de uitspraak dat MSO veiliger is dan OOo, die conclusie kun je helemaal niet trekken op basis van de veiligheid van OOo en de beschikbare informatie over MSO. Je weet immers niet of de informatie over MSO wel volledig is.

De historie erbij betrekken is ook niet echt van toepassing, OOo 2 is nog te jong om echt een reputatie op veiligheidsgebied (positief dan wel negatief) te hebben.

Verwijderd @Verwijderd • 19 juli 2006 10:30

Hoe moeilijk zou het zijn om een optie in OOo op te nemen om altijd te waarschuwen voor macro's?

Zo'n optie zou dan waarschijnlijk door administators vastgezet moeten kunnen worden, maar ik neem aan dat OOo momenteel ook al dergelijke functionaliteit biedt voor andere opties.

Voordeel van OOo is dat ze in ieder geval kunnen controleren dat inderdaad niet voor elke macro wordt gewaarschuwd. Bij MSO moet je maar op Microsoft's blauwe ogen vertrouwen dat ze dat wél doen.

Verwijderd @Verwijderd • 19 juli 2006 10:41

Organisaties als een ministerie defensie moeten rekening houden met exploits die puur geschreven worden om hun beveiligingen te kraken. Zelfs als er geen exploit is kan er makkelijk 1 ontwikkeld worden als iemand er voldoende belang aan hecht om Franse defensiegeheimen te kunnen stelen.

Een belangrijke reden waarom er weinig of geen exploits zijn voor dergelijke software is omdat het moeilijk valt te verspreiden en de gemiddelde gebruikers minder makkelijk is over te halen tot een onveilige actie. Dergelijke bezwaren gelden niet bij gerichte acties tegen 1 bepaalde partij en 1 bepaald product.
als er straks steeds meer overheden gebruik gaan maken van OO dan is het voor de hand dat er een hele nieuwe groep van hackers (idealisten, terroristen spionnen) interesse krijgen in dit product. daar zullen de meeste gewone gebruikers voorlopig niets van merken want door dergelijke partijen ontwikkelde exploits zullen niet zo maar publiek worden.

trogdor @Verwijderd • 19 juli 2006 11:03

peanuts om 2 vershillende warnings te maken, een kleintje voor alle macros en een grote voor macros die OOo zelf onveilig vindt.

StainlessSteel @Verwijderd • 19 juli 2006 11:41

Niet die tekst onderstrepen, dat is irritant. Iedereen gaat er met zijn muis overheen om te kijken of het een link is, en daarnaast leest het ook niet eens prettig. Vetgedrukte of cursieve tekst is heel wat gebruikersvriendelijk.

Verwijderd @StainlessSteel • 19 juli 2006 19:13

Vetgedrukte of cursieve tekst is heel wat gebruikersvriendelijk.

Tsja, vetgedrukt vind ik nogal aandacht-trekkerig overkomen (vind je wat je te zeggen hebt nou echt zo belangrijk dat een heel stuk vet zou moeten? een paar kernwoorden is okee, hele zinnen of alinea's niet), en bij cursief denk ik automatisch dat het een citaat is...
Liefst gewone tekst, wat mij betreft.

_Thanatos_ @Verwijderd • 19 juli 2006 12:24

Waarom moeten er OOo macros in de virus scanner zitten als er nog geen expoits voor bekend zijn?

Virusscanners hebben vaak een optie om macro's te blokkeren, of ze nu wel of niet veilig zijn. Diezelfde virusscanners kunnen dat helaas alleen voor MS Office documenten, en OpenDocument zou daar dus nog bij moeten komen.

Ik vind het wel logisch dat ze dat vinden. Better safe than sorry, zeg ik altijd maar, en dan is het dus niet logisch om alle macro's toe te laten, behalve waarvan je weet dat ze niet veilig zijn.

blouweKip @_Thanatos_ • 19 juli 2006 12:49

Het grote voordeel van oo2 tov mso is dat je de eerste kunt draaien op een veilig platform, als defensie daar veiligheid zo van belang vind dat kunnen ze mso niet eens gebruiken (mits het allemaal mac gebruikers zijn daar)

Verwijderd @Verwijderd • 19 juli 2006 19:08

Iedereen weet hoe het gaat (bij Excel), je krijgt een melding dat er macro's in een document zitten. 99% doet "klick" ik accepteer het risico.

Maar dan is het een fout van de gebruiker, de applicatie heeft de gebruiker gewaarschuwd, en heeft dus z'n werk gedaan.
Bij Defensie in Frankrijk zullen de gebruikers ook allemaal wel een cursusje krijgen voor dit soort dingen, waar ze even op het potentiele gevaar van het doorklikken worden gewezen.

Het probleem zit hem er dus in dat je bij OpenOffice niet KUNT doorklikken... het zou zomaar kunnen dat er een macro doorheen glipt dat een gevaarlijk macro bevat. Ook de oplettende gebruiker kan hier niets aan doen, hij krijgt immers geen warschuwing. Het enige alternatief is dan dat de gebruikers zelf in ieder document moeten gaan kijken of er macro's gebruikt worden... Dat schiet natuurlijk z'n doel een beetje voorbij, zo'n check is veel simpeler voor een gebruiker, gaat veel sneller, en kan niet per ongeluk een keertje vergeten worden.

De Fransen hebben dus gewoon een goed punt, vind ik. OOo is voor de gewone gebruiker misschien wel okee, maar Defensie heeft toch wel iets andere eisen.

Verwijderd @Gerco • 19 juli 2006 11:40

Je kan e.e.a. wel vergelijken op basis van een geschiedenis. MSO had veel problemen met macro's die de veiligheid in gevaar brachten. Er is daarop gereageerd door de makers door zaken te verbeteren, waarschuwingen bij gebruik van en door 3rd party bedrijven in de vorm van virusscanners.

Daarmee kan je zeggen dat het in ieder geval veiliger is geworden. Bij OOo zijn kwaadaardige macro's nog geen echt topic geweest (maar wat door de toenemende acceptatie hiervan alleen een zaak tijd is) en er zijn nog geen viruskillers die hierop zijn ingesprongen. (Juist omdat het nog geen topic is geweest).

Feit is dat waar het macrovirussen betreft, er in het MS scenario drie valkuilen zijn die het virus kunnen stoppen. Naast de alertheid van de gebruiker (al vraag ik me af of de meeste wel het onderscheid kunnen tussen goed en kwaadaardig) zijn er patches van MS zelf die de suite zelf bestand maken en viruskillers die zelfs als de suite nog kwetsbaar is een interventie kunnen doen, terwijl men bij OOo vrijwel alleen afhankelijk is van het patchbeleid.

Daar tegenover mag dan wel staan dat er op dit moment veel meer exploits voor MSO bestaan, maar men moet wel vooruit kijken en in aanmerking nemen dat bij een groeiende doelgroep, met een specifiek high profile gedeelte dat extra interessant is voor hackers en malware schrijvers, het schrijven van macrovirussen voor OOo extra interessant word als de verdediging zo laag lijkt te hangen.

Wat in mijn idee positief is, is het feit dat men met OOo in gesprek is om de zaken te verbeteren en men niet de deurr heeft dichtgegooid met de kreet onveilig product. Het toont aan dat ook MSO geen maximale score heeft behaald en dat verbetering van een aantal zaken OOo op het juiste niveau kan brengen en defensie zou kunnen bewegen tot een heroverweging. En als iets kritisch als de franse defensie overstag zou gaan, dan zullen andere minder kritische overheidsdiensten zo het voorbeeld kunnen volgen.

Verwijderd @Gerco • 19 juli 2006 10:58

Men heeft ook niet de code vergeleken maar hét klassieke veiligheidsprobleem van office suites => de macro's.
Uit het artikel blikt dat vooral datgene de doorslag heeft gegeven.
Het probleem van die antivirus producten is een klassiek probleem. Gebruik je Avast (naar mijn idee 1 van de betere gratis producten voor thuisgebruikers) krijg je gezeik met Thunderbird. Bij het open van mails in thunderbird loopt het cpu gebruik op naar 95%. Dat komt omdat al die zogenaamde 3th party producten enkel een outlook plugin hebben. Zelfde geldt voor de software die je bij je gsm krijgt. Ik ken er weinig die met thunderbird/evolution/kontact overweg kunnen. Enkel Outlook en Lotus Notes.
Beetje jammer maar de bedrijven kiezen enkel te ondersteunen wat door 75 tot 95% van de markt wordt gebruikt.

ppl @Gerco • 19 juli 2006 20:35

Dit onderzoek is zelfs onjuist. De macro security valt aan te passen. Het enige wat OOo standaard zal openen zijn de bestanden met macro's die in een bepaalde map staan die je vervolgens handmatig, ik herhaal: handmatig, in de opties van OOo moet toevoegen. Voor de rest zal OOo altijd vragen of je de macro wil openen of niet. Waar kennen we die werking van? Precies, Microsoft Office.

Je moet je dus afvragen of het genoemde instituut wel capable genoeg is om dit soort onderzoeken te doen. Zo te lezen niet dus. Maar goed, als je als cryptoloog/viroloog al niet eens de code onder de loep neemt zegt dat eigenlijk ook wel genoeg. Ik heb het idee dat dit onderzoek eventjes in een paar minuutjes is gedaan, een blauwe maandag onderzoek dus. Ik ben er dan ook totaal niet van onder de indruk.

Verwijderd @ppl • 20 juli 2006 13:34

juist, zo iets wilde ik ook al melden, in OOo is nogal goed in te stellen welke macro's je wilt toelaten (alleen trusted sources, alleen ondertekende macro's, geen macro's, wel of geen waarschuwing etc). Dus ze kunnen hooguit zeggen dat de default instelling niet veilig genoeg is voor defensie en andere high-security omgevingen.

Verwijderd @Gerco • 19 juli 2006 19:03

Het artikel zegt toch duidelijk het volgende:

Volgens Eric Filiol, de leidend onderzoeker, is het probleem niet gelegen in slechte programmacode, maar is het een probleem op conceptueel gebied omdat de OpenOffice.org-ontwikkelaars onvoldoende hebben nagedacht over veiligheid.

Het is dus geen kwestie van broncode/open-source etc.
Het gaat om bepaalde keuzes in het ontwerp, waar de Fransen niet gelukkig mee zijn. Je hoeft de sourcecode van MS Office niet te hebben om te weten dat zij WEL een waarschuwing geven bij het openen van elk document dat macros bevat.
Zo is het gewoon ontworpen.

Je kunt niet altijd het ontwerp achterhalen aan de hand van broncode. Je weet niet waarom bepaalde keuzes gemaakt zijn, en het is soms ook lastig in te schatten hoe een stuk code zich gedraagt, ook al ziet het er op het eerste gezicht gewoon foutloos uit. Code die foutloos is, hoeft namelijk nog niet te doen wat je wilt. En dat is het verschil. Met broncode heeft het dus niets te maken.

Cowboy op zee @Gerco • 19 juli 2006 22:11

Ik vind het wat lastig te geloven dat dit onderzoek volledig genoeg is geweest

Wat je niet kan is de veiligheid van MS Office beoordelen, aangezien je daar de source niet van hebt en alle informatie over bugs en risicos van de fabrikant zelf komt (dus: onbetrouwbaar).

Ik heb het idee dat dit onderzoek eventjes in een paar minuutjes is gedaan, een blauwe maandag onderzoek dus. Ik ben er dan ook totaal niet van onder de indruk.

En om 1 of andere reden zie ik geen reden waarom MS mensen wel met een zuivere blik op de broncode wil laten kijken....iets met veiligheidsgaten enzo

Blijkbaar heeft Microsoft niet langer het monopolie op FUD...

Gelukkig zijn er met enig zoeken ook nog inhoudelijk sterke reacties te vinden (en voor wie zijn binaire wereldbeeld graag koestert: zowel voor als tegen).

Emielio 19 juli 2006 10:05

Het lijkt me dat Defensie het geld wat ze uitsparen door geen MS office aan te schaffen mooi kunnen gebruiken om te investeren in OO.o zodat het veiliger word, daar is iedereen bij gebaat en dat is het idee achter opensource. Samenwerken om er allemaal beter van te worden.

Gerco

@Emielio • 19 juli 2006 10:11

Dat is hooguit een druppel op de gloeiende plaat. Die licentie kosten kunnen opeens enorm omlaag als je overweegt iets anders dan Microsoft te gaan gebruiken. Ik ken een supermarkt waarbij de licentiekosten van de Windows kassas opeens 90% lager konden toen ze serieus Linux aan het overwegen waren...

Veel licentiekosten om in OOo te investeren blijven er dan niet over

Emielio @Gerco • 19 juli 2006 10:20

Bij zo iets groots als defnsie gaat het om heel veel licenties en ze hebben blijkbaar wel kennis is huis.

Verwijderd @Emielio • 19 juli 2006 10:39

Je bespaart geld uit door iets te gaan gebruiken, dan ga je er toch niet in investeren

En de Franse defensie heeft nu eenmaal niet als taak om software te ontwikkelen of te verbeteren

Gerco

@Verwijderd • 19 juli 2006 10:42

En waarom niet? Het is net als een huis huren vs. een huis kopen. Je geeft ruwweg evenveel geld uit per maand, maar bij huren is het weggegooid geld. Bij kopen investeer je dat geld in je eigen vermogen en heb je er zelf later ook nog iets aan.

Investeren in Open Source is volkomen normaal als bedrijf zijnde en grotendeels wat de grotere projecten gaande houd.

Gerco

@Gerco • 19 juli 2006 15:50

@Parabellum:

Als ik een huis koop, is er een kans dat ik er voordeel uithaal in de toekomst. Als ik een huis huur is die kans er niet. Zoals met alle investeringen is er ook de kans dat het misloopt en je geld verliest. Wat is je punt?

Overigens kan ik mijn huis zonder aftrek ook nog betalen, ik ben niet dom genoeg om daar geen rekening mee gehouden te hebben bij aanschaf.

Verwijderd @Gerco • 19 juli 2006 13:50

Koop jij je huis dan maar en blijf maar bidden dat je idd. later je investering eruit haalt. Als de hypotheek aftrek rente, wat dus steeds meer aan banden wordt gelegd, dan kan jij je huisje ook niet meer betalen ? En de verwachte marktwaarde voor de toekomst ziet er iets ongunstiger uit dan je denkt.

Een paar grote virussen erover heen en klanten lopen weg. Een paar bommen op je huis en je investering is ook weg, zelfde laken het pak. Ook aan de risico's denken lijkt mij.

In het verlengde daarvan zie ik een defensiemacht of overheid niet de ideale inversteerder, die kunnen aardig wat roet in het eten gooien als het gaat om restrictie's en ik heb liever dat bedrijven concurreren met elkaar dan dat de overheid daar een rol in speelt, wat overigens vandaag de dag ook al geen echte keuze meer is, aangezien de overheden steeds meer hun aktiva afstoten.

Verwijderd @Emielio • 19 juli 2006 15:39

Ze investeren al in OOo, door met OOo in gesprek te gaan.

sir_huxley 19 juli 2006 10:46

microsoft waarschuwd ook niet in alle gevallen voor macro's

indien een script staat in de normal.dot wordt hij bij het opstaren direct uitgevoerd

indien het document in wordstart directory staat wordt deze ook bij het opstarten uitgevoerd

indien hij de de directory sjablonen staat wordt hij ook direct uitgevoerd.

Het probleem is dat als je een script kan laten inbakken in een van deze directories of files je eigenlijk al een tojan of ander virus nodig hebt waardoor een macro virus eigenlijk al zijn doel voorbij is geschoten.

Maar het feit blijft dat office ook niet in alle gevallen waarschuwd.

Verwijderd @sir_huxley • 19 juli 2006 11:28

Maar dus wel altijd als er een document wordt geopend met macro's. Het gaan natuurlijk veelal om externe oducumenten die bijvoorbeeld met email of via laptop's en usb sticks of andere externe koppelingen binnen kunnen komen.

Verwijderd 19 juli 2006 11:04

Ik ken een supermarkt waarbij de licentiekosten van de Windows kassas opeens 90% lager konden toen ze serieus Linux aan het overwegen waren...

Eigenlijk zou je je dan helemáál genaaid moeten voelen. Immers, hoeveel jaar hebben ze dan al 10x te veel betaald voor het kassasysteem? Het is dat Linux toch nog wat een onbekend terrein is voor velen, dus dat geld niet het enige argument is, maar ook gebruikersgemak, gewenning, etc.

Had een bank me dat geflikt bij het offreren van een hypotheek, dan waren ze een klant kwijt. Hadden ze maar meteen een goed aanbod moeten doen! Helaas kun je nog niet zo makkelijk OS shoppen als met hypotheken...

wildpicture @Verwijderd • 19 juli 2006 11:15

[...]
Eigenlijk zou je je dan helemáál genaaid moeten voelen. Immers, hoeveel jaar hebben ze dan al 10x te veel betaald voor het kassasysteem? Het is dat Linux toch nog wat een onbekend terrein is voor velen, dus dat geld niet het enige argument is, maar ook gebruikersgemak, gewenning, etc.

Ik heb dat ooit eens meegemaakt met Oracle. Voor het bedrijf waar ik toen als informatiemanager werkte, wilden zij een systeem aanbieden dat ze zelf voor een andere klant ontwikkeld hadden. Zij konden niet goed de marktwaarde inschatten (het systeem was lang nog niet af en er moest een heleboel maatwerk aan gebeuren) en kwamen met een offerte van (destijds) ruim 300.000 gulden. Toen ik hun vertelde dat ik dat bedrag véél te hoog vond, kwamen ze een week later met nieuwe offerte van 35.000 gulden. Ik heb hun vervolgens verteld dat ze daarmee hun geloofwaardigheid verloren hadden en niet meer meededen in de aanbesteding.....

Verwijderd @wildpicture • 19 juli 2006 16:23

300.000 inclusief meerwerk?
35.000 exclusief meerwerk

regmaster @wildpicture • 19 juli 2006 12:48

Dus naai je vervolgens je eigen bedrijf door niet op zo'n goedkope deal in te gaan omdat jij er een raar gevoel over hebt. Een echte aanwinst voor een bedrijf zulke mensen.... NOT.

Verwijderd @Verwijderd • 19 juli 2006 11:11

Je kunt ook zeggen dat je eerder gewoon slecht onderhandeld hebt.
Bij onze organisatie krijgen we al sinds ruim in een vorige eeuw kwantumkortingen op Microsoft software. Misschien dat we nu met linux altyernatieven als drukmiddel nog wel meer korting kunnen krijgen maar dan toch echt geen 90%. Als je nu zoveel korting kan krijgen heb je de vorige keer zitten slapen.

Verwijderd 19 juli 2006 10:35

Nog een geluk dat er in de producten van Microsoft geen potentiële veiligheidsproblemen zitten.

BartOtten 19 juli 2006 09:54

Dat van die melding kan ik begrijpen maar:

Volgens de onderzoekers bevat het opensourceproduct enkele ontwerpfouten, die in potentie veiligheidsproblemen kunnen vormen, en is het daarom gevaarlijker OpenOffice.org te gebruiken dan Microsoft Office.

Dit is OF slecht overgenomen OF slecht van de onderzoekers. Ten eerste kunnen ze niet in dr broncode kijken van Office en kunnen ze dus veel gevaar niet zien maar tegelijkertijd zeggen ze hiermee: Een Trabant is niet al te best dus kunnen we beter een Lada nemen.

Ik denk dat er wel beter beargumenteerd is, maar dat van die broncode vraag ik me sterk af.

TheGhostInc @BartOtten • 19 juli 2006 10:01

Ten eerste kunnen ze niet in dr broncode kijken van Office

De franse defensie kan waarschijnlijk *WEL* in de source kijken, zeker met de shared code licenties van de laatste tijd, verwacht ik niet dat MS echt dwars gaat liggen bij defensie.

BartOtten @TheGhostInc • 19 juli 2006 10:40

Ik vraag me af of instanties daar wat aan hebben. Als we de EU geloven weet Microsoft hun spullen dermate te verwarren dat het voor buitenstaanders amper te snappen en te controleren is. En om 1 of andere reden zie ik geen reden waarom MS mensen wel met een zuivere blik op de broncode wil laten kijken....iets met veiligheidsgaten enzo

Verwijderd @BartOtten • 19 juli 2006 13:44

Je slaat 2 dingen door mekaar.
De EC verdedigd de belangen van kleinere spelers in de markt die over het algemeen het geld niet hebben top-coders te betalen om code te schrijven die de concurentie aankan met de producten van Microsoft.
In dit geval is men specifiek gaan kijken naar de implementatie van technieken die een potentieel veiligheidsrisico inhouden. Zoals als belangrijkste punt werd aangegeven het gebruiken van Macro's. Het komt er dus op neer dat het hier maar om stukken code van hele pakketten gaat die men moest onderzoeken.
Daarbij komt ook nog eens dat defensie over het algemeen wel geld en middelen heeft om hoog opgeleiden aan te werven.
Het zijn dus totaal verschillende situaties omdat zowel doel als middelen in geen enkel opzicht vergelijkbaar zijn.

Mei 19 juli 2006 10:05

Daar komt bij dat er nog geen antivirussoftware beschikbaar is die dit soort OpenOffice.org-macro's kan filteren, waardoor het Franse ministerie van Defensie niet erg te spreken is over de officesuite.

Heeft dus niets te maken met OO.o, maar met virusscanners van andere partijen. Dat is hetzelfde als zeggen dat Linux slecht is omdat er geen drivers voor zijn. Je kraakt dat iets af op punten die helemaal niets met datgene te maken hebben...

yootje @Mei • 19 juli 2006 10:13

Het is niet de schuld van OOo, maar het blijft wel een feit. Misschien niet helemaal "eerlijk", maar het is toch iets dat meespeelt, ook al kan OOo er niks aan doen.

RM-rf @Mei • 19 juli 2006 10:15

Dit instituut komt ook niet met zo'n domme conclusie als 'product A is beter/slechter dan product B'

Maar met de weloverwogen verklaring: " ... en is het daarom gevaarlijker OpenOffice.org te gebruiken dan Microsoft Office. "
Daarin liggen een paar essentiele nuances, namelijk dat het over de momentele toepassing gaat, en of dit voor een bedrijf aan te raden is op dit moment over te stappen ...

Uiteindelijk delen ze hun conclusie en analyse ook met OOo en kan deze aanpassingen doen aan het product op basis vand at rapport om juist wel aan hun eisen te voldoen ...

Dat is gewoon zeer positief te noemen, juist open source ontwikkelaars leven ook van het feit dat ook hun producten bekritiseerd worden en men makkelijk kan inspelen op de eisen van afnemers.

Het rapport maakt ook duidelijk dat ook in de high-risk en higlevel security markt men zeer geintersseerd naar OpenOffice.org kijkt en toepassing overweegt ..
Misschien nu nog niet, maar het biedt ook de mogelijkheid dat OOo op zwakke punten (de implementatie van macro's, wat een belangrijk issue is qua security) zichzelf verbeterd.

Overigens is het natuurlijk niet zo dat het gevaar van macro-virussen bij een officepakket niet het probleem is van virusscanners, maar in eerste instantie ook voornamelijk het probleem van de office-suites zelf... virussscanners kunnen hooguit daaromheen functioneren, ofwel 'grof' blokkeren (bv alle macro's uit office-documenten verwijderen, wat niet prettig is, altijd bij het openen; of de 'rommel' achteraf opruimen )

ernstblaauw 19 juli 2006 09:58

Het is toch open source? Maak dan zelf even zo'n waarschuwing voor elke macro. Een fluitje van een cent voor zo'n organisatie!

Zware Unit

@ernstblaauw • 19 juli 2006 10:01

Dit is niet de verantwoordelijkheid van de onderneming, maar van de beheerders van het project. Natuurlijk kan een onderneming zelf gaan sleutelen...

conradm @Zware Unit • 19 juli 2006 12:25

of in samenspraak....

marcieking

@Zware Unit • 19 juli 2006 22:19

Dit is niet de verantwoordelijkheid van de onderneming, maar van de beheerders van het project. Natuurlijk kan een onderneming zelf gaan sleutelen..

Volgens mij zijn de beheerders van het project tevreden met de huidige oplossing, en Defensie niet. Dan kan Defensie dus even de broncode aanpassen naar hun wensen, en eventueel de aanpassingen terugsturen naar de OOo ontwikkelaars.

regmaster 19 juli 2006 12:38

Even open deur intrappen hoor.......

Het valt me op dat een hoop mensen hier in de bres springen voor OO.Hoe zouden de reacties toch geweest zijn als het om Microsoft Office ging?
(Opvallend is ook dat een hoop mensen denken dat Microsoft Office licenties duur zijn voor bedrijven en overheden. Niet dus. Kwestie van goed onderhandelen en inderdaad heb je met OO als dreigement wel een onderhandelingswapen in de hand)

Het heeft namelijk helemaal geen zin om OO hier te gaan verdedigen, zelfs niet met vuur en zwaard, want het gaat om een onderzoek en vooral mening van de Franse Ministerie van Defensie.
Ik ga ervan uit dat die Fransen net zo paranoia zijn, of misschien nog wel erger, dan de Amerikanen dus denk ik wel dat ze een punt hebben.
Blijkbaar valt er op veiligheidsgebied nog een hoop te verbeteren aan OO. Goh? Vreemd hé? Niet dus, dat geldt voor ieder stuk software, door wie het ook gemaakt word.

it0 @regmaster • 19 juli 2006 14:10

Ja maar het is open source dus
1) je de source zien en dus beter de fouten opspeuren itt closed source -> office
2) het is open source, dus als je al die energie in steekt om fouten te vinden dan wees ook zo aardig om ze op te lossen/ documenteren oid.

lost95 @it0 • 19 juli 2006 18:45

1) je de source zien en dus beter de fouten opspeuren itt closed source -> office

Echter gaat het de franse defensie niet om fouten in de code, maar de denkwijze hierachter (het concept).

Verwijderd @it0 • 19 juli 2006 17:11

En ook de hackers/virusschijvers kunnen de source gebruiken om zo exploits te maken voor de code-fouten.

OpenSource is niet altijd veiliger.

blouweKip @regmaster • 19 juli 2006 13:11

natuurlijk valt er een hoop te verbeteren, probleem is alleen dat het alternatief (mso icm windows) zeker niet veiliger is.

beantherio 19 juli 2006 10:43

Het is toch open source: waarom passen ze het pakket dan niet zodanig aan dat bij het openen van een document met macro's eerst een waarschuwing gegeven wordt? Denk ik nu te simpel of heeft het Franse leger geen programmeurs in dienst die dat kunnen?

Verwijderd @beantherio • 19 juli 2006 11:04

De kosten voor dergelijke aanpassingen en die doorvoeren in elke volgende release van OO zijn ongetwijfeld niet gering. Maatwerksoftware is gewoon extreem duur zeker als je met de defensie richtlijnen moete werken qua security.

Emielio @Verwijderd • 19 juli 2006 12:09

Wat denk je dat een paar tientalduizenden ms office licenties kost. Daarbij is de aanpassing niet heel groot.

Werkt MS wel met defensie richtlijnen qua security?

Verwijderd @Emielio • 19 juli 2006 12:57

Tienduizenden officelicenties hoeven helemaal niet zoveel te kosten als de Franse overheid een totaal deal heeft gesloten met MS.
Wel zullen zelfs kleine aanpassingen aan OO wel veel kosten. Bedenk wel dat er mogelijk een complete ontwikkelomgeinvg uit elkaar gestampt moet worden met versiebeheer testers en dergelijke. Verder moet er een redelijk behoorlijk analyse plaatsvinden om het probleem in kaart te brengen. OO is vermoedelijk een enorme berg code plus documentatie en afgezien van het probleem localiseren zou het ook wel eens op meerde plaatsen kunnen zitten.
Het is dus niet ff snel aanpassen, compileren en op je machine knallen wat een tweaker met veel OO code kennis misschien zou kunnen doen.

Op dit item kan niet meer gereageerd worden.

Defensie Frankrijk vertrouwt OpenOffice.org onvoldoende

Lees meer

Reacties (77)

Sorteer op:

Weergave: