Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 56 reacties

De Linux Foundation en grote technologiebedrijven als Google, Facebook en Microsoft zijn het Core Infrastructure Initiative gestart. Het initiatief is een reactie op de Heartbleed-bug en stelt miljoenen dollars beschikbaar om OpenSSL veiliger te maken.

De Linux Foundation is initiatiefnemer van het project. Onder andere Facebook, Google, Microsoft, IBM, Dell en Amazon hebben zich achter het initiatief geschaard. Bedrijven die zich aanmelden moeten ieder de komende drie jaar 100.000 dollar per jaar doneren aan het initiatief. Op moment van schrijven hebben zich dertien bedrijven aangemeld, waarmee voor de komende drie jaar dus al 3,9 miljoen dollar toegezegd is.

Jim Zemlin, uitvoerend directeur van de Linux Foundation, zegt tegen The Verge dat Linux alleen de rol van 'geldbewaker' speelt. Elk bedrijf dat het initiatief steunt mag vertegenwoordigers aanwijzen die aanschuiven in een comité van opensourceontwikkelaars en academici. Dat comité bepaalt vervolgens welke opensourceprojecten er geld ontvangen. Verder gaat er ook geld naar bijvoorbeeld beveiligingscontroles, infrastructuur en het coördineren van bedrijven die aan soortgelijke projecten werken.

De Linux-directeur zegt dat het initiatief een cruciale rol moet gaan spelen in het opsporen van fouten in opensourceprojecten voordat kwaadwillenden die vinden. ''Op het moment voert niemand de discussie daarover, hoewel het een cruciale discussie is", aldus Zemlin. Na het verschijnen van de Heartbleed-bug verscheen kritiek op grote bedrijven, die vaak opensourcesoftware gebruiken, maar weinig bijdragen om de veiligheid te garanderen. De Core Infrastructure Initiative zal zich in het begin alleen richten op OpenSSL. Later zal het zich ook richten op ModSSL, PGP en OpenCryptolab.

Core Infrastructure Initiative

Moderatie-faq Wijzig weergave

Reacties (56)

IMO zouden ze beter de OpenBSD rework (LibreSSL) van OpenSSL kunnen steunen dan OpenSSL zelf, er wordt daar toch een hoop zooi naar boven gebracht waar door het OpenSSL team nooit iets aan gedaan is en het uiteindelijke doel is hetzelfde.
Ja, inderdaad. Anders krijg je straks tientallen verschillende 'gefixte' OpenSSL forks.
Het doel van dit iniatief is wat breder, zo worden ook PGP en dergelijke gecontroleerd. Maar een ondersteuning van LibreSSL zou ook niet verkeerd zijn.
Zover ik kan afleiden uit het artikel kan dit nog, aangezien er op dit moment alleen nog maar geld voorzien is. CII zou in principe LibreSSL kunnen steunen, hoewel ik verstaan heb dat die in eerste instantie enkel OpenBSD gaan ondersteunen?
Nou ja, OpenSSL zal toch nodig blijven. Wat OpenBSD met hun fork hebben gedaan is alle code in OpenSSL die ze zelf niet nodig hebben er uitgesloopt. Dat verkleint natuurlijk de kans op bugs maar betekent ook dat LibreSSL voor veel toepassingen en platformen niet geschikt is.
Doel van dit initiatief is niet zozeer om OpenSSL te fixen maar wel om kritisch te gaan kijken naar meerdere open source projecten. Als libreSSL erin slaagt om OpenSSL te vervangen als defactoe standaard dan zal men mogelijk ook naar dat project kijken.

Je mag ook niet vergeten dat OpenSSL en LibreSSL verschillende doelen hebben. Het eerste wil de achterwaartse compatibeliteit handhaven terwijl de laatste met een schone lei kan beginnen.

Het is dan ook goed dat er vanuit grote bedrijven nu een initiatief komt dat de veiligheid in vrije software zal verbeteren.
openBSD verteld niet het gehele verhaal, het niet veel gescheelt of openBSD was op zwart gegaan afgelopen januarie ivm geld gebrek (om ook maar de stroom rekening te betalen. )
Ze hebben van een partij een beetje geld gekregen op die rekening te betalen en ze kunnen het dit jaar nog uitzingen.

Wat ik hiermee bedoel, is dat openBSD wel heel hard te keer gaat tegen openSSL, zo van geef ons geld en wij fixen het wel. Ja geef openBSD geld, zodat openBSD nog wat langer kan leven.

Daarnaast kreeg de organitatie van openSSL maar iets van $2000 per jaar aan donaties. Ik vress dat openBSD hier nu een veel voud van binnen gehaalt met een aggressive campaign.

Ik zeg niet dat openBSD geen goed werk leverd, maar ze liften nu wel heel hard op de ellende van een ander.

Overigens, warom heeft openBSD niet eerder een audit op de code van openSSL gedaan? Ze leveren deze tenslotte mee met openBSD 5.4 en eerdere versies.
Dat geldt toch altijd? Het moet eerst stuk voordat er geld voor beschikbaar is. Wel jammer, want dat helpt je continuiteit naar de maan, maar het kan soms niet anders. Aandacht = geld.
Dat is ook mijn mening. Voor zover ik weet is het LibreSSL team met frisse moed en ideeën gestart aan hun project. Zo'n grote financiële duw in de rug zou het ontwikkelproces skyrocketen (en misschien ervoor zorgen dat ze een ander lettertype op hun website gebruiken :+ ).

Voor de mensen die het vorig bericht over LibreSSL gemist hebben: link
Ik hoop dat het betrouwbaar is. Als de NSA echt zo machtig is als vele denken, dan zullen ze ongetwijfeld ervoor zorgen dat er altijd een klein achterdeurtje open blijft.
Dat is toch echt wel een hoog alu-hoedjes gehalte imho.

Het is en blijft Open Source, zo maar een backdoor er in krijgen is niet makkelijk. Heartbleed was gewoon een stomme fout. We moeten niet overal de NSA achter gaan zoeken.

Ik werk ook aan meerdere Open Source projecten mee en daar is gewoon goede controle op de inkomende code. Alleen soms glipt er wel eens wat doorheen. Dat gebeurd in closed source software ook, alleen zien we het dan minder snel als eindgebruiker.
met het budget dat de NSA heeft en gezien het malicious karakter van deze organisatie leg ik de omgekeerde bewijslast neer bij dergelijke organisaties. Sorry. Dit heeft niets en ook niets met alu hoedjes te maken. De NSA en de contracters zoals Booz Allen.. die verkopen desnoods de informatie die ze buit maken aan derden.

Stop svp met dat alu hoedjes argument want dat slaat nu echt dood. Bekijk dit stukje maar eens, een interview met NSA Whistle blower 1.0 - William Binney
http://reason.com/reasont...t-government-exclaims-nsa

PS ik zeg daarmee niet dat er geen cybercrime is die bestreden moet worden of dat echte terroristen niet aangepakt moeten worden, maar de NSA en diens contracters zijn incapabel in dat gene waarvoor ze juist is opgericht. In plaats van meer naalden te vinden is deze massa verzamelinsstrategie slechts het groter maken van de hooiberg en verregaande corruptie binnen een overheidsorganisatie.

[Reactie gewijzigd door DocSnuggels op 24 april 2014 17:14]

Het probleem heeft niks met NSA te maken, in open source is het per definitie moeilijker om een achterpoortje in te bouwen. Net omdat iedereen de code changes kan bekijken. Dat het gebeurt is, is spijtig, en dat iemand (in dit geval NSA) daar van gebruik heeft gemaakt is niet met elkaar verbonden.

Dat er nu door bedrijven geïnvesteerd word in code reviews is een goeie zaak. De NSA zal blijven bugs zoeken en misbruiken, en zolang dat gecontroleerd en met de juiste intenties gebeurt, is dat zeker niet fout. (wat dus ook niet het geval was)
Ik denk dat het juist makkelijker is om in open source een backdoor in te bouwen!

Bij open source zijn medewerkers niet verbonden aan een (commerciele) organisatie, maar doen ze op ad-hoc achtige basis mee aan een project. Wat voor background checks worden er gedaan op die programmeurs? Kan daar een NSA man bij zitten? En buffer-overflow is bij wijze van spreken al te implementeren door een ";" te vergeten - iets dat je bij een code-review makkelijk over het hoofd ziet, en dat je later als "honest mistake" kan afdoen...

Overigens is OpenSSL nou niet echt een goed voorbeeld van de kwaliteit die open-source initiatieven afleveren - zie OpenSSL is written by monkeys
https://www.peereboom.us/assl/assl/html/openssl.html

Edit: en ter illustratie ook de andere kant: een wedstrijd om backdoors te verstoppen in code, met aardige voorbeelden erbij: Hiding Backdoors in plain sight
https://backdoorhiding.appspot.com/ en ook http://underhanded.xcott.com/ (die tweede link heeft een aantal aardige voorbeelden van 'plain sight' backdoors die niet zomaar op te sporen zijn)...

Conclusie: als iemand backdoors wil verstoppen, dan lukt dat. En als je niet weet wie je programmeurs zijn, dan is de kans mijns inziens groter dat zoiets gebeurt...

[Reactie gewijzigd door Tukkertje-RaH op 25 april 2014 11:22]

Dat het open source is zegt op zich nog niet zoveel. Het wil alleen zeggen dat het in theorie mogelijk is dat iemand gaat zoeken naar de achterdeur en deze potentieel kan vinden. In de praktijk is het echt onbegonnen werk. Een stuk software als OpenSSL is dermate groot en complex dat je een enorme investering qua manuur moet doen om te begrijpen hoe het precies werkt en of daar wel of niet iets mis mee is. Daarnaast wordt er in de open source community amper aan documentatie of code review gedaan. Als ik de jongens achter LibreSSL moet geloven is de codebase van OpenSSL een ramp, toch heeft niemand daar ooit iets aan gedaan.

Dus zeggen: Het is open source dus is het lastig een backdoor erin te krijgen zou ik niet te hard roepen. In het geval van heartbleed was het een klein foutje, maar als die fout met opzet erin was gezet (wat dus niet zo is!) had net zo hard niemand het al die jaren opgemerkt.
Als ik de jongens achter LibreSSL moet geloven is de codebase van OpenSSL een ramp, toch heeft niemand daar ooit iets aan gedaan.
Het is misschien te laat, maar de bug is uiteindelijk wel gevonden en de code wordt verbeterd.
Na 4 jaar, bij "toeval" door twee verschillende, onafhankelijke onderzoekers..
Het is niet "misschien" te laat hoor.
Het is 100% zeker, de meest ultime epic fail sinds de uitvinding van computers.

Nog steeds heeft niemand door wat een gigantische impact en reikwijdte dit probleem heeft.

De 3,9 miljoen die nu is toegezegd zal zeer zeker nog wel toenemen want het verbleekt bij de totale kosten.

Schrik niet als er "zometeen" bedragen van 1000 miljard (wereldwijd) of veelvouden daarvan opduiken wanneer "men" de materiële en immateriële kosten van deze wereldwijde ramp gaat becijferen.
Dat is wel heel veel geld hoor. Naast SSL kun je nog meer encryptietechniekek toepassen die je evt. zelf ontwikkeld. Voor dat je door al die lagen heen gekraakt bent zullen er nieuwere algoritmes gebruikt worden. Keys achterhalen kan altijd maar de kans dat het dan nog lukt is ontzettend laag.
Ik weet dat het veel geld is, maar we spreken over een probleem dat 2/3e van de hele wereld heeft geraakt, en wel 4 jaar lang!
Als een niemand (behalve zij dit het uiteindelijk misbruikt hebben) al een domme fout kan vinden... wat gaat het dan zijn met zeer complexe algoritme fouten die de NSA er eventueel zou instoppen ?
Er zijn ook theorieën die zeggen dat het dieper gaat dan alleen de software, maar dat het encryptie algoritme een backdoor bevat.

In het kort:
Ze zeggen dat de random nummer generatie die gebruikt wordt om dingen te encrypten een wiskundige backdoor heeft. Het gaat om Elliptic Curve Cipher, deze gebruikt 2 punten op een curve die aangeleverd worden door de Amerikaanse overheid. Er wordt gezegd dat de relatie tussen deze punten bekend bij de overheid en daarmee de mogelijkheid hebben om encryptie te omzeilen.

Check een video Numberphile: http://www.youtube.com/watch?v=ulg_AHBOIQU
Je bedoeld dat bijvoorbeeld de Amerikaanse regering namens de NSA ook het initiatief gaat ondersteunen en zo mag meebeslissen?
Zou best kunnen gebeuren natuurlijk. Op het einde draait het toch allemaal om geld namelijk.
Goede zaak dat hier nu beweging in zit.

Ik sta eigenlijk versteld hoe zoiets bij zo een hyper-kritieke toepassing heeft kunnen gebeuren. Dit is een protocol dat door miljoenen wordt gebruikt, waar banken, en bedrijven met een miljardenomzet hun vertrouwen in leggen, en waarmee onnoembaar veel geld en informatie dagelijks mee wordt uitgewisseld. Ok, programmeurs maken fouten, en reviewers van de code eveneens. Maar bedrijven hebben een eigen verantwoording voor de beveiliging van hun websites... Was er dan niemand van Google, Yahoo, Instagram, Amazon en noem maar op wakker genoeg om te kijken wat voor code ze in huis halen? Als een stuk code werkelijk maar langs één (1) reviewer is gegaan, dan moet je jezelf toch afvragen of dat voldoende is voor het veiligheidsconcept van jouw bedrijf?

Het is misschien wat makkelijk gezegd als non-programmeur; ik begrijp dat het om vele regels code gaat, en dat de interactie met andere delen code het niet gemakkelijk maakt. Ik ben zelf werkzaam in een industrie waar metersgrote complexe machines worden gemaakt, met toleranties van tiende millimeters. Een wijziging in een bepaald onderdeel heeft vaak vele gevolgen voor de rest van de machine. Stilstand/schade van kost miljoenen, en levert heeft gevolgen voor vele duizenden mensen. Daar is het ondenkbaar dat twee mensen op eigen houtje zomaar iets veranderen, maar doorloopt het een aantal gestructureerde reviews van experts. Het feit dat menigeen blind op het werk van 2 personen is gevaren kan je de grote betroffen bedrijven kwalijk nemen.

Zoals het tot nog toe op mij overkwam was een soort bandje-plak, een patch, en men hobbelt verder tot de volgende veiligheidsbug. Hopelijk is dit een aanzet tot een beter gestructureerde aanpak.
Goede zaak dat hier nu beweging in zit.

Ik sta eigenlijk versteld hoe zoiets bij zo een hyper-kritieke toepassing heeft kunnen gebeuren. Dit is een protocol dat door miljoenen wordt gebruikt, waar banken, en bedrijven met een miljardenomzet hun vertrouwen in leggen, en waarmee onnoembaar veel geld en informatie dagelijks mee wordt uitgewisseld.
Ten eerste is OpenSSL geen protocol. Ten tweede: de meeste banken gebruiken geen OpenSSL (bron).
Was er dan niemand van Google, Yahoo, Instagram, Amazon en noem maar op wakker genoeg om te kijken wat voor code ze in huis halen?
Je onderschat wat een taak code review is in tijd en daarmee kosten. Een voorbeeldje van wat er allemaal bij komt kijken.

Hoe ga je om met updates? Ga je die elke keer van een langdurige review voorzien? Let op dat exploits toegevoegd kunnen worden door een combinatie van updates. Je zal dus elke update de gehele code opnieuw moeten reviewen. Dit krijg je niet op tijd af, waardoor je systemen achter zullen lopen en kwetsbaar zijn. Bovendien is code review geen garantie dat je daadwerkelijk bugs van deze grootte zal vinden.

In tegenstelling tot wat sommige open-source ontwikkelaars graag zouden zien is hun product vaak niet het middelpunt van iemand anders zijn of haar wereld. Implementeren en zonder gezeur (liefst onderhoudsarm) blijven werken zijn zaken die van belang zijn voor een organisatie.

Overigens ben ik het er wel mee eens dat er vanuit meer organisaties middelen ingezet mogen worden om open-source projecten te ondersteunen. Dit kan op veel verschillende manieren. Als je bedrijf niets met code doet is (belastingaftrekbaar! ;) ) doneren vaak ook een optie.

[Reactie gewijzigd door The Zep Man op 24 april 2014 19:54]

Ten eerste is OpenSSL geen protocol. Ten tweede: de meeste banken gebruiken geen OpenSSL
Accoord, maar het eerste punt is irrelevant; het gaat om regels code die niet voldoende/adequaat is gereviewed voor de toepassing in kwestie, en voor de schaal waarop het wordt toegepast.

Zelfs als er geen banken betrokken waren dan blijft het punt staan dat bedrijven als Google, Facebook, Yahoo, en Amazon de resources (programmeurs, $$$) en belang hebben bij het goed functioneren van deze code. Hun businessmodel drijft op het vertrouwen dat klanten hebben in hun diensten.
Je onderschat wat een taak code review is in tijd en daarmee kosten.
Dat een review veel tijd kost is me duidelijk, maar de Heartbleed bug heeft duidelijk gemaakt dat het voor toepassingen waar zoveel op het spel staat, en die zo universeel worden ingezet een essentieel punt is.

Interessante punten in de link naar de Truecrypt-review:
- Beloningen voor bug-bounties. Zoiets had in het geval van OpenSSL al lang geimplementeerd kunnen zijn. Bedrijven als Google hebben jarenlang gratis gebruik gemaakt van de gratis code. Iets wat gratis is kan je geen hoge eisen aan stellen.

- Het uitvoeren van een "professionele audit". Heeft OpenSSL een "professionele audit" gehad, en maakt dit wat uit? Wat zijn de protocollen en criteria waaraan een professioneel bedrijf een code-audit doorvoeren, en wat kan de Open-Source gemeenschap hiervan leren om op hetzelfde niveau te komen?
Hoe ga je om met updates? Ga je die elke keer van een langdurige review voorzien? Let op dat exploits toegevoegd kunnen worden door een combinatie van updates. Je zal dus elke update de gehele code opnieuw moeten reviewen. Dit krijg je niet op tijd af, waardoor je systemen achter zullen lopen en kwetsbaar zijn.
Wat je met updates, combinaties van updates etc doet kan je vastleggen in je review procedure. Bestem in een eerste review ronde welke andere delen van de code door een wijziging beinvloed worden en escaleer dat naar een volgende review-ronde. Het gaat om een gestructureerde aanpak die voor volgende reviewers/auditors te volgen is.

Oudere versies van OpenSSL waren niet kwetsbaar voor de Heartbleed bug, en daar waren/zijn ook nog veel bedrijven die hiervan gebruik maken. In dit geval ging het dus niet om achter lopen en kwetsbaar zijn, maar het implementeren van nieuwe niet-essentiele functionaliteiten.
In tegenstelling tot wat sommige open-source ontwikkelaars graag zouden zien is hun product vaak niet het middelpunt van iemand anders zijn of haar wereld. Implementeren en zonder gezeur (liefst onderhoudsarm) blijven werken zijn zaken die van belang zijn voor een organisatie.
Ik leg dan ook alle schuld bij bedrijven die zonder nadenken, en zonder betalen deze code gebruiken. Zoals ik al eerder schreef, het feit dat ze nu wel betalen is feitelijk een schuldbekentenis.


Wat dat betreft kan ik me hierbij aansluiten:

Die digitale Wirtschaft hängt substantiell von Open-Source-Entwicklungen ab, sie vertraut voll auf deren Funktionsfähigkeit - aber sie gibt offensichtlich nicht ausreichend Kapital, Arbeitskraft, Know-how zurück, um die notwendige Qualitätssicherung zu gewährleisten. Als würde Mercedes herumliegende, kostenlose Räder in seine Autos einbauen und dann zerknirscht dreinschauen, wenn die Reifen bei voller Fahrt platzen.
Het was open source, dus het was veilig. De sourcecode was openbaar dus er hebben heel veel mensen naar gekeken om bugs te vinden. Helaas kwam niemand op het idee te controleren wie die controle had uitgevoerd en of hij überhaupt wel gedaan was.
Heel veel mensen hebben naar de sourcecode kunnen kijken. In dit specifieke geval weten we niet meer dan dat één programmeur (Robin Seggelman) verantwoordelijk was voor het schrijven van de betroffen code, en dat één persoon (Stephen Henson) dit gereviewd heeft. Mogelijk waren het er meer, maar daar is formeel niks van bekend.

Bedrijven die ondanks miljardenomzet blind vertrouwen op een stuk software dat hun nul euro heeft gekost zijn dan m.i. nalatig.

Het feit dat deze bedrijven dat nu kennelijk wel doen zie ik dan ook als een erkenning van schuld.
Security reviews zijn moeilijk en (dus) duur. OpenSSL is extra vervelend omdat de code een puinhoop is en het ook nog over een ontzettend moeilijk onderwerp gaat. Een probleem dat je vaker ziet bij gespecialiseerde code is dat je mensen hebt die heel goed kunnen programmeren maar niet genoeg van cryptografie weten en cryptografen die niet goed kunnen programmeren.
Daarbij werken de meeste experts ook nog voor universiteiten en hebben niet de middelen beschikbaar om zo'n groot project aan te pakken.
Kostenaspect en code-kennis is voor de (o.a.) Googles van deze aarde geen probleem.

Als OpenSSL zo'n puinhoop is, is het des te meer onbegrijpelijk dat bedrijven die de middelen hebben hierop vertrouwen.

Resources cryptografie/programmeurs: lijkt me wederom voor bedrijven geen probleem. Sponsor de universitaire experts: masters, promovendi, post-docs om zo´n project gestructureerd aan te pakken (en pluk deze personen later weg voor je bedrijf).
Elk bedrijf dat het initiatief steunt mag vertegenwoordigers aanwijzen die aanschuiven in een comité van opensourceontwikkelaars en academici. Dat comité bepaalt vervolgens welke opensourceprojecten er geld ontvangen.
Mag dit dan nog wel het etiket Opensource dragen dan? Ik weet wat opensource betekent, en het zal heus nog wel in te kijken zijn, maar als er zoveel geld mee gemoeid is en er een comite aangemaakt wordt met mensen welke bepalen waar het geld heen gaat (dat ging toch naar het OpenSSL project?) welke van bedrijven af komen welke een bepaalde samenwerking met de NSA onderhouden, dan gaan bij mij de rug haren ietswat omhoog staan.

Wellicht overdrijf ik, maar ik ben een beetje huiverig voor deze constructie gezien de Patriot Act.
Je overdrijft. Er zijn tig organisaties die niets anders doen dan hierover zeuren en dit in de gaten houden.

Worst case fork je de code en draaien we binnen 10 jaar allemaal YzordSSL _/-\o_
Als ik het kon, deed ik het. Ben nogal begaan met privacy en security wat aan encryptie hangt. Neemt niet weg dat ik er geen goed gevoel bij heb dat zulke grote bedrijven zich met OpenSSL gaan bemoeien. Maar dat is mijn persoonlijke mening en grotendeels gebaseerd op mijn mening over deze bedrijven.

Desalniettemin hoop ik dat er iets goeds uit komt.
Tsja, dan zou je ook erg wantrouwend moeten zijn met Linux, de meeste code daarvan wordt tegenwoordig door werknemers van diezelfde grote bedrijven geschreven.
Open source heeft betrekking op de licensievoorwaarden van de code, niet over de overlegstructuur hoe die code tot stand is gekomen.
Ik vraag me af wat het belang van Microsoft in deze is, vooral omdat MS natuurlijk een eigen SSL implementatie heeft en daarmee voor zover ik weet geen last van OpenSSL problemen heeft. Waarschijnlijk vooral voor het vergaren van kennis en wellicht het hebben van een vinger in de pap.
Wellicht een goedkope methode om op de hoogte te blijven. Het kan natuurlijk ook een imago-ding zijn.

Los daarvan, goed initiatief van deze partij en fijn dat er zoveel grote partijen al aangegeven hebben mee te willen betalen.

[Reactie gewijzigd door Davey400 op 24 april 2014 16:11]

Misschien dat de rol van Microsoft op de servermarkt kleiner is dan in de rest van het bedrijfsleven. Servers draaien op Linux/BSD/Apache, en nu is het een mooie kans om op de eerste rij mee te kijken, hun invloed uit te oefenen en zien waar ze hun kansen kunnen pakken.
Netcraft claimt 32% marktaandeel voor IIS :)

http://blogs.iis.net/erez...hare-for-web-servers.aspx

Statistieken zijn altijd gevaarlijk dus er zal vast wel een andere statistiek ergens anders zijn die wat anders beweerd, maar het is wel een feit dat IIS extreem gegroeid is de laatste 5 jaar onder de leiding van de man die net CEO geworden is.
Voor Microsoft is een 'veilig' internet van groot belang, ook als het een concurent steunt.
Microsoft ondersteund al jaren linux hoor. Je kunt linux VM's draaien in Azure, en daardoor heeft ook Microsoft baat bij veilige applicaties op hun systemen.
Wellicht is MS niet helemaal zeker van zijn zaak? Ze hadden geen last van Heartbleed,maar ook zij zullen geen schone code hebben.
Daarnaast is MS de laatste jaren veel meer bezig met standaarden, houden ze zich aan vele, en op deze manier kunnen ze ook invloed uitoefenen op de implementatie.
Diensten, en zowat alles worden meer & meer via het internet gedaan. Microsoft maakt ook enorm gebruik van het Internet in zijn eigen producten. Tablets, Smartphone's, OS, Xbox, enz ...

Indien de klanten ( u, mij, ... ) zouden gaan twijfelen over de veiligheid van het internet, zou dat wel eens gevolgen kunnen hebben op product verkopen. Het is niet omdat MS hun eigen SSL implementatie heeft, dat een slechte reputatie van SSL, ook niet overdraagt op MS he ... Want je kan tegenwoordig zegen te de mensen: Onze implementatie is wel veilig bla bla bla ... maar mensen geloven je tegenwoordig minder & minder.

En men mag ook niet vergeten, dat heel wat producten van MS, communiceren met 3de partij servers ( dat vaak Linix draaien ). Indien gegeven gestolen worden van mensen, gaan ze niet automatische gaan denken "die verdoemde Linux", nee, men denkt snel "verdoemde Windows, weeral trojan of whatever". *lol*

En voor MS is 100.000¤ niets, daartegen heeft men ook een vinger in de pap. Gaan ze met SSL een richting uit dat MS niet aanstaat, kan men de boel manipuleren / lobbyen. Gaat makkelijker van binnen uit, dan van buiten he ;)
Ik vraag me af wat het belang van Microsoft in deze is, vooral omdat MS natuurlijk een eigen SSL implementatie heeft en daarmee voor zover ik weet geen last van OpenSSL problemen heeft.

Microsoft heeft er belang bij dat hun clients met een secure server kunnen praten van de concurent. De wereld is gelukkig niet zo zwart-wit als mensen soms denken, waarbij men de concurent geen duimbreed wil helpen.

Verder werkt Microsoft intensief samen met Akamai die wel OpenSSL gebruikt.
Microsoft verkoopt zelf linux: Nokia toestellen met Android erop :P
Microsoft gebruikt dan wel een closed source licensie, dat betekent niet dat niemand ooit hun code heeft gezien - er zijn een hoop code audits gedaan onder het Shared Source programma.

Bovendien, de Windows 2000 source is een paar jaar terug gelekt, en daar zat geen GPL code in.

[Reactie gewijzigd door Dreamvoid op 24 april 2014 17:20]

OpenSSL is niet GPL maar BSD, het had gewoon opgenomen mogen worden in Windows net als de netwerkstack dat wel was.
Je kan natuurlijk gaan roepen dat dit veel eerder had gemoeten, maar het is goed dat DE manier waarop ons internet leven beveiligd wordt nog veiliger wordt. Geen kwaad woord over de developers, zelfs niet de heartbleed bug veroorzaker. Het is ontzettend complex en er zijn gewoon heel veel recsources nodig om openSSL te verbeteren. Resources die er nu komen. Mooizo. :)

[Reactie gewijzigd door DeEchteKwartel op 24 april 2014 16:10]

Mits niet de NSA een voet achter de deur krijgt. Het feit dat zoveel Amerikaanse bedrijven ermee bezig gaan maakt de herimplementatie ook een potentieel gevaar.
De beveiliging die op het internet tegenwoordig is is heel erg goed als je zag waarvoor het internet eerst voor gebruik werdt. Internet was bedoelt om informatie vrij te geven, niet om persoonlijke dingen mee te doen zoals bankzaken. Ontzettend prachtig dat het nu kan, maar als er bij de ontwikkeling van het internet naar de beveiliging werdt gegekeken hadden we waarschijnlijk een veel veiligere oplossing dan dat we nu hebben. Daarbij wil ik absoluut niet zeggen dat de oplossingen die er nu zijn niet goed zijn, die zijn namelijk prachtig.
iets met een kalf en een put..
Dat is idd wel zo - je ziet dat Linux enorme sprongen heeft gemaakt sinds de grote bedrijven er met veel werknemers aan zijn gaan werken, en idem met Webkit (ex-Konqueror). Maar er zijn nog wel meer essentiele libraries die door iedereen gebruikt worden maar waar maar draait op een handjevol developers. Het (ietwat naieve) idee dat op magische wijze een grote groep geweldig capabele code auditors rondloopt die naast hun dagelijkse job in de avond ook nog eens voor de lol saaie en erg complexe libraries gaan zitten auditen, is door schade en schande wel aan het verdwijnen. Wil je goede open source code, dan moeten de grote gebruikers (Google, Facebook, IBM, Oracle, Novell, etc) in de buidel tasten en hun werknemers erop zetten.

[Reactie gewijzigd door Dreamvoid op 24 april 2014 17:21]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True