E-handelsløsninger: Open Source vs. Closed Source - Et sikkerhedsspørgssmål.

Hej

Er her nogen som har relevant erfaringer i følgende spørgsmål eller andre som kan bidrage med kloge ord?

Jeg ved af bitter erfaring at man skal holde sig langt fra open security modeller som f.eks. Drupal og EE CMS systemer. Men, hvor stor sikkerhed er der i at anvende en open source løsning, hvor alle har adgang til kildekoden - dog løsninger hvor sikkerhedsrisici ikke offentliggøres før brugerne rent faktisk har haft en chance for at opdatere deres system? Med adgang til kildekoden, er det jo egentlig ikke svært for ondsindede personer at hacke en webshop og manipulere med inholdet vha. f.eks. SQL-injections. Korttransaktioner er jo heldigvis sikret i form af gateway'en, så det er udelukkende risikoen for "for sjov"-hacking vi taler om her.

Findes der rent faktisk open source løsninger, som er sikre nok til at man kan anvende dem til en seriøs forretning?

Hej Webshopperen

Min partner er John Larsen som er ledende indenfor I.T. sikkerhed. Hans personlige mening er at MS produkter er sårbare. For sårbare, (koster yderligt mange penge at bruge). Sæger du sikkerhed og ofre PHP ikke sikkerhed nok kan du søge over i JAVA og Delphi, disse yder en højere sikkerhed, når det kommer til Hackers, personligt bruger vi forskellige former for PHP, hvad det drejer sig om er betalings gatewayen disse er super encrypted, John mener at deres sikkerhed gør det umuligt a hacke.

Så en måske forsimplet konklussion er at du kan bruge PHP uden problemer, deres betalings systemer fungerer, payment gatewayer er supersikre og ikke afhængigt af det program som du bruger til din shop.

Hilsen Michael

Nu har jeg ikke den store erfaring med CMS specifikt, men jeg har en stor erfaring med Open Source. Nogle af de mest udbredte sikkerhedsløsninger er faktisk Open Source baseret. Som eksempel kan jeg da fremhæve OpenSSH der sammen med OpenSSL bruges til at etablere sikre forbindelser mellem maskiner på nettet og til sikker fil-overførsel. Det bruges istedet for telnet og FTP der begge er ekstremt usikre. Selvom der findes betalingsprodukter, så er OpenSSH - der er open source - en af de mest anvendte på området og selvom der også her er angreb fra hackere, så løses disse hurtigt og dermed sikres systemet. OpenSSL er ligeledes en af de mest anvendte krypteringsværktøjer og er basis for mange betalingsprodukter. Så hvis ikke open source var godt nok (selvfølgelig skal man se sig for - ikke alt er lige godt) så var online sikkerheden i en sørgelig for fatning.

Skal også lige siges at jeg har arbejdet (og gør for sin vis stadig) med store enterprise cms systmer såsom MS SharePoint (MOSS) og Tridion, og på trods af deres heftige licenspriser, er græsset bestemt ikke grønnere på deres side!

> Fx. har vel opdateret min Wordpress blog 20 gange for hver gang der sendes en opdatering til Microsoft Sharepoint.

Det er så også netop et af problemerne med meget OpenSource - det er ofte drevet frem af en stor gruppe nørder der ELSKER opdateringer. For alle os andre er opdateringer som regel et helvede som er forbundet med stor risiko for forstyrrelser i forretningen.

Med hensyn til lige netop Wordpress er det ikke så slemt, da der nu er eindbygget opdaterings-system, men det er langt fra alle systemer der har noget der er så enkelt.

Før WP gik over til det automatiske opdateringssystem var konsekvensen af de mange og svære opdateringer, at enormt mange WP installationer kørte på gamle og meget usikre versioner.

Så vælger man OpenSource så skal man også være klar til at håndtere de ofte mange opdateringer ellers kan man meget let stå med en langt mere usikker løsning end med al anden closed source.

Mikkel deMib Svendsen:

> Fx. har vel opdateret min Wordpress blog 20 gange for hver gang der sendes en opdatering til Microsoft Sharepoint.

Det er så også netop et af problemerne med meget OpenSource - det er ofte drevet frem af en stor gruppe nørder der ELSKER opdateringer. For alle os andre er opdateringer som regel et helvede som er forbundet med stor risiko for forstyrrelser i forretningen.

Når vi snakker lige netop sikkerhed, er det ikke et problem, men en klar fordel.

Det ABSOLUT værste ved fx Microsofts opdateringer, er at de kun kommer én gang om måneden.

Hvis man opdager et alvorligt sikkerhedsproblem, kan man risikere at sidde med et hullet system i en måned - eller mere til rettelsen er udkommet.

Fordelen ved små men hyppige rettelser er også, at risikoen for at der sker noget med softwaren, forstyrrelser i forretningen, er mindre. Din frygt for forstyrrelser af forretningen må du jo have fået fra de store men sjældnere opdateringer i de closed source programmer du bruger.

Men du har selvfølgelig ret i, at det er spild af tiden for kunden at sidde og sørge for opgraderinger. Derfor kan man jo alliere sig med en webpartner, som kan sørge for det. Mange har opdateringsaftaler, hvor de forpligter sig til at holde softwaren opdateret. Ligesom man også betaler for dét ved closed source software.

I øvrigt er din sætning "open source er drevet frem af en stor gruppe nørder der ELSKER opdateringer" vist mere en trold-kommentar, end det er indsigtsfuldt. Du er jo kendt for på din blog at være arg modstander af Open Source.

Martin Pihl:

I øvrigt er din sætning "open source er drevet frem af en stor gruppe nørder der ELSKER opdateringer" vist mere en trold-kommentar, end det er indsigtsfuldt. Du er jo kendt for på din blog at være arg modstander af Open Source.

Næhh, det er såmænd bare den oplevelse både jeg og mange andre har. Men jeg ved da godt at det er næsten ligeså tabu at skrive negativt om OpenSoucre som det er tegne Muhammed. De fanatiske OpenSource fortalere forsøger i hvert fald altid at overbevise modstandere om, at de skam taler helt fejl med samme agression og "fresthed", som man ellers kun ser blandt religiøse fanatikere og militante feminister.