Teknik, hosting & e-handelsløsninger

Svar: E-handelsløsninger: Open Source vs. Closed Source - Et sikkerhedsspørgssmål.

Ronnikc — Wed, 13 Jan 2010 19:31:21 GMT

Dog er der en lille forskel.

I et closed sourc miljø kan der være kendte exploits på få hænder i rigtigt lang tid som ikke opdages - hvorimod det i et open source miljø hurtigt opdages og rettes.

Så hvis man sørger for at for opdateringersordninger med sit på sit open source website eller selv står for det så er det altså ikke helt tosset at alle og en hver kan granske den kode der ligger bag for svagheder og fejl og mangler - Åbenhed kan ihvertfald aldrig blive en ulempe!

Svar: E-handelsløsninger: Open Source vs. Closed Source - Et sikkerhedsspørgssmål.

Martin Pihl — Wed, 13 Jan 2010 07:26:06 GMT

Lundsby:

Jeg er ikke overraskende ret enig med Mikkel, jeg havde faktisk også begyndt at samle på Amino-indlæg med OpenSource shops, der var blevet hacket. Jeg synes tit folk, undervurderer omkostningerne ved opdateringer. Dels skal man installerer opdateringen, men derudover skal man også gen-teste hele sin shop, og tage højde for breaking-changes etc. det koster og tager tid.

Det er vi heller ikke uenig om. Vælger man en komplet do it yourself løsning, skal man også sørge for at holde systemet opdateret.

Der ligger en opgave, både her på Amino og generelt, i at gøre folk opmærksomme på vigtigheden af opdateringer. Det gælder til CMS som til Windows og alt andet software. Eksempelvis skyldes rigtig mange hacker-angreb i dag, at folk har en uopdateret udgave af Adobe Flash på PC'en.

Mine CMS kunder tilbydes en opdateringsaftale, således at jeg forpligter mig til at holde deres software opdateret. For kunden er det en tidskrævende, og indimellem risikabel manøvre, mens det for os er rutinearbejde at tage backup af database og filer og opdatere. Kunden kan selv vælge, men bliver gjort opmærksom på faren ved ikke at sørge for opdatering. Jeg har desværre måtte redde virksomheders hjemmeside op til flere gange fra et angreb, fordi deres webbureau ikke havde gjort dem opmærksom på alvoren i opdateringer.

Men det gælder jo ikke kun Open Source - det er det samme for alt software. Jeg arbejdede for en (closed source) CMS producent, som også hostede installationerne, og her havde man muligheden for at fravælge automatiske opdateringer.

Og du kan du downloade gratis eller betalingsystemer, som ikke er open source, og her gælder det nøjagtig det samme med opdateringer.

Så konklusionen: Det er fuldstændigt lige meget om det open source eller closed source - vælg en hosted (open source) løsning, hvis du ikke selv vil stå for opdateringer, eller allier dig med et webbureau, som kan stå for opdateringerne. Og lad være med at gøre alting selv.

Svar: Re: E-handelsløsninger: Open Source vs. Closed Source - Et sikkerhedsspørgssmål.

Lundsby — Tue, 12 Jan 2010 23:25:13 GMT

Mikkel deMib Svendsen:

Ja, jeg synes faktisk også det var ret fedt - særligt for en amatør-programmør, som jeg, da man kan lave mange af de samme tunge ting som i f.eks. C++ men uden nødvendigvis at skulde holde styr på pointers og andre farlige ting :)

Jeg kunne også rigtigt godt lide Delphi (Brugt version 1 og 1.1/2), jeg synes egentligt det er meget tydeligt at Anders Hejlsberg har taget en del af de gode ting fra Delphi med i C# (Resten er inspireret fra Java), men der er bare et eller andet der gør, at sprog med basic/pascal-ligende syntaks er lettere at læse end C-lignende.

Svar: Re: E-handelsløsninger: Open Source vs. Closed Source - Et sikkerhedsspørgssmål.

Mikkel deMib Svendsen — Tue, 12 Jan 2010 23:16:31 GMT

Niels:
Jeg har selv brugt Delphi 4-7 og det var et godt sprog... savner det lidt :)

Ja, jeg synes faktisk også det var ret fedt - særligt for en amatør-programmør, som jeg, da man kan lave mange af de samme tunge ting som i f.eks. C++ men uden nødvendigvis at skulde holde styr på pointers og andre farlige ting :)

Svar: Re: E-handelsløsninger: Open Source vs. Closed Source - Et sikkerhedsspørgssmål.

Niels Henriksen — Tue, 12 Jan 2010 22:55:53 GMT

Mikkel deMib Svendsen:
Ja, der er skam stadig en lille ihærdig gruppe af dem. Jeg begyndte selv at skrive noget Delphi for nogle år siden

Jeg har selv brugt Delphi 4-7 og det var et godt sprog... savner det lidt :)

Svar: Re: E-handelsløsninger: Open Source vs. Closed Source - Et sikkerhedsspørgssmål.

Mikkel deMib Svendsen — Tue, 12 Jan 2010 22:30:35 GMT

> Delphi (lever de stadig?)

Ja, der er skam stadig en lille ihærdig gruppe af dem. Jeg begyndte selv at skrive noget Delphi for nogle år siden, da jeg arbejdede for et firma i USA der brugte det flittigt. Men jeg er og bliver aldrig full-time programmør, så det er begrænset hvor langt jeg kom :)

Svar: Re: E-handelsløsninger: Open Source vs. Closed Source - Et sikkerhedsspørgssmål.

Lundsby — Tue, 12 Jan 2010 21:14:07 GMT

Michael:
Så en måske forsimplet konklussion er at du kan bruge PHP uden problemer, deres betalings systemer fungerer, payment gatewayer er supersikre og ikke afhængigt af det program som du bruger til din shop.

Hold da op en gang sludder, som Niels siger så sikre den underliggende teknologi, ikke at en løsning bliver sikker hvad det er PHP eller noget andet. Der er igennem tiderne hacket rigtigt rigtigt mange PHP løsninger. Jeg har ikke noget empirisk bevis, men jeg vil faktisk tro at det er en af de mest hackede platforme (det er også en af de mest populærer).
IT-Sikkerhed sikkerhed handler i bund og grund om kompetente mennesker og at afsætte de fornødne resourcer, det burde John også vide!

Svar: Re: E-handelsløsninger: Open Source vs. Closed Source - Et sikkerhedsspørgssmål.

Niels Henriksen — Tue, 12 Jan 2010 20:56:25 GMT

Michael:
MS produkter er sårbare

Alle produkter er såbare. Ikke kun MS's.

Michael:
personligt bruger vi forskellige former for PHP, hvad det drejer sig om er betalings gatewayen disse er super encrypted, John mener at deres sikkerhed gør det umuligt a hacke.

Lige så snart en system skal kodes, så skal man tænke over sikkerheden. Det er uden betydning om det er .NET (MS), PHP eller Delphi (lever de stadig?) det bliver kodet i. Hvis man koder med hovedet under armen, så er alle teknologierne sårbare.

Nu vi snakker om Open Source, så læste jeg idag at Open Source miljøet ikke rigtigt vil acceptere Umbraco fordi det er lavet i .NET som ikke er open source.

Svar: E-handelsløsninger: Open Source vs. Closed Source - Et sikkerhedsspørgssmål.

Lundsby — Tue, 12 Jan 2010 20:35:25 GMT

Jeg er ikke overraskende ret enig med Mikkel, jeg havde faktisk også begyndt at samle på Amino-indlæg med OpenSource shops, der var blevet hacket. Jeg synes tit folk, undervurderer omkostningerne ved opdateringer. Dels skal man installerer opdateringen, men derudover skal man også gen-teste hele sin shop, og tage højde for breaking-changes etc. det koster og tager tid.

Men det sagt, så mener jeg at Open Source shopsystemer, generelt er sikre nok, til forretningsdrift. Man skal bare sætte de fornødne tekniske resourcer af til det. Det betyder også meget hvordan man er hostet, i en "shared" hosting løsning, så er alle lidt i samme båd, og hvis en glemmer at opdaterer sin løsning, kan det gå ud over alle. Det sket f.eks. for et af de omtalte Amino-indlæg.
Derfor skal man nok kigge på enten en virtuel eller en dedikeret server. Så man kun skal frygte sin egne fejl, og ikke også alle andres.

Sjovt nok, har jeg faktisk aldrig hørt om en hacket DanDomain eller ScanNet shop, og vi har heller ikke haft nogle problemer (Banker under bordet).

Svar: E-handelsløsninger: Open Source vs. Closed Source - Et sikkerhedsspørgssmål.

Chop — Tue, 12 Jan 2010 19:33:40 GMT

Hej!

Efter min mening er alle online-systemer med enten open source eller closed source sårbare, hvis hackers virkelig har brugt lidt tid på dem. Det tager lidt længere tid at ødelægge/hacke et system med closed source end open source, men det er ikke umuligt.

Jeg mener, at den bedste måde at beskytte systemet på er, at systemet kun fås adgang igennem et gateway med den såkaldt dynamiske firewall.

Den dynamiske firewall kan til opgaver blokere adgang, i nogle tilfælde helt kommunikation for en bestemt funktion, f.eks. login-funktionen til systemet. Mit shopsystem er forsynet et sådant gateway. Hvis en kunde f.eks. angiver sit password forkert 5 gange bliver han/hun blokeret for adgang til login-funktionen i 4 timer (i virkeligheden må man angive sit password 5 gang hver 4 timer). På den måde som jeg regner ud vil det tage flere år for en hacker kan hacke en kundes password med et avanceret hackeværktøj.

I kan som et experiment bruge den shopid sh44599839 samt et forkert password til at logge på min demoshop. Tryk på Storehotel at komme på min hjemmeside.

Svar: E-handelsløsninger: Open Source vs. Closed Source - Et sikkerhedsspørgssmål.

Mikkel deMib Svendsen — Tue, 12 Jan 2010 14:52:40 GMT

Opdateringer er skam en væsentlig faktor i forbindelse med vurdering af sikkerheden - både de (helt rigtigt) ofte for langsomme opdateringer fra f.eks. MS, og de (ofte) alt for mange opdateringer fra OS - særligt på de systemer, hvor det er besværligt og der mange derfor ender med usikre systemer. Se bare hvor mange gamle WP installationer der stadig er rundt omkring ... Og ja, jeg ved da godt at man kan sige det er folks egen skyld, men faktum er stadig, at det for mange bliver praktisk uoverkommeligt at klare opdateringerne, når der er for mange og det er for svært.

Svar: E-handelsløsninger: Open Source vs. Closed Source - Et sikkerhedsspørgssmål.

Martin Pihl — Tue, 12 Jan 2010 13:56:46 GMT

Mikkel deMib Svendsen:
De fanatiske OpenSource fortalere forsøger i hvert fald altid at overbevise modstandere om, at de skam taler helt fejl med samme agression og "fresthed", som man ellers kun ser blandt religiøse fanatikere og militante feminister.

Du finder folk med et "farverigt" sprog indenfor alle erhverv - også i Open Source branchen, og desværre er det ofte dem, som råber højest, som der lægges mest mærke til.

Jeg synes dine blogindlæg som "Linux er noget lort" og "Openoffice er noget lort" meget godt illustrerer dét.

Vi er nu ganske mange open Source leverandører, som har et nuanceret billede af IT - som måske nok er "fans" af open source uden at være fanatikere. Der er heller ikke ret mange af os, som arbejder i et 100% open source miljø. Det er mere reglen end undtagelsen, at vi arbejder i et mixed source, og derfor tror jeg faktisk at de fleste af os har et mere nuanceret billede end du, Mikkel. Det lyder det i hvert fald til.

Jeg er dog ked af at denne tråd er blevet afsporet sådan. Den handlede om Open source var sikkert nok til forretningsbrug - og ja, det er det afgjort. Du kan med fordel bruge e-commerce CMS'er som Magento, OsCommerce, Zencart m.fl, som benyttes af mange millioner verden over.

Svar: E-handelsløsninger: Open Source vs. Closed Source - Et sikkerhedsspørgssmål.

Henning Winther — Tue, 12 Jan 2010 13:41:39 GMT

Mikkel deMib Svendsen:
De fanatiske OpenSource fortalere forsøger i hvert fald altid at overbevise modstandere om, at de skam taler helt fejl med samme agression og "fresthed", som man ellers kun ser blandt religiøse fanatikere

Jeg overgiver mig helt til Pihl's kommentar ovenfor - dit indlæg her siger jo alt.

At du er fortørnet over at fanatikere opfører sig som - ja fanatikere, det kan vel ikke komme som nogen overraskelse. Fanatikere finder du alle vegne også blandt de kommercielle produkter - måske skal man passe på med at kaste med sten når man bor i et glashus...

Det bliver mit sidste indlæg i denne tråd med mindre den oprindelige spørger har flere og mere seriøse kommentarer.

Svar: E-handelsløsninger: Open Source vs. Closed Source - Et sikkerhedsspørgssmål.

Mikkel deMib Svendsen — Tue, 12 Jan 2010 13:34:16 GMT

Martin Pihl:
I øvrigt er din sætning "open source er drevet frem af en stor gruppe nørder der ELSKER opdateringer" vist mere en trold-kommentar, end det er indsigtsfuldt. Du er jo kendt for på din blog at være arg modstander af Open Source.

Næhh, det er såmænd bare den oplevelse både jeg og mange andre har. Men jeg ved da godt at det er næsten ligeså tabu at skrive negativt om OpenSoucre som det er tegne Muhammed. De fanatiske OpenSource fortalere forsøger i hvert fald altid at overbevise modstandere om, at de skam taler helt fejl med samme agression og "fresthed", som man ellers kun ser blandt religiøse fanatikere og militante feminister.

Svar: E-handelsløsninger: Open Source vs. Closed Source - Et sikkerhedsspørgssmål.

Martin Pihl — Tue, 12 Jan 2010 13:25:28 GMT

Mikkel deMib Svendsen:

> Fx. har vel opdateret min Wordpress blog 20 gange for hver gang der sendes en opdatering til Microsoft Sharepoint.

Det er så også netop et af problemerne med meget OpenSource - det er ofte drevet frem af en stor gruppe nørder der ELSKER opdateringer. For alle os andre er opdateringer som regel et helvede som er forbundet med stor risiko for forstyrrelser i forretningen.

Når vi snakker lige netop sikkerhed, er det ikke et problem, men en klar fordel.

Det ABSOLUT værste ved fx Microsofts opdateringer, er at de kun kommer én gang om måneden.

Hvis man opdager et alvorligt sikkerhedsproblem, kan man risikere at sidde med et hullet system i en måned - eller mere til rettelsen er udkommet.

Fordelen ved små men hyppige rettelser er også, at risikoen for at der sker noget med softwaren, forstyrrelser i forretningen, er mindre. Din frygt for forstyrrelser af forretningen må du jo have fået fra de store men sjældnere opdateringer i de closed source programmer du bruger.

Men du har selvfølgelig ret i, at det er spild af tiden for kunden at sidde og sørge for opgraderinger. Derfor kan man jo alliere sig med en webpartner, som kan sørge for det. Mange har opdateringsaftaler, hvor de forpligter sig til at holde softwaren opdateret. Ligesom man også betaler for dét ved closed source software.

I øvrigt er din sætning "open source er drevet frem af en stor gruppe nørder der ELSKER opdateringer" vist mere en trold-kommentar, end det er indsigtsfuldt. Du er jo kendt for på din blog at være arg modstander af Open Source.