advertentie

Dit forum is niet langer actief. Voor vragen kun je voortaan terecht in de Vraag & Antwoord-rubriek van PCMweb.nl

 
Oud 4 September 2011, 14:40   #1
josve
Guest
 
Berichten: n/a
Standaard website beveiligingslek: verhaal schade

Er komen met regelmaat 'beveiligingslekken' in het nieuws, veroorzaakt door slecht gebouwde websites (services). Twee opvallende recente ontdekkingen waren bij diginotar en integriteitoverheid.
Voor zover ik dat zie in het nieuws wordt er nauwelijks opgetreden tegen de software bedrijven die die websites gecreeerd hebben. Een bericht in de stijl van 'het beveiligingslek is nu/snel gedicht' lijkt mij volstrekt onvoldoende. Het is duidelijk dat zo'n software bedrijf een ondeugdelijk product heeft afgeleverd, waar de klant ernstige schade door oploopt. De klant zou tenminste het bedrag moeten terugvorderen dat is betaald voor het creeeren van zo'n website. Mogelijkerwijs kan het softwarebedrijf, haar directie, of hun programmeur, aansprakelijk gesteld worden voor geleden schade?
Mijns inziens nemen software bedrijven te gemakkelijk opdrachten aan waarvoor ze onvoldoende kennis in huis hebben, of laten het werk uitvoeren door onvoldoend gekwalificeerde programmeurs. Dit geeft de software industrie een slechte naam. In sommige andere beroepsgroepen zijn mensen aansprakelijk voor door hen gemaakte fouten.
  Met citaat antwoorden
Oud 4 September 2011, 20:53   #2
eNdEmiOn
PCM Lord
 
eNdEmiOn's schermafbeelding
 
Geregistreerd: 29 April 2008
Berichten: 2.846
Standaard

Schijnt dat je als "web programmeur" ook nogal eens tegen peop werkgevers aanloopt. Veel van die lui hebben het meegemaakt niet betaald te zijn voor een job.

Ff om aan te geven dat het echt niet alleen aan slecht vakmanschap ligt maar ook nogal eens aan lugubere opdrachtgevers die eigenlijk alles gratis willen.
__________________
Never Lie! Not even a little white lie, that's where it all starts.
By the way, happy endings preferred.
eNdEmiOn is offline   Met citaat antwoorden
Oud 4 September 2011, 21:12   #3
De Hulk
PCM User
 
De Hulk's schermafbeelding
 
Geregistreerd: 23 April 2010
Locatie: The Netherlands
Berichten: 144
Standaard

@josve, ik ben het volledig met je eens. Maar het is mij wel duidelijk dat ze jouw verhaal op fora liever niet willen horen.
De Hulk is offline   Met citaat antwoorden
Oud 4 September 2011, 23:19   #4
eNdEmiOn
PCM Lord
 
eNdEmiOn's schermafbeelding
 
Geregistreerd: 29 April 2008
Berichten: 2.846
Standaard

Lekker negatief weer Hulk. Ur pissing me off met dat soort opmerkingen. Die redenatie van josve is gewoon veel te kort door de bocht. Die veiligheid is sowieso grotendeels schijnveiligheid.
__________________
Never Lie! Not even a little white lie, that's where it all starts.
By the way, happy endings preferred.
eNdEmiOn is offline   Met citaat antwoorden
Oud 4 September 2011, 23:53   #5
De Hulk
PCM User
 
De Hulk's schermafbeelding
 
Geregistreerd: 23 April 2010
Locatie: The Netherlands
Berichten: 144
Standaard

Waarom zou dat negatief zijn? Josve onderbouwd zijn commentaar goed. Het is juist positief. Want als er misstanden zijn dan moet je die op de eerste plaats onderkennen en dan pas kun je ze aanpakken. Fora zijn er veel te laks in om stelling te nemen. De lezer mag zelf uitmaken waar dat aan ligt.

Ik heb altijd al gezegd dat als iemand zijn of haar werk niet goed doet en schade veroorzaakt je die moet aanpakken en aansprakelijk stellen. Ook computercriminaliteit, hacken e.d. en bij strafbare feiten, de zaak en de straffen openbaar maken. Dat is de enigste en juiste aanpak. Het is nog steeds zo dat men computercriminaliteit onderschat en dat op de koop toeneemt.

Stel nu dat mijn gegevens op een dergelijke onbeveiligde/onbetrouwbare/niet juist gecertificeerde site gestolen waren en eventueel ook mijn identiteit? Dan is de ramp niet te overzien. En wie draait in dat geval voor de schade op?

Citaat:
ligt maar ook nogal eens aan lugubere opdrachtgevers die eigenlijk alles gratis willen.
Dat is commentaar what is pissing me off. Immers we hebben het hier over de overheid als opdrachtgever. En we weten allemaal hoeveel miljoenen hier worden uitgegeven aan dergelijke automatiseringprojecten op computergebied. Laat staan dat we vaak kunnen spreken van geld over de balk gooien omdat systemen na miljoenen en nog eens miljoenen uitgegeven te hebben, nog vaak niet goed werken, rendement opleveren of kunnen samenwerken. (o.a. bij de Politie).

Hierbij een artikel over Diginotar.

Citaat:
Het bedrijf zelf heeft de inbraak pas op 19 juli ontdekt en heeft dat toen stil gehouden, ze hebben zelfs geen aangifte gedaan. De hackers hebben dus zeker een week naar hartelust eigen certificaten aan kunnen maken.
Zijn daar nog woorden voor te vinden! Minister Donner moest in de nacht van vrijdag op zaterdag de zaak uitleggen en advies geven. Je kunt de betreffende overheidssites wel bezoeken maar gebruik de htpps-verbindingen (slotje) de eerst komende dagen niet. Zo heb ik dat begrepen.

Laatst gewijzigd door De Hulk : 5 September 2011 om 00:18
De Hulk is offline   Met citaat antwoorden
Oud 5 September 2011, 16:06   #6
eNdEmiOn
PCM Lord
 
eNdEmiOn's schermafbeelding
 
Geregistreerd: 29 April 2008
Berichten: 2.846
Standaard

Citaat:
Waarom zou dat negatief zijn? Josve onderbouwd zijn commentaar goed. Het is juist positief. Want als er misstanden zijn dan moet je die op de eerste plaats onderkennen en dan pas kun je ze aanpakken. Fora zijn er veel te laks in om stelling te nemen. De lezer mag zelf uitmaken waar dat aan ligt.
Misstanden is wel een erg zwaar woord voor een beveiligingslek waar er dagelijks 100'en if not 1000'en van ontdekt worden.

Citaat:
Ik heb altijd al gezegd dat als iemand zijn of haar werk niet goed doet en schade veroorzaakt je die moet aanpakken en aansprakelijk stellen. Ook computercriminaliteit, hacken e.d. en bij strafbare feiten, de zaak en de straffen openbaar maken. Dat is de enigste en juiste aanpak. Het is nog steeds zo dat men computercriminaliteit onderschat en dat op de koop toeneemt.
Je kunt nog zo'n goede programmeur zijn maar met "kilometers" code kan er altijd wel wat mis gaan. Als je in een magazijn werkt en je laat eens een palet vd stellages vallen moet de baas dan van jou een schadevergoeding hebben? Zo streng lijk jij het wel aan te willen pakken.

Citaat:
Stel nu dat mijn gegevens op een dergelijke onbeveiligde/onbetrouwbare/niet juist gecertificeerde site gestolen waren en eventueel ook mijn identiteit? Dan is de ramp niet te overzien. En wie draait in dat geval voor de schade op?
Op zich een ernstige zaak identiteitsfraude maar daar gaat het in dit geval niet echt om. Daarnaast is het ook aan de gebruiker om niet zomaar overal gevoelige persoonlijke informatie achter te laten.

Citaat:
Dat is commentaar what is pissing me off. Immers we hebben het hier over de overheid als opdrachtgever. En we weten allemaal hoeveel miljoenen hier worden uitgegeven aan dergelijke automatiseringprojecten op computergebied. Laat staan dat we vaak kunnen spreken van geld over de balk gooien omdat systemen na miljoenen en nog eens miljoenen uitgegeven te hebben, nog vaak niet goed werken, rendement opleveren of kunnen samenwerken. (o.a. bij de Politie).
Ik had het over het algemeen aangezien de TS alle software bedrijven wil aanpakken bij fouten. Dat de overheid het nogal eens verknalt op gebied van IT projecten is idd zorgelijk maar dat is in de meeste gevallen te wijten aan slecht management en niet zo zeer aan de technische mogelijkheden die ze ter beschikking hebben met die bakken geld die altijd zoveel mogelijk in eigen zak moeten verdwijnen.

Het zou trouwens geen verkeerde zet zijn politici verplicht bepaalde cursussen te laten volgen op gebied van IT zodat ze tenminste weten waar ze het over hebben en hoe het werkt als ze besluiten dat vingerafdrukken bv maar in een centrale database opgeslagen moeten worden. En dat zoiets dus onmogelijk onvoldoende veilig kan.
__________________
Never Lie! Not even a little white lie, that's where it all starts.
By the way, happy endings preferred.
eNdEmiOn is offline   Met citaat antwoorden
Oud 6 September 2011, 08:04   #7
ardsong
Just Joined!
 
Geregistreerd: 19 December 2008
Locatie: nvt
Berichten: 45
Standaard

ik ben het in principe wel met josve eens en zou het zelfs verder willen uitbreiden en ook de overige computer programma's er onder laten vallen.
Een product dat verkocht wordt moet goed werken, doen wat beloofd wordt dat geen gevaar opleveren voor de koper.

het is een beetje slap om te zeggen dat een programma uit "kilometers" code bestaat en dus daarom wel fouten mag hebben. Wat zou je zeggen, eNdEmiOn, als een vliegtuig uit de lucht valt , want er zitten wel tienduizenden onderdelen in. Dat zou toch ook niemand accepteren van Boeing of Airbus? Waarom moeten we dan wel die crap van programmeurs slikken zonder verhaal mogelijkheid?
Vergelijk het eens met de auto industrie. Als een auto fabrikant een klein onderdeel verkeerd maakt en er komen ongelukken van zijn er direct GROTE rechtzaken en forse schade vergoedingen omdat de klant door hun product schade opgelopen heeft. Waarom dan mag Micro$oft en Apple, toch zo ongeveer de rijkste bedrijven op de wereld, vrijuit gaan , als hun producten schade berokkenen aan hun klanten??
Van je dokter zou het ook niet accepteren, die heeft toch ook vele patienten.
Programmeurs doen te lichtzinnig over hun fouten en zouden het zich meer moeten aanrekenen in plaats van te redeneren dat het een normale eigenschap is van programmeurs dat ze fouten maken.
ardsong is offline   Met citaat antwoorden
Oud 6 September 2011, 13:28   #8
De Hulk
PCM User
 
De Hulk's schermafbeelding
 
Geregistreerd: 23 April 2010
Locatie: The Netherlands
Berichten: 144
Standaard

Prachtig. Een uitstekende discussie waar iedereen wat aan heeft en van kan leren. Ben ontzettend blij dat hier nog gewerkt wordt aan belangrijke zaken en dan krijg je tenminste inzicht waar het om gaat. Op die manier kun je zaken verbeteren.


Op bepaalde punten ben ik wel met eNdEmiOn eens. Maar ik probeer altijd zaken nog beter te krijgen. En soms moet je overdrijven om iets los te maken. Daarom ben ik blij met de reactie van eNdEmiOn. Dat laat zien dat er nog mensen zijn die echt luisteren.

Ik zit op dezelfde golflengte al Ardsong. Ook een prima verhaal. Kan ik me helemaal in vinden en heb ik al zovaak geschreven.
De Hulk is offline   Met citaat antwoorden
Oud 6 September 2011, 14:23   #9
eNdEmiOn
PCM Lord
 
eNdEmiOn's schermafbeelding
 
Geregistreerd: 29 April 2008
Berichten: 2.846
Standaard

Citaat:
Wat zou je zeggen, eNdEmiOn, als een vliegtuig uit de lucht valt , want er zitten wel tienduizenden onderdelen in. Dat zou toch ook niemand accepteren van Boeing of Airbus? Waarom moeten we dan wel die crap van programmeurs slikken zonder verhaal mogelijkheid?
Behalve dat je appels met peren vergelijkt zijn er genoeg ongelukken met vliegtuigen vaak te herleiden naar een probleem met een van die 1000'en onderdelen. En ja dat wordt geslikt.
Voor de rest wbt software, werkt hetzelfde als andere producten die je kunt kopen. Als je kwaliteit wilt weet je dat je niet iets van Trust moet kopen. Nogal overdreven dat je nu gaat eisen dat alle producten/diensten op de markt van topkwaliteit zijn (waar dan zeker ook geen top prijs aan mag zitten!?).

Citaat:
Waarom dan mag Micro$oft en Apple, toch zo ongeveer de rijkste bedrijven op de wereld, vrijuit gaan , als hun producten schade berokkenen aan hun klanten??
Wbt crApple heb je gelijk maar dat is altijd een vreemde zaak waarom die zomaar met van alles weg komen. MS daarentegen is zo vaak al op de vingers getikt (miljardenboetes). Je leeft in een droomwereld als je denkt dat met software te garanderen valt dat het allemaal 100% perfect werkt. Ga zelf maar eens wat programmeren leren dan merk je snel genoeg hoe makkelijk er foutjes in kunnen sluipen, eigenlijk net zo makkelijk als schrijffouten maken (dat weet ook nooit iemand 100% goed te doen bij het "Het Groot Dictee der Nederlandse Taal").

Trouwens zeg ik ergens dat het niet is toegestaan om bij domme fouten ed procedures te starten om schade te verhalen? Nee! Maar de indruk die ik krijg vd TS is dat die graag heeft dat naast elke programmeur een politie agent komt te staan die elk regeltje code nagaat.

Citaat:
Programmeurs doen te lichtzinnig over hun fouten en zouden het zich meer moeten aanrekenen in plaats van te redeneren dat het een normale eigenschap is van programmeurs dat ze fouten maken.
Daar wordt niet lichtzinnig over gedaan. En wat nu in het nieuws is valt bv niet af te schuiven op de programmeurs maar op het management die gewoon niet heeft gekozen om de juiste hoogte van beveiligingsmiddelen te implementeren + controle blijkt geloof ik ook ver te zoeken zijn geweest.

Als laatste ik was totaal niet van plan om een hele discussie aan te gaan hierover. Ik wilde enkel aangeven dat de redenatie vd TS gewoonweg te kort door de bocht is.
__________________
Never Lie! Not even a little white lie, that's where it all starts.
By the way, happy endings preferred.
eNdEmiOn is offline   Met citaat antwoorden
Oud 6 September 2011, 14:56   #10
ardsong
Just Joined!
 
Geregistreerd: 19 December 2008
Locatie: nvt
Berichten: 45
Standaard

bedankt eNdEmiOn ( wat een moeilijk naam toch?!, alleen met copy/paste krijg ik het voor elkaar om die foutloos te typen) voor je reactie.

het gekscherend apples en peren verhalen naar voren halen is niet geheel terecht. Het principe dat ter discussie staat is, of fouten in een product die schadelijke gevolgen hebben voor kopers, acceptabel zijn of niet; en zo niet dan tot schadevergoedingen kunnen leiden.

Inderdaad , jammer genoeg, vallen er vliegtuigen uit de lucht, overigens soms ook omdat de programmatuur niet goed is, maar dan zijn er wel stevige vergoedingen voor de slachtoffers. Zelfs de NS moet veel betalen als de sneeuw hun treinen-loop verstoord, dus ik zie nog steeds niet in , waarom we de fouten van programmeurs maar zo moeten accepteren.
En ja ik weet hoe moeilijk het is om goede foutloze programmatuur te maken, ik ben begonnen met programmeren in Algol60, Fortran en zo kun je wel doorgaan.

Er wordt niet lichtzinnig over gedaan zeg je? Wel , lees de kleine letttertjes er eens op na.
quote"geen enkele garantie op goede werking, geen vergoeding van geleden verliezen of schades, " het is te eentonig om door te gaan.
de grote winsten van Micro$oft en Apple (daar begrijp ik toch even uit je antwoord dat je geen apple fan bent ?!) zijn toch vooral te danken aan de te hogen prijzen en geen enkel bedrijfsrisico , want dat is door juristen geheel afgedekt en de klant is de duppe. OK een klein risico doemt op omdat deze programma giganten bij gebrek aan andere inkomsten nu de anderen succesvollere partijen gaan uitdagen in patent gevechten om nog wat geld binnen te slepen.

en ik will helemaal geen politie agent achter elke programmeur, die hebben veel belangrijker werk te doen met boeven vangen. Ik wil alleen maar dat programmeurs foutloos werken, en dit moet beginnen met een mentale ommezwaait dat fouten in programmatuur niet goed zijn. En als er dan fouten gemaakt worden, want programmeurs worden toch nog steeds als mensen gezien , dan moeten ze ook zo eerlijk zijn om hun fouten toe te geven en de slachtoffers een eerlijke realistische vergoeden uit te betalen voor geleden schade.
ardsong is offline   Met citaat antwoorden
Antwoord


Discussietools
Weergave

Regels voor berichten
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is Aan
Smileys zijn Aan
[IMG]-code is Aan
HTML-code is Uit

Forumnavigatie


Alle tijden zijn GMT +1. Het is nu 13:27.



Powered by vBulletin Version 3.8.6
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
Nederlandse vBulletin-vertaling door Alacer beschikbaar gesteld door Applinet.