KLID: Nogen notater om Open Source sikkerhed

Denne side indeholder nogen notater om sikkerhed ved Open Source, og også nogen notater om hvad man kan opnå mht. sikkerhed ved at bruge Open Source produkter.

Virus via mail er i 2009 ikke den store trussel længere, trusselsbilledet er nu ofte via browserne.

En udbredt måde at sprede virus på er via sql-injections i servere. Det foregår ofte ved at en samling inficerede maskiner, et såkaldt botnet, finder sårbare asp-sider eller andre side med SQL-kode, der ikke er kodet ordentligt, og disse websider injektes med et skadeligt javascript. Når scriptet ligger på siden, forsøger det at inficere besøgende klienter og indlemme dem ganske automatisk i botnettet. Det foregår typisk gennem forældet og hullet Quicktime, adobe pdf reader, gammel og gennemhullet java-jvm og ikke mindst uddaterede versioner af Internet Explorer på klienterne.

Her er lidt om hvordan man kan finde ud af om ens server er ramt, og reperation og vedligeholdelse af server Man selv teste og teste sine sider af. Microsoft har lavet MS vejledning til forebyggelse af SQL-injections angreb, plus en anden MS vejledning mod SQL-injections.

Der er en AppSEC FAQ om sikkerhed i web applikationer.

En anden måde at beskytte sig på er at have et godt sikkerhedsniveau på ens browser. Især er Internet Explorer et problem. Man kan her sætte sikkerhed til højeste niveau, og sørge for opdateringer. Dette kan være lidt besværligt at gøre.

Du kan også skifte til en mere sikker browser, såsom Firefox. Den skulle også være hurtigere. Firefox er gratis og Open Source. En måde at benytte dette på er at bruge Firefox til den almindelige færden på nettet, og så bruge Internet Explorer hvis der er problemer med at bruge Firefox.

Hullerne på klientsystemet udgøres ofte af tredjepartsprogrammel som ikke er opdateret. Altså ting som java-jvm, Acrobat reader og Quicktime, hvilke som regel ikke opdateres for Windows og Macs vedkommende via operativsystemets automatiske opdateringsservice. Her må man selv ud og finde opdateringerne, eller benytte systemer der også automatisk opdaterer disse tredjepartsprogrammer, som fx Open Source systemet Linux.

Flere råd specielt om Microsoft Windows klienter