Ontwikkelen veilige software is complex
Algemeen Directeur SQS Nederland
Expert van Computable voor het topic Development
MeerHet ontwikkelen van veilige software is een complexe aangelegenheid. Dit geldt voor applicaties zoals DigiD, maar ook voor frameworks waar deze op gebaseerd zijn. In dit geval Ruby on Rails. Dit lek treft iedereen die de specifieke Ruby on Rails componenten gebruikt waar het lek in gevonden is.
In de afgelopen jaren zijn verschillende security holes gevonden in Ruby on Rails. Het huidige lek is de volgende in deze reeks. Het betreft hier het kunnen gebruiken van dynamische functies om de database te bevragen waarbij ook sql-commando’s kunnen worden meegegeven. Hiermee kunnen ongeautoriseerde gebruikers willekeurige gegevens uit de database opvragen. Het betreft een traditioneel geval van sql-injectie, iets wat geregeld voorkomt.
Vanuit het toenemende gebruik en de volwassenheid van de software mag enerzijds verwacht worden dat er steeds minder security holes gevonden worden in Ruby on Rails. Anderzijds leidt toegenomen gebruik ook tot een groter aantal functionele uitbreidingen en wijzigingsverzoeken. Het beheersen van alle (security) issues wordt daardoor verder bemoeilijkt. Je kan er als ontwikkelaar dus niet vanuit gaan dat frameworks foutenvrij zijn. Informatie over het ‘verwachte gebruik’ van frameworkfunctionaliteit moeten zeker argwaan wekken. Je moet je afvragen wat dan ‘onverwacht gebruik’ betekent. Ontwikkelaars en architecten die dergelijk frameworks gebruiken, dienen zorg te dragen voor het gedegen ontwerpen, coderen en reviewen van welke features in welk framework dan ook. Dit is een van de belangrijkste pijlers voor veilige software.
Wilbert van den Bliek
Managing director
SQS Nederland
21-05 Beveilig je site tegen DDoS-aanval
21-05 Maak je proces mobiel met een app
17-05 De Red Diesel Blues
17-05 Efficiency en kostenbesparing dient de IT-mens
16-05 Groei IT-budgetten bij grote ondernemingen
15-05 Big data opvangen met open hybride cloud
14-05 Ontwerp websites en cloud moeten schaalbaar zijn
14-05 Noem man en paard bij cloud computing
13-05 BYOD onmogelijk door logge software
13-05 EPD/LSP definitief uit as herrezen?
10-05 Novell Filr geeft mobiele toegang tot bestanden
24-04 Gemeente Neerijnen stapt over op LibreOffice
23-04 SkySQL fuseert met MariaDB-ontwerpers
22-04 Red Hat zet in op OpenStack enterprise
19-04 Paragon brengt de ExtFS voor Mac OS X 9.0
12-04 VX levert open source-module Reclassering op
11-04 Open source rammelt aan de Digipoort
03-04 IBM verbetert big data-platform voor Hadoop
27-03 Valori breidt uit met Test Tool Services
21-03 Viafrica zoekt mensen voor Tanzania en Kenia
|
|
24-01-13 ‘Maatwerksoftware deed DigiD de das om’
18-01-13 ‘Lek Ruby on Rails snel dicht door open source’
17-01-13 NCSC waarschuwt voor lek in Joomla add-on
17-01-13 ‘Ruby on Rails blijft zonder update risicovol’
15-01-13 ‘Lek in Ruby on Rails heeft beperkte impact’
09-01-13 Lek in Ruby on Rails is griezelig
11-01-13 De voor- en nadelen van Ruby on Rails
15-01-13 Behandelen van parameters is complex
11-01-13 Top 3 gedupeerden door Ruby on Rails-lek
10-01-13 Lek in Ruby on Rails heeft veel kanten
14-01-13 Na Ruby on Rails volgt weer een ander systeem
10-01-13 Ruby on Rails-patch kan problemen opleveren
09-01-13 De gevaren door het Ruby on Rails-lek
11-01-13 ‘Dienst gebouwd op Ruby on Rails moet offline’
09-01-13 Logius haalt DigiD offline na lek in Ruby on Rails
Zorg en Zekerheid , Leiden
NIVEL , Utrecht
Itility , Son
Hays Amsterdam , Amsterdam
ReflexSystems , Almere
| Aantal reacties met 3+ sterren | Gemiddelde waardering | |||
 | 1 | 752 | 6.1 | |
 | 2 | 647 | 6.3 | |
 | 3 | 616 | 6.4 | |
 | 4 | 588 | 6.3 | |
 | 5 | 535 | 6.3 | |
 | 6 | 516 | 6.2 | |
 | 7 | 276 | 6.2 | |
 | 8 | 236 | 6.2 | |
 | 9 | 154 | 6.1 | |
| 10 | 122 | 6.0 | |
Alle rechten voorbehouden © 1995-2013 De Persgroep