Dass du hier mit "Aluhüten" anfängst, ist ja nicht sehr vertrauenerweckend, falls du wirklich mit der Entwicklung von privacyIdea zu tun hast
Nach all den Enthüllungen der letzten Jahre Leute mit Sicherheitsbedenken in die Aluhut-Träger-Ecke zu stellen, sollte sich eigentlich erledigt haben. Erst recht für jemand, der angeblich aus der Sicherheitsbranche stammt.
Von blablabla233 am Di, 11. Oktober 2016 um 10:58 #
Ich glaub nicht dass er das so meinte, privacyIdea ist halt nur ein Glied in einer laaaangen kette im Betriebssystem dem man vertrauen muss/kann/sollte? Aber dass ist genau ein Grund weshalb ich OpenBSD so gut finde, sauberen klaren und nahezu Fehlerfreien Code im Grundsystem (die Pkg's sind eine ganz andere Frage wo wohl etwas wie AlpineLinux wohl sinnvoller ist)
Mir geht es hier darum, Sicherheitsbedenken zu relativieren. Ich habe übrigens auch einen Aluhut in der Schublade! ;-) Ganz einfaches Beispiel: Was passiert denn heute im Bereich der Zwei-Faktor-Authentifizierung? Du nimmst DUO oder einen anderen Service. Das wird auch im Unternehmensnetzwerk ernsthaft in Erwägung gezogen! D.h. Du hast nicht nur die Software nicht unter Kontrolle sondern auch gar nicht die Authentifizierungsentscheidung. Da sprechen wir noch gar nicht von Bugs und Hintertüren - da ist das Konzept eine einzige Hintertür!!!! Dann werden gerne Smartphones verwendet. Die nicht an sich nicht vertrauenswürdig sind, sondern deren Rollout-Prozess (Google Authenticator) total anfällig ist. D.h. sich über Hintertüren in einer Open Source Software Gedanken zu machen, da hat man 99% der Menschheit und auch der DAX-Unternehmen schon weit hinter sich gelassen! ;-) Ich habe das auch nochmal in dem oben erwähnten Vortrag dargelegt. https://www.youtube.com/watch?v=96_v5MJRSY8
Aber jeder kann auch gerne auf dem installierten System den laufenden Code reviewen...
Dass du hier mit "Aluhüten" anfängst, ist ja nicht sehr vertrauenerweckend, falls du wirklich mit der Entwicklung von privacyIdea zu tun hast
Nach all den Enthüllungen der letzten Jahre Leute mit Sicherheitsbedenken in die Aluhut-Träger-Ecke zu stellen, sollte sich eigentlich erledigt haben. Erst recht für jemand, der angeblich aus der Sicherheitsbranche stammt.
Ich glaub nicht dass er das so meinte, privacyIdea ist halt nur ein Glied in einer laaaangen kette im Betriebssystem dem man vertrauen muss/kann/sollte? Aber dass ist genau ein Grund weshalb ich OpenBSD so gut finde, sauberen klaren und nahezu Fehlerfreien Code im Grundsystem (die Pkg's sind eine ganz andere Frage wo wohl etwas wie AlpineLinux wohl sinnvoller ist)
Mir geht es hier darum, Sicherheitsbedenken zu relativieren. Ich habe übrigens auch einen Aluhut in der Schublade! ;-)
Ganz einfaches Beispiel: Was passiert denn heute im Bereich der Zwei-Faktor-Authentifizierung? Du nimmst DUO oder einen anderen Service. Das wird auch im Unternehmensnetzwerk ernsthaft in Erwägung gezogen! D.h. Du hast nicht nur die Software nicht unter Kontrolle sondern auch gar nicht die Authentifizierungsentscheidung. Da sprechen wir noch gar nicht von Bugs und Hintertüren - da ist das Konzept eine einzige Hintertür!!!!
Dann werden gerne Smartphones verwendet. Die nicht an sich nicht vertrauenswürdig sind, sondern deren Rollout-Prozess (Google Authenticator) total anfällig ist.
D.h. sich über Hintertüren in einer Open Source Software Gedanken zu machen, da hat man 99% der Menschheit und auch der DAX-Unternehmen schon weit hinter sich gelassen! ;-)
Ich habe das auch nochmal in dem oben erwähnten Vortrag dargelegt.
https://www.youtube.com/watch?v=96_v5MJRSY8
Aber jeder kann auch gerne auf dem installierten System den laufenden Code reviewen...