/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Sikkerhedstest - med "certifikat"?
Fra : Ole Thomsen


Dato : 09-12-02 11:12

En af mine venner(s firma) har udviklet en SQL-baseret
web-applikation, der både sælges som en hosted løsning,
men i de fleste tilfælde installeres hos kunden eller ISP.

Han er interesseret i at få testet sikkerheden i database
opsætning og kode (se Valus og H. Nyborg).
Selve webserverdelen menes der at være styr på, men
den må selvfølgelig gerne indgå.

Hvilke danske sikkerhedsfirmaer udfører (på troværdig vis)
sådanne tests, helst hvor det er muligt at få et "certifikat" på
testen til markedsføring overfor specielt sikkerhedsbevidste
kunder?

Ole Thomsen




 
 
Søren Christensen (09-12-2002)
Kommentar
Fra : Søren Christensen


Dato : 09-12-02 12:39


"Ole Thomsen" <ot@networks.dk> wrote in message
news:at1q9k$iu2$1@news.net.uni-c.dk...
> En af mine venner(s firma) har udviklet en SQL-baseret
> web-applikation, der både sælges som en hosted løsning,
> men i de fleste tilfælde installeres hos kunden eller ISP.
>
> Han er interesseret i at få testet sikkerheden i database
> opsætning og kode (se Valus og H. Nyborg).
> Selve webserverdelen menes der at være styr på, men
> den må selvfølgelig gerne indgå.
>
> Hvilke danske sikkerhedsfirmaer udfører (på troværdig vis)
> sådanne tests, helst hvor det er muligt at få et "certifikat" på
> testen til markedsføring overfor specielt sikkerhedsbevidste
> kunder?

Jeg kender ikke til nogen firmaer der tør udstede sådanne certifikater eller
bare stå frem og sige at de har testet det og det system. Det er der mange
gode grunde til, først og fremmest så inviterer sådanne certifikater eller
udtalelser til angreb, så en lømmel kan blære sig med at have hakket det og
det certifikat.

Desuden vil et seriøst sikkehedsfirma nok være lidt betrængt over at skulle
behandle sådan et system. Seriøs sikkerhed er noget man tager højde for og
implementerer i designfasen, ikke noget man tester for når systemet er
blevet udviklet. Ved sådanne sikkerhedstest tager man kun højde for
hvorledes og hvilket sikkerhedshuller der findes da testen blev udført -
ikke dem der er opdaget om 2 år. Hvorimod man ved implementering i
designfasen forhåbentligt får 'gennemsyret' systemet med 'sikkerhed' og
derved minimerer i de mange enkeltdele risikoen for gennembrud. Men det
hjælper jo nok ikke de ven ret meget nu..

--



Alex Holst (09-12-2002)
Kommentar
Fra : Alex Holst


Dato : 09-12-02 13:01

Ole Thomsen <ot@networks.dk> wrote:
> Hvilke danske sikkerhedsfirmaer udfører (på troværdig vis)
> sådanne tests, helst hvor det er muligt at få et "certifikat" på
> testen til markedsføring overfor specielt sikkerhedsbevidste
> kunder?

Sikkerhedsbevidste kunder tager alligevel ikke et certifikat for gode
varer, medmindre certifikatet automatisk giver en form for garanti eller
forsikring -- en saadan kunde forlanger X sider dokumentation som de kan
gennemlæse og stille spoergsmaal til.

Naar det er sagt har jeg for nyligt erfaret at PricewaterhouseCoopers
kan lave applikationstest og efterfoelgende levere et certifikat paa
sikkerhedsgodkendelsen. Jeg har absolut ingen erfaring med kvaliteten.

Jeg kender ogsaa til en anden virksomhed som udfoerer den slags opgaver,
men det falder vist under begrebet "reklame" og virksomheden udsteder
paa ingen maade certifikater, hoejst en masse dokumentation.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

Ole Thomsen (09-12-2002)
Kommentar
Fra : Ole Thomsen


Dato : 09-12-02 18:44

"Alex Holst" <a@mongers.org> wrote
>
> Sikkerhedsbevidste kunder tager alligevel ikke et certifikat for gode
> varer, medmindre certifikatet automatisk giver en form for garanti eller
> forsikring -- en saadan kunde forlanger X sider dokumentation som de kan
> gennemlæse og stille spoergsmaal til.

Fair nok.

Jeg tror også primært det skal bruges som dokumentation
for at troværdig tredjepart har evalueret det, ikke for at have
nogen at sagsøge hvis det går galt

> Naar det er sagt har jeg for nyligt erfaret at PricewaterhouseCoopers
> kan lave applikationstest og efterfoelgende levere et certifikat paa
> sikkerhedsgodkendelsen. Jeg har absolut ingen erfaring med kvaliteten.

Tak, det vil jeg lade gå videre.

Ole Thomsen



Bjarke Søgaard (09-12-2002)
Kommentar
Fra : Bjarke Søgaard


Dato : 09-12-02 19:30

On Mon, 9 Dec 2002 11:12:01 +0100, "Ole Thomsen" <ot@networks.dk>
wrote:


>Hvilke danske sikkerhedsfirmaer udfører (på troværdig vis)
>sådanne tests, helst hvor det er muligt at få et "certifikat" på
>testen til markedsføring overfor specielt sikkerhedsbevidste
>kunder?

outpost24.com (dansk afdeling findes) har et produkt, der minder om
det du søger.
Teledanmark i en eller anden afdeling har eller har haft det.
Der er sikkert andre - hvor godt og hvor seriøst er jeg ikke
velfunderet nok til at tage stilling til.

/bjarke


Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408847
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste