Slik unngår du Suns tabbe

Slik unngår du Suns tabbe

Sun dummet seg ut med en sikkerhetsoppdatering. Her er fem tips til programvareselskaper som ikke ønsker å gjøre samme feil.

Sun oppdaget at det går an å gjøre mange feil som irriterer både brukere og fagfolk. Det erfarne selskapet endret denne uken på rutinene for sikkerhetsoppdateringer etter ha en klagestorm fra brukerne.

Grunnen til endringen er at Sun for noen måneder siden sendte ut sikkerhetsoppdateringer i Javas SE først til utviklerne, og deretter til brukerne. Dette er ifølge sikkerhetseksperter den ideelle metoden å gi ondsinnede kodere en sjanse til å bruke informasjonen for å bryte seg inn før alle maskiner er oppdatert.

Det finnes rundt 800 millioner brukere av Suns Java SE. Nå har Sun innsett at oppdateringene skal sendes til alle brukere og utviklere samtidig.

En av de største kritikerne av Suns oppdateringsmetode var Marc Maiffret, teknologisjef i eEye Digital Security. Computerworlds nyhetstjeneste har bedt Maiffret å sette opp noen punkter som programvareselskaper børt tenke på med hensyn til sikkerhet. Sikkerhetseksperten kom med fem råd.

LES OGSÅ: Stort sikkerhetshull i pdf

- Er ikke et nytt fotoalbum!

Her er det du må tenke på når du jobber i et programvareselskap.

1. Gjør det enkelt for hackere å fortelle hva de vet. Mange er ikke nødvendigvis ute etter å gjøre faenskap, men tester programvare som en hobby. Ved å legge tydelige epostadresser som security@selskapetsnavn.com synlig på websiden vil programvareselskapet sannsynligvis får noen gode tips. Maiffret anser dette som det viktigste tiltaket for å fange opp feil.

2. Gjør som Sun har gjort nå. Send oppdateringer til alle brukere samtidig, slik at overlappingsperioden blir kortest mulig. Du unngår at noen får tak i feilkilder gratis mens andre ikke er oppdatert enda.

3. Sjekk at alle brukere også får tydelig beskjed om at det er en sikkerhetsoppdatering. Send dem heller et brev eller epost for mye enn for lite.

4. Skill sikkerhetsoppdateringer tydelig fra andre programvareoppdateringer. Flagger man en oppdatering med en generell tittel, blir den liggende hos mange. Fortell brukerne at det handler om en ny versjon av et fotoalbum, eller et sikkerhetshull som kan gjøre alvorlig skade på systemet.

5. Opplys om kommende sikkerhetsoppdateringer med en gang feilen er definert. Selv om det kan se stygt med en liste med sikkerhetsfeil, er det bra for brukerne å se en tidslinje. De vet hva de skal forholde seg til, og det kan være med å presse selskapet ditt til å overholde datoer til andre oppgraderinger.

LES OGSÅ: Flest sikkerhetshull hos de største

Les om:

Utvikling