Funderar på att strunta i antivirus (Win 11)

Antivirus var nog bra grejer när man kopierade program på diskett mellan datorer, men efter det känns det förlegat.

Jag har också bara Windows antivirus. Men jag har förbättrat säkerheten med Säkrare DNS server. Då får jag varning om jag är på väg till skum webbsida. Här finns mer kunskap: https://pcforalla.idg.se/2.1054/1.735348/router-dns

Open source har så klart för och nackdelar men som sagts ovanför så får man fördelen med att många kan granska koden och upptäcka sårbarheter. Och med ett så känt program som Bitwarden så skulle jag säga att det överväger risken att någon illasinnad skulle hitta ett kryphål som gått antagligen 100 tals eller tom 1000 tals experter förbi.

Jag kör med Braves egen lösenordshanterare.

Å andra sidan är det ungefär 0% av användarna som har kunskapen att granska koden och många projekt säkerhetsgranskas inte alls. Dock så brukar projekt som har med säkerhet att göra granskas någon gång.

Jag gillar open source och har själv skrivit sådan, men det gäller att inse att det faktum att det är open source inte är någon garanti för varken högre eller lägre säkerhet.

Fallet Bitwarden är dock litet speciellt. När det gäller att lagra sin lösenord centralt är det kanske bra att vara litet paranoid. Å ena sidan säger t.ex. LastPass att de inte har din krypteringsnyckel, vilket förhindrar att någon hackar dem och stjäl dina lösenord. Efter hur det fungerar ser det ut att vara så, men man kan ju aldrig vara helt säker. Å andra sidan så tar du på dig en hel del ansvar för säkerheten om du hostar Bitwarden själv. Gör du inte det så är du i samma situation som med LastPass. Man kan ju alltid köra helt offline, t.ex. KeePass, men har man flera enheter så kanske man börjar tumma på säkerheten där.

Så när det gäller lösenordshanterare är det litet hugget som stucket. Det är dock överlägset bäst att ha en.

Hur vet du att det är ungefär 0% av användarna som har kunskapen att granska koden? Det finns många kunniga sweclockare och det finns betydligt många fler kunniga användare på till exempel GitHub.

Helt riktigt att man inte ska lita blint på att mjukvaror med öppen källkod är säkrade från bland annat säkerhetshål.

Därför att det är svårt att granska kod. Sedan är det ju bara att läsa i trådarna som handlar om säkerhet, där de flesta kommentarerna kommer från de som förstår koncepten litet halvdant eller inte alls. Jag har nog bara stött på en eller två användare här på SweClockers som verkat ha kunskap nog om säkerhet för att eventuellt kunna göra något sådant. SweClockers har i skrivande stund 344 327 registrerade användare. Det skulle krävas 34 medlemmar med dessa kunskaper för att nå upp till 0,01%, vilket jag tvivlar på att det finns.

Om vi säger så här: Om någon beskrev ett säkerhetshål i ett program skulle jag sannolikt kunna verifiera det, fixa koden och verifiera fixen. Det är efter många års erfarenhet av utveckling och säkerhet m.m. Om jag letade efter säkerhetshål i en kodbas skulle jag dock bara hitta lågt hängande äpplen.

Det är svårare än många tror, det ser inte ut så här:

if (securityhole == true)

if (securityhole == true)

Ja, men det finns de om tar sig tiden till att gå igenom källkoden för projekt på GitHub, GitLab, sourcehut, och/eller Codeberg (plus kanske fler, det är de jag vet är stora i dag). Det finns över 500 000 användare endast på GitHub. Kanske 20% av alla dessa är säkerhetsexperter (men majoriteten är inga experter alls). Sen finns det såklart säkerhetsexperter som inte har något konto på GitHub.

Nej, att hitta säkerhetshål är svårare än att hitta buggar, vad jag vet.

Men nog om detta sidospår nu Skicka ett PM till mig om du vill fortsätta diskutera.