Messenger er den mest usikre ? øh ? mest sikre?!

Som I sikkert har bemærket, har Version2 lige afholdt en afstemning om, hvilken IM-klient læserne bruger. Men hvilken er den mest sikre?

Tja, det ved jeg faktisk ikke. Jeg må blankt indrømme, at jeg ikke selv bruger instant messenging. Jeg har i perioder haft Gaim installeret, men jeg synes faktisk, at instant messenging er en stor tidsrøver. Det er vældig hyggeligt, og jeg anerkender, at mange kan øge deres produktivitet med sådanne tjenester. Det har bare ikke rigtig virket for mig.

Som it-chef var jeg selvfølgelig bekymret for it-sikkerheden, og jeg blev skældt rigtig meget ud, da vi i en periode lukkede for MSN Messenger pga. en konkret risiko.

Men som sagt anerkender jeg muligheden for stigning i produktiviteten, så tilbage er spørgsmålet om, hvilken klient man skal bruge.
I den forbindelse undersøgte jeg it-sikkerhedspolitikken i to store virksomheder. Det var interessant og tankevækkende.

I den ene virksomhed havde it-sikkerhedschefen forbudt MSN Messenger med henvisning til, at det var alment anerkendt, at MSN Messenger var usikkert.

I den anden virksomhed måtte man kun af sikkerhedsmæssige årsager kun bruge MSN Messenger (og den skulle være fuldt patched).

Se så er det, man bliver lidt forundret. Siden hvornår er sikkerhed blevet et spørgsmål om, hvilken it-religion man tilhører?

Ok, it-sikkerhed er ikke en eksakt videnskab, men vi skulle da gerne være der henne, hvor en risikoanalyse ikke peger i to forskellige retninger.

'Alment anerkendt' og af 'sikkerhedsmæssige årsager' stod der. Hvad er det for argumenter?

It-sikkerhed er selvfølgelig kompliceret, og de færreste almindeligt dødelige er i stand til at sætte sig ind i tankegangen, men vi kan ikke tillade os at dække vores beslutninger ind bag uklare argumenter.

Fair nok, hvis de herrer sikkerhedsansvarlige havde henvist til, at de havde henholdsvis en Microsoft- eller en open source-strategi, men det var ikke det, de gjorde.

Så hvilken IM-klient er den mest sikre' Ja, jeg ved det stadigvæk ikke, så er der ikke nogen, som sagligt argumenterende kan fortælle mig det'

Kommentarer (17)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Troels Liebe Bentsen

At store virksomheder dække deres beslutninger under uklare argumenter fordi de virkeligheden er bange for forandring, er vel ikke noget nyt?

Om en IM-klient skulle være mere usikker end en anden kan vel forholdsvis nemt konstateres ved at kigge på hvor mange sikkerhedsrettelser der har været over årende. Men det er vel ikke det som har dannet basis for den store udbredelse af Outlook and IE i store danske virksomheder.

Hvis sikkerhed virkeligt var så højt på prioriteringslisten ville kontorlandskabet så ikke se anderledes ud?

Og er Messenger virkeligt så forskelligt fra e-mail og nettet generelt? Og hvis jeg som bruger godt vil have mallware på min maskine så behøver jeg ikke MSN's hjælp, en porno side og en hurtigt download så skule den være fixet, som så fint er demonstreret her : http://www.version2.dk/artikel/5213 .

I næste uge kan der stilles sammen spørgsmål om skype, facebook, etc.

Ville det ikke være bedre at uddanne sine bruger i sikkerhed og sund fornuft, i stedet for at tror man kan løse sikkerhedsproblemer med positiv lister?

  • 0
  • 0
#2 Peter Egehoved

Det kunne tænkes at firma B besluttede sig for at MSN Messenger var den eneste valgte klient der måtte benyttes, da den sandsynligvis kan patches via SMS/WSUS og ikke kræver ekstra arbejde, da man i forvejen skal patche alle de der Windows klienter man sandsynligvis har. :)

Det samme gør sig nok gældende mht. IE vs. Firefox (nu kender jeg godt nok ikke til nogen virksomheder der ikke tillader Firefox, men de findes jo nok i hobetal).

Hver eneste godkendt applikation betyder jo sandsynligvis ekstraarbejde, og "når vi nu har Microsoft patch management alligevel..."-argumentet er meget nærliggende hos de fleste større firmaer.

Vi regner med at implementere Office Communication Server og dermed Office Communicator som IM-klient (men ikke fordi vi ikke tillader andre).

  • 0
  • 0
#4 Mikkel Kirkgaard Nielsen

Vil lige korrigere, der blev spurgt hvilken IM læserne bruger på arbejde. I mit tilfælde (og heldigvis lyder det som om det er lidt specielt) er jeg tvunget til at anvende Windows Messenger (og kun internt i virksomheden).

Havde I spurgt hvad jeg foretrækker og anvender privat ville svaret have været et rungende Jabber/XMPP, som jeg har anvendt igennem 4-5 år, med (næsten altid) perfekt gateway'ing til MSN og Icq. Det være sig både på desktop/laptop (Gaim/Psi), web (JWChat) og mobilt (mobber/MGTalk).

Sikkerhedsmæssigt, kan jeg kun sige at jeg forlader mig lidt på den åbne standard (IETF), den decentrale struktur, muligheden for at vælge server/klienter med tilgængelig source (de fleste implementationer er frie), og de indbyggede sikkerheds muligheder (ssl mellem klient/server og server/server).

Men uanset systemet, hvis fil overførsler er understøttet, kan brugeren jo altid sige ja til at overføre og køre en fil fra en ukendt kilde, men det kan IM systemet nok ikke gøre så meget til eller fra, selvom det nok vil være nemmere at implementere noget scanning efter virus i et system hvor sourcen er tilgængelig.

Mikkel,

  • 0
  • 0
#5 Kristian Østergaard

Da jeg var ved IBM fandt jeg ud af at IM internt i en stor virksomhed giver en KÆMPE effektivitets-gevinst. IBM bruger deres egen kommercielle 'sametime' til IM, egentlig et super produkt. Men altså kun internt.

Så vidt jeg ved er Jabber-trafik krypteret, det må da være en sikkerhedsmæssig fordel... Og som Ricco skriver kan man jo sætte sin egen Jabber-server op, hvilket giver mulighed for at lukke for IM ind og ud af firewall'en.

  • 0
  • 0
#6 Jakob Møllerhøj Editor

Hej Jesper,

Hold eventuelt øje med fokussiderne i kommende nummer af Version2 - den der udkommer i morgen. Der kommer vi rundt om IM'er, faldgruber og et par cases, som har hver deres tilgang til det med IM-klienter. Måske der er noget, du kan bruge.

mvh Jakob Møllerhøj Journalist, Version2

  • 0
  • 0
#7 henrik hammer berthelsen

Mht snakken om Arbejde vs Privat IM, så benytter jeg i stor stil at kunne kommunikere fagligt, med eksperter og bidragsydere, udenfor firmaets fire vægge. Det kan så være "private" venner, leverandører eller andre kontakter, som jeg har på min IM liste.

Så, for mit tilfælde, synes jeg ikke det er så simpelt, at afgrænse "arbejde vs privat IM".

Klientmæssigt foretrækker jeg Pidgin (formerly known as Gaim), mest fordi den er multi-IM og den findes til de fleste af de platformen, jeg frekventerer i privaten.

Teknologisk set, er XMPP (Jabber) en overset teknologi, som jeg mener der er et kæmpe potentiale med. XMPP integration, kunne fx betyde at jeg blot skal bruge en XMPP/IM klient for at skrive dette indlæg. Eller følge med i mit daglige nyhedsfix. Og så vil afhængigheden af IM og OS og platform, være mindre vigtig - lyder næsten som den optimale frigørelse af teknologi valg :-)

Iøvrigt findes der også http baserede IM's, som fx Meebo - men er det en IM klient? For det er jo egentlig bare en webside, eller?

  • 0
  • 0
#8 Anders Reinhardt Hansen

Hvis man sidder internt i virksomheden og kommunikerer, er der vel ikke grund til at bruge en ekstern server? MS Communicator eller en jabber server er en meget bedre ide til intern kommunikation. Fra mit udgangspunkt kan MSN Messenger kun bruges til social kontakt og aldrig arbejdsrelateret. Det at overføre filer er endnu værre, der skal filen gå igennem MS's system. Hvem har lyst til det? Hvis man har brug for kontakt til kunder, findes email og telefon. Det er også mere proffesionelt IMO.

  • 0
  • 0
#9 Jesper Stein Sandal

Jeg bruger Windows Live Messenger tidligere kendt som MSN Messenger til overførsel af filer mellem mine to pc'er, fordi det er lettere end at etablere et Windows netværk mellem en Windows XP og Windows Vista pc. En filserver ville være bedre, men det ville være spild af strøm at have sådan én kørende til mit forbrug.

  • 0
  • 0
#13 henrik hammer berthelsen

Nu var mit spørgsmål om Meebo lidt retorisk, da jeg selv bruger den og udemærket ved at den er kodet i JavaScript/AJAX.

Men relevansen var: at en IM klient er ikke bare en klient, da den reelle klient når man bruger Meebo er en browser - så virksomheder der forbyder alt andet end MSN - som nævnt i indslaget - kan de også forbyde Meebo?

Det er vel hvordan du bruger din IM, der er vigtig for en virksomhed at "vejlede" - li'som når virksomheder opstiller retningslinier for god brug af websurfing?

-> AHR: jeg er slet ikke enig i din kommentar om, at IM ikke er egnet til kommunikation (jeg formoder at du med MSN Messenger også mener IM generelt?).

Eksempel: jeg sidder som konsulent og har brug for svar på et teknisk spørgsmål. Min erfaring siger mig, at det er mange gange mere effektivt, at få et konkret svar, ved at kontakte folk på min IM liste, end det er at ringe eller e-maile. At bruge telefonen, resulterer ofte i at jeg skal indtale besked og vente på svar. At skrive en e-mail er alt for asynkron, da jeg skal bruge svaret her&nu for at komme videre. Styrken ved IM, er at jeg kan pinge nogle relevante personer, og hvis de er online, så kan jeg få svar med det sammme. Er de ikke online, så tager jeg bare den næste på min liste. Efter ganske få sekunder/minutter, kan jeg komme videre. Og har jeg flere IM-dialoger igang, så er det [b]synkron multitasking[/b] - dét er umuligt med telefon (uegnet til multitasking) og e-mail (asynkron kommunikation).

  • 0
  • 0
#14 Anders Reinhardt Hansen

En anden ting, MSN protokollen er vel ikke >krypteret ? Tja jeg mener at autencificeringen er krypteret, men kommunikationen mellem klienter ikke er. Der findes i hvertfald 3. parts programmer der gør kommunikatinen "sikker". Det er ihvertfald som jeg ser det en af de primære fejl ved at bruge dette til firmakommunikation.

  • 0
  • 0
#15 Michael Deichmann

Problemet med bl.a. IM software er, at udviklerne pludselig vil hælde al mulig anden funktionalitet ind, og så går det galt. Nu har jeg ikke lige studeret problemerne med MSN, men da de introducerede filoverførsler åbner man brugerens system, hvorefter bufferoverflow kan give udenforstående adgang til din maskine. IM trafikken kører via en central server og der skal en ondsindet først hacke denne før han kan få den til at lave ulykker på de andre klienters maskine, men filoverførsel implementeres så den kører direkte imellem klienterne.

  • 0
  • 0
#16 Anders Reinhardt Hansen

For MSN's vedkommende er det så faktisk fuldstændig omvendt, i visse tilfælde. Ved overførsel til/fra en ikke MS klient til en MS klient går det gennem MS's servere. Det er da iøvrigt den præcis samme problematik der er ved kommunikation mellem server <-> client og client <-> client. Da trafikken ikke er krypteret kan du sagtens lave man in the middle angreb på begge.

  • 0
  • 0
Log ind eller Opret konto for at kommentere