Development

Security
code

'Freelance developers hebben weinig oog voor veiligheid'

Freelancers hebben de neiging beveiliging uit gemakzucht te ondermijnen, volgens onderzoek van de universiteit van Bonn.

© CC0 - Pixabay tookapic
11 maart 2019

Freelancers hebben de neiging beveiliging uit gemakzucht te ondermijnen, volgens onderzoek van de universiteit van Bonn.

Freelance-ontwikkelaars moet expliciet verteld worden dat zij wachtwoorden versleuteld moeten opslaan, anders kiezen ze de makkelijkste, maar onveilige optie.

Die harde conclusie trekken onderzoekers van de universiteit van Bonn uit een experiment waarvoor zij 260 Java-programmeurs vroegen een gebruikersregistratieprogramma te ontwikkelen voor een sociaal netwerk. Uiteindelijk gingen 43 programmeurs van Freelance.com op het aanbod in.

De onderzoekers boden de helft van de groep 100 euro voor de klus, de anderen kregen 200 euro. Beiden groepen werden nogmaals in tweeën gedeeld, waarbij de ene helft bij de instructies te horen kreeg dat ze het registratiesysteem moesten inrichten naar eigen inzicht, de anderen kregen expliciet de opdracht mee een veilig systeem te bouwen.

De onderzoekers moesten 18 van de 43 ontwikkelaars vragen het registratiedeel opnieuw te schrijven omdat zij de wachtwoorden gewoon in platte tekst door het systeem lieten wegschrijven. Van deze groep kwamen er 15 uit de subgroep die het systeem naar eigen inzicht hadden mogen inrichten, ofwel drie kwart van de ontwikkelaars ziet niet van nature de noodzaak om wachtwoorden veilig weg te schrijven. Erger nog drie van de groep van twintig die wel was opgedragen het systeem veilig te ontwikkelen, lieten het uiteindelijk toch de wachtwoorden in platte tekst wegschrijven.

Geld speelt geen rol

Nadat uiteindelijk alle ontwikkelaars de wachtwoorden hadden beveiligd, bleken slechts 13 van de 43 een encryptiemethode te hebben gekozen die algemeen als veilig wordt gezien (PBKDF2 en Bcrypt). Ook constateerden de onderzoekers dat de 17 van de 43 de code één op één hadden gekopieerd van internetsites, wat op zijn minst de suggestie wekt dat ze niet in staat waren de code helemaal zelf te schrijven. Het maakte niet veel uit of de ontwikkelaars meer of minder werden betaald.

De onderzoekers raden iedereen aan die software laat ontwikkelen door freelancers, de ontwikkelaars expliciet te wijzen op de noodzaak veiligheid in te bouwen.

 

Lees meer over Development OP AG Intelligence
1
Reacties
Ronald Kunenborg 11 maart 2019 22:15

Ik heb het onderzoek even doorgespit. De volgende highlights zijn wel belangrijk:
"Many of our participants were non-native English speakers and in some cases answers were difficult to understand. This also created the risk that participants had difficulty understanding the task description."
Met andere woorden: niet echt een freelancer die je zou willen inhuren voor een serieus product. Maar mogelijk vergelijkbaar met andere outsourcing scenario's.

"We set the price range at E30 to E250. Eight freelancers responded with offers ranging from E100 to E177. The time ranged from 3 to 10 days. We arbitrarily chose one with an average expectation of compensation (E148) and 3 working days delivery time".
Drie werkdagen voor 150 euro. Waar vind je dat nog? Nou, in Bangladesh misschien. Het land met de beste kwaliteitsfreelancers ter wereld :) Drie dagen werk voor minder dan minimumloon is een scholieren-tarief.

Maar kort gezegd: deze ervaring met bepaalde "freelancers" hebben veel IT-ers al. Dit heeft dus niets te maken met freelancers en alles met outsourcing naar de laagste bieder in het land met de laagste lonen. You get what you pay for.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.