'Freelance developers hebben weinig oog voor veiligheid'

Die harde conclusie trekken onderzoekers van de universiteit van Bonn uit een experiment waarvoor zij 260 Java-programmeurs vroegen een gebruikersregistratieprogramma te ontwikkelen voor een sociaal netwerk. Uiteindelijk gingen 43 programmeurs van Freelance.com op het aanbod in.

De onderzoekers boden de helft van de groep 100 euro voor de klus, de anderen kregen 200 euro. Beiden groepen werden nogmaals in tweeën gedeeld, waarbij de ene helft bij de instructies te horen kreeg dat ze het registratiesysteem moesten inrichten naar eigen inzicht, de anderen kregen expliciet de opdracht mee een veilig systeem te bouwen.

De onderzoekers moesten 18 van de 43 ontwikkelaars vragen het registratiedeel opnieuw te schrijven omdat zij de wachtwoorden gewoon in platte tekst door het systeem lieten wegschrijven. Van deze groep kwamen er 15 uit de subgroep die het systeem naar eigen inzicht hadden mogen inrichten, ofwel drie kwart van de ontwikkelaars ziet niet van nature de noodzaak om wachtwoorden veilig weg te schrijven. Erger nog drie van de groep van twintig die wel was opgedragen het systeem veilig te ontwikkelen, lieten het uiteindelijk toch de wachtwoorden in platte tekst wegschrijven.

Geld speelt geen rol

Nadat uiteindelijk alle ontwikkelaars de wachtwoorden hadden beveiligd, bleken slechts 13 van de 43 een encryptiemethode te hebben gekozen die algemeen als veilig wordt gezien (PBKDF2 en Bcrypt). Ook constateerden de onderzoekers dat de 17 van de 43 de code één op één hadden gekopieerd van internetsites, wat op zijn minst de suggestie wekt dat ze niet in staat waren de code helemaal zelf te schrijven. Het maakte niet veel uit of de ontwikkelaars meer of minder werden betaald.

De onderzoekers raden iedereen aan die software laat ontwikkelen door freelancers, de ontwikkelaars expliciet te wijzen op de noodzaak veiligheid in te bouwen.