Mozilla richt fonds op voor beveiligingsaudits van opensourcecode

Mozilla heeft het Secure Open Source Fund opgericht. Doel van het fonds is om beveiligingsaudits voor belangrijke opensourceprojecten te bekostigen. Mozilla hoopt hiermee nieuwe security-incidenten als Heartbleed en Shellshock te kunnen voorkomen.

heartbleedHet SOS Fund is onderdeel van het Mozilla Open Source Support-programma en beschikt initieel over een half miljoen dollar. Mozilla hoopt dat meer organisaties en overheden zich aansluiten bij het initiatief om over meer geld te kunnen beschikken voor audits.

Met dat geld wil Mozilla professionele beveiligingsbedrijven code laten doorspitten op problemen. De organisatie wil daarna met de projectbeheerders van de code samenwerking om de problemen te verhelpen en bij te dragen aan het bekendmaken van lekken. Daarnaast wil Mozilla betalen voor de verificatie dat de fixes voor bugs ook echt werken.

Mozilla heeft als test voor het project drie audits laten uitvoeren, voor Perl-Compatible Regular Expressions, libjpeg-turbo en phpMyAdmin. Hierbij zijn 43 bugs aan het licht gekomen waarvan een kritieke kwetsbaarheid. Opensourcesoftware is doorgedrongen tot alle lagen van bedrijven, organisaties en infrastructuur, maar ondanks die afhankelijkheid is de beveiliging ervan een nog grotendeels onopgelost probleem.

Het SOS Fund is echter niet het eerste project dat dit probeert aan te pakken. De Linux Foundation begon in 2014 het Core Infrastructure Initiative in samenwerking met onder andere Cisco, Facebook en Google, om opensourceprojecten door te lichten op beveiligingsproblemen.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 10-06-2016 08:35 42

10-06-2016 • 08:35

42

Lees meer

Beveiligingslek voor remote code execution in terminal-emulator iTerm2 gedicht
Beveiligingslek voor remote code execution in terminal-emulator iTerm2 gedicht Nieuws van 10 oktober 2019
Oproep om overheidscode open source te maken haalt 10.000 handtekeningen op
Oproep om overheidscode open source te maken haalt 10.000 handtekeningen op Nieuws van 26 september 2017
'Bijna 200.000 systemen zijn nog steeds kwetsbaar voor Heartbleed-lek'
'Bijna 200.000 systemen zijn nog steeds kwetsbaar voor Heartbleed-lek' Nieuws van 23 januari 2017
Organisatie achter VeraCrypt-audit vermoedt dat e-mails worden onderschept
Organisatie achter VeraCrypt-audit vermoedt dat e-mails worden onderschept Nieuws van 15 augustus 2016
Mozilla wil gebruikers met Context Graph nieuwe content laten vinden
Mozilla wil gebruikers met Context Graph nieuwe content laten vinden Nieuws van 7 juli 2016
OpenSSL komt deze week met patch voor lek met hoog risico
OpenSSL komt deze week met patch voor lek met hoog risico Nieuws van 26 januari 2016
LibreSSL kampt met geheugenlek en bufferoverflow-kwetsbaarheid
LibreSSL kampt met geheugenlek en bufferoverflow-kwetsbaarheid Nieuws van 19 oktober 2015
Onderzoekers vinden opnieuw problemen met ssl
Onderzoekers vinden opnieuw problemen met ssl Nieuws van 20 mei 2015
OpenSSL bevat een of meer kritieke lekken
OpenSSL bevat een of meer kritieke lekken Nieuws van 17 maart 2015
Nieuwe patch voor Bash-bug beschikbaar
Nieuwe patch voor Bash-bug beschikbaar Nieuws van 26 september 2014
Bash-kwetsbaarheid laat aanvaller code uitvoeren op Linux en OS X
Bash-kwetsbaarheid laat aanvaller code uitvoeren op Linux en OS X Nieuws van 24 september 2014
GnuTLS bevat ernstige kwetsbaarheid
GnuTLS bevat ernstige kwetsbaarheid Nieuws van 2 juni 2014
Veel servers blijken nog steeds kwetsbaar voor Heartbleed-bug
Veel servers blijken nog steeds kwetsbaar voor Heartbleed-bug Nieuws van 9 mei 2014
Meer producten en artikelen
Netwerk en systeembeheer Mozilla Open source

Reacties (42)

-Moderatie-faq
42
42
28
2
0
12
Wijzig sortering
WoBBeL 10 juni 2016 08:41
Ben zelf een fervent Firefox gebruiker, dus vat dit niet op als een flame, maar waarom zouden ze nog zo veel geld steken in een audit terwijl het aandeel Firefox elk jaar terugloopt? Is het niet verstandiger dit geld uit te geven om een groter markt aandeel te bereiken?
Anoniem: 2198 @WoBBeL10 juni 2016 08:53
Ik gebruik ook exclusief Firefox :-)

Geld besteden aan iets anders dan marketing is altijd een goed idee! Dus geld besteden aan het analyseren van de security van populaire projecten is altijd nuttig, onafhankelijk van het uiteindelijke lot van Mozilla, positief of negatief. Een ander belangrijk project van Mozilla is (denk ik) Rust, ook daar wordt geld aan besteed en dat is heel mooi en nuttig, niet direct voor end-users, maar wel voor developers, en dat is ook goed besteed!

Wat betreft de browser, er lijkt een soort crisis te zijn waar de ontwikkeling geen focus heeft op het beter maken van de browser voor eindgebruikers. Toen Firefox populair begon te worden had het goede features boven de competitie, tabbed browsing, popup blocking, addons. Op dit moment biedt Firefox niks boven Chrome voor de normale gebruiker en werken bovendien sommige sites niet (meer) in Firefox omdat het niet langer getest wordt.

De focus zou m.i. juist bij Mozilla moeten liggen op dingen die Google en Microsoft niet kunnen bieden: expliciet kiezen voor het belang van de gebruiker (op lange termijn), dus veilgheid, standaard tracking (niet advertisements) blokkeren, privacy friendly, fingerprint reductie, integratie met Tor voor "private mode", EME niet implementeren, .... Dan kun je jezelf onderscheiden, nu is Firefox in de ogen van velen niet meer dan een langzame Chrome, en dat is zonde, je wordt niet populair door een betere Chrome proberen te zijn, dat lukt nooit. Firefox heeft ook niet gewonnen van IE door een betere IE proberen te zijn.
judgewooden @Anoniem: 219810 juni 2016 12:35
Ik neem aan dat Mozilla wacht tot Rust volwassen genoeg is om een browser te maken. Probleem is dat cloud diensten zoals chrome-OS en mobiele telefoons dat vermoedelijk obsoleet maakt voor de massa. een secure-browser blijft dat de domain van gamers, developers en hobbiesten
leroydev @judgewooden10 juni 2016 13:09
Want gebruikers die geen gamers, developers of hobbyisten zijn hebben geen baat bij een secure browser? Lijkt me niet zo fijn om een browser te gebruiken waarmee ik als huis-tuin-en-keukengebruiker vatbaar zou zijn voor drive-by exploits?
PerAspera @leroydev10 juni 2016 13:57
Je spreekt jezelf tegen.

een huis-tuin-en-keukengebruiker staat niet eens stil bij drive-by exploits..
Anoniem: 2198 @judgewooden10 juni 2016 15:31
Nou ja, ze zijn bezig met Servo, hieronder ook genoemd door @Vygotsky.

Chrome OS is geen cloud-dienst, maar een OS, en natuurlijk is het doel van Google om mensen zoveel mogelijk hun diensten te laten gebruiken om zoveel mogelijk user-data te vergaren en zo veel mogelijk (relevante) advertenties onder de neus van de gebruiker te schuiven.

Een secure browser is belangrijk voor iedereen die het web gebruikt, dus simpeler is beter. Ik denk dat het heel goed haalbaar is om bijvoorbeeld JS te verwijderen uit de browser en te focussen op HTML en CSS voor het web. Dan heb je in 1x een grote weakness uitgebannen :)

Het is interessant om te zien hoeveel sites (bijna) werken zonder JS, het valt erg mee eigenlijk, ik had erger verwacht. En hoe groter de site, hoe beter ze werken zonder JS, dus het lijkt een soort regel te zijn dat JS eigenlijk een site te zwaar maakt voor een groot publiek en dus ook prima zonder kan functioneren. Een goed voorbeeld is YouTube. Het is interessant te zien hoeveel sneller YT wordt als je JS uitzet en de HTML5 Video Everywhere! addon gebruikt. Je wilt niks anders meer :)

Games wil je toch native, je wilt niet de overhead van een browser hebben hoe nobel het doel ook is om cross platform te kunnen ontwikkelen. Dat is en blijft een droom, iOS Safari de nieuwe IE6, en het is niet in 't belang van Apple dat te fixen zoals ze de iTunes store hebben.
Vygotsky @WoBBeL10 juni 2016 11:13
There is hope people... Mozilla heeft meer pijlen op haar boog:

nieuws: Mozilla komt in juni met alfaversie van browser met nieuwe engine
Nogne @WoBBeL10 juni 2016 08:42
Omdat het niet zozeer om Firefox audits gaat maar algemene open source projecten.

[Reactie gewijzigd door Nogne op 24 juli 2024 14:02]

WoBBeL @Nogne10 juni 2016 08:43
Wow, ik heb het hele artikel verkeerd begrepen :/ Ik dacht het het om library's ging die Mozilla zelf gebruikte in hun software

[Reactie gewijzigd door WoBBeL op 24 juli 2024 14:02]

SomerenV @WoBBeL10 juni 2016 09:01
Ja, dat idee had ik ook na het lezen van het artikel. Sowieso denk ik bij Mozilla eigenlijk meteen aan Firefox. Van iets anders ken ik ze eigenlijk niet echt.
Matthijz98 @SomerenV10 juni 2016 09:10
Je hebt nog mozilla thunderbird.
Maar verder kom ik ook niet.
mcdronkz @Matthijz9810 juni 2016 10:06
Het Mozilla Developer Network (MDN) is bijzonder geliefd bij front-end developers.
locke960 @WoBBeL10 juni 2016 09:13
Firefox/Mozilla is helaas hard op weg om irrelevant te worden, maar het lijkt er op dat ze zelf de laatste zijn die dat doorhebben.

Elk normaal bedrijf die een dergelijk verlies in marktaandeel overkomt had allang ingrijpende veranderingen en reorganisaties doorgevoerd. Niet Mozilla, die gaan gewoon door op de weg die ze 6 jaar geleden zijn ingeslagen en ze blijven dezelfde dingen doen die gebruikers overduidelijk niet willen.

De cijfers zijn glashard. Sinds de introductie van de Rapid Release strategie en de chromificatie van Firefox gaat het marktaandeel omlaag.

De vraag is hoelang dit nog goed kan gaan. Het kan haast niet anders of hun inkomsten (giften en sponsordeals) gaan voor een groot deel wegvallen. En dan moet er wel iets veranderen, maar het is de vraag of Firefox dat gaat overleven, en in welke vorm.
Dus inderdaad, het is vreemd dat ze nog steeds links en rechts geld uitgeven aan andere zaken.

[Reactie gewijzigd door locke960 op 24 juli 2024 14:02]

Yoshi @locke96010 juni 2016 12:07
mozilla doet wel heel wat meer dan firefox alleen, ze zijn eigenlijk, als geheel business vrij inovatief. Spijtig dat je dus die conclusie trekt
locke960 @Yoshi10 juni 2016 12:57
Dat is net zoiets als zeggen dat Microsoft wel meer doet dan Windows en Office. Technisch klopt het, maar zonder de moneymakers Windows en Office zou Microsoft instorten en is het nog maar de vraag wat er van de rest overblijft, en in welke vorm.

Idem voor Mozilla en Firefox, vooral ook omdat veel van die andere activiteiten drijven op core technologieën welke met Firefox geld ontwikkeld worden.

[Reactie gewijzigd door locke960 op 24 juli 2024 14:02]

CAPSLOCK2000
@locke96011 juni 2016 11:21
Elk normaal bedrijf die een dergelijk verlies in marktaandeel overkomt had allang ingrijpende veranderingen en reorganisaties doorgevoerd. Niet Mozilla, die gaan gewoon door op de weg die ze 6 jaar geleden zijn ingeslagen en ze blijven dezelfde dingen doen die gebruikers overduidelijk niet willen.
Mozilla is geen bedrijf maar een stichting die grotendeels drijft op vrijwilligers. Die werken vooral aan dingen die ze zelf interessant vinden. De stichting heeft dan ook niet als doe om de grootste browser te maken maar eentje die de belangen van de gebruikers voorop zet, of ze het nu weten of niet. Daarbij probeert Mozilla na te denken over zaken waar de meeste mensen nooit bij stil staan, zoals privacy en veiligheid.
De cijfers zijn glashard. Sinds de introductie van de Rapid Release strategie en de chromificatie van Firefox gaat het marktaandeel omlaag.
Ik denk zelf dat het meer te maken heeft met de opkomst van Chrome.
himlims_ @WoBBeL10 juni 2016 08:52
groter marktaandeel? bedoel je nog meer euros verbrassen aan fullpage (color) advertenties? :N http://rebrn.com/re/firefox-newspaper-ad-from-2144235/

nee, mozilla is meer dan een browsertje :+ de mozilla foundation zet zich al jaren in voor 'het algemeen goed' daar ligt ook de kracht van linux; maar ook een zwakte. Positief dat mozilla hier een rol wil spelen.
SuperDre @WoBBeL10 juni 2016 09:48
Mozilla is meer dan alleen firefox..
CAPSLOCK2000
@WoBBeL11 juni 2016 11:05
Is het niet verstandiger dit geld uit te geven om een groter markt aandeel te bereiken?
Firefox heeft niet het doel om een grote browser te zijn, ze willen vooral goed zijn op bepaalde punten en marktaandeel zit daar niet bij. Mozilla schrijft over zichzelf: "Our mission is to ensure the Internet is a global public resource, open and accessible to all. An Internet that truly puts people first, where individuals can shape their own experience and are empowered, safe and independent."

Het onderzoek dat ze hebben laten doen is niet alleen gunstig voor Firefox maar ook voor alle andere applicaties en projecten die er gebruik van maken en dat zijn er heel veel. Ze hebben het geld dus uitgegeven aan werk dat sowieso nuttig is, onafhankelijk van het success van de Firefox browser.
26779 10 juni 2016 09:10
Ik vind dit een heel erg goed initiatief en hoop van harte dat andere bedrijven dit gaan steunen. Denk aan Red Hat, IBM etc....
Niet zo lang geleden is er via crowdfunding een audit gedaan met truecrypt. Daardoor is toch wel veel kou uit de lucht gehaald nadat truecrypt plotseling ophield ontwikkeld te worden en de ontwikkelaar Bitlocker adviseerde als alternatief. Veel speculatie is er geweest dat dit een warrant canary zou zijn.
The Zep Man
@2677910 juni 2016 10:22
Daardoor is toch wel veel kou uit de lucht gehaald nadat truecrypt plotseling ophield ontwikkeld te worden en de ontwikkelaar Bitlocker adviseerde als alternatief. Veel speculatie is er geweest dat dit een warrant canary zou zijn.
Dat is geen warrant canary. Een kenmerk van een warrant canary is dat deze opgezet wordt voor de ontvangst van een gerechtelijk bevel dat zwijgen afdwingt. Het verdwijnen van de (up-to-date) warrant canary impliceert dat een bevel tot zwijgen is ontvangen. Bruce Schneier heeft overigens nog een goed stukje over de beperkte effectiviteit van de warrant canary constructie.

Het kan overigens wel zijn dat TrueCrypt zo'n bevel ontvangen heeft.

Iets meer on-topic:
Ik hoop dat dit budget besteed gaat worden aan audits van veelgebruikte beveiligingsproducten zoals OpenSSL, NSS en andere SSL/TLS implementaties, en mogelijk webserver software. Die software kom je echt overal tegen, en door online aanwezigheid op servers als diensten zijn die het meest kwetsbaar.

[Reactie gewijzigd door The Zep Man op 24 juli 2024 14:02]

Anoniem: 382732 10 juni 2016 11:22
Eigenlijk staat dit haaks op het verhaal dat we al jaren vanuit de open source community horen: doordat het open source is is het beter omdat iedereen de source code kan reviewen en indien nodig kan aanpassen.

Het feit dat zo'n fonds nodig is betekent dus dat zoiets kennelijk niet gebeurt en dat mensen toch weer gewoon betaald willen worden voor hun werk.
Maurits van Baerle
@Anoniem: 38273210 juni 2016 14:42
Het is niet zo ééndimensionaal. Je kunt inderdaad niet zeggen dat Open Source code inherent veilg is. Dat hebben de GNUtls, OpenSSL en GoToFail bugs wel laten zien.

Wat je wel kunt zeggen is dat mogelijk de kans dat er iets wordt gevonden in Open Source code ietsjes groter is dan in closed source code. Iedereen, van grote jongens als FOX-IT tot zolderkamerhackers, kunnen immers op ieder moment besluiten eens te gaan kijken of de code wel goed in elkaar zit. Je bent niet afhankelijk van de eigenaren van de code om eens te besluiten te gaan auditen.

Wat je zeker kunt zeggen is dat áls een probleem gevonden wordt het nergens zo snel wordt opgelost als in Open Source code. Een heleboel mensen kunnen namelijk meteen een oplossing aandragen zonder dat er ergens een beslissing genomen moet worden hoe hoog de prioriteit is, er tijd vrijgemaakt moet worden in het dev team etc.

Wat dit fonds doet is kans op vinden van fouten vergroot wordt door er een budget voor te creëren.
Yoshi @Maurits van Baerle10 juni 2016 16:28
ja ok, maar eer die oplossing worden aangedragen naar de daadwerkelijke release zit er niet zoveel verschil op als bij bedrijven die closed source apps ontwikkelen. Dat hebben de groten trouwens (Apple, MS, Oracle, etc) al duidelijk laten zien de laatste jaren.
CAPSLOCK2000
@Yoshi11 juni 2016 11:45
ja ok, maar eer die oplossing worden aangedragen naar de daadwerkelijke release zit er niet zoveel verschil op als bij bedrijven die closed source apps ontwikkelen. Dat hebben de groten trouwens (Apple, MS, Oracle, etc) al duidelijk laten zien de laatste jaren.
Daar is wel eens onderzoek gedaan maar daar kwam toch iets heel anders uit. Nu is dat onderzoek wel een paar jaar oud maar ik nog niks gezien dat het ontkracht.
Hierbij een stukje van cio.com over dat onderzoek:
According to a survey commissioned by BMC and conducted by Forrester analyst Carey Schwaber, the average time to resolve an application problem is 6.9 days for enterprise developers and 6.7 days for software vendors. Ten percent of those problems take 10 days to solve, says the report. Developers spend just over an hour documenting the problem; and, if given that hour back, they'd use it to create enhancements to the application they are working on....

...Evans Data Corporation (EDC) just finished its twice-yearly report, resulting from a survey of several hundred open-source and Linux developers (with some managers, but primarily folks-who-code). The EDC numbers are somewhat different. The average time between discovery and solution of a serious bug, for 36 percent of open-source developers is under eight hours. Hours. Not days. Not a week.
Ik denk dat de situatie in closed source land wel is verbeterd maar voor zover ik het mee krijg is er nog altijd een groot gat.

[Reactie gewijzigd door CAPSLOCK2000 op 24 juli 2024 14:02]

Yoshi @CAPSLOCK200011 juni 2016 14:07
zoals ik al zei, dat was zo, en er is al veel verbetering. Er is niet zo heel veel verschil meer, en dat valt ook op. Een paar jaar geleden moest je er niet aan denken dat de groten na 1 dag al patchen uitbrachten. Daarbij, cio.com vergelijkt twee verschillende onderzoeken, en dat is simpelweg fout maar wordt spijtig genoeg wel meer gedaan in de IT wereld :). Ik ben blij dat we dat niet doen in de medische studiegroepen bij ons :)

[Reactie gewijzigd door Yoshi op 24 juli 2024 14:02]

StefanTs @Maurits van Baerle11 juni 2016 03:01
"Wat je wel kunt zeggen is dat mogelijk de kans dat er iets wordt gevonden in Open Source code ietsjes groter is dan in closed source code."

Dat kun je zeggen, maar volgens mij is dat onzin. Dat geldt misschien voor grote projecten maar voor een hoop andere projecten zijn daar simpelweg de mensen of de kennis niet voor.
Dat iets open source is wil niet zeggen dat er meteen eindeloos veel developers op af komen. Sterker nog, een hoop projecten sterven omdat er geen ontwikkelaars meer zijn.
Yoshi @Anoniem: 38273210 juni 2016 12:25
Spijtig dat je een -1 krijgt, want je hebt wel een punt waarover gerust een discussie mag gevoerd worden.
CAPSLOCK2000
@Anoniem: 38273211 juni 2016 11:38
Eigenlijk staat dit haaks op het verhaal dat we al jaren vanuit de open source community horen: doordat het open source is is het beter omdat iedereen de source code kan reviewen en indien nodig kan aanpassen.
He, ik vind het juist het bewijs dat het wel werkt. Deze projecten zijn geen eigendom van Mozilla en tóch kan Mozilla een code-review laten uitvoeren en mag de resultaten nog publiceren ook. Probeer dat maar eens bij een closed source product doen.

De bewering is dat je de code kan zien en mag aanpassen. Niemand beweert dat open source geen fouten bevat. Wel is uit onderzoek gebleken dat populaire open source projecten minder fouten bevatten dan vergelijkbare closed source projecten.

Natuurlijk zijn er altijd wat extremisten die alles tot in het extreme doortrekken en beweren dat open source 100% perfect is en nooit iets verkeerd zal doen en dat alle programmeurs 24/7 klaar staan om voor hun gebruikers te werken. Daar moet je door heen prikken, mafkezen heb je overal.

Het grote voordeel van open source is dan ook niet dat het geen fouten bevat maar dat je niet afhankelijk bent van de eigenaar van het product om fouten op te sporen en te verbeteren. Als ik een fout vind ik een closed source programma kan ik die onmogelijk zelf verhelpen. Zelfs als ik de beste klant van het bedrijf ben zal ik toch moeten wachten tot zij tijd hebben om mijn probleem op te lossen en als ze om een of andere reden niet willen dan heb ik pech.

Het is niet zo maar dat dit een groot voordeel is, beveiliginsonderzoekers hebben al lang geleden vastgesteld dat peer-review de beste manier is om de kwaliteit te verbeteren en dat dit het beste werkt als je het in de openbaarheid doet, zodat iedereen mee kan dingen. Toen de NSA een nieuw encryptiealgoritme nodig had hebben ze daar ook een openbare wedstrijd van gemaakt waarbij de auteurs van verschillende oplossingen elkaars producten mochten beoordelen.
Daarmee is perfectie nog steeds niet gegarandert, maar je kansen verbeteren aanzienlijk.
3raser 10 juni 2016 11:38
Is zo'n beveiligingsaudit echt waterdicht? Ik bedoel, het zijn gewoon mensen die de code reviewen toch? Daar kunnen toch nog steeds fouten doorheen sluipen lijkt me. Bovendien wijzigt de code regelmatig. Gaan ze dan bij iedere nieuwe release weer een audit doen? En wat als iemand getroffen wordt door een bug die tijdens de audit over het hoofd is gezien. Kan die persoon zich dan beroepen op de audit om zo een schadevergoeding te krijgen of iets dergelijks? Want het is natuurlijk wachten op de eerste persoon die "dacht" dat hij volledig veilig was met die software.
uip @3raser10 juni 2016 13:38
Uiteraard niet. Maar één audit is altijd beter dan géén audit.
CAPSLOCK2000
@3raser11 juni 2016 13:59
Is zo'n beveiligingsaudit echt waterdicht?
Net als in de rest van de wereld bestaat absolute zekerheid niet. Geen enkele dokter kan je garanderen dat je gezond bent. Geen enkele bouwcode kan garanderen dat er nooit een gebouw instort. Geen enkele airbag redt in alle gevallen je leven. Geen enkele blusinstallatie kan beloven dat er nooit brand zal uitbreken.

De rest van de wereld kan daar prima mee om gaan. Daarom hebben we contracten, garanties en verzekeringen. Dat zijn allemaal afspraken waarbij de een partij in staat voor de kwaliteit van een bepaald product of een bepaalde dienst. Rechten claimen op grond van de audit van een derde partij lijkt me onmogelijk. Je kan wel een bedrijf betalen om die verantwoordelijkheid voor je te dragen. Zo'n bedrijf zal de prijs daarvan laten afhangen van de uitkomsten van zo'n audit maar het is aan hun om te bepalen hoeveel waarde ze er aan hechten.
GekkePrutser 10 juni 2016 09:54
Hulde!!! Dat is echt iets dat broodnodig is. Open source software is over het algemeen van behoorlijke kwaliteit maar er zijn toch altijd dingen die over het hoofd gezien worden, en dit soort audits zijn van groot belang.

@hierboven: Het is dus niet alleen een fonds voor Mozilla's eigen produkten maar voor alle belangrijke open source projecten. En libraries die overal in gebruikt worden en vaak grote problemen bevatten. Dat is de laatste jaren al een paar keer flink misgegaan.

Ik vraag me af of je zelf ook bij kan dragen, het lijkt me bij uitstek iets dat geschikt is voor crowdfunding.
Maurits van Baerle
10 juni 2016 10:18
Een goed initiatief! Het enige wat ik niet zo goed begrijp is eventuele overlap met het Core Infrastructure Initiative. Zou het doel van Mozilla zijn om dit initiatief te richten op software die niet onderdeel is van CIS maar toch ook extra veiligheid kan gebruiken?

Uiteraard is een lek in OpenSSL gevaarlijker dan een lek in PHPMyAdmin. Toch kan een lek in bijv. PHPMyAdmin flinke schade aanrichten terwijl het waarschijnlijk nooit onderdeel van CIS zal worden.
uiltje 10 juni 2016 16:34
Ik vraag me af of het uberhaupt mogelijk is om C/C++ code goed te beveiligen. En dat is dubbel het geval voor code zoals OpenSSL of NSS, die vreselijk oud zijn en soms vreselijk slecht opgezet / ontwikkeld.

Ik heb een tijdje gedacht dat het gebruik van statische code analyse het verschil met memory managed talen zou dichten. Dat lijkt niet het geval te zijn; laatst is er nog een overrun geconstateerd in het ASN.1 gedeelte van NSS. Bij dat soort fouten ben je al de pineut voordat je uberhaupt aan - bijvoorbeeld - certificaat verificatie toe komt. Dit komt ook vaak door de speciale constructies die gebruikt worden om geheugen te alloceren en terug te geven in cryptografische software.

Een audit is leuk, maar een enkele audit zegt niet heel veel over de code kwaliteit. Om een goede beveiliging te krijgen moet je soms dingen opnieuw opzetten en continue veranderingen reviewen. En misschien kom je toch niet om managed talen heen. Zelfs Java is wat dat betreft niet zo veilig als je hoopt; bewijs maar eens dat je geen problemen ondervind door integer overruns, om maar iets te noemen.
StefanTs @uiltje11 juni 2016 03:06
Je stelt daarmee effectief dat code in C onveilig is. Waarin zou jij alles dan schrijven? En moeten alle OSen nu herschreven worden gezien daar toch een hoop C in te vinden is?
CAPSLOCK2000
@StefanTs11 juni 2016 11:52
Volgens mij is de gemeenschap het er wel over eens dat C weinig doet om programmeurs tegen fouten de beschermen. Realistisch gezien is het op dit moment niet mogelijk om het te vervangen maar je kan wel proberen het gebruik te beperken. Schrijf alleen de low-level componenten van je OS in C en bouw de andere onderdelen in een modernere taal. Dat is ook wat er in de praktijk gebeurt in vrijwel alle besturingssytemen. De kernel en andere kerncomponenten zijn in C geschreven maar daarna wordt er al snel naar iets anders overgestapt zoals Java/C#/Python of iets dergelijks.
uiltje @StefanTs12 juni 2016 11:31
Ja, ik denk inderdaad dat C code onveilig is. Als je een andere mening bent toegedaan raad ik je aan Software Security curses van Maryland University op Coursera te volgen (gratis). Het koste mij laatst 10 minuten om een buffer overrun te vinden in C code.

Bij bijvoorbeeld Java ben je ook niet compleet veilig (e.g. als alle gegevens in een enkele array zitten kan je daarom nog steeds overruns vinden) maar het blijft dan tenminste beperkt tot dat gedeelte van de data.

Appllicaties zou ik zeker in een managed taal of zelfs scripting taal schrijven, eventueel met een minimal hoeveelheid C code om bijvoorbeeld hardware aan te sturen. Unmanaged talen zijn niet meer van deze tijd voor business logic.

Operating systems zijn natuurlijk veel lastiger. Een OS gebaseerd op een managed taal met een minimale C interface lijkt daarvoor het meest logisch. Het grootste probleem daarmee is natuurlijk de installed base die veel operating systems al hebben.

Verder leggen managed talen meer eisen op aan bovenliggende applicaties / talen en frameworks. Een mono cultuur is ook lastig te verdedigen voor general purpose operating systems (hoewel iOS en Android daar weinig last van lijken te ondervinden).
Anoniem: 727197 10 juni 2016 08:53
Wat is hun verdienmodel?
Maurits van Baerle
@Anoniem: 72719710 juni 2016 08:57
Ze verkopen de default search engine positie aan de hoogste bieder. Dat levert ze al jaren honderdern miljoenen per jaar op. Search engines hebben ontzettend veel geld over voor de traffic van zo'n 500 miljoen Firefox gebruikers.
Soldaatje @Maurits van Baerle10 juni 2016 12:09
Tegenwoordig geven ze de default engine in Europa weg aan Google.

http://www.cnet.com/news/...ed-googles-money-anymore/

Ze laten heel veel geld liggen, in 2014 bracht het 330 miljoen dollar op.
Maurits van Baerle
@Soldaatje10 juni 2016 14:34
Het is nog te vroeg om te zeggen of ze geld laten liggen. Ze geven geen inzicht in de waarde van de vijf-jarige search deal met Yahoo! bijvoorbeeld, de grootste search deal. En volgens mij weten we ook niet hoeveel de deals met Yandex, Baidu, Amazon, eBay en Bing waard zijn.

In november dit jaar weten we pas of ze er op voor of achteruit zijn gegaan omdat ze dan de jaarcijfers publiceren. Nog steeds niet opgesplitst in verschillende deals maar in ieder geval weten we wat de totale inkomsten uit search deals zullen zijn. De geluiden lijken op dit moment in ieder geval positief, wat suggereert dat ze meer verdienen nu ze niet meer alleen een deal met Google hebben.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq