Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 160, views: 38.425 •
Bron: ZDNet Blogs, submitter: bakman

In tegenstelling tot de algemeen geldende gedachte, blijkt dat in Firefox de laatste maanden meer veiligheidslekken ontdekt werden dan in Internet Explorer, zo schrijft een ZDNet-redacteur. Hoewel hiermee geen besluit gevormd kan worden over de veiligheid van een product - daarvoor zijn meer gegevens nodig zoals de ernst van het lek en de snelheid van het patchen - is het wel opmerkelijk dat er meer lekken ontdekt worden en dat daar ook meer exploits voor gepubliceerd worden dan voor Internet Explorer. De schrijver van het artikel baseert zich voor deze stelling op gegevens van Secunia, die bijhoudt voor welke software er lekken en exploits verschijnen. Terwijl voor Firefox 1.x sinds maart tot op heden 40 verschillende kwetsbaarheden aan het licht kwamen, bedroeg dit aantal bij Internet Explorer slechts 10. Wanneer het aantal exploits voor deze lekken geteld wordt, komt men voor Firefox van april tot september aan een totaal van elf, terwijl er voor Internet Explorer slechts zes exploits bekend werden in deze periode. MozillaZine benadrukt in een reactie op het artikel van ZDNet overigens dat de ernst en patchsnelheid van een lek meer zeggen over de veiligheid van een browser, dan het aantal lekken.

Maand
Lekken / Exploits Firefox
Lekken / Exploits IE
Maart
15 / ?
0 / ?
April
9 / 2
3 / 2
Mei
3 / 4
1 / 0
Juni
2 / 0
1 / 0
Juli
10 / 4
1 / 1
Augustus
0 / 0
4 / 3
September
1 / 1
0 / 0

Reacties (160)

Reactiefilter:-11600129+176+237+318
1 2 3 ... 8
Ik zeg niets.. Ik zeg niets.
Maar ik wil wel dezelfde reacties zien als bij een IE exploit...
dus jij wilt beweren dat deze paar nummers zeggen dat IE veilig is dan FF?

je lijkt MS wel die zegt dat windows veiliger is als linux omdat er voor windows minder veiligheids patches werden uit gebracht elke maand.

als ik naar wat paginas ga die ik wat minder(lees niet) vertrouw weet ik wel welke browser ik liever gebruik.
Nee, dat beweert hij niet. Ik denk dat hij een bezwaar heeft tegen 'cherry picking' van 'bewijs' voor of tegen een bepaalde browser.

Veel reakties (en ook moderaties) op T.net zijn tendentieus, waarbij al het 'bewijs' tegen Microsoft en haar producten wordt bejubeld en het 'bewijs' dat er iets goeds is aan Microsoft en haar producten met de grond gelijk wordt gemaakt.

Feit is dat veel tweakers meer achter de filosofie van Open Source staan en moeite hebben met de kapitalistische regels van het bedrijfsleven, en daardoor meer op basis van populariteit en intuitie dan op basis van bewijs zo tegen MS gekant zijn, dat iedere gelegenheid wordt aangegrepen dat kenbaar te maken.

Weeraanmelden stelt dit feitelijk aan de kaak in zijn bericht ...
Voor dit soort berichten zou er een '+5' moederatie moeten bestaan.

Wat MrX hier zegt, is een tendens die de laatste tijd teveel op de frontpage te vinden is! Teveel mensen baseren hun mening niet meer op feiten maar op gevoel en daardoor gaat de kwaliteit van de reacties ver naar beneden. Dat vind ik jammer...

Niet alleen MS vs Linux, maar ook AMD vs Intel en ATi vs nVidia eindigen vrijwel altijd in hetzelfde: het bedrijf dat het meeste geld verdient is de 'bad guy' en kan vervolgens nooit meer iets goed doen...

Ik hoop dat de tekst van MrX veel mensen bereikt om zo de kwaliteit van de frontpage een beetje hoog te houden!
Feit is dat veel tweakers meer achter de filosofie van Open Source staan en moeite hebben met de kapitalistische regels van het bedrijfsleven, en daardoor meer op basis van populariteit en intuitie dan op basis van bewijs zo tegen MS gekant zijn, dat iedere gelegenheid wordt aangegrepen dat kenbaar te maken.
Een stuk hieronder vraag je anderen om hun uitspraken te onderbouwen met bronnen. Kun je van bovenstaande bewering ook een bron geven?

Persoonlijk heb ik namelijk geen enkele moeite met de kapitalistische regels van het bedrijfsleven (ik maak er zelf deel van uit!).

Als ik dan kijk naar Secunia en IE en Firefox vergelijk, zie ik dat Firefox weliswaar meer veiligheidsproblemen kent, maar IE de meeste ernstige, terwijl enkele daarvan nog uit 2004 dateren en nog altijd niet opgelost zijn. Bij Firefox worden de problemen meestal binnen een tijdsbestek van enkele weken verholpen.

Voldoende statistisch bewijs dat IE op het gebied van veiligheidsproblemen de minste van de twee is, lijkt me.
@PatMan2:
Een stuk hieronder vraag je anderen om hun uitspraken te onderbouwen met bronnen. Kun je van bovenstaande bewering ook een bron geven?
Je hebt gelijk dat ik geen bron heb in dit geval. Misschien is het interessant om een poll te houden of bezoekers van T.net meer sympathie voelen voor software van commerciele bedrijven dan Open Source software.

Je lijkt echter slechts de helft van mijn uitspraak in twijfel te trekken, en dan alleen op persoonlijke titel. Een onderzoek dat uitwijst dat tweakers massaal sympathie hebben bij commerciele software en niet van OSS houden zal je volgens mij ook niet kunnen aandragen.
Voldoende statistisch bewijs dat IE op het gebied van veiligheidsproblemen de minste van de twee is, lijkt me.
Eerlijk gezegd vind ik het bijzonder moeilijk om goede, gebalanceerde conclusies te trekken uit de statistieken die in dit bericht genoemd zijn. in dit artikel worden veel van de gronden van bovenstaand nieuwsbericht terecht onderuit gehaald, maar er is mijns inziens ook niet voldoende basis om Firefox als veel veiliger dan MS te bestempelen. Ook voor die conclusie geldt immers de eerste allinea van bovenstaand bericht:
"There are three kinds of lies: lies, damned lies, and statistics." - Benjamin Disraeli
Het doel van mijn post, waarop jij reageert, was ook niet om de waarheid of onwaarheid van de bewering in bovenstaand nieuwsbericht te betogen, dus ik vind het raar dat jij in jouw reaktie daar wel over begint.
Je lijkt echter slechts de helft van mijn uitspraak in twijfel te trekken, en dan alleen op persoonlijke titel. Een onderzoek dat uitwijst dat tweakers massaal sympathie hebben bij commerciele software en niet van OSS houden zal je volgens mij ook niet kunnen aandragen.
Klopt helemaal, ik heb ook aangeven dat ik alleen op basis van mijn persoonlijke ervaring hier iets van kan zeggen. Aan de andere kant presenteerde jij je eigen veronderstelling als feit, vandaar mijn opmerking.
Eerlijk gezegd vind ik het bijzonder moeilijk om goede, gebalanceerde conclusies te trekken uit de statistieken die in dit bericht genoemd zijn. in dit artikel worden veel van de gronden van bovenstaand nieuwsbericht terecht onderuit gehaald, maar er is mijns inziens ook niet voldoende basis om Firefox als veel veiliger dan MS te bestempelen. Ook voor die conclusie geldt immers de eerste allinea van bovenstaand bericht: "There are three kinds of lies: lies, damned lies, and statistics." - Benjamin Disraeli
Met statistieken kun je soms alle kanten op, dat ben ik met je eens. Aan de andere kant gaat het me te ver om dan meteen maar alle statistieken naar de prullenbak te verwijzen. Ik denk dat als je de gegevens van Secunia bekijkt en je neemt aantallen beveiligingsproblemen, de ernst ervan en de tijd dat de 'vendor' een patch beschikbaar heeft in ogenschouw, je wel degelijk een goed onderbouwde conclusie kunt trekken.
Het doel van mijn post, waarop jij reageert, was ook niet om de waarheid of onwaarheid van de bewering in bovenstaand nieuwsbericht te betogen, dus ik vind het raar dat jij in jouw reaktie daar wel over begint.
Het gaat mij erom dat er al bij voorbaat door weeraanmelden (en door jou?) vanuit wordt gegaan dat de meeste mensen die de voorkeur geven aan Firefox dat doen op basis van oneigenlijke argumenten. Terwijl die argumenten naar mijn mening dus wel degelijk hout kunnen snijden.
Als we het dan toch over statistieken hebben, dan is het helemaal makkelijk om FF onderuit te halen!

85% van de mensen werkt met IE. IE wordt dus veel vaker gebruikt dan FF en logischerwijs komen fouten bij IE dus sneller aan het licht. Statistisch gezien is de waarschijnlijkheid dat men op een fout bij IE stuit namelijk gewoon veel groter!

Pas als IE en FF gelijk gebruikt worden, dan mag je ook de hoeveelheid fouten aan elkaar gelijkstellen om te bepalen wie er beter is. In een voorbeeld: er gaan dagelijks meer Fiats kapot dan Ferrari's, maar dat maakt Fiat niet de slechtere auto. Een fiat gaat bij 150.000km kapot, een Ferrari bij 50.000 al (let op, VOORBEELD). Is dan de Ferrari echt nog wel beter??

Maar goed, even de andere kant van het marktaandeel. Voor mensen die een exploit zoeken en deze voor bepaalde doeleinden willen uitbuiten (geld, lol, schade aan anderen, noem maar op). Voor deze mensen is het toch het meest logisch om op de browser te mikken die het meest wordt gebruikt? Je gaat je toch niet rot zoeken naar een eventuele exploit in een programma dat niemand gebruikt??

Dus omdat IE het grootste is, is het daarmee ook het meest interessant om fouten in te zoeken. ELK stukje software (en zelfs hardware!) bevat (denk)fouten. Alleen bij IE is het veel interessanter om ze te gebruiken...

FF is eigenlijk juist een mooi voorbeeld van dit verhaal. Naarmate de populariteit van FF toenam, begonnen ook het aantal bugs toe te nemen... Waarom? Gewoon omdat het door de toegenomen populariteit ineens wel interessant werd om eens bugs te gaan zoeken/misbruiken.

@Patman2
Het gaat mij erom dat er al bij voorbaat door weeraanmelden (en door jou?) vanuit wordt gegaan dat de meeste mensen die de voorkeur geven aan Firefox dat doen op basis van oneigenlijke argumenten. Terwijl die argumenten naar mijn mening dus wel degelijk hout kunnen snijden.
Die fantoom-argumenten van de gemiddelde FF freak slaat ook nergens op! Kijk, dat je de interface lekkerder vind ofzo is allemaal prima te begrijpen, maar als je zogenaamd bewust voor FF kiest vanwege de 'betere' veiligheid, dan ga de fout in. FF is niet veiliger. Dat er minder fouten worden gevonden ligt meer aan het niet goed zoeken dan aan iets anders.. En dat is wat MrX ook wil zeggen: een hoop FF gebruikers denken wel dat het veiliger is, maar kunnen dat net zo min bewijzen als de IE mensen. De 'bewijzen' dat FF minder fouten bevat gaan namelijk helemaal niet op! Dat is dat gel*l met statistieken nou...
Volgens jou stelling is Firefox per defenitie veiliger dan Internet Explorer. Immers, het wordt minder gebruikt en er worden minder fouten misbruikt. Logisch toch?
Op zich worden de meeste posts waarin mensen (zonder basis) Microsoft/Intel/nVidia naar afzeiken netjes weggemodereerd. Wat dat betreft heeft t.net een gouden mechanisme in handen om de kwaliteit van de posts omhoog te trekken.

Daarnaast zie ik genoeg mensen die door de heisa heenprikken en zien dat de genoemde bedrijven wel degelijk goede producten maakt. Microsoft bijvoorbeeld heeft een flinke schare fans die dolblij zijn met hun producten. Ik denk dat er een redelijke balans is.
Je heb t wel gelijk ook, en wat me het meeste tegenvalt van FF, is dat het ze gelukt is, om een jaren oude bug weer in te bouwen in de paar laatste versies van hun browser.

Verder is het natuurlijk ook gewoon zo, dat het aantal meldingen niet represantatief is voor de mate van gevaar waar je je in begeeft. FF 1.x is redelijk recent en zal zeker nog wel meer nieuwe bugs laten zien, zolang ze maar accuraat en snel gepatched worden is het niet schokkend. Als MS strax weer met een niweuwe versie komt, is daar natuurlijk weer meer in te vinden, dus dan zijn de rollen weer omgekeerd. IE6 is momenteel natuurlijk redelijk uitontwikkeld en al weer in weet niet hoe lang op de markt. En ondanks het gezanik over IE heb ik er tot voor kort met plezier mee gesurfst. Ik ben op FF overgestapt, voornamelijk omdat mijn antispyware software het dan 'iets' rustiger aan kan doen.
Internet Explorer 6.0 is er inmiddels al weer een hele tijd. Firefox is net weer met een nieuwe versie uit. Dit zijn cijfers sinds afgelopen maart.

Als je het eerlijk gaat bekijken, moet je kijken naar de hoeveelheid ontdekte lekken sinds de introductie.

Voor Firefox is dat dus sinds maart 2005.

Voor IExplore is dat dus sinds april 2003 (IE 6.0 sp1).

Rara welke van de twee zou nou absoluut gezien meer bugs hebben gehad sinds de introductie...?

Dus hou gelijk maar op met je 'ik zeg niets...'. Inderdaad zeg je niets.
Ook dat klopt niet,
dan ga je IE over 2 jaar bekijken en FF over 3 maanden :? :?
Als je dezelde reacties als bij IE wilt zien, goed zoals het artikel quote
Mozilla benadrukt in een reactie op het artikel van ZDNet overigens dat de ernst en patchsnelheid van een lek meer zeggen over de veiligheid van een browser, dan het aantal lekken.
Kan er weinig tegin in brengen.
Je kan het ook anders bekijken: IE6 is al enkele jaren oud, en er worden nog steeds kritische bugs gevonden. Firefox komt net kijken.
En er wordt ook verder niets gezegd over het totale aantal lekken en exploits, alleen dat er op het moment meer in Firefox worden ontdekt dan in IE.
Dat zou overigens ook weer kunnen komen doordat er in Firefox beter gezocht wordt.
En omdat er beter gezocht kan worden, want het is opensource en er kan dus zonder problemen direct in de code worden gespit.
Aan de andere kant is IE al maanden zo niet vele jaren lang onderzocht...dat telt ook mee...
Maar het is aan de andere (financiele) kant aannemelijker te zoeken in de code van de marktleider, dus IE. Dan kunnen exploits vaker benut worden door spyware, wat dus meer oplevert.
Zoeken in in code zonder dat je die hebt gaat ook zo handig he... IE is nou eenmaal closed source software.
Dat is misschien een manier om te de kwaliteit van de ontwikkelaars te beoordelen, maar niet om de kwaliteit van het product te beoordelen.

Als jij nieuw merk auto koopt en die om de maand kapot gaat, terwijl een oud model iedere jaar een probleem heeft, zal je als gebruiker ook liever dat oude model hebben, hoe knap het ook is dat de engineers van het nieuwe model in een korte tijd dat model gebouwd hebben en toch een redelijke kwaliteit hebben gerealiseerd.

Daarnaast moet ook gezegd worden dat FireFox natuurlijk niet helemaal nieuw is. De engine, waarop FF gebaseerd is (Gecko), is nog gebouwd in de tijd van Netscape, en ik heb nog referenties kunnen vinden terug naar 1998 (http://www.blooberry.com/indexdot/history/netscape.htm), dus een groot en belangrijk deel van de code base is zelfs behoorlijk oud.
Gecko is niet gebouwd in de tijd van Netscape.

Netscape heeft de source voor Mozilla (navigator) 5.0 gedoneerd, hier is een tijdje aan geprutst maar toen is besloten dat het zulke bagger was dat er beter opnieuw begonnen kon worden.
Source: http://en.wikipedia.org/wiki/Gecko_(layout_engine)
Gecko is the open source web browser layout engine used in all Mozilla-branded software and its derivatives, including later Netscape releases. Written in C++, Gecko is designed to support open Internet standards. Originally created by Netscape Communications Corporation, its development is now overseen by the Mozilla Foundation.

Gecko offers a rich programming API that makes it suitable for a wide variety of roles in Internet enabled applications, such as web browsers, content presentation and client/server [1]. Primarily it is used for the Mozilla browser derivatives such as Netscape and Mozilla Firefox, but it is used elsewhere as well.
@Aaargh!: Het zou leuk zijn als jij ook bronnen vermeldt als je uitspraken doet.

@Parlor_Inventor: Waar beweer ik dat Mozilla op Netscape 4 gebaseerd is?

@PatMan2: Die re-write is dus al begonnen in 1998, dus hoe 'nieuw' is dat in 2005? Verder was die rewrite al intern in Netscape begonnen voordat Netscape 5 publiekelijk geschrapt werd.
Er staat niet dat de rewrite in 1998 is begonnen, alleen dat de code toen is vrijgegeven. De rewrite vond later plaats.

Daarnaast stelde je dat 'Firefox natuurlijk niet helemaal nieuw is' en er code van Netscape gebruikt was, en dat klopt dus niet.
Bron: http://www.mozilla.org/newlayout/gecko.html
12-10-98
Recently in the press, there have been a lot of articles about something Netscape calls "Gecko." This is marketing hoopla around two Mozilla projects: NGLayout (formerly known as Raptor) and XPFE. Before Netscape's marketing department named it "Gecko," they had referred to it using the code name "NGT."
Bron: http://www.mozilla.org/newlayout/
The layout engine used in Mozilla (which is known by many names) started off as a project to write a new layout engine for Mozilla and became the layout engine of Mozilla and the foundation for a nearly-complete rewrite in late 1998.
Nu het tijdstip van de rewrite vast staat, is de enige vraag die overblijft WIE nu die rewrite deed. Toen Netscape zijn oorspronkelijke code open source maakte (voor versie 5.0), zette ze ook het Mozilla Project op. Daarna is een deel van de ontwikkeling van de onderliggende software van dit project gedaan door Netscape werknemers, met als doel dit ook weer te gebruiken voor een eigen browser, uiteindelijk Netscape 6.0 en later 7.0. Zeker tot de overname van Netscape door AOL hebben ontwikkelaars van Netscape bijgedragen aan Mozilla. Heeft Netscape dan Mozilla software gebruikt of heeft Mozilla software van Netscape gebruikt? En is dit uiteindelijk relevant? Nee!

Ik heb het idee dat je zoekt naar een klein foutje ergens in mijn posts, in de hoop daarmee mijn hele bewering onderuit te halen.

Ik beweer alleen dat FireFox niet helemaal 'nieuw' is (zoals Aaargh! beweerde in zijn oorspronkelijke post), maar dat een belangrijk onderdeel, de Gecko engine, al sinds 1998 bestaat, toen het bij Netscape onder ontwikkeling was.

Behalve dit punt heb ik verder geen zin in een discussie over wie nou wat wanneer heeft gedaan. Het is niet relevant m.b.t. bovenstaand punt, nl. dat FireFox niet zo nieuw is.
Kun jij uit je quote opmaken dat Mozilla *dus* op Netscape 4 gebaseerd is? De Mozilla Foundation bestaat pas twee jaar, en de basis van Gecko is inderdaad door Netscape Communications ontwikkeld, maar niet als doorontwikkeling van de NS4 source.
Het zou leuk zijn als jij ook bronnen vermeldt als je uitspraken doet.
Van Wikipedia:
In 1998, Netscape took the brave decision to open-source Netscape Communicator. The source code was duly released. An informal group called the Mozilla Organization was formed and funded by Netscape to co-ordinate the development of Netscape 5, which would be based on the Communicator source code. However, the aging Communicator code proved difficult to work with and the decision was taken to scrap Netscape 5 and re-write the source code. The re-written source code was in the form of the Mozilla web browser, which, with a few additions, Netscape 6 was based on.
Inderdaad is men dus opnieuw begonnen en de engine is dus ook geheel nieuw.

@MrX:

Er staat niet dat de rewrite in 1998 is begonnen, alleen dat de code toen is vrijgegeven. De rewrite vond later plaats.

Daarnaast stelde je dat 'Firefox natuurlijk niet helemaal nieuw is' en er code van Netscape gebruikt was, en dat klopt dus niet.
Er wordt hier een fundamentele fout gemaakt,
wie zegt dat het fouten in Gecko betreft?
Gecko is relatief oud, maar FireFox is een stuk jonger.
De eerste release van Phoenix was in 2002.

Deze discussie mijn inziens even zinloos als het zuiver vergelijken op aantal fouten.
Alhoewel Gecko wel zijn oorsprong kent in de tijd van Netscape heeft deze niks meer met de oude Netscape 4 engine te maken. Het is idd een volledige rewrite.

Lees volgende pagina's maar eens na:
http://www.mozilla.org/newlayout/
http://en.wikipedia.org/wiki/Gecko_layout_engine
The layout engine used in Mozilla (which is known by many names) started off as a project to write a new layout engine for Mozilla and became the layout engine of Mozilla and the foundation for a nearly-complete rewrite in late 1998
Denk dat de meeste bugs onderhand wel uit IE gehaald zijn. Ze hebben zelfs die irritante begin bug uit Outlook Express gehaald afgelopen maand, die bug zit al sinds de eerste versie van Outlook Express in dat programma maar is nooit gefixt (voor de mensen die niet weten wat de begin bug is: veel etters pleuren begin <getalletje> in hun sig op usenet, waardoor Outlook Express denkt dat dat bericht een vaag attachment heeft).
Hieraan kun je goed zien dat alle software fouten bevat. Natuurijk gaan de IE enthousiasten nu roepen dat FF brak is en de FF mensen roepen dat de lekken in IE ernstiger zijn, maar dat lijkt me irrelevant.

Wat ik zou willen zeggen is: "Waar gehackt wordt, vallen spaanders". Het is dus duidelijk te zien aan welke browser nog gewerkt wordt en bij welke dit niet het geval is.

De enige manier om echt secure te worden is werken als een user met beperkte rechten, niet als Administrator of root. Het OS moet veilig zijn voor het zin heeft om de applicaties die erop draaien te beveiligen.
Hieraan kun je goed zien dat alle software fouten bevat. Natuurijk gaan de IE enthousiasten nu roepen dat FF brak is en de FF mensen roepen dat de lekken in IE ernstiger zijn, maar dat lijkt me irrelevant.
Mensen die denken dat er software bestaat die foutloos is, komen niet van deze planeet of zijn nooit verder gekomen dan "Hello World".

Het onderzoek vind ik ook niet bepaald compleet. De schrijver zegt zich dan welliswaar te baseren op gegevens van Secunia, maar in diezelfde gegevens staat bijvoorbeeld ook het volgende:
Firefox:
Mozilla Firefox 1.x with all vendor patches installed and all vendor workarounds applied, is currently affected by one or more Secunia advisories rated Less critical
...
Currently, 3 out of 22 Secunia advisories, is marked as "Unpatched" in the Secunia database.
Internet Explorer:
Microsoft Internet Explorer 6.x with all vendor patches installed and all vendor workarounds applied, is currently affected by one or more Secunia advisories rated Highly critical
...
Currently, 19 out of 85 Secunia advisories, is marked as "Unpatched" in the Secunia database.
Kortom, als we alleen naar de cijfertjes kijken, lijkt FF inderdaad beroerder dan IE. Kijk je naar een bredere context moet je die conclusie toch wel drastisch nuanceren. Daar komt bij dat Secunia misschien ook niet geheel objectief is, maar dat weet ik natuurlijk niet zeker.

Nog even vergeten te melden: De tijd tussen het vinden van een lek en het dichten ervan is natuurlijk ook een belangrijke factor!
Secunia zal dat voor de lekken die ze zelf gevonden hebben natuurlijk vrij eenvoudig kunnen uitrekenen:
X = Moment van aanmelding bij MS
Y = Moment van uitbrengen patch

Y - X = "Benodigde" patch-tijd
De vergelijking gaat imho behoorlijk mank. Alle lekken die in Firefox gevonden worden, worden openbaar gemaakt. Niemand weet hoeveel lekken er in IE zitten of hoeveel er gevonden worden. De meesten komen er pas achter dat er een lek in IE zit, als er een fix voor uitkomt.

Daarnaast, lekken in Firefox worden veel sneller gedicht dan lekken in IE.
Dat laatste weet je niet.

@ Kodak -
Ok, dan mis ik nog twee elementen.
* Je moet kunnen aantonen dat inderdaad het grootste deel van de gepatchte bugs in de IE-updates in deze databases voorkomen (zijn er mensen die hierop reverse-engineeren om te kijken wat Microsoft echt patcht?), en
* het zou erg handig zijn als we dan ook weten of Microsoft de bugs al kende voor deze publiekelijk bekend zijn.

Een tijd geleden werd op t.net namelijk een bericht gepost dat Microsoft veel sneller bugs patchte dan open-source software. Wat bleek? Voor open source was de datum van ontdekking bekend, per definitie. En voor de software van Microsoft werd de datum genomen die Microsoft zelf voorstelde... Het is echter vanuit commerciele motieven heel goed voor te stellen dat Microsoft niet zal vertellen wat de werkelijke reactie-snelheid is; zowel ivm. hackers, als naar speculanten toe.

Ik ben dus zeer benieuwd naar bevestiging van je opmerking *en* naar daadwerkelijke statistieken.
Dat kan wel degelijke en met nauwkeurigheid aangetoond worden.
Er zijn behoorlijk wat openbare databases die bijna realtime weergeven welke exploits en andere bugs in software gevonden zijn. Zodra iemand een ontdekking bekend maakt is het er al snel in terug te vinden. Dit zijn geen ontdekkingen die pas bekend gemaakt worden op het moment dat de ontwikkelaar het wil maar een onafhankelijke partij het ontdekt heeft Dit uitgangspunt kan gebruikt worden om te bepalen welke ontwikkelaar het snelst met patches komt. En wat blijkt: bij de Mozilla foundation hebben ze bijna altijd binnen uren al een zeer goede patch beschikbaar en bij Microsoft duurt het vaak dagen, weken en zelfs niet ongewoonlijk maanden.
Lekken worden sneller gedicht, ja, op voorwaarde dat de gebruiker de upgrade uitvoert. Bij Firefox gaat de update nog altijd niet automatisch zoals bij IE, wat een zeer groot nadeel is. Ook het feit dat je de hele installatie opnieuw moet doen is nadelig. Als bij mij dat venstertje met "new updates available" opkomt, heb ik altijd zoiets van: "pff, alweer? Dat doe ik later wel". Stel u voor hoe gewone gebruikers daarmee omgaan, velen draaien nog altijd versie 1.00 denk ik.

In dat opzicht is Firefox onveiliger ook al is er sneller een fix.
Wat zou een update bij FF niet automatisch kunnen? Je moet toch maar gewoon op het rood pijltje drukken als dat rechts van boven verschijnt. Dan gaat toch alles vanzelf!?

Ben ik nu echt de enige die op die manier zijn FF update??
En hoeveel bekende lekken/exploits waren hiervoor al niet gedicht in IE? Beetje rare vergelijking...

@Asylum (ergens hieronder)
Bedankt voor het linkje ; verklaart een hoop!
En dat artikel is niets meer dan een IE bash, en wederom geen echte objectieve bepaling.
For IE 6: 69 advisories, 20 unpatched, 2 with vendor workaround, 40 with vendor patch, 9 with partial fix.
Tel die 20, 2, 40 en 9 bij elkaar op, en je hebt al 71 fouten... Hier zit dus al iets raars aan, tenzij MS 2x dezelfde fout is lopen oplossen.

Dat die verhouding critische bugs / totaal aantal bugs bij IE hoger is dan bij FF wil ook niets zeggen. Aangezien FF nieuwer is dan IE, hebben ze kunnen zien hoe het nÝet moet door naar IE te kijken. Dwz ze kunnen in de dev status van FF 1 al kijken of hun browser niet dezelfde flaws heeft als IE doorstaan heeft. IE 6 daarentegen kon moeilijk met een andere vergelijken, tja misschien met NetScape wat toendertijd eigenlijk al half dood was.

Ik zeg nu niet dat IE beter is dan FF of zo, maar die IE-bashers (MS-bashers in het algemeen trouwens), moeten verder leren kijken dan hun neus lang is, en niet gewoon op een artikeltje afgaan waarin een paar argumenten staan.
Het lijkt me logisch dat van FF meer exploits etc. bekend zijn. De source code van FF is openbaar, dus iedereen kan op zoek gaan naar programmeerfouten.
IE is closed source, dus daar kun je alleen door proberen achter de fouten komen.
moet eerlijk toegeven dat ik de reactie op dit artikel hier een stuk betere kijk op de zaak vind geven.
Ik snap de kritiek in dit artikel, en ben het er grotendeels mee eens, tot het einde ...
[...], but Firefox is still much more secure than IE.
Prima, de conclusies uit het artikel zijn misschien getrokken op basis van gemanipuleerde statistieken, maar het is ten minste gebaseerd op iets. Als een schrijver van een artikel echter zijn artikel afsluit met een dergelijke uitspraak zonder enige basis, dan is het duidelijk dat zijn bedoeling niet is om een beter, meer onafhankelijke, eerlijke conclusie te trekken. Nee, de schrijver heeft de conclusies van anderen onderuit gehaald om vervolgens zijn eigen mening als feit neer te zetten.

Ik moet denken aan die reclame van Elsevier, waarin een rij pappegaaien op een stokje zitten en er 1 zegt: "Softdrugs is niet gevaarlijk", waarna de anderen het beginnen te herhalen. Soms lijkt iets tot "waarheid" gemaakt te worden door het hard te zeggen en dan anderen te laten herhalen, totdat niemand meer weet of iets nou waarheid is of niet.
Prima, de conclusies uit het artikel zijn misschien getrokken op basis van gemanipuleerde statistieken, maar het is ten minste gebaseerd op iets.
Dat is verreweg de raarste (en da's subtiel uitgedrukt) opmerking die ik in maanden gelezen heb. Dus als ik het goed begrijp is het trekken van conclusies uit gemanipuleerde statistieken ok, omdat je dan tenminste iets als basis hebt genomen? Ik zie het verschil niet hoor. Als je statistieken manipuleert, kun je eigenlijk net zo goed iets uit je duim zuigen.

Als je willens en wetens een verdraaide waarheid als uitgang neemt (en dat doet de auteur op ZDNet), en je bouwt daarop verder, ben je dan minder een leugenaar dan wanneer je een verzinsel vertelt? Het doel is hetzelfde, het resultaat is hetzelfde.

If it quacks like a duck...
Ik denk dat mijn bewoording gemanipuleerde statistieken wat ongelukkig gekozen is. De statistieken zijn namelijk niet gemanipuleerd, maar geinterpreteerd. En daar gaat het meestal mis ...

De schrijver gebruikt de gegevens om zijn statement te onderbouwen dat
"the facade that Firefox is the cure to the Internet Explorer security blues is quickly fading"
. Ik vind de gegevens wel redelijk eenzijdig geinterpreteerd, maar niet op een volledig onredelijke en leugenachtige manier.

Het artikel waar Asylum naar verwees geeft goede kritiek op de interpretatie, maar eindigt met een 'nietus, lekker puh' statement. Het stomme hiervan is dat er niet eens over gediscussieerd kan worden, juist omdat de schrijver geen redenen aanvoert om zijn mening te onderbouwen.

Als opiniestuk vind het daarom zinloos en nietszeggend, en vind ik het artikel uit het nieuwsitem meer toevoegen. Het is 1 ding om iets te vinden, en een ander om uit te leggen waarom je dat zo vindt.
Het is toch al lang bekend dat de 'hobbyende' programmeur net zoveel fouten maakt als de duurbetaalde professional en exploits uitbuiten is tegenwoordig een industrie op zich aan het worden, dus logisch dat het steeds harder gaat.
Het lijkt me JUIST belangrijk dat lekken pas bekend gemaakt worden nadat er een patch is..
neen.
want iemand van wie het zijn 'werk' is om programas te hacken en zo snel mogenlijk all veiligheids problemen te weten te komen om ze uit te buiten zal het waarschijnlijk al weten voordat het openbaar word gemaakt.
dus kan hij rustig zijn gang gaan en de normale concument weet van niks.
je lekken niet openbaar maken zorg er alleen maar voor dat de criminelen het al weten terwijl je het voor de consument achter houdt.
Opmerkelijk dat er in Firefox de laatste tijd meer bugs en exploits gevonden worden is het inderdaad. Dit is echter wel te verklaren. Zoals een ieder weet verovert Firefox in de tijd de markt beetje bij beetje. Er zijn nu veel meer mensen die gebruik maken van Firefox dan een aantal jaar geleden.

We hebben dus aan de ene kant: een Firefox dat steeds groter wordt, welke steeds meer bekenheid krijgt; en aan de andere kant kwaadwilligen die dit doorhebben en daar op gaan inspelen.

Er zal dus wel meer gezocht worden naar exploits dan voorheen.

Hetzelfde geldt voor Linux-distro's vs Windows. Windows is bij de huis-/tuin- en keukengebruiker nog altijd HET OS waar men mee werkt (al dan niet opgedrongen in de winkels, laten we daar duidelijk over zijn), waardoor Windows een stuk aantrekkelijker is voor kwaadwilligen om daar exploits in te vinden. Men bereikt hier een veel groter publiek mee.
Dat laatste punt wordt heel vaak aangehaald, en is IMHO onjuist: Linux wordt veel meer gebruikt voor webhosting etc. Je hebt dus meer PC's met een goede verbindingssnelheid (leuk met DDOS) die Linux gebruiken, en heel veel interessante websites die met Linux gehost worden.
Al met al lijkt mij Linux erg interessant om te hacken. Wat kan jouw die ene thuispc schelen? Zeker voor de opkomst van ADSL...
1 2 3 ... 8

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBSalaris

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste website van het jaar 2014