Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 41, views: 18.967 •
Bron: ha.ckers.org

Topman Mike Shaver van Mozilla, de makers van de Firefox-browser, heeft beloofd dat zijn bedrijf voortaan binnen tien dagen met een patch komt voor kritieke veiligheidsproblemen.

Mozilla-visitekaartje met tiendagenbelofte De belofte werd gedaan op Defcon 2007 aan Robert Hansen van ha.ckers.org. Shaver vertelde hem dat Mozilla niet tevreden was met de tijd die er tussen twee recente Firefox-patches zat - hoewel dat slechts anderhalve week was - en zei er vertrouwen in te hebben dat er altijd binnen tien dagen nadat Mozilla van een probleem op de hoogte is gesteld, een patch klaar zou moeten kunnen liggen. Toen Hansen te kennen gaf niet te geloven dat Mozilla daartoe in staat zou zijn, gaf Shaver hem zijn kaartje, voorzien van de krachtige woorden 'Ten F***ing Days' en een pijl naar zijn mobiele nummer, bij wijze van uitnodiging om hem ter verantwoording te roepen indien mocht blijken dat Mozilla niet aan de zelfopgelegde tijdslimiet kan voldoen.

Hansen ging gelijk naar reacties vissen bij andere aanwezige bedrijven, onder meer bij Microsoft en Amazon. Volgens hem was er vooral consensus te bespeuren dat het een eigenaardig belofte was, en zeer lastig in te lossen: het fiksen van lekken die diep in complexe softwareproducten zitten, zou allerminst een triviale zaak zijn. Amazon gaf aan te geloven dat, indien Mozilla inderdaad binnen tien dagen met kritieke patches op de proppen komt, deze vermoedelijk van inferieure kwaliteit zullen zijn. Microsoft gebruikt dit argument vaak om kritiek weg te wuiven dat het niet snel genoeg met patches komt: er moet immers eerst uitvoerig worden getest of ze op alle systemen werken en geen nieuwe moeilijkheden veroorzaken. Het Redmondse softwarebedrijf komt doorgaans eens per maand met een patchronde, maar brengt wel eens zogeheten 'out of cycle'-patches uit indien er gevaarlijke exploits in omloop zijn. De tijd zal moeten leren of Shaver woord weet te houden, maar sommige reageerders op Hansens blog geloven er alvast in. 'Ze hebben tien dagen. Zet gewoon twintig geeks achter computers en kijk ze gaan', aldus een van hen.

Update 7 augustus, 11:36: Mozilla heeft de tien-dagen-belofte van Shaver in een weblog-posting ontkracht. Volgens veiligheidschef Window Snyder is het niet Mozilla's policy om binnen een vastgestelde termijn met patches voor kritieke lekken te komen: 'Veiligheidsproblemen zijn geen spelletjes', aldus Snyder. Volgens haar wilde Shaver met zijn uitspraken slechts de 'toewijding van de Mozilla-gemeenschap' illustreren. Hoewel een aantal recente lekken binnen enkele dagen werden gedicht, lijkt Mozilla zich niet te willen vastleggen op een termijn van tien dagen.

Gerelateerde content

Alle gerelateerde content (24)

Reacties (41)

10 fucking days dat zijn 240uur x 20 Nerds x paar vaten red-bull is 4800 uur zoek en sleutelwerk

Eitje

[Reactie gewijzigd door Pinin op 6 augustus 2007 18:34]

Ik gok er op dat je nog nooit een stuk code van dichtbij hebt gezien? En binnen tien dagen een patch, is dat alleen als er een uitgebreide proof-of-concept is (wat scheelt in het uitzoeken waar de bug zit).

En niemand kan 10 dagen achterelkaar 24 uur werken. Deel je aantal uren maar door 2. En dan hebben we het nog niet gehad over het feit dat meer mensen niet per definitie meer/efficienter werk betekend.
En jij bent zeker nooit projectmanager geweest? (Ik ook niet hoor)

Een quick-fix moet meestal wel in "10 fucking days" te doen zijn.
Ook al veroorzaakt zo'n quick-fix wat andere "kleine" problemen, dan nog staat je statement van "10 fucking days".

Op de achtergrond kun je dan verder met een "nette" oplossing.
dus als jij een waterleiding lek hebt bij je thuis ga je eerst naar de gamma om een nieuwe pijp te halen, ????

meestal is ducktape dan toch de beste oplossing totdat je een echte patch hebt...
Of de hoofdkraan dichtdraaien..

"Until a better solution is found Microsoft advices against the use of ActiveX. Here is how you disable ActiveX in Internet Explorer..."

Fijn als je als ontwikkelaar in de hype gelopen bent een ActiveX gebruikt hebt... dat daarna de leverancier aan al je bezoekers gaat aanraden het middel waarmee ze jouw site kunnen bekijken uit te zetten.

* OddesE zegt: Voorkomen is beter dan genezen.
in de ict is het zelfs zo dat meer mensen meestal minder efficientie betekend.

lees het boek the mythical man month maar eens:
http://en.wikipedia.org/wiki/The_Mythical_Man-Month
weer een mooie voor in het lijstje van "640k is enough..." :X
voorzien van de krachtige woorden 'Ten F***ing Days'
Ik zie er toch echt gewoon fucking staan, in plaats van f***ing.
Wat mij betreft zijn dit de echt belangrijke zaken.. die fucking 10 days boeien mij een stuk minder dan censuur:


WHY CENSORING IS BAD:

Because ***************** ***********************, that's why.

Shaver vertelde hem dat Mozilla niet tevreden was met de anderhalve week die er tussen twee recente Firefox-patches zat, en zei er vertrouwen in te hebben dat er binnen tien dagen nadat Mozilla van een probleem op de hoogte is gesteld, een patch klaar zou moeten kunnen liggen.
kan aan mij liggen maar 10 dagen en anderhalve week zijn voor mij (op die halve dag na) evenlang hoor :+
een anderhalve week zijn 7 dagen (1 week) + 3.5 dagen (1 halve week) dat zijn dus 10.5 dagen :P

Hij wilt dus de patches een halve dag sneller uitbrengen :)
als hij 10 werkdagen bedoelt, heeft ie iedereen mooi liggen
Zeker als het part-time hackers zijn :)
Part-time kan ook een halve dag werken zijn, en daar naait ie zichzelf alleen maar mee.
Kwoot uit de originele blog op ha.ckers.org:
At this point Mike Shaver threw down the gauntlet. He gave me his business card with a hand written note on it, laying his claim on the line. The claim being - with responsible disclosure Mozilla can patch and deploy any critical severity holes within “Ten Fucking Days”:
Met die "responsible disclosure" zou wel eens bedoelt kunnen worden dat als men x dagen wacht met het publiceren van de security bug er vanaf dat moment binnen 10 dagen een patch zou moeten kunnen zijn.

Nu is het wel zo dat dit statement alleen geldt voor security gerelateerde bugs, alles wat dus niet geclassificeerd kan worden als zo'n bug valt er automatisch niet onder.

Ik ben dus wel benieuwd in hoeverre met het ook binnen de 10 dagen weet te houden, zeker als je bedenkt dat er ook nog eens tig talen en 3 besturingssystemen afgehandeld moet worden. Tenzij men achteraf natuurlijk een beperking tot en-US gaat toevoegen...

Nu is het natuurlijk wel zo dat, als de gemeenschap mee helpt met het fixen van de bug men in korte tijd een beroep kan doen op erg veel mensen - iets dat een commercieel bedrijf niet gemakkelijk kan doen...
Vreemd om de responsible disclosue als voorwaarde te stellen.
Juist bij gevallen met onverantwoordelijke disclosure is er extra haast met een patch.
Maar ja, als een hacker dan snel een patch wil zien, nodig je hem op die manier toch juist uit om de bug onverantwoordelijk te onthullen?
De links die Smithers.83 hieronder gepost heeft, geven het gehele beeld - het gaat er dus uiteindelijk om dat Mike Shaver aangeeft dat als het nodig is om snel met een patch te komen, men ook in staat is om dat binnen 10 dagen te doen.

Ook dan blijft die responsible disclosure natuurlijk vreemd, maar goed - nu ik die blogentries erbij gelezen heb begrijp ik dat het dus vooral gaat om het feit dat men een patch ook daadwerkelijk binnen 10 dagen uit kan brengen. Het is dus geen policy om alle security leaks binnen 10 dagen te patchen, waarscijnlijk zullen kritieke fouten die 'zo maar' publiek gemaakt zijn toch eerder gefixed worden dan andere security leaks die nog niet publiek gemaakt zijn - maar dat is mijn idee over dit statement.

Overigens kan men altijd nog kiezen voor het uitzetten van features via een about:config constructie (al dan niet met een XPI install om 'm uit te voeren), zoals bijvoorbeld gedaan is met de mogelijke veiligheids issues inzake niet verantwoord uitgegeven IDN domeinnamen...
Het is geen ms-rommel... Als de vulnerability niets te maken heeft met gettext hoef je het helemaal niet in alle verschillende talen te testen.

En in het geval dat het wel te maken heeft met gettext ook niet, het testen van vertalingen heeft alleen nut als je de bug niet kan fixen maar enkel een binaire exploit wilt dwarsbomen door translation-specific-structures te modificeren.

edit:
Het betekend immers dat een vertaling die niet getest is de bug mogelijk toch zou kunnen triggeren. 8)7

[Reactie gewijzigd door psyBSD op 7 augustus 2007 02:33]

EÚn ding telt en dat is dat je met goede patches komt!
10 of 12 dagen... misschien langer, maar patch op patch dat willen we ook niet!
Anders krijgen we patches die meer rampen veroorzaken dan oplossen.

Of we krijgen een Sony PSP competitie, lets hack the patch ;)
Je wilt toch niet dat een patch voor verbindingsproblemen zorgt?
ZoneAlarm of een dergelijke firewall ge´nstalleerd? Kan zijn dat die de nieuwe versie blokkeerd omdat die een andere .exe ziet.
about ten days at black hat
Mike Shaver, ten days, and expletives

Voor het complete verhaal...

[Reactie gewijzigd door Smithers.83 op 6 augustus 2007 21:45]

Op dit item kan niet meer gereageerd worden.



Populair: Vliegtuig Tablets Luchtvaart Samsung Crash Smartphones Microsoft Apple Games Rusland

© 1998 - 2014 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013