Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 128 reacties

Mozilla en Microsoft zijn het weer eens niet met elkaar eens over wie van de twee nou de meest veilige browser heeft. Aanleiding van de meest recente discussie is een rapport van beveiligingsonderzoeker Jeff Jones, die voor Microsoft werkt.

Jones concludeert onder andere dat er tussen november 2004 en oktober 2007 meer dan twee keer zoveel kwetsbaarheden uit Firefox zijn gehaald dan uit Internet Explorer. Mozilla loste in die periode totaal 75 ernstige, 100 middelmatige en 24 kleine fouten op, terwijl Microsoft 54 ernstige, 28 middelmatige en 5 kleintjes voor zijn rekening nam.

In termen van openstaande problemen liggen de twee dichter bij elkaar. Hoewel Firefox 2.0 in totaal 24 bekende risicopunten heeft en Internet Explorer 7 'maar' 21, heeft Mozilla 8 ernstige en Microsoft 10 ernstige gaten die nog geplakt moeten worden.

Firefox vs. Internet Explorer: opgeloste problemen
Snel de nieuwste versie pakken heeft weinig effect op het aantal patches dat toegepast moet worden.

De reactie van Mike Shaver, chief evangelist van Mozilla, is vernietigend. Hij draagt aan dat Microsoft meerdere patches in een update stopt en sommige lekken zelfs in alle stilte oplost door middel van een service pack. Het open karakter van Mozilla betekent dat er logischerwijs meer meldingen te vinden zijn.

Zijn belangrijkste argument is echter dat het uitbrengen van veel patches helemaal geen teken is van onveiligheid, maar eerder van het tegenovergestelde. Mozilla zou iedere fout meetellen, inclusief bugs die intern worden gevonden, bugs veroorzaakt door code van derden en zelfs crashes waarvan niet eens zeker is of ze wel misbruikt kunnen worden. Microsoft daarentegen zou zijn best doen om zoveel mogelijk achter gesloten deuren te houden en de lekken die wel publiek worden te bagatelliseren, aldus de gefrustreerde Firefox-promoter.

Reacties (128)

Reactiefilter:-11280105+135+215+30
Moderatie-faq Wijzig weergave
Oftewel, met de nieuwsfeiten die hier door T.net worden gepresenteerd kan je je nog steeds geen enkel beeld vormen hoe de veiligheid van beide producten zich tot elkaar verhoudt. Lijkt een beetje op: "een BMW rijdt gemiddeld 5x minder tegen een boom met dodelijk gevolg dan een Mercedes. Een BMW raakt dan wel weer 12x zoveel te water met eenzelfde dodelijke afloop vergeleken met een Mercedes". Oftewel, te weinig informatie.

100 renderbugs zijn veel minder gevaarlijk dan 3 remote exploit bugs. Ook hebben Microsoft en Mozilla verschillende criteria en dergelijke om bugs te kwalificeren. Het lijkt me dus echt erg lastig om dit allemaal goed in statistieken uit te kunnen drukken.

Beiden producten hebben tegenwoordig hun goede en slechte kanten. Soms is firefox een maandje op beveiligingsgebied beter dan Internet Explorer, en soms is het een maandje omgedraaid. odra we dat punt netjes bereikt hebben kan je kijken welke browser het beste voldoet aan jouw eisen. En aangezien dit voor iedereen verschilend is hebben we dan in ieder geval géén vertekenende statistieken.

Ik ben trouwens geheel onpartijdig (Opera-gebruiker) in deze kwestie. IE7 en Firefox 2 liggen veel dichter bij elkaar. Over Firefox 1 ten opzichte van IE6 wil ik het niet hebben, dan wordt Microsoft zo hard vernederd dat ze moeten huilen ;)
Ik denk niet dat er zoiets bestaat als een maandje beter op veiligheidsgebied te zijn dan een ander. Een hele tijd terug kondigde MS met alure aan dat ze consequent aan veiligheid gingen werken, iets wat ze dus gingen doen of ze dit doorvoeren is een ander verhaal. Maar het geeft wel aan dat dit een lopend proces is. Net zoals Mozilla niet van de ene dag op de andere dag een omslag maakt.
De verschillen zijn echter wel hoe ze met problemen omgaan, en dan mag je jezelf afvragen wat heb je liever. Transparantie in problemen die worden opgelost die jij als admin kan doorzien, of een zwarte doos die om de zoveel tijd update verstuurd en dan mag je hopen dat alles gedicht is waar jij het bestaan vanaf weet. En dan is er nog steeds de vraag hoeveel gaten staan nog open maar dat maken ze juist niet bekend. En imo is dan toch wel snel gemaakt.
Dat "maandje beter" is volgens mij ook dikke onzin, de veiligheid van een browser veranderd echt niet zoveel in korte tijd. En daarbij, er zullen waarschijnlijk altijd bugs en exploits blijven opduiken, en deze zijn toch makkelijker te vinden als je de broncode tot je beschikking hebt.

[Reactie gewijzigd door Corrit op 3 december 2007 22:30]

behalve dat MS best veel techies in dienst heeft die deze bugs kunnen gaan zoeken ipv "de community" van firefox
ik denk dat je je daarin vergist. Microsoft heeft heel veel techneuten in dienst, maar die werken allemaal aan afzonderlijke dingen. Het IE team zelf is maar een man of 15 groot dacht ik.

Daarnaast zijn er onder al die 'veel techneuten' ook shitloads consultants, bergen analytici, systeem en netwerkbeheerders, beheerders van de diverse live omgevingen, gameservers en netwerken, etc, etc, etc.

Ik denk dat uiteindelijk Firefox / Mozilla meer resources hebben voor dit soort dingen dan Microsoft.
Ik vind dat dit onderzoek totaal niet uitwijst welke van de twee het veiligst is. Het uitbrengen van patches zegt niets over de huidige veiligheid en de "uitgangsveiligheid" bij het uitbrengen van een product is altijd verschillend. Een rapport van iemand die voor Microsoft werkt kun je ook niet helemaal zeker als objectief bestempelen, al mag ik toch hopen dat dit toch wel het geval is...

Het lijkt mij ook dat het gaat om het eindproduct en het aantal opgelopen problemen per gebruiker, zo haal je volgens mij alle andere factoren weg. Ik denk zelf ook dat het juist positief is dat Mozilla zoveel lekken dicht, het geeft in mijn ogen vooruitgang uit en dat zien we allemaal graag. Maar ik ben dn ook zelf Mozilla-fan, dus over mijn objectiviteit kan ook weer getwijfeld worden... O-)
Window Snyder, heeft opde de Mozilla security blog het volgende geschreven:
We’re not building fixes for our PR team, we’re building them for our users. Go ahead and count.
Bron: Mozilla Security - Blog Critical Vulnerability in Microsoft Metrics

Het verschil is duidelijk, bij Mozilla gaat het er uiteindelijk om dat de eindgebruiker een veilige browser heeft, het rapport van Microsoft heeft tot doel om te kunnen pronken met het lage aantal (publieke) bugs in IE7.

Aangezien Firefox' volledige open is wat betreft gemelde veiligheidsproblemen, ook als die via een intern QA-proces gevonden worden, is het dus overduidelijk dat het vergelijken van het aantal publieke bugs tussen IE en Firefox gelijk staat aan het vergelijken van appels en peren.

Pas als alle veiligheidsissues van IE ook 100% publiek zijn kun je de cijfers naast elkaar leggen - nu weet ik niet of er niet stieken in IE7 een aantal lekken gedicht zijn dmv een normale patchronde...

Verder wordt het, denk ik, misschien tijd voor een nieuwe manier van meten, namelijk "bug-days". Dat is het aantal dagen dat een bug openstaat vermenigvuldigd met het aantal bugs dat openstaat. Hoe langer een bug dan open staat des te groter het aantal 'bug-days' is voor een browser...
Helemaal geen goede PR voor Microsoft.
Oorspronkelijk vermelden ze zelf helemaal niet dat het rapport gemaakt is door Microsoft Security Strategy Director Jeff Jones zelve.

Het blijft natuurlijk een feit dat een kritieke bug veel meer schade kan toebrengen dan duizenden minieme bugs. Het gewoon tellen van bugs kan dus nooit een meting zijn van veiligheid.

Ten slot: 1 beeld zegt meer dan 1000 woorden
http://people.mozilla.com/~schrep/security-record.png

Nog wat leesvoer...
* http://www.numenity.org/b...osoft-security-marketing/
* http://shaver.off.net/dia...-still-surprisingly-hard/
* http://blog.mozilla.com/s...ity-in-microsoft-metrics/
* http://weblogs.mozillazin...tric_which_suits_you.html
Ten slot: 1 beeld zegt meer dan 1000 woorden
http://people.mozilla.com/~schrep/security-record.png
Tja, weer gemaakt door een medewerker van mozilla. Zonder een duidelijke beschrijving van de onderzoeksmethoden, bronvermelding etc zijn dit soort grafiekjes echt totaal niets waard. Ze laten gewoon te veel onduidelijkheid achter, te veel zaken worden overgelaten aan de interpretatie (of zelfs fantasie) van de persoon die de grafiekjes leest.
De vraag die ik mezelf op dit moment stel is of dit wel nieuwswaardig is ?? Dit is een onderzoek door Microsoft en natuurlijk scoort IE dan hoger dan FF...

De grootste beveiligingslek in IE is ActiveX, doordat je hiermee diep in je (je buurman/vrouw?) windows-bak kan kloten.

[Reactie gewijzigd door Vectrox op 3 december 2007 21:34]

De grootste beveiligingslek in IE is ActiveX, doordat je hiermee diep in je (je buurman/vrouw?) windows-bak kan kloten.
Met IE6SP2 en IE7 heeft Microsoft veel gedaan aan het veiliger maken van ActiveX - het is nu niet meer mogelijk om zo-maar een ActiveX control te installeren (hetgeen vroeger overigens wel zo was), dus om dit er nu meteen bij te halen lijkt me ook niets to te voegen aan de hele discussie...

De veiligheid van ActiveX is nu op hetzelfde niveau als de XPI (XP Install) die nodig is om in Firefox add-ons te installeren, misschien dat de drempel bij de add-on installatie een beetje hoger ligt (de site moet eerst gewhitelist worden en tijdsvertraging voor een 'Install' knop actief wordt)...
their only 3 kinds of lies in this world:
- Lies
- Damned lies
- Statistics

Dat onderzoekje van MS zegt echt helemaal niks, nakkes, nada... Wel een mooie manier om proberen de enige echte concurrent in een kwaad daglicht te zetten op een totaal ongegronde manier...
Of het onderzoek nieuwswaardig is, ik denk van wel. Maar het zijn slechts statistieken.

Wat minder nieuwswaardig is, is het antwoord van de Firefox evangelist....
Hoe hij zichzelf onderuit schopt in zijn antwoord:

Punt 1: Veel patches zijn goed.
Punt 2: Microsoft brengt eigenlijk meer patches uit.

Ik dacht dat hij degene moest verdedigen die hem betaald. Maar hij bijt de hand die hem voed...
Volgens mij staat dat helemaal niet in zijn reactie. Hij zegt dat veel patches uitbrengen inderdaad goed zijn en dat microsoft veel patches achter gesloten deuren houdt en met service packs mee geeft. Tenminste ik kan hier nergens uit halen dat microsoft teveel patches uit zou brengen...

Ik moet wel zeggen dat de firefox man wel wat gelijk heeft. Inderdaad, veel lekken worden gedicht met die service packs van MS en ook veel lekken worden achter gesloten deuren gedaan. Mozilla schijnt dan ook nog eens crashes en errors in combinatie met addons te repareren en dat lijkt mij een wat onzin argument. Het is trouwens ook niet te controleren of MS veel van deze errors in service packs repareren en of dit dan ook bij deze getalen mee geteld zijn.

Kortom, een "wij van wc-eend adviseren wc-eend" achtige discussie...
Indeed en het is ook niet al te clever van de expert van Microsoft. Er zijn nogal wat makkelijke tegenargumenten te bedenken, waarbij hij zijn eigen glazen als het ware ingooit. Tenzij de media dit oppakt (en dat gebeurt altijd) met als kop "Explorer is veiliger dan Firefox" en klaar. Daar zal men wel op rekenen, alleen op sites als Tweakers zie je nog wat meer kritische meningen in de commentaren terug.
Meer exploits voor IE dan voor FF.

De kans dat uw IE tijdens het surfen wordt geïnfecteerd ligt 32 keerhoger dan met FF. Kan je hele mooie onderzoeken mee starten hoor.

Telegraaf koppen stijl. Rekening geplunderd na gebruik IE.
Wat jij beschrijft wordt FUD genoemd. Dit staat voor: Fear, Uncertainty and Doubt. Dit is naar mijn mening dan ook één van de meest on-ethische marketingstrategieën.

Hoe werkt FUD? FUD is een strategie die misbruik maakt van de menselijke subjectiviteit en de eigenschap van mensen om een voorkeur te hebben. Er wordt gebruik gemaakt van het feit dat mensen erg beïnvloedbaar zijn. Zo kun je erg makkelijk iemand een gevoel inspelen dat vervolgens aan een product van jou tegenstander of aan jou eigen product te koppelen is.

Voorbeeld:
Persoon B zegt dat product A een erg goed product is. helaas heeft product A last van vervelende fouten in het programma. Gelukkig zijn ze daar snel bij en wellicht dat ze ooit nog erg goed zullen worden. Persoon C is het met hem eens, persoon C blijft toch product D gebruiken. Product D is namelijk altijd erg goed, fouten worden altijd opgelost en ze waren als eerste op de markt. Ook is het product erg snel. Toch, vindt persoon C dat product A vooral de moed niet moet opgeven en vooral zo door moet gaan.

Over het algemeen creëert de lezer een voorkeur gebaseerd op dingen die gelezen worden. Dit verhaaltje is zo relatief (of in andere woorden: absoluut niet concreet) dat een voorkeur voor één van beide producten een subjectieve voorkeur is.

Dit omdat het zeggen dat product A een nadeel heeft, het nog niet gelijk uitsluit dat product D dat nadeel ook niet heeft. Sterker nog, dingen die persoon B zegt over product A zouden ook van toepassing kunnen zijn op product D. Omdat dat niet uitgeloten wordt.

FUD is een zeer sterke marketingstrategie die erg onderschat wordt omdat het veelal niet begrepen wordt. Ook mennen mensen vaak alles onder controle te hebben terwijl je het onbewuste volgens mij niet kan controleren. Erg veel mensen maken beslissingen op het bekende: "onderbuik gevoel". Maar dit gevoel wordt samengebracht door aannames.

Kortom mensen maken rare relaties. Dit is dan ook het domein waarin mensen de relatie leggen tussen een persoon die oncontroleerbare lichaamsfuncties heeft en iemand die verstandelijk gehandicapt is. Op deze "zwakte" van de mens manifesteert FUD.... Iets dat mensen naar mijn mening moeten begrijpen.
Schitterende analyse tuxzero, je hebt gelijkt ja. Vandaar ook dat het zo makkelijk is om te verdienen op zaken als alternatieve geneeskunde en vitamine-bommen. Mensen zijn uiterst makkelijk te overtuigen van iets, helaas de meeste.
alleen op sites als Tweakers zie je nog wat meer kritische meningen in de commentaren terug.
Tweakers zit dan ook vol met FF fanboys ;) (die me natuurlijk gelijk naar ongewenst modden)

imo zijn IE 7 en FF2 beide prima browsers en ik zie het probleem niet zo.
de een vind appels het lekkerste fruit, de andere peren :)

[Reactie gewijzigd door Crysania op 4 december 2007 10:30]

Naar wat ik begrepen heb ben je gewoon het beste uit met Opera.
Maar ja... daar heeft niemand het over.
Hij stelt dat veel patchen goed is en dat microsoft dingen patcht die ze niet bekend maken alsook dingen niet patcht die niet bekend worden gemaakt. Maw, als er een lek in Fx zit dan weet iedereen het snel en wordt het gepatcht, als er een lek in IE zit dan zegt MS niets aan anderen en laat het lek gewoon zitten. (aldus de Mozilla verklaring)
Je kan ook zeggen:
Microsoft patcht bepaalde lekken in stilte zodat gebruikers die niet updaten, niet de dupe worden van "hackers" die ff in de laatste "bug update lijst" kijken, en daar snel een exploit voor schrijven.

[Reactie gewijzigd door enermax op 4 december 2007 19:46]

Goh, teveel patches na mekaar uitbrengen is ook niet zo enorm goed in mijn ogen. Deze week heb ik ook 2 keer een update moeten installeren van firefox. Natuurlijk voor mij geen probleem, maar ik kan best begrijpen dat voor sommige leken zoiets enerverend kan beginnen worden waardoor ze het update-gedoe annuleren of helemaal achterwege laten, zo creëer je natuurlijk een slechte omgeving. Anderzijds is het zeker positief te noemen dat firefox zo'n handig updatesysteem heeft :)
Zijn dat dezelfde gebruikers die nooit hun auto op slot zetten en hun voordeur open laten staan?
Het opnieuw opstarten van de computer is voldoende om de patch te laten installeren - oook Jan Modaal zal dus al snel op de laatste versie zitten...

Aangezien software nu eenmaal altijd bugs bevat (waarvan dit soms veiligheidslekken zijn), zal er altijd geupdate moeten worden - door dit automatisch te doen zorg je vanzelf voor software die up-to-date is.

Microsoft doet niet anders met het installeren van de patches bij/na het afsluiten van je computer...
Ik heb totaal geen ervaring met FF, maar is die in staat zichzelf te updaten als de gebruiker geen beheerdersrechten heeft?
Of het onderzoek nieuwswaardig is, ik denk van wel. Maar het zijn slechts statistieken.
Daar sla je de spijker op z'n kop... Je hebt twee soorten leugens: gewone leugens en statistische leugens. Met statistiek kun je bijna alles bewijzen. Ik heb mij laten vertellen dat het mogelijk is om te laten zien dat 1+1=3.
3 soorten leugens eigenlijk:

"there are lies, damn lies and statistics"

:)
Vraag me ook af wat bewijzen dat 1+1=3 met statistiek te maken heeft.
is dat een van de rekenfouten in Excel ?

En het probleem met de bewijzen dat verschillende getallen gelijk aan elkaar zijn is dat er ergens in het bewijs stiekum door 0 wordt gedeeld, wat wiskundig dus helemaal niet mag of kan.
microsoft scoorde in dit geval lager (lager aantal bugs zogezegd)
maar ik snap wel wat je bedoelt

denk dat dit normaal is wanneer het door een medewerker van microsoft gebeurd is
en indien de resultaten niet positief voor microsoft waren geweest hadden deze wsl ook nooit het net bereikt
Tuurlijk scoor IE lager
- er zijn minder mensen die de code reviewen
- ze tellen bugs niet mee, en tellen verschillende tesamen

Het enige wat telt is de reactiesnelheid, Microsoft scoort daar zéér slecht in. Herinner de JPEG bug die iedereen in staat stelde alles uit te voeren als je een jpeg opende (geen 100% browser bug, maar het duurde wel lang vooraleer er een oplossing was -en eerst wilden ze het maar oplossen in de volgende maand...

En wij van WC-Eend vinden WC-Eend de beste!
microsoft scoorde in dit geval lager (lager aantal bugs zogezegd)
goed lezen, ze scoren lager met de totale hoeveelheid bugs dat ze oplossen.

en opzich zelf zegt dat getal ons TOTAAL NIKS over hoe veilig de browser is.
fixen ze er minder omdat ze minder bugs in hun browser hebben zitten of fixen ze minder omdat ze gewoon minder bugs vinden en oplossen.

als we aan zouden nemen dat er in een stuk code gemiddeld ongeveer even veel fouten zitten per regel code dan scored MS dus een (HEEL) stuk slechter als FF.
niet alleen is IE groter als FF (en dus meer fouten waarschijnlijk) maar ze lossen er ook nog eens minder van op.

[Reactie gewijzigd door Countess op 4 december 2007 01:26]

Goed lezen: IE en Mozilla zijn allebei browsers. En appels en peren zijn allebei fruit. Toch laat het e.e.a. zich soms wat slecht met elkaar vergelijken. De uitleg van Mike shaver spreekt m.i. dan ook boekdelen.
Ja, dat vond ik ook al.... het is sowieso niet duidelijk om wat voor bugs het gaat. Als Firefox' ergste bugs zijn dan je de Password Manager kunt exploiten en de ergste van IE dat je het hele besturingssysteem kunt verkloten dan zijn ze allebei ernstig, maar IE zit nog steeds zo diep in het systeem geworteld dat het in de eerste plaats logisch is dat er minder bugs zijn maar ik vraag me af of de bekende niet vele malen ernstiger zijn dan die van Firefox. Ook is het natuurlijk een andere afhandeling... misschien zijn de IE bugs in Firefox allang opgelost en andersom... dan zijn dus alleen de ernstigste bugs eigenlijk van belang...
Was het niet zo dat IE 7 in een sandbox draaide waardoor het juist zo veel moeilijker uit te buiten zou zijn of, in elk geval niet zo diep in het systeem te komen is?
Of geldt dit alleen in Vista?
het is toch langzamerhand wel duidelijk hoe Microsoft open source producten bestrijd. dit door het Open karakter om te draaien. Een tijd geleden werd ook de distro redhat met MS vergeleken. een kaal besturingssysteem tegen een distro met duizenden applicaties.

Het irriteert me hoe microsoft zo statistieken misbruikt. En het werkt anders deed MS het niet meer.
Dat tekent meer dat je dat onderzoek niet gelezen het.
Dat was namelijk van dezelfde onderzoeker van Microsoft en er werd toen namelijk een reduced workset redhat distro vergelijken met windows.
Hier zo'n rapportje
http://www.csoonline.com/pdf/6_Month_Vista_Vuln_Report.pdf
Daarin staat ook HEEL duidelijk dat niet de complete RH distro wordt gebruikt als vergelijkingsmateriaal maar een subset van de default install die vergelijkbare functionaliteit biedt met de vergeleken Windows versie.

Het irriteertt mij dat jij veronderstellingen doet over dergelijk onderzoeken zonder te weten waar het over gaat.

[Reactie gewijzigd door hAl op 4 december 2007 13:37]

even een vergelijking (bron)
Internet Explorer 7: Affected By 19 advisories Unpatched 37% (7 of 19)
Firefox 2: Affected By 18 advisories Unpatched 22% (4 of 18)
Safari: Affected By 6 advisories Unpatched 50% (3 of 6)
Opera: Affected By 10 advisories Unpatched 0% (0 of 10)

Mag ik dan beweren dat Opera veel veiliger is dan genoemde 2 honden?
* ]eep snapt ook niet dat zoveel mensen die er zgn verstand van hebben allemaal FF aanraden.

[Reactie gewijzigd door ]eep op 4 december 2007 00:09]

Je bron is niet goed genoeg.
Er ontbreken heel veel vunerabilties
Dit is een betere bron omdat zowel Mozilla als MS hier als andere partijen hier vunerabilities aanmelden en dezelfde nummering ook gebruiken in hun patches:
http://nvd.nist.gov
Als je daar kijkt:
Firefox 2.0 totaal 80 vunerabilities
Internet 7 totaal 59 vunerabilties
Gaan ze elkaar met modder begooien wat triest.

Het feit is wel dat microsoft is wakker geschud door firefox. En toch een veel veiligere webbrowser heeft gemaakt dan internet explorer 6. Wat voor iedereen weer gunstig is.
Gaan ze elkaar met modder begooien wat triest.
Jij vind dat je niet eens mag reageren als iemand jou onterechte kritiek geeft?
Hij geeft aan dat hij het triest vind, niet dat het niet mag.

Het is een nogal goedkope argumentatietruuk om een standpunt waar je het niet mee eens bent tot in het absurde te overdrijven en daardoor het hele standpunt absurd te laten lijken. Ik weet niet wat je wil zeggen, maar onderbouw je mening ajb, of onderbouw op zijn minst het niet valide vinden van een ander zijn mening.

Mijn onderbouwing van het "moddergooien":
- Het oorspronkelijke rapport is door een niet onafhankelijke onderzoeker geschreven en heeft een uitkomst die gunstig is voor zijn werkgever. Dat is - hoe waar het onverhoopt ook zou zijn - geen overtuigend onderzoek.
- De reactie van de Mozilla evangelist heeft het over het oplossen en verbergen van problemen zonder dat iemand het in de gaten heeft. Ook dat vind ik niet onderbouwd. Het is een redenatie in de trant van:
- "ze verbergen blauwe olifanten"
- "huh, ik zie nergens blauwe olifanten?"
- "zie je wel, kun je nagaan hoe goed ze verstopt zijn!"

Dat ik het - samen met Drikus - triest vind is een persoonlijke mening.
Nouja, Mozilla staat niet graag in een kwaad daglicht, en het is inderdaad prima te verdedigen dat een transparant ontwikkelingsproces meer opgeloste fouten aan het licht brengt dan de 'black box' Microsoft. Het kan bijvoorbeeld zijn dat Microsoft er een hoop fouten nog niet uit heeft gehaald, en het gesloten karakter maakt dat we dit nooit kunnen weten en een vergelijking dus nooit een inzicht geeft in de werkelijke stand van zaken.
Maar is het niet ook zo dat niet ondekte fouten (nog) niet gevaarlijk zijn?
Zo zou je kunnen beredeneren dat closed source in principe veiliger is, het is immers makkelijker voor kwaadwillenden om fouten in open source op te sporen, en die te misbruiken.

Openheid heeft dus zo z'n voor- en nadelen.

Natuurlijk heeft Microsoft met IE6 deze stelling niet echt bewezen.
'Security through obscurity' zou dus veiliger zijn dan een open process qua veiligheidslekken?

Dacht het niet, ook een niet publiek ontdekt veiligheidslek kan door een kwaadwillende gebruikt worden - als een cracker zo'n lek ontdekt, hoe groot is de kans dat hij deze dan netjes meldt? Dat zal hij dus niet doen, hij zal er gebruik van gaan maken om bijvoorbeeld creditcard gegevens van nietvermoedende browser-gebruikers te ontflutselen.

Het is dus zaak dat iedere lek zo snel mogelijk gedicht wordt, niet pas bij de komende service pack, maar direct. Wat Mozilla beweert te doen is het direct dichten van lekken en er is nog geen reden om aan te nemen dat ze lekken nodeloos lang open houden. Bij Microsoft beweren ze minder lekken te moeten dichten, maar hebben ze nergens een publieke database waarin aangegeven staat welke lekken er allemaal zijn en welke gedicht zijn...
Precies. Voor de zekerheid heb ik nog even gezocht. Maar nergens kan ik vinden hoeveel bugs Microsoft van de bestaande hoeveelheid geplet heeft. Of in ieder geval het aantal dat gemeld is... (Dit wil niet zeggen dat ze dan ook bekent zijn)

Misschien dat iemand dit weet? (Informatie die erg moeilijk te krijgen is) Microsoft doet hier namelijk erg geheimzinnig over...

O, en ik heb op een verre uithoek van mijn server ook nog wel een brouwseltje staan. 0 bugs gefixed! Ik versla Mozilla én Microsoft! 8-)

[Reactie gewijzigd door tuXzero op 4 december 2007 13:27]

Zo zou je kunnen beredeneren dat closed source in principe veiliger is, het is immers makkelijker voor kwaadwillenden om fouten in open source op te sporen, en die te misbruiken.
Een bewering die vaak terugkomt maar statistisch gezien geen stand weet te houden. Een simpel voorbeeld is IIS vs Apache. Hoewel de situatie voor IIS de laatste jaren verbeterd is had het vroeger zeker vaak af te rekenen met zwakheden die misbruikt werden terwijl Apache goed stand weet te houden op dat gebied.

Open source heeft als belangrijk voordeel dat bugs sneller gevonden en opgelost worden. Van IE bijvoorbeeld is niet bekend hoeveel fouten er bekend zijn bij MS zelf. En aangezien de broncode niet open is is het ook niet mogelijk voor derde partijen om patches te ontwikkelen voor bugs waarvan MS heeft aangegeven ze nooit te zullen oplossen.
Stel dat er zowel voor Microsoft als Mozilla 50 black-hat hackers (boefjes) bezig zijn gaten te vinden. Dan zijn er voor Microsoft enkele honderden medewerkers code aan het screenen, en voor Mozilla zijn dit er vele duizenden met frisse blikken. Als een boefje een lek gevonden heeft gaat hij hem toch wel misbruiken, en deze kan je ook wel vinden door andere manieren dan source lezen (reverse engineeren, puur geluk, uitproberen, combinatie-met-andere-software fouten)
Geen goede PR voor Microsoft.. :/
en sommige lekken zelfs in alle stilte oplost door middel van een service pack
Een andere bron legt dit nog pijnlijker uit: security problemen die intern gevonden worden, worden opgespaart voor een service pack. Met andere woorden zitten er maanden tot een jaar lang open bugs in de software.

Ik hoop dat Microsoft hier verandering in brengt. Het dit waar is - dat PR-imago boven de veiligheid van gebrukers staat - geeft dat vrij spel aan hackers die gevonden bugs nooit publiekelijk maken. 8)7

[Reactie gewijzigd door YaPP op 3 december 2007 21:48]

Dat ze ze in stilte fixen maakt toch niet uit? Het gaat er toch om dat ze gefixed worden?
Nee, gaan schreeuwen dat er een bug is en dat je die hebt opgelost is fantastisch nieuws. Ik zou mijn fouten ook niet zo 1 2 3 publiekelijk bekend maken. Pas als het daadwerkelijk effect heeft voor de consument hoeven ze het te weten. Verder maakt het niet zo uit. Sterker nog, ik denk dat ze hier meer mee bereiken.
Als er een lek bestaat, bestaat de kans dat een hacker dit ook kent en misbruikt. Als deze persoon de exploit voor zich houd en voorzichtig te werk gaat kan het enorm lang duren voordat bekend word hoe een bepaald virus zich ineens verspreid.

Veiligheidsgaten moeten altijd zo snel mogelijk gedicht worden om de klant te beschermen.
En Window Snyder kan het weten want voordat ze Chief Security werd bij Mozilla was ze Security Lead bij Microsoft ;)
Mozilla loste in die periode totaal 75 ernstige, 100 middelmatige en 24 kleine fouten op, terwijl Microsoft 54 ernstige, 28 middelmatige en 5 kleintjes voor zijn rekening nam.
Het is niet omdat er meer lekken zijn gedicht, dat een browser minder veilig is.
zoals ook al vermeldt in het artikel, zijn er veel lekken die in alle stilte worden gepatched bij IE. Ook de gewone bugs, die daarom nog niet noodzakelijk expoits zijn, worden bij Mozilla ASAP gefixed. En imho lapt Microsoft ook niet alle bugs op.
zoals ook al vermeldt in het artikel, zijn er veel lekken die in alle stilte worden gepatched bij IE
Opvallend is dat dat wordt beweerd maar niet word aangetoond.
Microsoft meld gewoon in patches altijd netjes de CVE nummers van de opgeloste security bugs.
Als er zo veel lekken in stilte worden gepatched waarom vind niemand die dan. Het is veel makkelijker een lek te vinden als je over een gepatchte en een ongepatchte versie kunt beschikken. Toch zie je niet stapels berichten van onderzoekers, hackers of MS tegenstanders dat er in patches nog andere security bugs zijn opgelost laat staan dat het om veel van die security lekken zou gaan.
Het zou beter zijn als Mozilla dergelijke uitspraken met bewijzen zou ondersteunen.
Opvallend is dat dat wordt beweerd maar niet word aangetoond.
Microsoft meld gewoon in patches altijd netjes de CVE nummers van de opgeloste security bugs.
Voor wat de veiligheidslekken die reeds publiek zijn geloof ik direct dat Microsoft linkt naar de CVE-nummers, het heeft geen zin om dit stilletjes te patchen - het veiligheidslek was toch al publiek.

Als er echter een lek gevonden wordt tijdens het QA-proces, eentje die dus nog niet dor derden gevonden wordt. Geeft Microsoft dan aan dat ze een bepaald lek gedicht hebben? Daar wordt op gedoelt als men het heeft over "het in stilte patchen van IE".

Nu geloof ik ook wel dat je dit soort zaken kunt achterhalen door het vergelijken van een gepatchte en niet gepatchte versie, maar wie gaat dat doen? Ten slotte kun je daar toch niet veel eer meer aan behalen, aangezien het lek reeds gedicht is.

Maar als je bewijzen hebt dat mensen wel de gepatchte en ongepatchte versies gaan vergelijken dan zie ik die graag hoor :-)
Nu geloof ik ook wel dat je dit soort zaken kunt achterhalen door het vergelijken van een gepatchte en niet gepatchte versie, maar wie gaat dat doen? Ten slotte kun je daar toch niet veel eer meer aan behalen, aangezien het lek reeds gedicht is.
Een dergelijk bewijs van het patchen van vunerabilities die niet gemeld worden zou veel meer nieuwswaarde hebben dan wat willekeurig nieuwe vunerabilities opsporen en is door het beschikking hebben van beide versies ook nog realtief makkelijk. Toch komt er nooit dergelijk nieuws.

En let wel, Microsoft patched regelmatig bugs die nog niet publiekelijk bekend waren en meldt ze dan ook netjes bij de NVD database aan.
Wat je niet weet is hoeveel security bugs MS op een willekeurig moment heeft open staan maar ook Mozilla publiceert juist die informatie nooit.

Het is in ieder geval niet erg zinvol om te speculeren dat MS stiekum veel van hun security issues oplost terwijl daar geen enkele aanwijzing voor is.

(aanvullend: het op die manier oplossen van lekken zou hun statistieken qua oplossingpercentage natuurlijk ook sterk negatief beinvloeden)

[Reactie gewijzigd door hAl op 4 december 2007 09:59]

Op dit item kan niet meer gereageerd worden.



Microsoft Windows 10 Home NL Apple iPhone 6s Star Wars: Battlefront (2015) Samsung Galaxy S6 edge Apple Watch Project CARS Nest Learning Thermostat Ibood

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True