Microsoft en Mozilla kibbelen over browserveiligheid
Mozilla en Microsoft zijn het weer eens niet met elkaar eens over wie van de twee nou de meest veilige browser heeft. Aanleiding van de meest recente discussie is een rapport van beveiligingsonderzoeker Jeff Jones, die voor Microsoft werkt.
Jones concludeert onder andere dat er tussen november 2004 en oktober 2007 meer dan twee keer zoveel kwetsbaarheden uit Firefox zijn gehaald dan uit Internet Explorer. Mozilla loste in die periode totaal 75 ernstige, 100 middelmatige en 24 kleine fouten op, terwijl Microsoft 54 ernstige, 28 middelmatige en 5 kleintjes voor zijn rekening nam.
In termen van openstaande problemen liggen de twee dichter bij elkaar. Hoewel Firefox 2.0 in totaal 24 bekende risicopunten heeft en Internet Explorer 7 'maar' 21, heeft Mozilla 8 ernstige en Microsoft 10 ernstige gaten die nog geplakt moeten worden.
Snel de nieuwste versie pakken heeft weinig effect op het aantal patches dat toegepast moet worden.
De reactie van Mike Shaver, chief evangelist van Mozilla, is vernietigend. Hij draagt aan dat Microsoft meerdere patches in een update stopt en sommige lekken zelfs in alle stilte oplost door middel van een service pack. Het open karakter van Mozilla betekent dat er logischerwijs meer meldingen te vinden zijn.
Zijn belangrijkste argument is echter dat het uitbrengen van veel patches helemaal geen teken is van onveiligheid, maar eerder van het tegenovergestelde. Mozilla zou iedere fout meetellen, inclusief bugs die intern worden gevonden, bugs veroorzaakt door code van derden en zelfs crashes waarvan niet eens zeker is of ze wel misbruikt kunnen worden. Microsoft daarentegen zou zijn best doen om zoveel mogelijk achter gesloten deuren te houden en de lekken die wel publiek worden te bagatelliseren, aldus de gefrustreerde Firefox-promoter.
Reacties (128)
De vraag die ik mezelf op dit moment stel is of dit wel nieuwswaardig is ?? Dit is een onderzoek door Microsoft en natuurlijk scoort IE dan hoger dan FF...
De grootste beveiligingslek in IE is ActiveX, doordat je hiermee diep in je (je buurman/vrouw?) windows-bak kan kloten.
De grootste beveiligingslek in IE is ActiveX, doordat je hiermee diep in je (je buurman/vrouw?) windows-bak kan kloten.
[Reactie gewijzigd door Vectrox op maandag 3 december 2007 21:34]
microsoft scoorde in dit geval lager (lager aantal bugs zogezegd)
maar ik snap wel wat je bedoelt
denk dat dit normaal is wanneer het door een medewerker van microsoft gebeurd is
en indien de resultaten niet positief voor microsoft waren geweest hadden deze wsl ook nooit het net bereikt
maar ik snap wel wat je bedoelt
denk dat dit normaal is wanneer het door een medewerker van microsoft gebeurd is
en indien de resultaten niet positief voor microsoft waren geweest hadden deze wsl ook nooit het net bereikt
Tuurlijk scoor IE lager
- er zijn minder mensen die de code reviewen
- ze tellen bugs niet mee, en tellen verschillende tesamen
Het enige wat telt is de reactiesnelheid, Microsoft scoort daar zéér slecht in. Herinner de JPEG bug die iedereen in staat stelde alles uit te voeren als je een jpeg opende (geen 100% browser bug, maar het duurde wel lang vooraleer er een oplossing was -en eerst wilden ze het maar oplossen in de volgende maand...
En wij van WC-Eend vinden WC-Eend de beste!
- er zijn minder mensen die de code reviewen
- ze tellen bugs niet mee, en tellen verschillende tesamen
Het enige wat telt is de reactiesnelheid, Microsoft scoort daar zéér slecht in. Herinner de JPEG bug die iedereen in staat stelde alles uit te voeren als je een jpeg opende (geen 100% browser bug, maar het duurde wel lang vooraleer er een oplossing was -en eerst wilden ze het maar oplossen in de volgende maand...
En wij van WC-Eend vinden WC-Eend de beste!
goed lezen, ze scoren lager met de totale hoeveelheid bugs dat ze oplossen.microsoft scoorde in dit geval lager (lager aantal bugs zogezegd)
en opzich zelf zegt dat getal ons TOTAAL NIKS over hoe veilig de browser is.
fixen ze er minder omdat ze minder bugs in hun browser hebben zitten of fixen ze minder omdat ze gewoon minder bugs vinden en oplossen.
als we aan zouden nemen dat er in een stuk code gemiddeld ongeveer even veel fouten zitten per regel code dan scored MS dus een (HEEL) stuk slechter als FF.
niet alleen is IE groter als FF (en dus meer fouten waarschijnlijk) maar ze lossen er ook nog eens minder van op.
[Reactie gewijzigd door Countess op dinsdag 4 december 2007 01:26]
Goed lezen: IE en Mozilla zijn allebei browsers. En appels en peren zijn allebei fruit. Toch laat het e.e.a. zich soms wat slecht met elkaar vergelijken. De uitleg van Mike shaver spreekt m.i. dan ook boekdelen.
Ja, dat vond ik ook al.... het is sowieso niet duidelijk om wat voor bugs het gaat. Als Firefox' ergste bugs zijn dan je de Password Manager kunt exploiten en de ergste van IE dat je het hele besturingssysteem kunt verkloten dan zijn ze allebei ernstig, maar IE zit nog steeds zo diep in het systeem geworteld dat het in de eerste plaats logisch is dat er minder bugs zijn maar ik vraag me af of de bekende niet vele malen ernstiger zijn dan die van Firefox. Ook is het natuurlijk een andere afhandeling... misschien zijn de IE bugs in Firefox allang opgelost en andersom... dan zijn dus alleen de ernstigste bugs eigenlijk van belang...
Was het niet zo dat IE 7 in een sandbox draaide waardoor het juist zo veel moeilijker uit te buiten zou zijn of, in elk geval niet zo diep in het systeem te komen is?
Of geldt dit alleen in Vista?
Of geldt dit alleen in Vista?
Of het onderzoek nieuwswaardig is, ik denk van wel. Maar het zijn slechts statistieken.
Wat minder nieuwswaardig is, is het antwoord van de Firefox evangelist....
Hoe hij zichzelf onderuit schopt in zijn antwoord:
Punt 1: Veel patches zijn goed.
Punt 2: Microsoft brengt eigenlijk meer patches uit.
Ik dacht dat hij degene moest verdedigen die hem betaald. Maar hij bijt de hand die hem voed...
Wat minder nieuwswaardig is, is het antwoord van de Firefox evangelist....
Hoe hij zichzelf onderuit schopt in zijn antwoord:
Punt 1: Veel patches zijn goed.
Punt 2: Microsoft brengt eigenlijk meer patches uit.
Ik dacht dat hij degene moest verdedigen die hem betaald. Maar hij bijt de hand die hem voed...
Hij stelt dat veel patchen goed is en dat microsoft dingen patcht die ze niet bekend maken alsook dingen niet patcht die niet bekend worden gemaakt. Maw, als er een lek in Fx zit dan weet iedereen het snel en wordt het gepatcht, als er een lek in IE zit dan zegt MS niets aan anderen en laat het lek gewoon zitten. (aldus de Mozilla verklaring)
Je kan ook zeggen:
Microsoft patcht bepaalde lekken in stilte zodat gebruikers die niet updaten, niet de dupe worden van "hackers" die ff in de laatste "bug update lijst" kijken, en daar snel een exploit voor schrijven.
Microsoft patcht bepaalde lekken in stilte zodat gebruikers die niet updaten, niet de dupe worden van "hackers" die ff in de laatste "bug update lijst" kijken, en daar snel een exploit voor schrijven.
[Reactie gewijzigd door enermax op dinsdag 4 december 2007 19:46]
Volgens mij staat dat helemaal niet in zijn reactie. Hij zegt dat veel patches uitbrengen inderdaad goed zijn en dat microsoft veel patches achter gesloten deuren houdt en met service packs mee geeft. Tenminste ik kan hier nergens uit halen dat microsoft teveel patches uit zou brengen...
Ik moet wel zeggen dat de firefox man wel wat gelijk heeft. Inderdaad, veel lekken worden gedicht met die service packs van MS en ook veel lekken worden achter gesloten deuren gedaan. Mozilla schijnt dan ook nog eens crashes en errors in combinatie met addons te repareren en dat lijkt mij een wat onzin argument. Het is trouwens ook niet te controleren of MS veel van deze errors in service packs repareren en of dit dan ook bij deze getalen mee geteld zijn.
Kortom, een "wij van wc-eend adviseren wc-eend" achtige discussie...
Ik moet wel zeggen dat de firefox man wel wat gelijk heeft. Inderdaad, veel lekken worden gedicht met die service packs van MS en ook veel lekken worden achter gesloten deuren gedaan. Mozilla schijnt dan ook nog eens crashes en errors in combinatie met addons te repareren en dat lijkt mij een wat onzin argument. Het is trouwens ook niet te controleren of MS veel van deze errors in service packs repareren en of dit dan ook bij deze getalen mee geteld zijn.
Kortom, een "wij van wc-eend adviseren wc-eend" achtige discussie...
Indeed en het is ook niet al te clever van de expert van Microsoft. Er zijn nogal wat makkelijke tegenargumenten te bedenken, waarbij hij zijn eigen glazen als het ware ingooit. Tenzij de media dit oppakt (en dat gebeurt altijd) met als kop "Explorer is veiliger dan Firefox" en klaar. Daar zal men wel op rekenen, alleen op sites als Tweakers zie je nog wat meer kritische meningen in de commentaren terug.
Meer exploits voor IE dan voor FF.
De kans dat uw IE tijdens het surfen wordt geïnfecteerd ligt 32 keerhoger dan met FF. Kan je hele mooie onderzoeken mee starten hoor.
Telegraaf koppen stijl. Rekening geplunderd na gebruik IE.
De kans dat uw IE tijdens het surfen wordt geïnfecteerd ligt 32 keerhoger dan met FF. Kan je hele mooie onderzoeken mee starten hoor.
Telegraaf koppen stijl. Rekening geplunderd na gebruik IE.
Wat jij beschrijft wordt FUD genoemd. Dit staat voor: Fear, Uncertainty and Doubt. Dit is naar mijn mening dan ook één van de meest on-ethische marketingstrategieën.
Hoe werkt FUD? FUD is een strategie die misbruik maakt van de menselijke subjectiviteit en de eigenschap van mensen om een voorkeur te hebben. Er wordt gebruik gemaakt van het feit dat mensen erg beïnvloedbaar zijn. Zo kun je erg makkelijk iemand een gevoel inspelen dat vervolgens aan een product van jou tegenstander of aan jou eigen product te koppelen is.
Voorbeeld:
Persoon B zegt dat product A een erg goed product is. helaas heeft product A last van vervelende fouten in het programma. Gelukkig zijn ze daar snel bij en wellicht dat ze ooit nog erg goed zullen worden. Persoon C is het met hem eens, persoon C blijft toch product D gebruiken. Product D is namelijk altijd erg goed, fouten worden altijd opgelost en ze waren als eerste op de markt. Ook is het product erg snel. Toch, vindt persoon C dat product A vooral de moed niet moet opgeven en vooral zo door moet gaan.
Over het algemeen creëert de lezer een voorkeur gebaseerd op dingen die gelezen worden. Dit verhaaltje is zo relatief (of in andere woorden: absoluut niet concreet) dat een voorkeur voor één van beide producten een subjectieve voorkeur is.
Dit omdat het zeggen dat product A een nadeel heeft, het nog niet gelijk uitsluit dat product D dat nadeel ook niet heeft. Sterker nog, dingen die persoon B zegt over product A zouden ook van toepassing kunnen zijn op product D. Omdat dat niet uitgeloten wordt.
FUD is een zeer sterke marketingstrategie die erg onderschat wordt omdat het veelal niet begrepen wordt. Ook mennen mensen vaak alles onder controle te hebben terwijl je het onbewuste volgens mij niet kan controleren. Erg veel mensen maken beslissingen op het bekende: "onderbuik gevoel". Maar dit gevoel wordt samengebracht door aannames.
Kortom mensen maken rare relaties. Dit is dan ook het domein waarin mensen de relatie leggen tussen een persoon die oncontroleerbare lichaamsfuncties heeft en iemand die verstandelijk gehandicapt is. Op deze "zwakte" van de mens manifesteert FUD.... Iets dat mensen naar mijn mening moeten begrijpen.
Hoe werkt FUD? FUD is een strategie die misbruik maakt van de menselijke subjectiviteit en de eigenschap van mensen om een voorkeur te hebben. Er wordt gebruik gemaakt van het feit dat mensen erg beïnvloedbaar zijn. Zo kun je erg makkelijk iemand een gevoel inspelen dat vervolgens aan een product van jou tegenstander of aan jou eigen product te koppelen is.
Voorbeeld:
Persoon B zegt dat product A een erg goed product is. helaas heeft product A last van vervelende fouten in het programma. Gelukkig zijn ze daar snel bij en wellicht dat ze ooit nog erg goed zullen worden. Persoon C is het met hem eens, persoon C blijft toch product D gebruiken. Product D is namelijk altijd erg goed, fouten worden altijd opgelost en ze waren als eerste op de markt. Ook is het product erg snel. Toch, vindt persoon C dat product A vooral de moed niet moet opgeven en vooral zo door moet gaan.
Over het algemeen creëert de lezer een voorkeur gebaseerd op dingen die gelezen worden. Dit verhaaltje is zo relatief (of in andere woorden: absoluut niet concreet) dat een voorkeur voor één van beide producten een subjectieve voorkeur is.
Dit omdat het zeggen dat product A een nadeel heeft, het nog niet gelijk uitsluit dat product D dat nadeel ook niet heeft. Sterker nog, dingen die persoon B zegt over product A zouden ook van toepassing kunnen zijn op product D. Omdat dat niet uitgeloten wordt.
FUD is een zeer sterke marketingstrategie die erg onderschat wordt omdat het veelal niet begrepen wordt. Ook mennen mensen vaak alles onder controle te hebben terwijl je het onbewuste volgens mij niet kan controleren. Erg veel mensen maken beslissingen op het bekende: "onderbuik gevoel". Maar dit gevoel wordt samengebracht door aannames.
Kortom mensen maken rare relaties. Dit is dan ook het domein waarin mensen de relatie leggen tussen een persoon die oncontroleerbare lichaamsfuncties heeft en iemand die verstandelijk gehandicapt is. Op deze "zwakte" van de mens manifesteert FUD.... Iets dat mensen naar mijn mening moeten begrijpen.
Schitterende analyse tuxzero, je hebt gelijkt ja. Vandaar ook dat het zo makkelijk is om te verdienen op zaken als alternatieve geneeskunde en vitamine-bommen. Mensen zijn uiterst makkelijk te overtuigen van iets, helaas de meeste.
Tweakers zit dan ook vol met FF fanboysalleen op sites als Tweakers zie je nog wat meer kritische meningen in de commentaren terug.
(die me natuurlijk gelijk naar ongewenst modden)imo zijn IE 7 en FF2 beide prima browsers en ik zie het probleem niet zo.
de een vind appels het lekkerste fruit, de andere peren
[Reactie gewijzigd door Crysania op dinsdag 4 december 2007 10:30]
Naar wat ik begrepen heb ben je gewoon het beste uit met Opera.
Maar ja... daar heeft niemand het over.
Maar ja... daar heeft niemand het over.
Goh, teveel patches na mekaar uitbrengen is ook niet zo enorm goed in mijn ogen. Deze week heb ik ook 2 keer een update moeten installeren van firefox. Natuurlijk voor mij geen probleem, maar ik kan best begrijpen dat voor sommige leken zoiets enerverend kan beginnen worden waardoor ze het update-gedoe annuleren of helemaal achterwege laten, zo creëer je natuurlijk een slechte omgeving. Anderzijds is het zeker positief te noemen dat firefox zo'n handig updatesysteem heeft
Zijn dat dezelfde gebruikers die nooit hun auto op slot zetten en hun voordeur open laten staan?
Het opnieuw opstarten van de computer is voldoende om de patch te laten installeren - oook Jan Modaal zal dus al snel op de laatste versie zitten...
Aangezien software nu eenmaal altijd bugs bevat (waarvan dit soms veiligheidslekken zijn), zal er altijd geupdate moeten worden - door dit automatisch te doen zorg je vanzelf voor software die up-to-date is.
Microsoft doet niet anders met het installeren van de patches bij/na het afsluiten van je computer...
Aangezien software nu eenmaal altijd bugs bevat (waarvan dit soms veiligheidslekken zijn), zal er altijd geupdate moeten worden - door dit automatisch te doen zorg je vanzelf voor software die up-to-date is.
Microsoft doet niet anders met het installeren van de patches bij/na het afsluiten van je computer...
Ik heb totaal geen ervaring met FF, maar is die in staat zichzelf te updaten als de gebruiker geen beheerdersrechten heeft?
Daar sla je de spijker op z'n kop... Je hebt twee soorten leugens: gewone leugens en statistische leugens. Met statistiek kun je bijna alles bewijzen. Ik heb mij laten vertellen dat het mogelijk is om te laten zien dat 1+1=3.Of het onderzoek nieuwswaardig is, ik denk van wel. Maar het zijn slechts statistieken.
Vraag me ook af wat bewijzen dat 1+1=3 met statistiek te maken heeft.
is dat een van de rekenfouten in Excel ?
En het probleem met de bewijzen dat verschillende getallen gelijk aan elkaar zijn is dat er ergens in het bewijs stiekum door 0 wordt gedeeld, wat wiskundig dus helemaal niet mag of kan.
En het probleem met de bewijzen dat verschillende getallen gelijk aan elkaar zijn is dat er ergens in het bewijs stiekum door 0 wordt gedeeld, wat wiskundig dus helemaal niet mag of kan.
3 soorten leugens eigenlijk:
"there are lies, damn lies and statistics"
"there are lies, damn lies and statistics"
their only 3 kinds of lies in this world:
- Lies
- Damned lies
- Statistics
Dat onderzoekje van MS zegt echt helemaal niks, nakkes, nada... Wel een mooie manier om proberen de enige echte concurrent in een kwaad daglicht te zetten op een totaal ongegronde manier...
- Lies
- Damned lies
- Statistics
Dat onderzoekje van MS zegt echt helemaal niks, nakkes, nada... Wel een mooie manier om proberen de enige echte concurrent in een kwaad daglicht te zetten op een totaal ongegronde manier...
Met IE6SP2 en IE7 heeft Microsoft veel gedaan aan het veiliger maken van ActiveX - het is nu niet meer mogelijk om zo-maar een ActiveX control te installeren (hetgeen vroeger overigens wel zo was), dus om dit er nu meteen bij te halen lijkt me ook niets to te voegen aan de hele discussie...De grootste beveiligingslek in IE is ActiveX, doordat je hiermee diep in je (je buurman/vrouw?) windows-bak kan kloten.
De veiligheid van ActiveX is nu op hetzelfde niveau als de XPI (XP Install) die nodig is om in Firefox add-ons te installeren, misschien dat de drempel bij de add-on installatie een beetje hoger ligt (de site moet eerst gewhitelist worden en tijdsvertraging voor een 'Install' knop actief wordt)...
want daar draait het uiteindelijk bij de tweaker om...
In mijn ogen is Firefox nog steeds de betere browser, ja uiteraard dat je meer lekken vindt in FF, het onderzoek van deze kerel is gedaan vanuit hetzelfde absolute tijdstip (sinds eind 2004), IE bestond toen al langer, had al meer ervaring dan FF.
Firefox start x aantal jaar later op en kijk eens hoeveel lekken ze in verhouding hebben met IE, bijna niets verschil, daarbij komt idd dat Mozilla zelf lekken opspoort en zelfs users actief aanspoort om bugs/lekken te melden, jee, dan lijkt het mij voor iedereen met een portie gezond verstand wel te doen om tot de conclusie te komen dat FF op gebied van security issues/bugs verhelpen een streepje voor heeft.
En dan heb ik het nog niet eens over de snelheid waarmee updates uitkomen
In mijn ogen is Firefox nog steeds de betere browser, ja uiteraard dat je meer lekken vindt in FF, het onderzoek van deze kerel is gedaan vanuit hetzelfde absolute tijdstip (sinds eind 2004), IE bestond toen al langer, had al meer ervaring dan FF.
Firefox start x aantal jaar later op en kijk eens hoeveel lekken ze in verhouding hebben met IE, bijna niets verschil, daarbij komt idd dat Mozilla zelf lekken opspoort en zelfs users actief aanspoort om bugs/lekken te melden, jee, dan lijkt het mij voor iedereen met een portie gezond verstand wel te doen om tot de conclusie te komen dat FF op gebied van security issues/bugs verhelpen een streepje voor heeft.
En dan heb ik het nog niet eens over de snelheid waarmee updates uitkomen
Gaan ze elkaar met modder begooien wat triest.
Het feit is wel dat microsoft is wakker geschud door firefox. En toch een veel veiligere webbrowser heeft gemaakt dan internet explorer 6. Wat voor iedereen weer gunstig is.
Het feit is wel dat microsoft is wakker geschud door firefox. En toch een veel veiligere webbrowser heeft gemaakt dan internet explorer 6. Wat voor iedereen weer gunstig is.
Nouja, Mozilla staat niet graag in een kwaad daglicht, en het is inderdaad prima te verdedigen dat een transparant ontwikkelingsproces meer opgeloste fouten aan het licht brengt dan de 'black box' Microsoft. Het kan bijvoorbeeld zijn dat Microsoft er een hoop fouten nog niet uit heeft gehaald, en het gesloten karakter maakt dat we dit nooit kunnen weten en een vergelijking dus nooit een inzicht geeft in de werkelijke stand van zaken.
Maar is het niet ook zo dat niet ondekte fouten (nog) niet gevaarlijk zijn?
Zo zou je kunnen beredeneren dat closed source in principe veiliger is, het is immers makkelijker voor kwaadwillenden om fouten in open source op te sporen, en die te misbruiken.
Openheid heeft dus zo z'n voor- en nadelen.
Natuurlijk heeft Microsoft met IE6 deze stelling niet echt bewezen.
Zo zou je kunnen beredeneren dat closed source in principe veiliger is, het is immers makkelijker voor kwaadwillenden om fouten in open source op te sporen, en die te misbruiken.
Openheid heeft dus zo z'n voor- en nadelen.
Natuurlijk heeft Microsoft met IE6 deze stelling niet echt bewezen.
Stel dat er zowel voor Microsoft als Mozilla 50 black-hat hackers (boefjes) bezig zijn gaten te vinden. Dan zijn er voor Microsoft enkele honderden medewerkers code aan het screenen, en voor Mozilla zijn dit er vele duizenden met frisse blikken. Als een boefje een lek gevonden heeft gaat hij hem toch wel misbruiken, en deze kan je ook wel vinden door andere manieren dan source lezen (reverse engineeren, puur geluk, uitproberen, combinatie-met-andere-software fouten)
'Security through obscurity' zou dus veiliger zijn dan een open process qua veiligheidslekken?
Dacht het niet, ook een niet publiek ontdekt veiligheidslek kan door een kwaadwillende gebruikt worden - als een cracker zo'n lek ontdekt, hoe groot is de kans dat hij deze dan netjes meldt? Dat zal hij dus niet doen, hij zal er gebruik van gaan maken om bijvoorbeeld creditcard gegevens van nietvermoedende browser-gebruikers te ontflutselen.
Het is dus zaak dat iedere lek zo snel mogelijk gedicht wordt, niet pas bij de komende service pack, maar direct. Wat Mozilla beweert te doen is het direct dichten van lekken en er is nog geen reden om aan te nemen dat ze lekken nodeloos lang open houden. Bij Microsoft beweren ze minder lekken te moeten dichten, maar hebben ze nergens een publieke database waarin aangegeven staat welke lekken er allemaal zijn en welke gedicht zijn...
Dacht het niet, ook een niet publiek ontdekt veiligheidslek kan door een kwaadwillende gebruikt worden - als een cracker zo'n lek ontdekt, hoe groot is de kans dat hij deze dan netjes meldt? Dat zal hij dus niet doen, hij zal er gebruik van gaan maken om bijvoorbeeld creditcard gegevens van nietvermoedende browser-gebruikers te ontflutselen.
Het is dus zaak dat iedere lek zo snel mogelijk gedicht wordt, niet pas bij de komende service pack, maar direct. Wat Mozilla beweert te doen is het direct dichten van lekken en er is nog geen reden om aan te nemen dat ze lekken nodeloos lang open houden. Bij Microsoft beweren ze minder lekken te moeten dichten, maar hebben ze nergens een publieke database waarin aangegeven staat welke lekken er allemaal zijn en welke gedicht zijn...
Precies. Voor de zekerheid heb ik nog even gezocht. Maar nergens kan ik vinden hoeveel bugs Microsoft van de bestaande hoeveelheid geplet heeft. Of in ieder geval het aantal dat gemeld is... (Dit wil niet zeggen dat ze dan ook bekent zijn)
Misschien dat iemand dit weet? (Informatie die erg moeilijk te krijgen is) Microsoft doet hier namelijk erg geheimzinnig over...
O, en ik heb op een verre uithoek van mijn server ook nog wel een brouwseltje staan. 0 bugs gefixed! Ik versla Mozilla én Microsoft!
Misschien dat iemand dit weet? (Informatie die erg moeilijk te krijgen is) Microsoft doet hier namelijk erg geheimzinnig over...
O, en ik heb op een verre uithoek van mijn server ook nog wel een brouwseltje staan. 0 bugs gefixed! Ik versla Mozilla én Microsoft!
[Reactie gewijzigd door tuXzero op dinsdag 4 december 2007 13:27]
Een bewering die vaak terugkomt maar statistisch gezien geen stand weet te houden. Een simpel voorbeeld is IIS vs Apache. Hoewel de situatie voor IIS de laatste jaren verbeterd is had het vroeger zeker vaak af te rekenen met zwakheden die misbruikt werden terwijl Apache goed stand weet te houden op dat gebied.Zo zou je kunnen beredeneren dat closed source in principe veiliger is, het is immers makkelijker voor kwaadwillenden om fouten in open source op te sporen, en die te misbruiken.
Open source heeft als belangrijk voordeel dat bugs sneller gevonden en opgelost worden. Van IE bijvoorbeeld is niet bekend hoeveel fouten er bekend zijn bij MS zelf. En aangezien de broncode niet open is is het ook niet mogelijk voor derde partijen om patches te ontwikkelen voor bugs waarvan MS heeft aangegeven ze nooit te zullen oplossen.
Jij vind dat je niet eens mag reageren als iemand jou onterechte kritiek geeft?Gaan ze elkaar met modder begooien wat triest.
Hij geeft aan dat hij het triest vind, niet dat het niet mag.
Het is een nogal goedkope argumentatietruuk om een standpunt waar je het niet mee eens bent tot in het absurde te overdrijven en daardoor het hele standpunt absurd te laten lijken. Ik weet niet wat je wil zeggen, maar onderbouw je mening ajb, of onderbouw op zijn minst het niet valide vinden van een ander zijn mening.
Mijn onderbouwing van het "moddergooien":
- Het oorspronkelijke rapport is door een niet onafhankelijke onderzoeker geschreven en heeft een uitkomst die gunstig is voor zijn werkgever. Dat is - hoe waar het onverhoopt ook zou zijn - geen overtuigend onderzoek.
- De reactie van de Mozilla evangelist heeft het over het oplossen en verbergen van problemen zonder dat iemand het in de gaten heeft. Ook dat vind ik niet onderbouwd. Het is een redenatie in de trant van:
- "ze verbergen blauwe olifanten"
- "huh, ik zie nergens blauwe olifanten?"
- "zie je wel, kun je nagaan hoe goed ze verstopt zijn!"
Dat ik het - samen met Drikus - triest vind is een persoonlijke mening.
Het is een nogal goedkope argumentatietruuk om een standpunt waar je het niet mee eens bent tot in het absurde te overdrijven en daardoor het hele standpunt absurd te laten lijken. Ik weet niet wat je wil zeggen, maar onderbouw je mening ajb, of onderbouw op zijn minst het niet valide vinden van een ander zijn mening.
Mijn onderbouwing van het "moddergooien":
- Het oorspronkelijke rapport is door een niet onafhankelijke onderzoeker geschreven en heeft een uitkomst die gunstig is voor zijn werkgever. Dat is - hoe waar het onverhoopt ook zou zijn - geen overtuigend onderzoek.
- De reactie van de Mozilla evangelist heeft het over het oplossen en verbergen van problemen zonder dat iemand het in de gaten heeft. Ook dat vind ik niet onderbouwd. Het is een redenatie in de trant van:
- "ze verbergen blauwe olifanten"
- "huh, ik zie nergens blauwe olifanten?"
- "zie je wel, kun je nagaan hoe goed ze verstopt zijn!"
Dat ik het - samen met Drikus - triest vind is een persoonlijke mening.
Maar het kan toch ook zo zijn dat Firefox heel veel lekken heeft verwijderd en dat Microsoft er maar heel weinig heeft verwijderd.
Daarom word ook het aantal openstaande problemen meegenomen in het onderzoek.
Je moet het zo zien MS heeft een traject van jaren achterzig closed source. Van IE1 zit nog steeds code in IE7.
Dus wanneer men een lek ontdekt in IE1 kan deze lek ook nog zitten in IE7.
Nadeel is anderzijds dat IE in windows zit gebakken waardoor delen code binnen windows zelf ook onderdeel uitmaken van IE. waardoor deze ook kwetsbaarder is.
Als men naar firefox kijkt. redelijk nieuw in de markt. Iedereen kent het al. en is het aan het gebruiken. Maar je moet niet vergeten dat mozilla van 0 is begonnen.
Hellaas heeft MS meer aan verkopen dan dat zij van 0 af aan een nieuw product opbouwen. Hierdoor worden oude technieken herbruikt. en zo ook kennen deze oude technieken zwaktes die nu pas aan het licht komen.
Dus wanneer men een lek ontdekt in IE1 kan deze lek ook nog zitten in IE7.
Nadeel is anderzijds dat IE in windows zit gebakken waardoor delen code binnen windows zelf ook onderdeel uitmaken van IE. waardoor deze ook kwetsbaarder is.
Als men naar firefox kijkt. redelijk nieuw in de markt. Iedereen kent het al. en is het aan het gebruiken. Maar je moet niet vergeten dat mozilla van 0 is begonnen.
Hellaas heeft MS meer aan verkopen dan dat zij van 0 af aan een nieuw product opbouwen. Hierdoor worden oude technieken herbruikt. en zo ook kennen deze oude technieken zwaktes die nu pas aan het licht komen.
Als men in XP nog bugs vind die teruggaan tot in Win 3.x dan bestaat er zeker een kans dat er in recente MS software nog altijd antieke code is terug te vinden.
Ja wat dacht je van de font manager in windows vista. Stil the same as in 3.1
http://bink.nu/photos/new...ory1022/picture13552.aspx
Quote:
"Hey look on the bright side guys. When was the last time you read about the add font dialogue crashing! :-)"
http://bink.nu/photos/new...ory1022/picture13552.aspx
Quote:
"Hey look on the bright side guys. When was the last time you read about the add font dialogue crashing! :-)"
Waarom de firefox-promotor gefrustreerd noemen? 
Omdat hij gefrustreerd is over het feit dat Microsoft een onderzoek heeft gepubliceerd dat 'zijn' browser in een negatief daglicht stelt, terwijl het in zijn ogen totale onzin is.
Op welke manier wordt hij belemmerd in het verwezenlijken van zijn verwachtingen of behoeften door dit onderzoek dan? Ik bedoel niemand neemt dit toch serieus? Dat hij er überhaupt woorden aan vuil maakt is denk ik eerder uit verveling.
[Reactie gewijzigd door Zigi_Samblak op maandag 3 december 2007 22:10]
Kom op, die hele blog staat bol van de sarcastische en snerende opmerkingen, die kerel is duidelijk niet vrolijk. Maar als je wil mierenneuken met een woordenboek dan kan ik het spelletje ook wel meespelen hoor.
Hij is chief evangelist voor Mozilla, dus het is zijn werk om zodanig op mensen in te praten dat ze Firefox gaan gebruiken of er op zijn minst een positieve mening over krijgen. Een onderzoek dat een van Firefox' belangrijkste speerpunten bij het werven van zieltjes ('het is veiliger dan Internet Explorer') aanvalt, belemmert die taak. En ik neem aan dat hij het werk wel leuk vind (een PR-man die niet achter zijn product staat valt immers snel genoeg door de mand), dus hij zal er ook naar streven om het goed te doen. Ergo, het is een behoefte.
Hij is chief evangelist voor Mozilla, dus het is zijn werk om zodanig op mensen in te praten dat ze Firefox gaan gebruiken of er op zijn minst een positieve mening over krijgen. Een onderzoek dat een van Firefox' belangrijkste speerpunten bij het werven van zieltjes ('het is veiliger dan Internet Explorer') aanvalt, belemmert die taak. En ik neem aan dat hij het werk wel leuk vind (een PR-man die niet achter zijn product staat valt immers snel genoeg door de mand), dus hij zal er ook naar streven om het goed te doen. Ergo, het is een behoefte.
[Reactie gewijzigd door Wouter Tinus op dinsdag 4 december 2007 01:39]
Imho is dit vrij normaal iedereen met wat programeer kennis kan de broncode voor FF bekijken en applicaties (add ons/extensions) hier voor ontwikkelen terwijl IE closed source is... Dit maakt het veel moeilijker om fouten op te sporen...
Gewoon typische MS politiek, een ander zijn fouten in het licht zetten zodat je er zelf beter uitkomt...
Gewoon typische MS politiek, een ander zijn fouten in het licht zetten zodat je er zelf beter uitkomt...
Dat is niet specifiek MS. Dat is gewone Amerikaanse marketing. Niet zeggen waarom jou product goed is, maar enkel zeggen wat er niet goed is aan andermans product. Wel eens reclame spotjes voor de presidentsverkiezingen gezien?Gewoon typische MS politiek, een ander zijn fouten in het licht zetten zodat je er zelf beter uitkomt...
Het is veel makkelijker om security lekken op te sporen dmv tooling op de geinstalleerde software executables dan door de code te bestuderen.Imho is dit vrij normaal iedereen met wat programeer kennis kan de broncode voor FF bekijken en applicaties (add ons/extensions) hier voor ontwikkelen terwijl IE closed source is... Dit maakt het veel moeilijker om fouten op te sporen...
Geen goede PR voor Microsoft..
Ik hoop dat Microsoft hier verandering in brengt. Het dit waar is - dat PR-imago boven de veiligheid van gebrukers staat - geeft dat vrij spel aan hackers die gevonden bugs nooit publiekelijk maken.
Een andere bron legt dit nog pijnlijker uit: security problemen die intern gevonden worden, worden opgespaart voor een service pack. Met andere woorden zitten er maanden tot een jaar lang open bugs in de software.en sommige lekken zelfs in alle stilte oplost door middel van een service pack
Ik hoop dat Microsoft hier verandering in brengt. Het dit waar is - dat PR-imago boven de veiligheid van gebrukers staat - geeft dat vrij spel aan hackers die gevonden bugs nooit publiekelijk maken.
[Reactie gewijzigd door YaPP op maandag 3 december 2007 21:48]
En Window Snyder kan het weten want voordat ze Chief Security werd bij Mozilla was ze Security Lead bij Microsoft
Dat ze ze in stilte fixen maakt toch niet uit? Het gaat er toch om dat ze gefixed worden?
Nee, gaan schreeuwen dat er een bug is en dat je die hebt opgelost is fantastisch nieuws. Ik zou mijn fouten ook niet zo 1 2 3 publiekelijk bekend maken. Pas als het daadwerkelijk effect heeft voor de consument hoeven ze het te weten. Verder maakt het niet zo uit. Sterker nog, ik denk dat ze hier meer mee bereiken.
Nee, gaan schreeuwen dat er een bug is en dat je die hebt opgelost is fantastisch nieuws. Ik zou mijn fouten ook niet zo 1 2 3 publiekelijk bekend maken. Pas als het daadwerkelijk effect heeft voor de consument hoeven ze het te weten. Verder maakt het niet zo uit. Sterker nog, ik denk dat ze hier meer mee bereiken.
Als er een lek bestaat, bestaat de kans dat een hacker dit ook kent en misbruikt. Als deze persoon de exploit voor zich houd en voorzichtig te werk gaat kan het enorm lang duren voordat bekend word hoe een bepaald virus zich ineens verspreid.
Veiligheidsgaten moeten altijd zo snel mogelijk gedicht worden om de klant te beschermen.
Veiligheidsgaten moeten altijd zo snel mogelijk gedicht worden om de klant te beschermen.
Oftewel, met de nieuwsfeiten die hier door T.net worden gepresenteerd kan je je nog steeds geen enkel beeld vormen hoe de veiligheid van beide producten zich tot elkaar verhoudt. Lijkt een beetje op: "een BMW rijdt gemiddeld 5x minder tegen een boom met dodelijk gevolg dan een Mercedes. Een BMW raakt dan wel weer 12x zoveel te water met eenzelfde dodelijke afloop vergeleken met een Mercedes". Oftewel, te weinig informatie.
100 renderbugs zijn veel minder gevaarlijk dan 3 remote exploit bugs. Ook hebben Microsoft en Mozilla verschillende criteria en dergelijke om bugs te kwalificeren. Het lijkt me dus echt erg lastig om dit allemaal goed in statistieken uit te kunnen drukken.
Beiden producten hebben tegenwoordig hun goede en slechte kanten. Soms is firefox een maandje op beveiligingsgebied beter dan Internet Explorer, en soms is het een maandje omgedraaid. odra we dat punt netjes bereikt hebben kan je kijken welke browser het beste voldoet aan jouw eisen. En aangezien dit voor iedereen verschilend is hebben we dan in ieder geval géén vertekenende statistieken.
Ik ben trouwens geheel onpartijdig (Opera-gebruiker) in deze kwestie. IE7 en Firefox 2 liggen veel dichter bij elkaar. Over Firefox 1 ten opzichte van IE6 wil ik het niet hebben, dan wordt Microsoft zo hard vernederd dat ze moeten huilen
100 renderbugs zijn veel minder gevaarlijk dan 3 remote exploit bugs. Ook hebben Microsoft en Mozilla verschillende criteria en dergelijke om bugs te kwalificeren. Het lijkt me dus echt erg lastig om dit allemaal goed in statistieken uit te kunnen drukken.
Beiden producten hebben tegenwoordig hun goede en slechte kanten. Soms is firefox een maandje op beveiligingsgebied beter dan Internet Explorer, en soms is het een maandje omgedraaid. odra we dat punt netjes bereikt hebben kan je kijken welke browser het beste voldoet aan jouw eisen. En aangezien dit voor iedereen verschilend is hebben we dan in ieder geval géén vertekenende statistieken.
Ik ben trouwens geheel onpartijdig (Opera-gebruiker) in deze kwestie. IE7 en Firefox 2 liggen veel dichter bij elkaar. Over Firefox 1 ten opzichte van IE6 wil ik het niet hebben, dan wordt Microsoft zo hard vernederd dat ze moeten huilen
Ik denk niet dat er zoiets bestaat als een maandje beter op veiligheidsgebied te zijn dan een ander. Een hele tijd terug kondigde MS met alure aan dat ze consequent aan veiligheid gingen werken, iets wat ze dus gingen doen of ze dit doorvoeren is een ander verhaal. Maar het geeft wel aan dat dit een lopend proces is. Net zoals Mozilla niet van de ene dag op de andere dag een omslag maakt.
De verschillen zijn echter wel hoe ze met problemen omgaan, en dan mag je jezelf afvragen wat heb je liever. Transparantie in problemen die worden opgelost die jij als admin kan doorzien, of een zwarte doos die om de zoveel tijd update verstuurd en dan mag je hopen dat alles gedicht is waar jij het bestaan vanaf weet. En dan is er nog steeds de vraag hoeveel gaten staan nog open maar dat maken ze juist niet bekend. En imo is dan toch wel snel gemaakt.
De verschillen zijn echter wel hoe ze met problemen omgaan, en dan mag je jezelf afvragen wat heb je liever. Transparantie in problemen die worden opgelost die jij als admin kan doorzien, of een zwarte doos die om de zoveel tijd update verstuurd en dan mag je hopen dat alles gedicht is waar jij het bestaan vanaf weet. En dan is er nog steeds de vraag hoeveel gaten staan nog open maar dat maken ze juist niet bekend. En imo is dan toch wel snel gemaakt.
Dat "maandje beter" is volgens mij ook dikke onzin, de veiligheid van een browser veranderd echt niet zoveel in korte tijd. En daarbij, er zullen waarschijnlijk altijd bugs en exploits blijven opduiken, en deze zijn toch makkelijker te vinden als je de broncode tot je beschikking hebt.
[Reactie gewijzigd door Corrit op maandag 3 december 2007 22:30]
behalve dat MS best veel techies in dienst heeft die deze bugs kunnen gaan zoeken ipv "de community" van firefox
ik denk dat je je daarin vergist. Microsoft heeft heel veel techneuten in dienst, maar die werken allemaal aan afzonderlijke dingen. Het IE team zelf is maar een man of 15 groot dacht ik.
Daarnaast zijn er onder al die 'veel techneuten' ook shitloads consultants, bergen analytici, systeem en netwerkbeheerders, beheerders van de diverse live omgevingen, gameservers en netwerken, etc, etc, etc.
Ik denk dat uiteindelijk Firefox / Mozilla meer resources hebben voor dit soort dingen dan Microsoft.
Daarnaast zijn er onder al die 'veel techneuten' ook shitloads consultants, bergen analytici, systeem en netwerkbeheerders, beheerders van de diverse live omgevingen, gameservers en netwerken, etc, etc, etc.
Ik denk dat uiteindelijk Firefox / Mozilla meer resources hebben voor dit soort dingen dan Microsoft.
Absoluut
Maarja, je verwacht ook niets anders. Microsoft pakt elk fenomeen aan om hunzelf aan te prijzen. Dat heet nou eenmaal marketing.
Jammer is het dat ze het proberen door een ander de grond in te duwen, dat is gewoon kinderachtig omdat de gemaakte vergelijking niet veelzeggend is.
De reactie van de firefox-kerel is dan ook logisch, gewoon de onzin met enkele argumenten van tafel vegen. Hij stelt het precies andersom, een koekje van eigen deeg wat een soort patstelling oplevert. Al is in mijn ogen die microsoft-kerel toch de kinderachtige hier.
Maarja, je verwacht ook niets anders. Microsoft pakt elk fenomeen aan om hunzelf aan te prijzen. Dat heet nou eenmaal marketing.
Jammer is het dat ze het proberen door een ander de grond in te duwen, dat is gewoon kinderachtig omdat de gemaakte vergelijking niet veelzeggend is.
De reactie van de firefox-kerel is dan ook logisch, gewoon de onzin met enkele argumenten van tafel vegen. Hij stelt het precies andersom, een koekje van eigen deeg wat een soort patstelling oplevert. Al is in mijn ogen die microsoft-kerel toch de kinderachtige hier.
Ik vind dat dit onderzoek totaal niet uitwijst welke van de twee het veiligst is. Het uitbrengen van patches zegt niets over de huidige veiligheid en de "uitgangsveiligheid" bij het uitbrengen van een product is altijd verschillend. Een rapport van iemand die voor Microsoft werkt kun je ook niet helemaal zeker als objectief bestempelen, al mag ik toch hopen dat dit toch wel het geval is...
Het lijkt mij ook dat het gaat om het eindproduct en het aantal opgelopen problemen per gebruiker, zo haal je volgens mij alle andere factoren weg. Ik denk zelf ook dat het juist positief is dat Mozilla zoveel lekken dicht, het geeft in mijn ogen vooruitgang uit en dat zien we allemaal graag. Maar ik ben dn ook zelf Mozilla-fan, dus over mijn objectiviteit kan ook weer getwijfeld worden...
Het lijkt mij ook dat het gaat om het eindproduct en het aantal opgelopen problemen per gebruiker, zo haal je volgens mij alle andere factoren weg. Ik denk zelf ook dat het juist positief is dat Mozilla zoveel lekken dicht, het geeft in mijn ogen vooruitgang uit en dat zien we allemaal graag. Maar ik ben dn ook zelf Mozilla-fan, dus over mijn objectiviteit kan ook weer getwijfeld worden...
Op dit item kan niet meer gereageerd worden.
Populair: Android Tablets Samsung Websites en communities Mobiele telefoons Google Sony Microsoft Games Politiek en recht
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
