Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 106, views: 29.562 •

Er worden steeds meer kwetsbaarheden ontdekt in browsers, blijkt uit een rapport van het Nationaal Cyber Security Centrum van de Nederlandse overheid. Vorig jaar werden 623 kwetsbaarheden in browsers geregistreerd, terwijl dat er een jaar eerder nog 509 waren.

Uit een grafiek in het rapport van het Nationaal Cyber Security Centrum blijkt bovendien dat Google Chrome vorig jaar de meeste gerapporteerde beveiligingsproblemen bevatte, namelijk 258. Directeur Wil van Gemert van het NCSC tekent aan dat Google juist ook een van de bedrijven is die het best reageert op meldingen van beveiligingsproblemen. Bovendien moedigt Google onderzoekers actief aan om kwetsbaarheden te melden en worden die onderzoekers financieel beloond, wat een verklaring kan zijn voor het grotere aantal gerapporteerde beveiligingsproblemen. In Firefox werden vorig jaar 183 beveiligingsproblemen ontdekt; in Safari 86. Het aantal browserexploits dat werd ontdekt, nam overigens juist af: vorig jaar waren dat er 16, terwijl dat er in 2010 nog 84 waren.

Vorig jaar telde het NCSC ook veel meer beveiligingsproblemen in content-management-systemen: 86, terwijl dat er een jaar eerder nog ruim 20 waren. Vooral in Wordpress, Joomla en Typo3 werden veel beveiligingsproblemen gevonden. Een deel van de fouten bevindt zich echter in plugins van andere partijen, en niet in het cms zelf. Uit onderzoek van het NCSC blijkt verder dat een meerderheid van de websites niet de laatste versie van zijn cms gebruikt: slechts 38,6 procent is geheel up-to-date. Iets meer dan 16 procent loopt één versie achter en 45,2 procent loopt minimaal twee security-updates achter.

Steeds meer kwetsbaarheden in browsers

Kwetsbaarheden in browsers vormen echter niet de grootste dreiging voor de overheid en het bedrijfsleven, claimt het NCSC. Dat zijn digitale spionage en cybercrime. Zo worden overheden en bedrijven aangevallen door criminelen, bijvoorbeeld door gebruik van malware. Volgens het rapport worden criminelen steeds brutaler, bijvoorbeeld door schokkende beelden op te nemen in ransomware, virussen die de pc van een gebruiker blokkeren totdat een betaling is verricht. Daarnaast worden overheden en bedrijven aangevallen door andere overheden, bijvoorbeeld China, Rusland, Iran en Syrië. Van Gemert kan niet toelichten of die landen zich ook specifiek op Nederland richten.

Het centrum, dat is opgericht om de Nederlandse overheid en de kritieke infrastructuur tegen digitale aanvallen te beschermen, tekent bovendien aan dat eindgebruikers veel verantwoordelijkheden in de schoenen krijgen geschoven bij beveiliging. Steeds vaker kan een burger daar echter weinig tegen doen, omdat hij geen invloed heeft op de kwetsbaarheid van een systeem of doordat hij er te weinig van weet, aldus het rapport.

Reacties (106)

Reactiefilter:-11060101+165+213+31
Ik gebruik zelf Chrome maar Ondanks het grote aantal gebruikers van IE vind ik het netjes dat er zo weinig kwetsbaarheden worden gevonden.
Ik zie geen duidelijke exponentiŰle stijging in de afgelopen 5 jaar, wel zie ik een duidelijk verschil met nu tot 5 jaar geleden en 5 jaar geleden en daarvoor. Ik zou 2 oorzaken daaraan toeschrijven:
1. Smartphones
2. concurrentie op de browsermarkt.

Smartphones worden steeds meer gebruikt, mensen zijn vaker via een browser online de laatste 5 jaar. Daarbij komt dat Chrome de laatste jaren behoorlijk is ontwikkeld en Microsoft ook niet stil kan zitten.
Het jaar 2000 belde net, ze willen hun 'IE sux!!!'-commentaar terug. ;-)

Je leeft in het verleden. IE loopt waarschijnlijk nog wat achter op bv. Chrome en zo, maar da's momenteel gewoon omdat ze minder frequent releasen.
Het is net zo dat IE vroeger helemaal niks ondersteunde (behalve hun eigen standaarden) en dat er dan toch een ganse hoop lekken in waren!
De laatste versies van IE ondersteunen nog steeds niet de standaarden. Ze adverteren er wel mee maar de praktijk wijst helaas anders uit.
Dat komt omdat de zogenaamde standaard nog geen standaard is.
Je bedoelt de richtlijnen voor html5 die uitgebracht zijn?
Je bedoelt de richtlijnen voor html5 die uitgebracht zijn?
De HTML5 standaard is momenteel in draft status, dat is iets heel anders dan een 'richtlijn'. In feite ligt het overgrote deel van de specificatie al volledig vast, maar de standaard komt pas uit draft status als alle details definitief zijn. De onderdelen die vrijwel zeker niet meer zullen veranderen kan IE dus gewoon implementeren, net als Firefox en WebKit.
er zal wel meer achter zitten. Wellicht is de reden dat IE zon klein percentage lekken heeft, wel omdat ze met zulke grote aanpassingen eerst de kat uit de boom kijken. Of wellicht is deze grote groei van lekken wel juist door HTML 5 en is dat de reden dat IE deze functies nog niet heeft ingevoerd.

ik ben geen kenner, maar overal net niet de eerste mee zijn kan soms een hoop ellende schelen...
laten we eerlijk zijn IE doet het iig in deze metrics erg goed...
of het een fijn programma is even buiten beschouwing gelaten, het heeft wel de minste exploits per gebruikers% (wat wel relevante metric is gezien wat meer mensen gebruiken ook meer getest wordt)
Dat is niet hoe standaarden werken. Het duurt heel erg veel jaren voordat een W3C standaard de recommendation status krijgt, en het is de norm dat browsers deze al veel eerder implementeren.

Daarnaast is het zo HTML5 in feite helemaal niet meer bestaat. Deze is omgedoopt tot simpelweg "HTML", een levende standaard waarbij zowel de spec als de implementatie sterk iteratief is. Chrome, Firefox en Opera doen mee aan die nieuwe wereld van een snel beter wordend web waarbij zowel ontwikkelaars als gebruikers snel de voordelen krijgen.

Een superieur model t.o.v. het oude "baseline" model waarbij er jaren tussen browsers zitten en de ene browser alle anderen tegenhoudt. Door dit nieuwe model gaat het web nu weer de goede kant op, na meer dan 10 jaar van bijna stilstand.

Om het nog concreter te maken: Microsoft kan niet wachten totdat HTML5 final is want die zal nooit final worden. Het is opgeknipt in modules die voortdurend bewegen.

Tot slot, technisch gezien is HTML5 een vaak verkeerd gebruikte term. We hebben namelijk ook nog zoiets als CSS, Javascript, en de vele nieuwe APIs. Die noemen we allemaal HTML5, maar dat is puur voor het gemak.
Ten tijde van ie5. Kreeg ms de wind van voren omdat het nooit meeging en alleen vaste standaarden (buiten hun eigen) implementeerde.
met ie6 hebben ze toen alles wat in draft was voor html4 ge´mplementeerd. En na release van ie6 zijn erg veel van die drafts gewijzigd voordat html4 klaar was. Waardoor ie ineens erg weinig standaarden had.
ms is net ie9 een nieuwe weg weer ingeslagen, maar ms gaat geen html features implementeren die al niet goedgekeurd zijn(niet meer gewijzigd worden). En je kunt ze geen ongelijk geven omdat Mozilla, opera en Google veel teveel invloed hebben op w3.
Sorry, maar je zit er compleet naast. IE9-11 barst van de features die nog niet de recommendation of final status van het W3 hebben gekregen. Zowat heel CSS3 valt daaronder, de meeste nieuwe javascript APIs, WebGL, MS's eigen interpretatie van touch events, en zo nog veel meer.

Nogmaals, het idee van baseline specs en implementaties bestaat niet, en in zekere zin heeft het nooit echt bestaan. Zowel de spec als de implementatie is volop in beweging.
De praktijk wijst uit dat elke browser wel eigenaardigheden/afwijkingen heeft als je de standaarden er heel precies op na leest. IE9 en IE10 zijn zeker wel uitstekend in orde.

https://en.wikipedia.org/...Cascading_Style_Sheets%29
Het is heel leuk dat IE er goed bij is met CSS maar functioneel heb je daar weinig aan bij het maken van een webpagina, het gaat tegenwoordig meer over JavaScript als je iets wilt gaan doen met de nieuwe standaarden ( Ik denk dat er bijv meer mensen de File API in IE9 hadden gezien dan extra CSS features op een border oid. )

Probeer eens http://caniuse.com/#compare=ie+9,ie+10,chrome+27
Sorry, maar hier ben ik het wel zwaar mee oneens,
JavaScript is natuurlijk heel handig, maar hoe meer we kunnen oplossen met css (transitions, animations, en natuurlijk gewoon alles wat je ziet) Hoe beter dat voor de performance is (mits goed geimplementeerd)

En de gebruiksvriendelijkheid (UX, XP, enz) van een site is toch voornamelijk een goed duidelijk uiterlijk: CSS dus.

Daarbij worden websites kleiner en schaalbaarder, doordat je steeds minder plaatjes hoeft te gebruiken. (mobiel/responsive)
Onderschat CSS niet! :)

JavaScript is ook heel belangrijk, maar dat je "functioneel weinig hebt aan css" is wel erg kort door de bocht :)

Biased front-ender speaking :Y)
Waar ik op doelde is dat je voor CSS vaak polyfills kunt gebruiken, voor JavaScript niet ( bijv. File API ), stel een browser ondersteunt geen websockets, kun je nooit de prestaties evenaren van een browser die wel een implementatie heeft. Als je CSS animatie niet werkt breekt iemand zn workflow niet zo gauw

En ik ben ook een beetje biased door IE af en te moeten ondersteunen 8)7

[Reactie gewijzigd door SkPhilipp op 3 juli 2013 20:40]

Daar heb je wel een punt,

Nadeel is dat polyfills een site wel ontzettend kunnen vertragen, maar het vaak wel moet van de klant (het moet er overal precies(!) hetzelfde uitzien)

Het werkt wel, maar op oude computers (waar die polyfills dus voor bedoeld zijn, oude pc/xp/ie8) wordt zo'n website gewoon erg traag. (ligt ook aan het design)

In een webshop is elke seconde die je langer moet wachten 10% (paraphrasing here ;) ) minder verkoop.

Maargoed, de betere tijden komen eraan! nog 2 jaar vermoed ik, en dan moet het grotere deel (NL) toch al wel op IE10 of hoger zitten! Ik kan me het gewoon bijna niet voorstellen!

Zullen we wel weer andere problemen krijgen 8)7
Mijn ervaring is dat dit vaker moet van de manager die denkt dat dit moet van de klant dan echt van de klant, als ondernemer lever ik geen enkele website op die er hetzelfde uitziet in verschillende browsers.
Snapt iedereen prima met een beetje uitleg.
Het jaar 2000 belde net, ze willen hun 'IE sux!!!'-commentaar terug. ;-)
https://xkcd.com/875/
Misschien moet je die oogkleppen eens afzetten, of eens naar school gaan... Zoals je kunt zien, is Chrome dus vele malen onveiliger dan IE.. En beiden ondersteunen even veel, de een weer dingen die de ander niet ondersteund en andersom..
Het enige wat deze statistieken zeggen is dat Chrome meer (publiekelijk) bekende kwetsbaarheden heeft dan IE. Zonder context (en dus zonder heel wat meer gegevens er bij te betrekken) kun je er verder geen zinnig oordeel over vellen.

Tegen voorbeeld; Stel dat Chrome twee maal zoveel kwetsbaarheden heeft gehad als IE, maar deze kwetsbaarheden allemaal binnen ~2 dagen tijd weggepatched zijn en wegens continue automatische updates meteen naar gebruikers gepushed. Stel dat Microsoft nog steeds stug vast houdt aan een twee wekelijkse patch ronde en bug priotering, waardoor een aantal van deze bugs weken zo niet maanden open blijven staan.

Welke browser is er dan veilig? Die met meer ontdekte kwetsbaarheden, die snel onklaar gemaakt zijn en waar niet effectieve malware kits voor geschreven kunnen worden, of die waar ÚÚn of twee lekken vrolijk een aantal maanden aan een stuk open blijven staan.
Je kunt het ook anders bekijken. Als er al zo veel exploits publiekelijk gevonden worden...hoeveel blijven er wel niet in de verkeerde handen.
let ook wel dat Google met chrome hacking competities meer afhankelijk is van Windows dan van hun eigen gebakken security.

en gezien chrome een veelgebruikte browser is, ben je net zo hard doelwit.

je kunt het bekijken zoals je wilt. Maar ie10/11 in modern mode of met enhanced security is wel het veiligste van de big three.
daar is nog niets in het wild doorheen gekomen.
Heeft er ook mee te maken dat FF en Chrome open source browsers zijn, dus duizenden mensen spitten die code door waardoor er meer problemen gevonden worden. Bij IE moet je er al toevallig achter komen, of bij MS werken, dus veel minder gevonden problemen.
@Wieriemaster
Volgens mij heeft dat niets met elkaar te maken. Er zijn twee mogelijke oorzaken imho:
  • minder white-hat-hackers die zich met IE bezighouden
  • veel meer hackers die zich met Chrome bezighouden door, zoals hieronder genoemd, beloningen voor gevonden bugs
  • IE engine al langer bestaat en dus meer getest is
Sorry hoor, maar als jij denkt dat linux zo veilig is, dan ben je wel heel HEEL erg naief..
kwetsbaarheden zitten meer in de website zelf.
De browser voeren slechts de protocollen uit.
Het gaat in dit artikel over een ander soort kwetsbaarheden.
Kwetsbaarheden in websites kunnen leiden tot toegang tot achterliggende databases en soms gebruikt worden om onveilige content aan browsers te serveren.

Maar kwetsbaarheden in browsers worden gebruikt om toegang tot de pc van de bezoeker te krijgen.
Zoals injecties en dat is idd een groot probleem. Maar alles zal toch via een protocol moeten gaan anders kom je nooit bij het content van de database.

Immers staat je browser lokaal en dient die slechts een request uit voor een bepaalde protocol op een bepaalde server.
Verassend dat er zo weinig lekken zijn in IE; de algemene gedachte (in ieder geval in mijn IT-kringen) is dat je Chrome of Firefox gebruikt om minder kwetsbaar te zijn voor de 'zo lek als een mandje' browser van Microsoft.

Misschien gewoon een gedachte uit het verleden toen het meeste aan rommel je systeem binnenwandelde via ActiveX, iets waar de andere browsers niet aan deden.

Erg verhelderend als ik het artikel goed intrepeteer. :o

[Reactie gewijzigd door Pakjebakmeel op 3 juli 2013 14:03]

In Chrome worden meer lekken gevonden. Dit komt door de programma's van Google die beloningen uitloven voor het aantonen van lekken. Ik durf hier zelfs uit te concluderen dat IE, safari, Opera en Firefox veel onontdekte lekken bevatten.
De wens is de vader van de gedachte ;)
zware beschuldiging die je op niets gebaseerd heb. dat is toch wel jammer voor iemand op tweakers. normaal word het dan tenminste nog onderbouwd, jij kun aan de hand van een lijstje concluderen dat browsers die in deze test goed uit de bus komen veel onontdekte lekken bevat.
Jou visie zou kunnen kloppen inderdaad. Helaas zit er niet een 2de grafiek bij met hoe snel de gevonden lekken gemiddeld gedicht worden per browser.

Chrome wordt aardig vaak ge-update, IE is hier wat trager mee naar mijn mening. Dus eigenlijk zouden ze dit ook moeten onderzoeken om aan te tonen welke browser nou langer kwetsbaarder is. Dat is in mijn ogen de meest onveilige browser.
Haha, ja hoor :) geloof wat je wil :)

Dit soort programma's dragen eraan bij, maar aan het groot aantal lekken te zien word zeker nog geen kwart gevonden in dit soort programma's :P
Dit en die hacking competitie prijzen zijn vaak erg laag vergeleken wat je ervoor kan krijgen op de zwarte markt.
die visie dateert echt wel nog uit het IE6 tijdperk ( wat toen trouwens ook gewoon volledig klopte )
Sinds IE7 heeft Microsoft zich echt herpakt en zwaar aan de security van de browser gesleuteld.

Momenteel is IE een van de veiligste browsers in gebruik en sinds een paar versies ook steeds meer en meer compliant aan de standaarden
IE is inderdaad stukken beter geworden qua beveiliging. De voornaamste reden dat ik IE niet gebruik heeft dan ook niets met kwaliteit van de browser te maken, maar meer met dat ik IE net niet fijn vind werken qua interface.

Dat in chrome zo veel lekken zijn gevonden kan ik me ook wel iets bij voorstellen, voornamelijk vanwege zaken als de implementatie van websockets en de integratie van je google account.
In de tijd van ie6 was alles een security hol. Beveiliging werd toen nog niet echt aan gedaan, tenminste voor consumenten. Als er wat mis was ging alles blauw en installeerde je de boel opnieuw.
ie desktop is niet bar veel veiliger , als het al is, dan de andere 3. Het is meer een kwestie van pech voor driveby's.
maar goed, draai ie in modern of onder 64 enhanced protection. Lekker pluginlos browsen, maar persoonlijk erg fijn voor bankieren enzo.
persoonlijk gebruik ik internet explorer niet omdat het niet zo goed omgaat met webstandaarden, wat misschien inmiddels ook al weer een achterhaald idee is.
ik begrijp natuurlijk wel dat in de programma's waar de meeste wijzigingen in worden aangebracht ook automatisch veel fouten en/of beveiligingslekken zullen bevatten, dit komt voor mij dan ook niet als een schok. wat dan wel weer raar is is dat ze in de tussentijd steeds maar nieuwe features toevoegen, terwijl oudere, eerder geimplementeerde features nog niet eens helemaal veilig zijn.
De huidige IE gaat minstens net zo goed om met webstandaarden als chrome, hell, die beginnen zelfs zich meer trekjes te vertonen van IE6 door hun eigen dingen te willen doorzetten dan anders.. En vergeet niet dat HTML5 nog steeds in ontwikkeling is, en er dus nog geen vaste standaard er voor is, hence het nodige gebruik van vendor-prefixes.. tja, en hoe kun je nou zeggen dat iets de standaard niet volgt als de standaard zelf nog geen definitieve standaard is...
Er is geen enkel browser die goed omgaat met de standaarden. Alleen al -webkit- -ms- -o- -moz- voor css lijkt me al een signaal dat al die browsers hun eigen interpretaties geven.

In feite moet er maar 1 engine zijn die alles op een gelijke manier rendeert en afhandelt. Geld idem voor de talen. Tot die tijd blijft het een puinhoop en rotzooi in de wereld van websites. De grote bedrijven moeten gewoon gaan samenwerken ipv concurreren om dingen eens een keer op fatsoenlijk niveau te krijgen.
De verschillende voorvoegsels komen voornamelijk door CSS-rules die de browserbouwers zelf hebben toegevoegd maar dit geen onderdeel zijn van de CSS-standaard.
Dat heeft dus niks met de standaard zelf te maken of het volgen hiervan, het is een eigen uitbreiding op.

Dat bepaalde toevoegingen dusdanig handig blijken te zijn in de praktijk dat men die overneemt van elkaar is iets anders dan 'men volgt de standaard niet'.

--edit: typo

[Reactie gewijzigd door Raventhorn op 6 juli 2013 00:01]

Lies, damned lies and statistics. Tabel zegt namelijk helemaal niets over aantal gebruikers of hoe lang een lek open blijft.
Daarnaast stimuleert chrome zijn gebruikers om lekken te rapporteren tegen een som geld en heeft Firefox een heel actieve gebruikersgroep die ook beloond worden.

Microsoft zal dat vanaf dit jaar ook gaan doen, dus de statistieken voor dit jaar weer totaal anders zijn.
De cijfers komen uit een rapportage van het NCSC en dat staat nou niet echt bekend als vooruitstrevend als het gaat om preventief/proaktief op zoek te gaan naar problemen of lekken in software.

Daarnaast is het NCSC regelmatig druk bezig met overheidsgerelateerde "lekken". Zonder een handvol ambtenaren tekort te doen, staat de overheid zelf niet echt vooraan als het gaat om het detecteren, melden en (laten) patchen van allerlei zaken.

Het rapport is dus, zoals je zegt, mogelijk een stuk theoretische statistieken maar is zeer waarschijnlijk niet gestaafd op de 0day-vulnerabilities die proaktief door verschillende browser-developers worden getest, beloond & gedicht.
Betreffende het zoeken naar kwetsbaarheden:

Vergeet niet dat er een hele hoop grote bedrijven, overheden en defensie-organisaties zijn die Internet Explorer gebruiken. En reken maar dat die actief op zoek gaan naar kwetsbaarheden in de software die zij gebruiken.
De getoonde grafiek geeft op zijn minst een vertekend beeld van het volledige rapport. Er worden meerdere punten aangelicht; waaronder het hierboven genoemde aantal kwetsbaarheden, maar daarnaast ook het aantal daadwerkelijke exploits.
Zoals eerder is beschreven, neemt het aantal kwetsbaarheden in browsers steeds verder toe. Op basis hiervan zou men kunnen verwachten dat ook het aantal beschikbare exploits voor browsers stijgt. Dit blijkt echter niet het geval. Figuur 12 toont het totaal aantal exploits dat beschikbaar is voor de browsers zoals eerder ook al beschreven bij de kwetsbaarheden.

Uit deze figuur blijkt dat het aantal browserexploits een toppunt bereikte in 2010 (84 exploits) en daarna zeer snel afnam tot slechts 16 in 2012.
In deze grafiek (zie bron) liggen de verhoudingen heel anders; meer dan 50% van de exploits is voor IE, de rest voor Firefox en Safari. Chrome komt er niet eens in voor.

Kortom; het is een heel boeiend onderzoek maar dit nieuwsbericht is mijns inziens te kort door de bocht om het onderzoek correct samen te vatten.
Voor mensen die aan het zoeken zijn, het staat op pagina 88 van de pdf.
Totaal 16 exploitkits: 1. IE, 2. Firefox, 3.Safari (versies staan niet vermeld!)

Pagina 89 exploit gericht op product:
Exploit gericht op: 32% Java, 18% IE, 17% Flash, 15% Acrobat Reader, 6% Windows, 3% Firefox
Ben ik toch niet helemaal met je eens, Zoefff.

Makers van exploits kijken niet alleen naar de huidige kwetsbaarheden, maar houden ook rekening met marktaandeel, updatebeleid en gebruik van oude versies door gebruikers. Met andere woorden: Wat is de kans dat de exploit doel treft (nu en in de toekomst).

Daarom zijn er zoveel exploits voor java (redelijk marktaandeel, slecht updatebeleid, veel gebruik van oude versies) en IE (groot marktaandeel, oude versies) en minder voor safari (laag marktaandeel) en chrome (actief updatebeleid).

Dit bovenstaande is "oud nieuws" en weet iedereen ondertussen wel.
(Voor mij de reden om java te de´nstalleren en IE gebruik te beperken)

De nieuwswaarde van dit artikel is dat tegen de verwachtingen in (mijn verwachtingen in ieder geval) dat het aantal kwetsbaarheden in browsers niet afneemt. Dit geeft een goede indicatie voor het aantal toekomstige exploits op verschillende browsers.

Voor mij is dit het echte nieuws, en daarom vind ik deze grafiek geen vertekend beeld geven van het artikel.

[Reactie gewijzigd door spuit111 op 3 juli 2013 15:46]

IE heeft de slechtste naam maar komt in dit overzicht helemaal niet zo slecht uit de bus.
Hoe moeilijk is het om een artikel te interpreteren? De hoeveelheid lekken die gemeld worden is natuurlijk niet 1:1 met de hoeveelheid lekken die daadwerkelijk in de software zitten. Bij Chrome is er ook nog een dikke kans dat potentieel kwaadwillenden in plaats van het lek te verkopen het toch bij Google melden vanwege de beloning die eraan vast zit.
Bovendien heeft IE veel beschermings lagen die het moelijker maken om gevonde lekken te exploiteren.
Ook chrome heeft bijvoorbeeld sandboxing om gevonden lekken moeilijker exploiteerbaar te maken.

Niet elk lek in een browser vormt dus ook meteen een groto risico.

[Reactie gewijzigd door hAl op 3 juli 2013 14:13]

IE laat zelfsin 2012 het minste aantal nieuwe kwetsbaarheden zien van alle browsers!

Google bevat de meeste, maar brengt ook geregeld nieuwe versies uit, dus het kan zomaar zijn dat de kwetsbaarheden er toch korter inzitten, dan bij een andere browser (IE) die er wat langer over doet om deze te herstellen.

Echter, Google introduceert dus ook in een rap tempo nieuwe gaten, en dus nieuwe kansen voor hackers om inspiratie op te doen :)

Een grafiek met het gemiddeld aantal uitstaande gaten per dag zou verhelderend zijn om te kunnen bepalen hoe erg of hoe goed het nu daadwerkelijk is met deze browsers en onze 'veiligheid'...
IE laat zelfsin 2012 het minste aantal nieuwe kwetsbaarheden zien van alle browsers!
Het minst aantal gerapporteerde kwetsbaarheden, inderdaad.
Dat betekent echter niet dat er ook minder kwetsbaarheden in zitten, alleen dat er minder bekend zijn.
Google bevat de meeste...
Google heeft het grootste aantal gerapporteerde kwetsbaarheden. Wat waarschijnlijk ook komt door, zoals hierboven al meerdere malen aangegeven, de programma's die Google opstelt en de beloningen die aan het melden van gaten hangen.

Het is dus best mogelijk dat IE meer gaten heeft dan Chrome.
Echter, Google introduceert dus ook in een rap tempo nieuwe gaten, en dus nieuwe kansen voor hackers om inspiratie op te doen :)
En vervolgens zitten deze gaten er maar een zeer korte tijd in waardoor de zojuist opgedane inspiratie weer teniet gedaan wordt.
Kunnen ze wÚÚr opnieuw beginnen... :+
Een grafiek met het gemiddeld aantal uitstaande gaten per dag zou verhelderend zijn om te kunnen bepalen hoe erg of hoe goed het nu daadwerkelijk is met deze browsers en onze 'veiligheid'...
Dat geeft een net zo vertekent beeld als wat deze grafiek geeft.

Het aantal uitstaande gaten per dag is afhankelijk van het aantal gemelde gaten; immers, gaten die niet bekend zijn kunnen niet worden meegenomen in de grafieken.
Daardoor kan een browser die gigantisch lek is (zeg, IE6) goed uit de bus komen, terwijl een browser waar het melden van kwetsbaarheden beloond wordt (zeg, Chrome of Firefox) juist veel gaten heeft en er dus 'slecht' uit komt. Immers, het dichten van lekken kost ook tijd..

Een dergelijke grafiek moet allerminst laten zien hoeveel gebruikers er zijn, hoeveel gaten er bekend waren op een bepaalde datum, hoeveel er daarvan al bekend waren en hoeveel er nieuw zijn. Dan pas kom je aardig in de buurt van een 'eerlijk vergelijk'.
En vertel nu eens heel eerlijk wat je zou vertellen als IE het meeste aantal gerapporteerde kwetsbaarheden had gehad?
Had je dan ook dit verhaal gehouden, of was je er dan wel vanuit gegaan dat IE meer kwetsbaarheden had?
midden in de roos. nu IE in dit nieuws goed uit de bus komt gaan we met zn allen beginnen dat het hier gevonden exploids bevat, en dat IE er wel meer zal hebben, maar dat die nog niet gevonden zijn. als het chrome was geweest zou dit nooit een issue zijn geweest en zou tweakend nederland het als feit zien dat chrome het veiligste is.
Er zijn denk ik niet voor niks zoveel over gestapt op een andere browser.
Maar wat als je nu eens de virusscanner uitzet, hoeveel bugs en kwetsbaarheden zijn er dan?
Die grafiek laat dus precies niets zien. Opera heeft veel minder gebruikers dan de rest en men gaat dus niet zo vaak op zoek naar kwetsbaarheden.

Internet Explorer is nog vrij veel gebruikt maar is steeds verder uitontwikkeld

Firefox blijft zo'n beetje stabiel qua kwetbaarheden

En voor Chrome worden steeds meer kwetsbaarheden gevonden omdat Google mensen actief aanspoort om ze te vinden.
de grafiek laat wel degelijk iets zien: "Historie van nieuwe kwetsbaarheden in browsers tussen 2005 en 2012"
-----------
Ik gebruik Google Chrome niet eens uit veiligheid, maar eigenlijk de gebruiksgemak.

Als internet Explorer ook tabs, geschiedenis, gebruikersnamen en wachtwoorden, andere invoervelden en bezochte links zou synchroniseren tussen Windows 8 en Windows Phone 8, dan zou ik ¤nternet Explorer ook op me Windows 8 device gebruiken. Nu gebruik ik Chrome op windows 8 en internet explorer op WP. Best kut, want de Chrome werkt op touch "metro" veel minder lekkerder dan IE10. Ook zijn bepaalde extensies er niet in IE10

[Reactie gewijzigd door Mocro_Pimp« op 3 juli 2013 14:13]

Maar ook dat zegt eigenlijk niet zo veel behalve de exacte zin die je quote. En wat hebben we daar aan?

Het kan zijn dat er minder lekken zijn maar actiever gezocht wordt waardoor er dus alsnog meer gevonden worden. De data kan op allerlei manieren geinterperteerd worden, en dat is jammer, dat had imho verder uitgezocht kunnen worden...

Eigenlijk mis ik de rede er achter dus, hetgeen echt betekenis heeft...
Volgens mij synchroniseert w8 al aardig wat met wp8.
In ieder geval mijn wifi netwerken en wachtwoorden en volgens mij ook wachtwoorden van websites.

Je moet je pc wel met een trust verbonden hebben aan je microsoft account.
Je bezochte websites word ook gesynced, favorieten ook. Je Quick type in de adresbar word zelfs gesynced.
gebruikers namen en wachtwoorden niet, maar persoonlijk hoeft dat ook niet.
In mijn ogen is ie nooit slechter geweest in the opzicht van beveiliging en de snelheid vind ik ook niet echt verschillen tussen bijv. chrome.

Ik moet ze helaas wel allebei gebruiken omdat bijv mijn school (fontys) een nieuwe website heeft gelanceerd die niet werkt met firefox en chrome (scrollen werkt niet)

Belangrijkste en voor mij enige pluspunt is het syncen tussen verschillende locaties en dat ik nooit meer mijn favoriten hoef te backupen.
Dan doet Microsoft het nog niet eens zo slecht op browsergebied. Meestal hoor je dat IE zo lek als een mandje is en dat Firefox en/of Chrome veel beter zijn.
Tja, mijn eerste ervaring toen ik besloot om IE links te laten liggen en alleen nog maar te werken met Firefox was een Exploit. Na jaren wint intensief IE gebruik had ik met FF binnen een week een exploit binnen bij het zelfde gebruik. Sinds dien geen FF meer (2003 was dat). 2 jaar geleden over naar Chrome, want die was sneller, en wat schetst mijn verbazing, ook binnen een week een exploit te pakken. Dus tja, het gevoel is dus gewoon, stick with IE.
Tja, een heel artikel zonder enige informatie waar je iets mee kan. Er staat vanalles in, maar het zegt allemaal niks want de context ontbreekt. Als Chrome al z'n lekken dicht binnen een dag is het een opsteker voor Chrome, of is Chrome juist slecht geschreven vanwege die hoeveelheid lekken. Of zoekt bijna iedereen alleen in Chrome naar lekken? Is Safari beter geworden of belonen ze minder de laatste jaren? Het blijft gissen, meer iets voor nu.nl zo'n artikel.
Lekken zijn gevaarlijk, maar toch vind ik het goed dat er zoveel gevonden worden en dat dit doorgegeven wordt. Zo worden de browsers alleen maar veiliger. lekken zijn er toch wel, dus ik vind de instelling van Google ook erg goed wat betreft een beloning als een lek wordt gemeld. De klant moet mee werken/denken aan het product om het echt te laten slagen.
Lekker zijn per definitie gevaarlijk omdat de kans bestaat dat deze bekend worden bij kwaadwillenden. Dit moet zoveel mogelijk worden voorkomen.
Daarnaast worden overheden en bedrijven aangevallen door andere overheden, bijvoorbeeld China, Rusland, Iran en SyriŰ.

dit zijn de slachtoffers veronderstel ik? }>

Met stereotypen aan komen draven terwijl de dreiging duidelijk van ALLE kanten komt..

ter herinnering, nu actueel:

http://www.express.be/bus...ropese-leiders/192510.htm

http://rt.com/news/france-us-delay-trade-603/
wat een verrassend resultaat... (of is legenda fout???)
Google Chrome heeft meer kwetsbaarheden dan Internet Explorer. ik kon mijn ogen niet geloven...
ik gebruik Firefox + ad blocks + noscript.
Er staat niks over de hoeveelheid kwetsbaarheden in Chrome of IE, enkel over de hoeveelheid gevonden en bekend gemaakte kwetsbaarheden, dus je verhaal gaat niet op.
Google Chrome heeft meer kwetsbaarheden dan Internet Explorer. ik kon mijn ogen niet geloven...
Google Chrome heeft meer gerapporteerde kwetsbaarheden.
Dat zegt niks over het aantal daadwerkelijke kwetsbaarheden in zowel Chrome als IE. Alleen dat er meer van Chrome bekend zijn bij Google dan van IE bij MS.
ik snap niet precies wat je nu probeer te zeggen (met jou trouwens meer anderen, dus niet persoonlijk naar jou :P).

Als consument vind je het belangrijk om te weten welke browser het veiligste lijkt qua exploids en lekken. als jij verkoper ben bij een lokale pc zaak en een ouder iemand vraagt aan jou welke er veiliger is, en jij kom leuk aan met het feit dat chrome het veiligste is, en de persoon laat jou dan dit lijstje zien, wat ga jij dan tegen hem zeggen?
bewezen fouten zijn voor gebruikers belangrijk, suggestie dat er misschien wel onopgemerkte lekken in IE zitten gaan hier gewoon niet werken.

Daarnaast vind ik het ook kinderachtig, als de wedstrijd IE <-> chrome oplaait word hier altijd gezegd dat chrome veiliger is, maar zolang het tegendeel niet bewezen word, en deze sheet dus het dichtst bij de waarheid zit is IE gewoon veiliger als het aankomt op lekken en exploids. door dan maar te gaan ziften over de mogelijk snellere tijd waarmee chrome update t.o.v. IE is gewoon onzin, want zolang daar geen cijfers over bekent zijn is dat ook gewoon een aanname die nergens op gebaseerd is.
Wat ik hiermee probeer te zeggen is dat er op basis van deze gegevens naar mijn mening geen conclusie getrokken kan worden over de veiligheid van een browser t.o.v. exploits, maar alleen over de activiteit van de gebruikersgroep.

IE heeft minder bekende exploits dan bijvoorbeeld Chrome (maar ook dan Firefox, dus diezelfde vlieger gaat daar voor op), maar dit betekent niet dat de browser veiliger is. Het betekent alleen dat de gebruikersgroep van Chrome (of Firefox) meer nieuwe exploits meldt.

Daarnaast wordt er in het artikel Ún in de sheet nergens gerept over het aantal exploits dat al bekend is, evenals in welke versies de exploits worden aangetroffen en welk OS er is gebruikt. Als er wordt gewerkt met XP dan is bijv. IE8 de meest recente versie, terwijl dit met W7 en 8 IE10 is.
Deze informatie acht ik toch zeker van belang, gezien het aantal reeds bekende exploits laat zien hoeveel de veiligheid een ontwikkelaar waard is (en daarmee deels de daadwerkelijke veiligheid van de browser) en er in oude versies van browsers meer exploits te vinden zullen zijn.
Nu kan het bijvoorbeeld best zijn dat 90% van de exploits die voor IE gemeld worden al lang bekend zijn en dat ze daarom niet worden opgenomen. Ze zijn immers niet 'nieuw'.

Maar natuurlijk is het ook mogelijk dat er gewoon minder exploits in IE worden gevonden en dat IE daarmee dus echt 'veiliger' is dan de andere browsers. Dat is uit deze sheet echter naar mijn mening niet objectief op te maken doordat er te veel belangrijke randinformatie ontbreekt.
Het is overigens evengoed niet op te maken of Chrome (of Firefox, of Opera, of Safari) veiliger is.

[Reactie gewijzigd door Raventhorn op 5 juli 2013 23:52]

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6DestinyAssassin's Creed UnityFIFA 15Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox OneApple iOS 8

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013