Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 20 reacties
Bron: Wired, submitter: Meneer Dik

Eind juni werd bekend dat er een lek in Internet Explorer zat, waardoor via een kwaadaardig ActiveX-object keyloggingsoftware geÔnstalleerd werd. Dit lek werd al vrij snel gedeeltelijk gepatcht en enkele weken na de ontdekking werd er een volledige fix vrijgegeven door Microsoft. Onder meer dit lek in Internet Explorer was aanleiding voor het magazine Wired om Stephen Toulouse, security program manager bij Microsoft, enkele vragen te stellen over hoe Microsoft bezig is met security. De eerste vraag gaat over Download.Ject en hoe Microsoft daarmee is omgegaan. Toulouse legt hierover uit dat de eerste stap in het oplossingsproces het offline laten halen van de server die verantwoordelijk was voor de verspreiding van de worm. De tweede stap was het vrijgeven van een relatief eenvoudige fix van Internet Explorer, waardoor de downloads die Download.Ject gestart had, geblokkeerd werden. Enkele weken later werd vervolgens een volledige update vrijgegeven.

Microsoft blauw logoDe volgende vraag van Wired gaat over alternatieve browsers, zoals Mozilla Firefox en Opera. Volgens Toulouse hebben ook deze browsers last van securityproblemen en is dit niet alleen een item voor Microsoft maar voor iedereen die bezig is met softwareontwikkeling. Ook benadrukt hij dat er door Windows XP Service Pack 2, dat ten tijde van het interview nog niet gelanceerd was, veel verbeterd is op dit gebied. De derde vraag gaat in op beslissingen die door Microsoft zijn genomen om features uit Internet Explorer te verwijderen, om zo de browser veiliger te maken. Volgens Toulouse is het altijd moeilijk om een keus te maken tussen enerzijds functionaliteit en anderzijds veiligheid. Wanneer echter blijkt dat de functionaliteit te erg misbruikt wordt ten koste van de veiligheid is het toch nodig dat er keuzes gemaakt worden, ook als die keuzes door gebruikers als negatief ervaren zullen worden.

In het vierde en laatste onderdeel van het interview werpt Wired de stelling op dat Microsoft bezig is met een gevecht dat niet gewonnen kan worden. Toulouse is het hier niet mee eens. Volgens hem zal software die geschreven is door mensen altijd fouten bevatten en is het dus per definitie onmogelijk om foutloze software te schrijven. Wat echter wel kan, is de software op een zodanige wijze schrijven dat het moeilijker wordt om misbruik te maken van eventuele lekken. DŠt is waar Microsoft sinds twee en een half jaar mee bezig is en waar het bedrijf de aankomende jaren ook mee zal doorgaan. Volgens het interview heeft Toulouse gezegd dat dit nog tien jaar zal duren, hij weerspreekt dit echter op zijn weblog. Uit zijn weblogpost blijkt dat het korte interview samengesteld is uit een gesprek van drie kwartier en dat zijn opmerking over de securityplanning van Microsoft anders gezien moet worden: "security is a journey not a destination", en het zal dus een aandachtspunt blijven.

Moderatie-faq Wijzig weergave

Reacties (20)

Security is really an industry-wide problem. Just this morning I had to install an update to Firefox to block a flaw that would've allowed an attacker to run a program on my system.
Gelukkig weten ze in ieder geval zelf dat ze beter Firefox dan IE kunnen gebruiken :)
Gelukkig weten ze in ieder geval zelf dat ze beter Firefox dan IE kunnen gebruiken :)
Je suggereert hiermee dat deheer Toulouse gebruikmaakt van Firefox, en dat doet hij dus niet. In zijn weblog schrijft hij namelijk ook dat hij gebruikmaakt van Internet Explorer onder Windows XP Service Pack 2. Dit wordt echter gecombineerd met een extra shell, genaamd Maxthon.

Hij zegt dat hij een update voor Firefox heeft moeten installeren, maar dat was voor een van zijn testsystemen of -browsers en niet voor zijn primaire browser.
Firefox installeren en bijhouden om vervolgens nog steeds IE als hoofdbrowser te gebruiken?
Grappenmaker.
Wel als je firefox als test browser hebt.
MS zal heus wel hier en daar linux systemen hebben staan om daar naar de functionaliteiten te kijken, want ook MS snapt: beter goed gejat dan slecht bedacht....
dit alles is de man zijn vak. ik denk dat deze man alle browsers als test-browser moet geschouwen. doet die dit niet dan is de man geheel niet kritisch en kan hij zelfs zijn eigen produkten niet meer verbeteren.

dit is altijd de houding van Microsoft: ze lachen om Linux en Apple. ik heb diverse experts meegemaakt in Nederland en ze staan niet gewoon open voor ook goed werkende alternatieven. zouden ze dit wel doen dan zouden de MS produkten er denk ik op vooruit gaan. een beetje het klassieke zwarte-Ford-auto-verhaal.... je kunt je afsluiten voor de waarheid of er juist iets goeds mee doen!
"security is a journey not a destination"

Mja kijk, het feit dat microsoft altijd met patchen voor zijn explorer uitkomt wil wel zeggen dat er zaken wel heel mis zijn. Het probleem zit'm volgens mij in de "gelinkte"software waar Microsoft mee werkt (explorer<->outlook<->msn) zo krijg je een makkelijker doelwit om dus brol als deze zaken te bekomen.

Wat betreft de uitspraak zou ik zeggen dat er wel waarheid in zit kwestie dat beveiliging nooit zijn eindfase zal kennen. Maar het moet wel een doel zijn om deze op een preventieve wijze te implementeren en niet achteraf met honderdduizend patchkes te gaan afkomen waar de doorsnee gebruiker zelfs geen weet van heeft ...
Laat staan dat ie weet hoe ie een "fix" download om problemen te verhelpen ...
Waar HEB je het over?

Elke software bevat veel fouten. Ik denk dat microsoft software niet direct meer fouten bevat dan ieder ander softwareproduct van een andere producent; gemiddelt programmeert een microsoft programmeur even goed als een programmeur van [insert software bedrijf] .

Als er echter heel veel wordt gezocht op lekker in een bepaald softwarepaket, is het heel makkelijk om te zeggen dat het slechte software is. Dat hoeft helemaal niet zo te zijn, het wordt alleen onder een veel zwaardere test onderworpen.

Daarom zou ik je aanraden om even na te denken voordat je wat zegt.
natuurlijk bevat software bij voorbaat fouten maar de opzet van de software kan ook een reden zijn tot het veroorzaken van fouten. ik denk dat microsoft van te voren niet inzag wat het linken van msn, outlook, IE & de kernel voor gevolgen zou kunnen hebben. nu we zoveel jaar verder zijn en de nodige virussen/worms zijn uitgebroken die daar graag misbruik van maken is dat wel anders. om dan nu nog IE bijv. los te maken van het systeem om het zich te laten gedragen zoals phoenix/firebird zal dan ook uitermate lastig zijn.
ook is de manier waarop MS code een reden waarom er zoveel fouten ontstaan in de software zelf. ik weet niet of je de src van de toendertijd gereleaste windows hebt bekeken maar jeetje... dat was erg hoor en als je dan bedenkt dat dat slechts 1 gig was vd 20/25gig src waarschijnlijk zal het nog veel erger zijn.
maar zoals ie ook stelt is er een balans tussen gebruikers gemak en veiligheid. en ik het is dan nu ook wel duidelijk dat MS langzamerhand het balans van gemak naar veiligheid zit te verschuiven. en hopelijk zal dit samen gaan met veel nettere code en betere gedachte sprongen in de code.
misschien dat we over een jaartje of 4 a 5 hier meer over kunnen zeggen :)
gemiddelt programmeert een microsoft programmeur even goed als een programmeur van [insert software bedrijf] .
da's bullshit. de kwaliteit van de code heeft veel te maken met de tijd die er in gestoken kan worden. als je een manager in je nek hebt hijgen slippen er heel wat meer bugs in dan als je alle rust krijgt om iets te maken. Het is wel degelijk een zaak van prioriteit. En dat is het in het verleden niet geweest bij MS, en het zal dus nog wel even duren voordat alle oude code verdwenen is uit de toekomstige windows versies, dus het zal ook nog wel even duren voordat de kwaliteit over de gehele breedte omhoog is.
waarom is XP Service Pack 2 nog niet in MS software update ???
ik dacht dat hij er zou komen op 28-08-2004.

weer een Delay ??
De engelstalige service pack 2 is er al hoor. Alleen de gelocaliseerde moet wachten tot ergens in september.
Toch even beter onderzoek doen ..
http://www.stepto.com/default/default.aspx

en dus:
Lest anyone be confused, my primary browser is SP2 Internet Explorer using Maxthon

en nou weer allemaal terug in je mand.
In ieder geval een verstandige keuze (in mijn ogen dan). Ik gebruik zelf ook Maxton (het vroegere MyIE2) omdat hier nu eenmaal een aantal aardige extra's inzitten t.o.v. een kale IE.Vooral tabbed browsing is erg handig en het verbaast me eigenlijk dat dit nog steeds niet standaard in IE zit.
Ongeveer alle software is onveilig zolang de gemiddelde Windows-gebruiker het opstart als Administrator.
Het is niet alleen de software die veiligheidsgaten oplevert, maar ook de continue verandering in hardware.

Nieuwe hardware vraagt om nieuwe software, nieuwe software levert automatisch nieuwe problemen/security issues op. Daarom ben ik het wel eens dat security een journey is en niet een bestemming.

Of je nu administrator/root/groene fiets bent op de computer. Er zullen altijd mogelijkheden zijn die buiten je macht/gebruikersrechten liggen.
Aandacht voor security wordt de komende jaren groter. Problemen door security worden de komende jaren ook groter. Dat is wat ik verwacht van de toekomst qua security.

De reden waarom ik dit denk, is als je goed kijkt, ook naar het verleden dan zie je dat de software die opgeleverd wordt de fase van simpel product met ťťn taak allang voorbij is. De software van tegenwoordig, is zo complex, zo groot en zo uitgebreid dat de kans op security fouten groter is dan in het verleden, en deze fouten gaan echt wel toenemen in de toekomst.

Dat WinFS is uitgesteld heeft daar ook mee te doen, ik heb die database schemes gezien, en je slaat stijl achterover als je de complexiteit ziet. En dan heb ik alleen nog maar de database schemes gezien. Verbeeld je dan de complexiteit van de achterliggende programmacode in. De kans op fouten is dan gewoon groter.
Het is zo jammer dat al die Microsoft representatives alleen maar over Microsoft praten. Tuurlijk, begrijpelijk, en waarschijnlijk zelfs company policy. Maar als je iemand van Apple een vraag over Microsoft stelt, dan wil deze ook nog wel eens iets positiefs zeggen. En toen men Marcello Tossatti, de Linux 2.4 kernel maintainer, vroeg wat hij gebruikte om spelletjes te spelen, was hij eerlijk: "Windows". Waarom kan een Microsoft representative nou niet ook eens eerlijk een vergelijking geven tussen bijvoorbeeld Firefox en Internet Explorer in plaats van een dooddoener als "ach, onveilig zijn we allemaal"? Dat klinkt gewoon zooooooo arrogant.
Waarom kan een Microsoft representative nou niet ook eens eerlijk een vergelijking geven tussen bijvoorbeeld Firefox en Internet Explorer in plaats van een dooddoener als "ach, onveilig zijn we allemaal"? Dat klinkt gewoon zooooooo arrogant.
Het is een interview over security met de security meneer van Microsoft. Vreemd dat ie dan over de security aspecten van de andere browsers praat.

Om in te haken op wat de man zegt: hij heeft helemaal gelijk. IE is de meest gebruikte browser dus als ik een exploit moet schrijven ga ik dat niet doen voor een of andere obscure browser. Mocht het ooit zover komen dat Opera of wie dan ook 50/50 met IE de markt mag verdelen ben ik benieuwd hoeveel issues er boven water komen. Het is voor hackers nu de rotmoeite niet om die browsers uit te pluizen.
Het is voor hackers nu de rotmoeite niet om die browsers uit te pluizen.

Natuurlijk wel. Hackers vinden dat namelijk leuk.
oh jawel dat gebeurd wel. Je moet maar eens bugzilla gaan volgen, er komen wel degelijk security bugs naar voren in Firefix alleen het verschil is dat die snel gefixed worden in een nieuwe versie, en ook vaak er snel een patch beschikbaar is (moet je die wel zelf zoeken maar het is dan ook nog een beta).

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True