Wired interviewt security program manager Microsoft

Eind juni werd bekend dat er een lek in Internet Explorer zat, waardoor via een kwaadaardig ActiveX-object keyloggingsoftware geïnstalleerd werd. Dit lek werd al vrij snel gedeeltelijk gepatcht en enkele weken na de ontdekking werd er een volledige fix vrijgegeven door Microsoft. Onder meer dit lek in Internet Explorer was aanleiding voor het magazine Wired om Stephen Toulouse, security program manager bij Microsoft, enkele vragen te stellen over hoe Microsoft bezig is met security. De eerste vraag gaat over Download.Ject en hoe Microsoft daarmee is omgegaan. Toulouse legt hierover uit dat de eerste stap in het oplossingsproces het offline laten halen van de server die verantwoordelijk was voor de verspreiding van de worm. De tweede stap was het vrijgeven van een relatief eenvoudige fix van Internet Explorer, waardoor de downloads die Download.Ject gestart had, geblokkeerd werden. Enkele weken later werd vervolgens een volledige update vrijgegeven.

Microsoft blauw logoDe volgende vraag van Wired gaat over alternatieve browsers, zoals Mozilla Firefox en Opera. Volgens Toulouse hebben ook deze browsers last van securityproblemen en is dit niet alleen een item voor Microsoft maar voor iedereen die bezig is met softwareontwikkeling. Ook benadrukt hij dat er door Windows XP Service Pack 2, dat ten tijde van het interview nog niet gelanceerd was, veel verbeterd is op dit gebied. De derde vraag gaat in op beslissingen die door Microsoft zijn genomen om features uit Internet Explorer te verwijderen, om zo de browser veiliger te maken. Volgens Toulouse is het altijd moeilijk om een keus te maken tussen enerzijds functionaliteit en anderzijds veiligheid. Wanneer echter blijkt dat de functionaliteit te erg misbruikt wordt ten koste van de veiligheid is het toch nodig dat er keuzes gemaakt worden, ook als die keuzes door gebruikers als negatief ervaren zullen worden.

In het vierde en laatste onderdeel van het interview werpt Wired de stelling op dat Microsoft bezig is met een gevecht dat niet gewonnen kan worden. Toulouse is het hier niet mee eens. Volgens hem zal software die geschreven is door mensen altijd fouten bevatten en is het dus per definitie onmogelijk om foutloze software te schrijven. Wat echter wel kan, is de software op een zodanige wijze schrijven dat het moeilijker wordt om misbruik te maken van eventuele lekken. Dát is waar Microsoft sinds twee en een half jaar mee bezig is en waar het bedrijf de aankomende jaren ook mee zal doorgaan. Volgens het interview heeft Toulouse gezegd dat dit nog tien jaar zal duren, hij weerspreekt dit echter op zijn weblog. Uit zijn weblogpost blijkt dat het korte interview samengesteld is uit een gesprek van drie kwartier en dat zijn opmerking over de securityplanning van Microsoft anders gezien moet worden: "security is a journey not a destination", en het zal dus een aandachtspunt blijven.

Door Harm Hilvers

Freelance nieuwsposter

Feedback • 31-08-2004 22:31 20

31-08-2004 • 22:31

20

Bron: Wired

Lees meer

Microsoft ontvouwt plannen voor hostingproviders
Microsoft ontvouwt plannen voor hostingproviders Nieuws van 24 juli 2007
Mozilla 'herintroduceert' zeven jaar oude bug
Mozilla 'herintroduceert' zeven jaar oude bug Nieuws van 7 juni 2005
Migratietool Windows ACT 4.0 krijgt uitbreidingen
Migratietool Windows ACT 4.0 krijgt uitbreidingen Nieuws van 21 maart 2005
Microsoft 'Mako' kan verdacht of gevaarlijk gedrag blokkeren
Microsoft 'Mako' kan verdacht of gevaarlijk gedrag blokkeren Nieuws van 12 februari 2005
Opnieuw kwetsbaarheden gevonden in IE en Mozilla
Opnieuw kwetsbaarheden gevonden in IE en Mozilla Nieuws van 8 januari 2005
Microsoft komt mogelijk met 'A1' veiligheidsabonnement
Microsoft komt mogelijk met 'A1' veiligheidsabonnement Nieuws van 5 januari 2005
Software onderzoekt broncode Linux
Software onderzoekt broncode Linux Nieuws van 16 december 2004
Dell en Microsoft lanceren gezamenlijke servertoolkit
Dell en Microsoft lanceren gezamenlijke servertoolkit Nieuws van 15 november 2004
Firefox blijft groeien ten koste van IE
Firefox blijft groeien ten koste van IE Nieuws van 2 november 2004
SANS komt opnieuw met top-20 van veiligheidslekken
SANS komt opnieuw met top-20 van veiligheidslekken Nieuws van 9 oktober 2004
Gartner over gehypete securitytechnologieën
Gartner over gehypete securitytechnologieën Nieuws van 21 september 2004
Opera komt met webbrowser voor televisies
Opera komt met webbrowser voor televisies Nieuws van 12 september 2004
Microsoft en beveiliging, de planning na Windows XP SP2
Microsoft en beveiliging, de planning na Windows XP SP2 Nieuws van 23 augustus 2004
Jacht op lekken en bugs in Windows XP SP2 geopend
Jacht op lekken en bugs in Windows XP SP2 geopend Nieuws van 15 augustus 2004
Ballmer schrijft over Longhorn, Office 12 en bezuinigingen
Ballmer schrijft over Longhorn, Office 12 en bezuinigingen Nieuws van 7 juli 2004
Microsoft past mogelijkheden ActiveX-object aan
Microsoft past mogelijkheden ActiveX-object aan Nieuws van 3 juli 2004
Lekken in Internet Explorer 'extreem kritiek' bestempeld
Lekken in Internet Explorer 'extreem kritiek' bestempeld Nieuws van 10 juni 2004
Microsoft kondigt nieuwe beveiligingssoftware aan
Microsoft kondigt nieuwe beveiligingssoftware aan Nieuws van 26 mei 2004
Sasser-worm gaat Blaster wellicht achterna
Sasser-worm gaat Blaster wellicht achterna Nieuws van 2 mei 2004
'Security het meest gebruikte woord op ICT-websites in april'
'Security het meest gebruikte woord op ICT-websites in april' Nieuws van 27 april 2004
Meer producten en artikelen
Software

Reacties (20)

-Moderatie-faq
20
20
15
3
1
1
Wijzig sortering
MikeN 31 augustus 2004 22:40
Security is really an industry-wide problem. Just this morning I had to install an update to Firefox to block a flaw that would've allowed an attacker to run a program on my system.
Gelukkig weten ze in ieder geval zelf dat ze beter Firefox dan IE kunnen gebruiken :)
AuteurHarm @MikeN31 augustus 2004 23:12
Gelukkig weten ze in ieder geval zelf dat ze beter Firefox dan IE kunnen gebruiken :)
Je suggereert hiermee dat deheer Toulouse gebruikmaakt van Firefox, en dat doet hij dus niet. In zijn weblog schrijft hij namelijk ook dat hij gebruikmaakt van Internet Explorer onder Windows XP Service Pack 2. Dit wordt echter gecombineerd met een extra shell, genaamd Maxthon.

Hij zegt dat hij een update voor Firefox heeft moeten installeren, maar dat was voor een van zijn testsystemen of -browsers en niet voor zijn primaire browser.
sab @Harm31 augustus 2004 23:16
Firefox installeren en bijhouden om vervolgens nog steeds IE als hoofdbrowser te gebruiken?
Grappenmaker.
nhimf @sab1 september 2004 09:01
Wel als je firefox als test browser hebt.
MS zal heus wel hier en daar linux systemen hebben staan om daar naar de functionaliteiten te kijken, want ook MS snapt: beter goed gejat dan slecht bedacht....
Anoniem: 82475 @sab1 september 2004 09:18
dit alles is de man zijn vak. ik denk dat deze man alle browsers als test-browser moet geschouwen. doet die dit niet dan is de man geheel niet kritisch en kan hij zelfs zijn eigen produkten niet meer verbeteren.

dit is altijd de houding van Microsoft: ze lachen om Linux en Apple. ik heb diverse experts meegemaakt in Nederland en ze staan niet gewoon open voor ook goed werkende alternatieven. zouden ze dit wel doen dan zouden de MS produkten er denk ik op vooruit gaan. een beetje het klassieke zwarte-Ford-auto-verhaal.... je kunt je afsluiten voor de waarheid of er juist iets goeds mee doen!
junkchaser 31 augustus 2004 22:37
"security is a journey not a destination"

Mja kijk, het feit dat microsoft altijd met patchen voor zijn explorer uitkomt wil wel zeggen dat er zaken wel heel mis zijn. Het probleem zit'm volgens mij in de "gelinkte"software waar Microsoft mee werkt (explorer<->outlook<->msn) zo krijg je een makkelijker doelwit om dus brol als deze zaken te bekomen.

Wat betreft de uitspraak zou ik zeggen dat er wel waarheid in zit kwestie dat beveiliging nooit zijn eindfase zal kennen. Maar het moet wel een doel zijn om deze op een preventieve wijze te implementeren en niet achteraf met honderdduizend patchkes te gaan afkomen waar de doorsnee gebruiker zelfs geen weet van heeft ...
Laat staan dat ie weet hoe ie een "fix" download om problemen te verhelpen ...
Mithrandir @junkchaser31 augustus 2004 23:07
Waar HEB je het over?

Elke software bevat veel fouten. Ik denk dat microsoft software niet direct meer fouten bevat dan ieder ander softwareproduct van een andere producent; gemiddelt programmeert een microsoft programmeur even goed als een programmeur van [insert software bedrijf] .

Als er echter heel veel wordt gezocht op lekker in een bepaald softwarepaket, is het heel makkelijk om te zeggen dat het slechte software is. Dat hoeft helemaal niet zo te zijn, het wordt alleen onder een veel zwaardere test onderworpen.

Daarom zou ik je aanraden om even na te denken voordat je wat zegt.
n4m3l355 @Mithrandir1 september 2004 01:04
natuurlijk bevat software bij voorbaat fouten maar de opzet van de software kan ook een reden zijn tot het veroorzaken van fouten. ik denk dat microsoft van te voren niet inzag wat het linken van msn, outlook, IE & de kernel voor gevolgen zou kunnen hebben. nu we zoveel jaar verder zijn en de nodige virussen/worms zijn uitgebroken die daar graag misbruik van maken is dat wel anders. om dan nu nog IE bijv. los te maken van het systeem om het zich te laten gedragen zoals phoenix/firebird zal dan ook uitermate lastig zijn.
ook is de manier waarop MS code een reden waarom er zoveel fouten ontstaan in de software zelf. ik weet niet of je de src van de toendertijd gereleaste windows hebt bekeken maar jeetje... dat was erg hoor en als je dan bedenkt dat dat slechts 1 gig was vd 20/25gig src waarschijnlijk zal het nog veel erger zijn.
maar zoals ie ook stelt is er een balans tussen gebruikers gemak en veiligheid. en ik het is dan nu ook wel duidelijk dat MS langzamerhand het balans van gemak naar veiligheid zit te verschuiven. en hopelijk zal dit samen gaan met veel nettere code en betere gedachte sprongen in de code.
misschien dat we over een jaartje of 4 a 5 hier meer over kunnen zeggen :)
LinuxMan @Mithrandir1 september 2004 09:58
gemiddelt programmeert een microsoft programmeur even goed als een programmeur van [insert software bedrijf] .
da's bullshit. de kwaliteit van de code heeft veel te maken met de tijd die er in gestoken kan worden. als je een manager in je nek hebt hijgen slippen er heel wat meer bugs in dan als je alle rust krijgt om iets te maken. Het is wel degelijk een zaak van prioriteit. En dat is het in het verleden niet geweest bij MS, en het zal dus nog wel even duren voordat alle oude code verdwenen is uit de toekomstige windows versies, dus het zal ook nog wel even duren voordat de kwaliteit over de gehele breedte omhoog is.
stewie 31 augustus 2004 23:05
waarom is XP Service Pack 2 nog niet in MS software update ???
ik dacht dat hij er zou komen op 28-08-2004.

weer een Delay ??
Mithrandir @stewie31 augustus 2004 23:09
De engelstalige service pack 2 is er al hoor. Alleen de gelocaliseerde moet wachten tot ergens in september.
michelr 31 augustus 2004 23:26
Toch even beter onderzoek doen ..
http://www.stepto.com/default/default.aspx

en dus:
Lest anyone be confused, my primary browser is SP2 Internet Explorer using Maxthon

en nou weer allemaal terug in je mand.
Gepetto @michelr1 september 2004 13:31
In ieder geval een verstandige keuze (in mijn ogen dan). Ik gebruik zelf ook Maxton (het vroegere MyIE2) omdat hier nu eenmaal een aantal aardige extra's inzitten t.o.v. een kale IE.Vooral tabbed browsing is erg handig en het verbaast me eigenlijk dat dit nog steeds niet standaard in IE zit.
Sfynx 1 september 2004 03:06
Ongeveer alle software is onveilig zolang de gemiddelde Windows-gebruiker het opstart als Administrator.
fallen_angel @Sfynx1 september 2004 14:19
Het is niet alleen de software die veiligheidsgaten oplevert, maar ook de continue verandering in hardware.

Nieuwe hardware vraagt om nieuwe software, nieuwe software levert automatisch nieuwe problemen/security issues op. Daarom ben ik het wel eens dat security een journey is en niet een bestemming.

Of je nu administrator/root/groene fiets bent op de computer. Er zullen altijd mogelijkheden zijn die buiten je macht/gebruikersrechten liggen.
Anoniem: 14124 1 september 2004 08:56
Aandacht voor security wordt de komende jaren groter. Problemen door security worden de komende jaren ook groter. Dat is wat ik verwacht van de toekomst qua security.

De reden waarom ik dit denk, is als je goed kijkt, ook naar het verleden dan zie je dat de software die opgeleverd wordt de fase van simpel product met één taak allang voorbij is. De software van tegenwoordig, is zo complex, zo groot en zo uitgebreid dat de kans op security fouten groter is dan in het verleden, en deze fouten gaan echt wel toenemen in de toekomst.

Dat WinFS is uitgesteld heeft daar ook mee te doen, ik heb die database schemes gezien, en je slaat stijl achterover als je de complexiteit ziet. En dan heb ik alleen nog maar de database schemes gezien. Verbeeld je dan de complexiteit van de achterliggende programmacode in. De kans op fouten is dan gewoon groter.
Anoniem: 27915 31 augustus 2004 23:11
Het is zo jammer dat al die Microsoft representatives alleen maar over Microsoft praten. Tuurlijk, begrijpelijk, en waarschijnlijk zelfs company policy. Maar als je iemand van Apple een vraag over Microsoft stelt, dan wil deze ook nog wel eens iets positiefs zeggen. En toen men Marcello Tossatti, de Linux 2.4 kernel maintainer, vroeg wat hij gebruikte om spelletjes te spelen, was hij eerlijk: "Windows". Waarom kan een Microsoft representative nou niet ook eens eerlijk een vergelijking geven tussen bijvoorbeeld Firefox en Internet Explorer in plaats van een dooddoener als "ach, onveilig zijn we allemaal"? Dat klinkt gewoon zooooooo arrogant.
mphilipp @Anoniem: 279151 september 2004 07:46
Waarom kan een Microsoft representative nou niet ook eens eerlijk een vergelijking geven tussen bijvoorbeeld Firefox en Internet Explorer in plaats van een dooddoener als "ach, onveilig zijn we allemaal"? Dat klinkt gewoon zooooooo arrogant.
Het is een interview over security met de security meneer van Microsoft. Vreemd dat ie dan over de security aspecten van de andere browsers praat.

Om in te haken op wat de man zegt: hij heeft helemaal gelijk. IE is de meest gebruikte browser dus als ik een exploit moet schrijven ga ik dat niet doen voor een of andere obscure browser. Mocht het ooit zover komen dat Opera of wie dan ook 50/50 met IE de markt mag verdelen ben ik benieuwd hoeveel issues er boven water komen. Het is voor hackers nu de rotmoeite niet om die browsers uit te pluizen.
DJ Henk @mphilipp1 september 2004 08:43
Het is voor hackers nu de rotmoeite niet om die browsers uit te pluizen.

Natuurlijk wel. Hackers vinden dat namelijk leuk.
gomaster @mphilipp1 september 2004 10:04
oh jawel dat gebeurd wel. Je moet maar eens bugzilla gaan volgen, er komen wel degelijk security bugs naar voren in Firefix alleen het verschil is dat die snel gefixed worden in een nieuwe versie, en ook vaak er snel een patch beschikbaar is (moet je die wel zelf zoeken maar het is dan ook nog een beta).

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq