Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 57 reacties

Afgelopen week heeft Mitchell Baker, president van Mozilla Foundation (MoFo), tijdens de PC Forum-conferentie in Arizona gezegd dat de Firefox-browser waarschijnlijk niet te maken zal krijgen met vergelijkbare veiligheidsproblemen als Internet Explorer. Baker meent dat deze problemen niet zullen ontstaan als het marktaandeel van Firefox zal stijgen: "There is this idea that market share alone will make you have more vulnerabilities. It is not relational at all." Volgens de MoFo-president heeft dit onder meer te maken met het feit dat Firefox niet, zoals Internet Explorer wel is, geïntegreerd is in het besturingssysteem. Verder is het voordelig in veiligheidsopzicht, zo meent Baker, dat door Firefox geen ActiveX ondersteund wordt. De MoFo werkt al enige tijd samen met enkele partners aan een ActiveX-alternatief.

Dave Massy, lid van het ontwikkelteam van Internet Explorer (IE), heeft op zijn weblog een reactie geplaatst op Bakers opmerkingen. Hij gaat hierin voornamelijk in op haar uitspraak dat het phenomenal voordelen heeft dat Firefox geen onderdeel is van het besturingssysteem. Massy geeft toe dat IE een onderdeel is van Windows, zodat enerzijds de browser gebruik kan maken van alle API's van het besturingssysteem en anderzijds applicaties binnen Windows de functionaliteit van IE kunnen implementeren in software. Volgens Massy kan echter iedere browser op het Windows-platform gebruik kan maken van dezelfde API's als IE doet, omdat de informatie daarvoor is terug te vinden in MSDN. "The security of any browser is irrelevant to if it is part of the operating system", aldus Massy.

Moderatie-faq Wijzig weergave

Reacties (57)

Nee, maar veiligheid OS wel be´nvloed door integratie browser? :?
The security of any browser is irrelevant to if it is part of the operating system.
Technisch heeft hij gelijk; de browser wordt er niet minder veiliger door. Het is het OS wat een harde klap krijgt.

Het feit dat IE gebruik maakt van allerlei built-in windows functies maakt IE in principe niet onveilig. Het probleem is echter dat een hele hoop andere programmas (inclusief windows onderdelen) weer gebruik maken van IE. Dit zorgt er voor dat als IE eenmaal lek is, dat dan ook meteen het hele OS open staat. Firefox (en iedere andere alternatieve browser, for that matter) heeft daar geen last van, aangezien windows niet afhankelijk is van Firefox.

Dit effect wordt nog versterkt doordat allerlei van deze afhankelijke programmas ook meteen met volle rechten draaien. Dit is op zich al schandalig genoeg, maar als deze programmas ook nog worden be´nvloed door de security van IE, zorgt een klein lekje inderdaad al snel voor een machine die compleet geroot is.

edit: woordje weggevallen :(
Wat die MS-figuur zegt klopt, maar toch is de integratie van IE dieper dan die van FireFox. Bovendien is bijv. ActiveX onveilig geimplementeerd door MS, getuige de vele beveiligingsupdates die nodig zijn om de boel dicht te timmeren.

Ik geloof wel degelijk dat FireFox een punt heeft - al zullen ze ook maar wat graag alles doen om IE zwart te maken :+
Jah maar de internet explorer versie die wij nu gebruiken stamt af van 2001/2002(toen kwam versie 6 op de markt).
Dus tuurlijk zitten daar patches overheen.

Als je firefox uit 2001/2002 zou bekijken en dan alle update die er aangedaan zijn zou beschrijven kom je op veel meer uit. Voornamelijk ook omdat firefox nog niet eens zo lang bestaat.

Denk dat je beter kan wachten today IE 7.0 uit is en dan vergelijken met firefox versie die dan ongeveer ook uit is.

Heb je iig techniek uit het zelfde jaar tal.
Als je firefox uit 2001/2002 zou bekijken en dan alle update die er aangedaan zijn zou beschrijven kom je op veel meer uit. Voornamelijk ook omdat firefox nog niet eens zo lang bestaat.
FireFox is pas sinds 7 december 2004 stable, jij vergelijkt een beta programma met een stable versie van IE, op het moment worden in FireFox 1.0 zover ik weet alleen nog updates gemaakt en zijn de developers nu bezig met FF2.0.
Omdat het een open source project is kan iedereen iedere dag de nieuwste 'nightly build' downloaden en runnen. Een normaal bedrijf geeft meestal alleen stable versies weg, en bij stable versies is het normaal dat er maar nog weinig fouten in zitten, dus ook maar weinig patches voor nodig. Alle patches op zo'n alpha/beta versie worden bij een gewoon bedrijf intern gedaan en krijgt de buitenwereld niets van mee.
Sinds FireFox v1.0 stable werd zijn er maar 2 updates voor uit gekomen. En beide updates halen natuurlijk verschillende fouten eruit.
En onveilig implementeren van bijv ActiveX heeft totaal niets te maken met dat IE6 uit 2001/2002 komt. IE zou juist na al die jaren van patches eigenlijk potdicht en veilig moeten zijn.
Dat neemt niet weg dat IE spagetticode is (volgens developers): het is begonnen als een Netscape-alternatief dat in een paar maanden geschreven is.
Microsoft kan beter een keer in 1 keer iets goed doen dan honderden patches nodig te hebben - al zal dat nooit gebeuren.
FireFox is ontstaan uit Mozilla. Een groot deel van de code is werkelijk opnieuw gemaakt, enkel de renderer (Gecko) is niet wezenlijk veranderd.
Wil niet geheel lullig doen maar hoeveel updates zijn er al niet van FF geweest? Oh wacht zijn geen updates versie nummer word gewoon verhoogt.

Hoe je het ook went of keert een product zal naar mate de tijd voordered altijd aangepast worden, dan wel door middel van patchen of gewoon een nieuwere versie.

Ms had er idd ook voor kunnen zorgen dat ze voor elke keer dat ze wat bugs fixen een nieuwe versie brengen ipv de patch.

Dan had je nu ie versie 6.000.9999 gehad ipv ie 6.0.2900.2180.sp2 blabla...

Merk je persoonlijk het verschil? Ik denk van niet. En jah ik gebruik geen FF.. puur omdat onze web applicaties dan niet meer werken.
Als jullie webapplicaties niet werken onder andere browsers dan IE, dan hebben jullie programmeurs bijzonder slecht werk geleverd.Het implementeren van browserspecifieke (lees: NON-HTML) code, anders dan via CSS, is nooit goed.

Als mijn vrouw (webdesigner) een site maakt, is die onder elke browser en elk platform goed te zien, zelfs op exotische resoluties. Dat is eenvoudig een kwestie van correcte HTML-code in combinatie met een fatsoenlijk designpakket. Maar ja, als je MS-rontpage gaat gebruiken.....
En wie z'n schuld is het dan dat die applicaties niet werken? Ik mag toch hopen dat je niet FF de schuld gaat geven, maar de ontwikkelaars van die applicaties.
Heb zelf niet zo gekeken naar de source idd of die wel css compliant is. Maar goed weet wel heel erg zeker dat ie niet gemaakt is in frontpage oid.. puur omdat het de CRM Module van ibm is.

Voor de rest moet ik eerlijk ook zijn dat ik geen zin heb om FF hier op het werk uit te rollen puur omdat ik die niet met policy's kan dichttimmeren zoals met IE
Die MS figuurt praat er omheen. Dat andere browsers de windows API's _kunnen_ benaderen is iets anders dan dat ze het ook doen. Firefox gebruikt niet al die windows API's en dus kan spyware enzo niet bij je windows.
Firefox ondersteunt toch ook gewoon Java?
En laatst bleek dat Java ook gewoon te exploiten valt.

En websites luizen mensen er vanzelf in.

Click hier om verder te gaan. .. Let op! u moet straks dit programma downloaden en op 'yes' drukken om toegang te krijgen tot de gewenste pagina.
Met een screenshot van 'weet u zeker dat u dit wilt installeren' met een rood omcirkelde 'yes' knop.

IE7 lijkt mij straks nog de veiligste oplossing.
Volgens Massy kan echter iedere browser op het Windows-platform gebruik kan maken van dezelfde API's als IE doet, omdat de informatie daarvoor is terug te vinden in MSDN.
Zoals het al netjes verwoord staat, elke browser KAN gebruik maken van de API's, dat wil niet zeggen dat die API's altijd gebruikt moeten worden en in dat geval is de browser dus zo veilig als de zelfgeschreven methodes.
The security of any browser is irrelevant to if it is part of the operating system
Ben ik het zeer zeker niet mee eens, aangezien IE echt een onderdeel van windows is heeft het gewoon veel meer mogelijkheden in het systeem.
Bij firefox is die integratie niet aanwezig wat zorgt voor minder mogelijkheden maar ook direct voor vele malen betere beveiliging omdat er veel minder potentiele beveiligingsrisico's zijn.

@cdwave:
De impact ervan is dezelfde, ongeacht je browser, want op het moment dat de infectie daar is, doet het er niet meer toe welke browser je gebruikt, want de hele windows API staat op dat moment open voor de 'applicatie'.
Incorrect, het verschil is dat dit over de API's gaat, op het moment dat er een infectie is heb je gelijk ja, maar door geen gebruik te maken van de windows API's sluit je dus de mogelijkheid van windows API lekken al uit.
Het gaat er om dat als er een lek zit in een windows API (komt regelmatig voor) dat je browser dan niet direct lek is, als je een browser gebruikt die niet direct gebaseerd is op die API dan heb je er dus geen last van. Op het moment dat de kwaadwillende iets kan uitvoeren op het systeem dan maakt het idd. niet meer uit, dan kunnen ze toch al alles en dus ook de API's raadplegen.
Massy heeft juist helemaal gelijk.

Een vulnerability betekent in het algemeen dat een kwaadwillende een stuk (machine) code op jouw computer kan uitvoeren. Dat kan door overflow bugs, of door een file op je systeem te plaatsen op een manier dat hij later uitgevoerd gaat worden.

De impact ervan is dezelfde, ongeacht je browser, want op het moment dat de infectie daar is, doet het er niet meer toe welke browser je gebruikt, want de hele windows API staat op dat moment open voor de 'applicatie'.

De hele API discussie slaat dus nergens op. Waar het om gaat is de mogelijkheid dat zo'n infectie binnen kan komen. En dan gaat het er alleen nog maar om hoe secure de code in elkaar steekt. En ik kan me voorstellen dan code die met het OS gedeeld wordt en al heel lang beproefd is, nog wel eens veiliger zou kunnen zijn dan code die alleen maar voor een browser geschreven is. Meer integratie leidt tot "ingedikte" code, die dus beter beproefd is. Anderzijds kun je ook stellen dat de Firefox of Mozilla code waarschijnlijk ontwikkeld is met de security problematiek veel hoger in het vaandel, en dus by design robuuster is.

Alleen de tijd zal leren wie er wint...
Een vulnerability betekent in het algemeen dat een kwaadwillende een stuk (machine) code op jouw computer kan uitvoeren. Dat kan door overflow bugs, of door een file op je systeem te plaatsen op een manier dat hij later uitgevoerd gaat worden.

Of door het instantieren van een obscuur ActiveX component waarmee je direct toegang hebt to shell commando's en dat onder administrator rechten van de gebruiker van de browser draait? Want dergelijke zaken zijn in het verleden voorgekomen.
Waarom denkt iedereen toch dat firefox zoveel veiliger is dan MS. Tuurlijk is het zo dat de intergratie van IE in windows beveiligingsproblemen met zich meebrengt. Maar ook firefox is niet waterproof. Om even een leuk artikel aan te halen (ik moet wel toegeven dat het van een MS liefhebbend persoon is) http://blogs.msdn.com/ptorr/archive/2004/12/20/327511.aspx

Zo zie je maar weer dat geen enkele browser perfect is. Ik ben zelf trouwens een FireFox gebruiker, puur omdat ik het prettiger vind werken.
Geen enkele browser is perfect, daar heb je helemaal gelijk in, maar Internet Explorer is qua beveiliging met veel meer na´viteit ontworpen dan Firefox (Volgens mij is IE zelfs van oorsprong ontworpen voor het geflopte Microsoft Network, MS' gecontroleerde tegenhanger van het anarchistische Internet). De ontwikkeling van Gecko is pas in 1999 ofzo begonnen, toen het Internet qua beveiligingsproblemen meer vorm begon te krijgen. In dat perspectief was het ronduit achterlijk om bijvoorbeeld een ActiveX-achtig iets in de browser in te bouwen, en was het veel logischer om een Java-achtig 'sandbox' principe zonder enige directe systeeminteractie vanuit de webpagina's te gebruiken als basis voor de browser. En dergelijke ontwerpbeslissingen zorgen voor een veel veiligere architectuur. Uiteraard is niets helemaal waterdicht, maar beveiliging is voor het grootste deel toch afhankelijk van de kwaliteit van het ontwerp, en pas daarna van de kwaliteit van de code.
Firefox vind ik wel degelijk veiliger dan IE, natuurlijk zitten er deurtjes in en dergelijke. Om een programma te schrijven dat 100% veilig is lukt amper. Maar als ik 2 weken met IE ga surfen en vervolgens ga checken op spyware, en het zelfde grapje uithaal met Firefox, dan heeft Firefox _niets_.

Die Microsoft medewerker die gaat wel op de meest onzinnige punten in, zelfs dattie begint te downloaden van een andere locatie. Op de site van Firefox staat volgens mij wel degelijk waar je hem van download. Maar goed, wat heeft een download van firefox te maken met het verschil tussen de browsers? :X
Niks, maar hij moet toch ergens mee beginnen :). Voor de rest valt het wel mee met de onzinnigheid. Wat hij hier demonstreert is dat bijvorbeeld een browser heel veilig kan zijn. Maar als je dan extensions installeert waarvan je met geen mogelijkheid kunt zeggen of ze veilig zijn, je alsnog je 'veilige' browser volledig onveilig kan maken.
True, heb je geleik in. Ik vind ook niet dat MS geen moeite doet om IE beter en veiliger te maken, maar FF is ze nog wel een stapje voor. Pluspunt van IE in SP2 is ook dat hij vermeld waar het vandaan komt ;)
Uit persoonlijke ervaring, sinds ik met firefox browse met Java standaart uit behalve als ik het wil gebruiken (javascript aan) is het maandelijkse malware verweider ritueel eigenlijk niet meer nodig...
Sinds ik firefox gebruik heb ik helemaal geen spyware meer gehad :Y)
(behalve dan de zooi die in shareware zit... maar dat is ook weg na 1 keer goed scannen)
Wat heeft Java met javascript te maken ? Zijn twee heel verschillende programmeertalen die nulkommanul met elkaar van doen hebben.
Java en Javascript zijn twee heel verschillende dingen
Wow. Een blog-post van iemand van MS die kritiek heeft op Firefox. Dat had ik nou nooit verwacht. Waar heb je dat gevonden? Een waar huzarenstukje!
Die was net zo makkelijk te vinden als een bericht van iemand van firefox de IE slecht vindt. (check het nieuwsbericht zou ik zeggen). Mensen van firefox zullen altijd andere browsers slechter vinden, en mensen van IE natuurlijk ook. Dat heet geloof in je product. Het gaat er natuurlijk om dat je niet zomaar kan zeggen firefox is veiliger dan IE. Beide hebben hun voors en tegens.
Always remember the Ten Immutable Laws of Security, and in particular Law #1: If a bad guy can persuade you to run his program on your computer, it's not your computer any more.)
Helaas waar. Ik vraag me af wanneer Linux en Windows apps niet meer standaard met alle rechten van een normale gebruiker laten draaien.
Je bedoeld in een afgeschemde omgeving, zoals de java applets? ;)
Doordat IE geintegreerd is in Windows, is het per definitie een groter risico!

Neem bijvoorbeeld het artikel van Tweakers waarin beweerd werd dat de "alternatieve browsers" kwetsbaar waren: http://www.tweakers.net/nieuws/36645

Let goed op wat er gebeurt. Elke browser met Java (en dat kan in principe ook IE zijn, dus ik snap de titel van het artikel niet zo goed, maar dit terzijde) waarbij de gebruiker het applet accepteert gaat daarna automatisch IE opstarten! Dit lukt dus alleen wanneer IE geintegreerd is in het OS!
Tja, dit is weer eens een voorbeeld van een drogreden. Wat de persoon in feite zegt is: "Je kunt Firefox even onveilig maken als IE"
Je hebt dus geen uitgebreide discussies over API's en dergelijke nodig om te zien dat die uitspraak weliswaar "waar", maar pure flauwekul is.
Microsoft heeft ten tijde van Win98 opzettelijk IE geintegreerd in het OS om te voorkomen dat Windows ook zonder IE geleverd MOEST worden. (zie de rechtzaken daarover)
Windows is een systeem geworden wat zich naar buiten toe voordoet als een normaal Operating Systeem maar intern in de eerste plaats opgezet is om computers en gebruikers afhankelijk te maken van andere MicroSoft software.

Zolang MicroSoft deze politiek volhoudt zal het met de beveiliging dweilen met de kraan open blijven. Maar ze KAN ook haast niet anders meer als deze politiek blijven volgen aangezien anders een groot deel van de trouwe MS-sers geconfronteerd zal worden met niet goed toegankelijke documenten en websites.
En zulke figuren als Dave Massy moeten deze politiek dan met drogredenen verhullen.
Dat is denk ik een van de oorzaken van de huidige situatie. MS heeft een aantal keuzes gemaakt die weliswaar voor gebruiksgemak hebben gezorgd, maar ook voor heel veel security problemen. ActiveX is wat dat betreft een schoolvoorbeeld van meer gemak ten koste van veiligheid.

Natuurlijk is ActiveX niet per definitie gevaarlijk, maar dat is een vuurwapen ook niet. Door een browser die maken die zonder problemen native executables binnen haalt en deze vervolgens uitvoert met ALLE rechten van de account waain de browser draait is het erg gemakkelijk om veel schade aan te richten. Natuurlijk zijn er stapels toepassingen te bedenken waarbij alle active content op een webpagina vertrouwd kan worden, maar dat geldt over het algemeen alleen voor intranetten en niet voor Internet.

De lijst van problemen met IE is lang, veel te lang voor een bedrijf dat zichzelf graag 'industry-leading' noemt. MS doet wel haar best, of zegt dat in ieder geval, maar totdat de problemen echt fundamenteel zijn aangepakt gebruik ik Firefox.
Er is natuurlijk nog een andere reden om Firefox te gebruiken. Firefox houdt zich aan de standaarden en is niet in handen van een enkel megalomaan bedrijf. Het *kan* zelfs niet in handen komen van een enkel bedrijf of groep.

Door FireFox te gebruiken verklein je de kans dat bedrijven IE-only websites maken (gebeurt nog veel te vaak). Dat is belangrijk omdat IE alleen draait op het Windows platform (De Mac versie lijkt er nog minder op dan FireFox). Je wordt dus in feite gedwongen om Windows te gebruiken.

Als voldoende mensen Firefox en andere browsers gebruiken houden we dus de keus om iets anders dan IE te gebruiken en zijn we niet met handen en voeten gebonden aan Microsoft. Ik vind dat zeker zo belangrijk als de veiligheidsissues.
Massy geeft toe dat IE een onderdeel is van Windows, zodat enerzijds de browser gebruik kan maken van alle API's van het besturingssysteem en anderzijds applicaties binnen Windows de functionaliteit van IE kunnen implementeren in software.
En daar zit nu ook het probleem, de circulaire afhankelijkheid van beide onderdelen.
Welke circulaire afhankelijkheid?
IE is afhankelijk van APIs, maar die APIs zijn niet afhankelijk van IE.
Apps zijn afhankelijk van IE, maar IE is niet afhankelijk van die apps.
Zowel IE als Apps zijn afhankelijk van elkaar dat is de fout van MS...

zie probleem met MP http://www.tweakers.net/nieuws/36713

als je 1 onderdeel verwijderd zal het deel dat daaropsteund in elkaar vallen. als je IE verwijderd uit windows dan heb je alleen een computer die je niet kan gebruiken.
fout dus

toch raar dat sommigen hier precies denken dat elk programma volledig autonoom moet draaien... gaan we terug naar het dos-tijdperk? toen had elk pc-game zijn eigen videokaart-, randapparatuur en geluidsaansturing lekker leuk nutteloos en vreselijk duur

het probleem is dat Windows zo groot is geworden dat men blijkbaar niet alle oude dll's voldoende checked, vandaar dat we dan opeens zo'n bug met prentjes krijgen enzo
op dat vlak is linux beter omdat het van unix afstamt die toen met meer rekening hield ivm security
windows komt meer uit de "personel" computer tak waar vroeger security niet zo belangrijk was, netwerken onbestaande en dus (onterecht natuurlijk) iets losser werd geprogrammeerd

dat bericht heeft hier trouwens niks mee te maken
Maar het probleem is dan ook dat het in twee richtingen kan? Aangezien de IE api door verschillende programma's gebruikt kunnen worden kan een fout in IE van eender waar in het OS geŰxploit worden? Het geen bij Mozilla niet zo is aangezien andere programma's niet aan de API van mozilla kunnen?
Geef me 1 goede reden waarom ze daar niet bij zouden kunnen. Het punt is alleen dat het niet zinvol is om programma's de API van FF te laten gebruiken, omdat die los ge´nstalleerd moet worden.
aan de andere kant is het net goed dat andere progs kunnen gebruik maken van delen van IE (of misschien FF in de toekomst) omdat er zo geen dubbele stukken software moeten geinstalleerd worden
Als je IE insteld op een hoger security niveau, dan accepteert het ook geen activeX. M.a.w firefox is niet veel veiliger, het mist alleen een bepaalde feature, welke erg gevoelig is voor spyware, dailers en andere ellende.
De veiligheid van een browser hangt niet alleen af van of deze ActiveX wel of niet ondersteunt. Dus hoe je bij je conclusie komt is mij onduidelijk.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True