Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 110 reacties
Bron: FrSIRT, submitter: GreatDictator

Firefox-logoEr is een kwetsbare plek ontdekt in versie 1.0.3 van FireFox, die ook in eerdere versies aanwezig is. Voor dit lek is ook al een exploit verschenen. Het lek is een gevolg van een inputvalidatiefout bij het verwerken van een bepaalde javascriptcode die onder andere wordt aangeroepen bij het installeren van extensies en add-ons voor de browser. De exploit maakt van deze fout gebruik via een e-mail of een website door veiligheidsrestricties te omzeilen en extra javascriptcode in te voegen. Hierdoor kan men schade toebrengen aan het systeem van de gebruiker. Inmiddels is het lek (deels) gepatcht door aan de zijde van de server random letters en cijfers toe te voegen aan de install()-functie, waardoor de exploit niet meer werkt. Totdat er een definitieve patch is uitgebracht, wordt er geadviseerd om javascript uit te schakelen of in de browser de optie uit te schakelen die toestaat dat websites software installeren.

Moderatie-faq Wijzig weergave

Reacties (110)

Dat toont maar weer aan dat firefox echt populair begint te worden. Er is nu kennelijk genoeg 'afzetgebied' ontstaan voor firefox exploits. Hoop niet dat het straks net als bij internet explorer iedere maand raak is. Zet hem op developers!
Er zijn wel meer problemen met Firefox: http://secunia.com/product/4227/

En als ik de statistieken van Startpagina.nl mag geloven begint de populariteit ook weer een beetje af te nemen: http://www.nedstatbasic.net/s?tab=1&link=5&id=710309
nu zegt dat ook iets over de gemiddelde persoon die startpagina.nl gebruikt. Ik bedoel als je dezelfde statistieken van Tweakers.net zou bekijken dan zou dat er totaal anders uitzien. :>
En toch hebben Tweakers een grote vinger in de pap. Als je kijkt naar de doelgroep hier, dan zul je zien dat een groot aantal een respectabele functie binnen het bedrijfsleven heeft waardoor ze in de positie zijn om een voorstel te doen richting het management.

Ook veel Tweakers zullen de pc's van een groot aantal mensen onderhouden. Ik ben al iedereen aan het overzetten naar FireFox. En 9 van de 10 mensen blijven erbij. Die 1 op de 10 gaat weer terug naar IE.

Samen bereiken we dus een groot gebied van computerend Nederland.

Do not underestimate the power of Tweakers! ;)
Allemaal mooi en aardig, maar er zijn genoeg sites die er absoluut bagger uitzien in Firefox, omdat de makers daar gewoon geen rekening mee hebben gehouden en/of slordig programmeren. En het gaat hier niet alleen om kleine sites maar ook om sites die je gebruikt voor online banking, online aankopen etc.

Ik ben best wel Firefox fan en controleer ook al mijn sites in Firefox, maar om nou te zeggen dat de markt klaar is voor 50% Firefox gebruikers, nee! ;(

De huidige penetratie van Firefox helpt natuurlijk wel. Bij de site van het bedrijf waar ik werk (conservatief publiek) zitten we al op 4% en das best wel veel (Mozilla en Opera zijn nooit boven de 1% uitgekomen). Dus binnenkort gaan we onze site Firefox proof maken
:*)
Dan gebruik ik toch liever die van thecounter.com. Deze richt zich niet tot een bepaalde doelgroep. Deze gebruikt statistieken van alle tellers die gebruikt worden bij hun. Toch een stuk betrouwbaarder dan een site die zich richt tot IT bezoekers.

http://www.thecounter.com/stats/2005/April/browser.php

Daar zie je dat 91% IE gebruikt en bij w3schools 65%. Toch een behoorlijk verschil
Je kan helaas niet "doorbreken" door alleen tweakers te bereiken. Als FF wil doorbreken zal de massa het moeten adopteren. En een terugval van 7% naar ca. 3% voor de consumentenmarkt lijkt mij wat dat betreft geen goed teken...
Wat ik persoonlijk het interessants vind zijn de stats van een site als w3schools: http://www.w3schools.com/browsers/browsers_stats.asp

Gezien de target audience van w3schools mag de continue stijging in firefox toch wel als significant worden gezien.
Ja ik vind ze ook enooooorrmmm interessant. Ze zijn ook echt het toonbeeld van dagelijks FireFox gebruikt, en na het lezen van zijn krantje op internet, en het controleren van zijn bankrekening online gaan mijn kennissen ook altijd naar W3Schools toe om zichzelf eventjes te laten meten. Immers, W3Schools heeft totaal geen grotere factor web developers, of techneuten, nee joh hoe kom je erbij...

Lijkt me duidelijk zo, dat het zo graag hier neergeplempte W3Schools echt het meest kansloze statistieken middel is voor FireFox indicaties.
@ yep

Punt van het verhaal is eerder dat statistieken van een bepaalde site geen enkele info verschaft over wat de gemiddelde internetter gebruikt aan browser. Het zegt alleen wat de gemiddelde bezoeker van die site aan browser gebruikt.

De conclusie die jij trekt kun je dus niet trekken.
Statistieken van 1 site zeggen niets over de rest van het internet. Beter is dus om naar statistieken van sites te kijken die dit wel monitoren. W3school wordt hier al genoemd, daar kun je beter naar kijken dan naar stats van tweakers.net of startpagina.nl.
Was het maar zo makkelijk, per browser verschillen de uitwerkingen van de te gebruiken functies nogal, dat is nou juist het probleem.
Als je je sites nou gewoon W3C compatible maakt ( http://validator.w3.org ), hoef je je site helemaal niet aan een bepaalde browser aan te passen.
Behalve voor IE :z
Beetje offtopic, maar wat berekenen die statistieken als je User Agent Switcher ingesteld hebt staan op IE?
Niets, maar zo zorg je ervoor dat webmasters altijd alleen maar MSIE hits zien, en dus hun site ook nooit zullen aanpassen. :z
thecounter vertrouw ik niet, omdat deze wellicht niet goed rekening houdt met de cache van een browser. misschien haalt IE wel vaker het plaatje van de teller op dan FF.

deze geeft een goed beeld:
http://www.upsdell.com/BrowserNews/stat.htm

vijf verschillende bronnen met daarbij een uitleg hoe die cijfers tot stand komen.
Europese statistieken van XiTi-monitor wezen uit dat 13% van Europa Firefox gebruikt, met uitschieters tot 30% in Finland, 23% in Duitsland.
link
De gegevens werden gehaald uit 23,7 miljoen hits.
Ik zou zeggen: Do not underestimate the power of a SINGLE user! :P

Ik heb het op mijn werk geprobeerd en een SQL-toepassing werkt er niet op. Zodoende einde verhaal... Je mag dan nog met zoveel argumenten afkomen als je wilt maar aanpassen van zo'n programmatje is géén optie ;) en het niet kunnen gebruiken ervan - al is het maar 2-3 dagen - zorgt al na die paar dagen voor totale chaos op financieel gebied.
Dus jij als tweaker gaat dat eventjes doordrijven? I don't think so. (of je moet je job beu zijn)
@ LeoMekenkamp
Valt het je bij de stats van W3Schools ook op dat het net lijkt alsof 80% van de Mozilla gebruikers in 2005 "ineens" overgestapt lijkt te zijn naar FF?
Ikzelf gebruik al tijden Opera. Heerlijke browser.

edit:
Even toegevoegd op wie dit een reactie was
@ somnus:

Dus blijf je daar voor de rest der dagen maar voor bij IE6? Veranderingen zijn nou eenmaal niet te vermijden. Op den duur zal er toch wel een keer groot onderhoud gepleegd moeten worden.
Bovendien is het heel goed mogelijk om aanpassingen te testen in een testomgeving om je ervan te verzekeren dat alles goed werkt voordat je definitief overstapt en zo hoeft de periode dat het systeem niet beschikbaar is niet langer te duren dan een minuut of 10.
Statistieken van 1 site zeggen niets over de rest van het internet. Beter is dus om naar statistieken van sites te kijken die dit wel monitoren. W3school wordt hier al genoemd, daar kun je beter naar kijken dan naar stats van tweakers.net of startpagina.nl.
Dat ben ik dus totaal niet met je eens. Startpagina is een van de populairste sites van Nederland en daardoor een prima afspiegeling van wat de gemiddelde internetter gebruikt. Ik begrijp serieus niet waarom jij denkt dat W3school(???) een betrouwbaarder beeld geeft. 99% van de internetters kent W3school niet...
Als je je sites nou gewoon W3C compatible maakt ( http://validator.w3.org ), hoef je je site helemaal niet aan een bepaalde browser aan te passen.
Beetje offtopic, maar wat berekenen die statistieken als je User Agent Switcher ingesteld hebt staan op IE?
Behalve voor IE :z
En behalve voor Firefox.

http://mail.mediamonks.net/

W3C XHTML compliant maar zwaar verneukt in Firefox.
Welke browser er gebruikt wordt, wordt alleen gemeten over de laatste 300 pageviews. Aangezien startpagina ongeveer 2500 pageviews per minuut heeft op een rustige dag, is dat niet echt relevant.
Leoh-Paard, daar gaat het niet om, een meting over 300 totaal is gewoon te weinig om een reëel beeld te krijgen. Je zou moeten kijken naar het browsergebruik over een hele week bijv.
Ik dacht het eigenlijk wel... ;)

Wat dacht je van werktijden? Niet iedereen kan of mag firefox op een werk pc installeren. Lijkt mij dus dat er dan degelijk wel een verschil is wanneer/hoe laat deze meting gehouden wordt in dit geval.... :7
Waarom zou dat statistisch zo raar zijn dan? Of zitten FF-gebruikers 's middags op hele andere tijden online dan IE-gebruikers? Dacht het niet.
Ik denk niet dat dit soort exploits het gevolg zijn van eenafname in populariteit. Ik denk dat de meeste mensen dit soort nieuws niet eens lezen, omdat het ze niet interesseert. De browser werkt, dus ze zijn tevreden. Bovendien Firefox aan de kant schuiven en weer helemaal terugstappen op IE, dat heb ik nog nooit iemand zien doen.
Met alle respect denk ik juist wel dat mensen Firefox er weer afgooien en teruggaan naar IE. Ik denk dat er heel veel mensen (inclusief ikzelf) zijn die firefox geprobeerd hebben en uiteindelijk tot de conclusie gekomen zijn dat het niet genoeg toegevoegde waarde biedt om daadwerkelijk over te stappen. Tabbed browsing is leuk maar het feit dat veel sites er anders (soms onleesbaar) uitzien in firefox heeft mij ertoe bewogen om weer terug te gaan naar IE.

ps. persoonlijk vind ik Opera een stuk beter dan Firefox.
@Yep

<i>Ik denk dat er heel veel mensen (inclusief ikzelf) zijn die firefox geprobeerd hebben en uiteindelijk tot de conclusie gekomen zijn dat het niet genoeg toegevoegde waarde biedt om daadwerkelijk over te stappen. Tabbed browsing is leuk maar het feit dat veel sites er anders (soms onleesbaar) uitzien in firefox heeft mij ertoe bewogen om weer terug te gaan naar IE.</i>

Omdat jijzelf FireFox niet je van het vindt, trek je deze bevinding maar door over elke Windows gebruiker (want daar draait IE exclusief). Interessante redenatie.

Ik vind bijvoorbeeld Windows absoluut niet je van het, dus ga ik er ook maar van uit dat de rest van de wereld dat ook vindt. (Ik zou er vast wel statistieken en andere leugens bij kunnen halen om dit ook nog eens "overtuigend" aan te tonen. :+)

Maar elk weldenkend mens weet gewoon dat actieve exploits in het wild duiden op voldoende marktaandeel. Aangezien FireFox twee jaar geleden nog niet op de kaart stond, is dit indicatief voor een sterke groei van FireFox
Ik heb Firefox geinstalleerd, maar alleen om af en toe bij MMORPG's met 2 accounts tegelijk te kunnen spelen.

IE6 is gewoon sneller, prettiger en rendert in 1 keer je pagina. Bij FF zie je allemaal tabellen uitelkaar springen etc.

Wat is er zo slecht aan IE6? (of binnenkort IE7?)

Ik snap voorstanders van FF dan ook niet echt.
het enige voordeel (CSS) is te nihil.
Ik maak mijn sites allemaal voor IE5 of hoger. (en dan zien ze er automatisch in FF ook nog wel uit)
@omixium:

het verhaal dat IE sneller is met renderen gaat over het algemeen wel op, maar als je firefox genoeg tweakt dan werkt het zelfs sneller dan IE (bij mij dan he :P). Ook ben ik verslaafd aan tabbed browsing, een heel handige uitvinding. Een ander voordeel tov IE zijn de grote hoeveelheid extensies en de ingebouwde downloadmanager. En die keer dat Firefox de site niet goed weergeeft komt alleen maar omdat webpagina's krakmikkig in elkaar zitten of omdat de website zo in elkaar is gezet om werkbaar te zijn in IE (die zich niet echt aan de webstandaarden houdt).
Ik vindt die stats wel heelerg indrukwekkens. Er zijn maar 16 advisories waarvan maar 5 unpatched zijn. De 5 die overblijven hebben allemaal een lage impact. Ik dacht zelfs dat de onderste twee in 1.0.3 al gepatched waren.

Als je dat vergelijkt met de stats van IE: http://secunia.com/product/11/ dan vertrouw ik toch eerder FF dan IE.
Het is geen kwestie van 'populair worden' en 'er is een afzetgebied voor exploits', deze bug is gewoon gevonden door een persoon die gewoon op zoek was naar lekken en niet het oog had op kwaadwillige exploits zoeken. Er zijn veel mensen die naar fouten in programma's zoeken. Er zijn er die gewoon een POC (Proof Of Concept) publiceren en de stappen die nodig zijn om de fout te ontdekken en eventueel te patchen, maar er zijn er ook die gewoon gebruik maken van de gaten om andere spy/adware te installeren. De meeste zogenaamde 'exploits' die gevonden worden in OSS zijn gewoon gevonden door programmeurs/developers en gemeld zodat ze de lekken kunnen dichten, dit is niet anders.

[reactie op mjtdevries]
Natuurlijk zijn er personen die de exploits gebruiken, als ik een manier zou vinden om iemand zijn pc over te nemen in 3sec en ik zou het openbaar maken hoe het te doen dan zouden er binnen de 3dagen 1000'en pc's overgenomen worden,maar het gaat er om dat het niet de ontdekker is die kwade bedoelingen heeft zoals hier gezegd is.
[/reactie]
Leuk verhaal maar het klopt niet.
Naast deze persoon die op zoek was naar lekken is er klaarblijkelijk ook een kwaadwillend persoon geweest die op zoek was naar exploits. Er is namelijk ook een exploit op basis van dit lek die op dit moment verspreid word.
Of mindersubtiel verwoord: FF is eigenlijk geen donder beter dan IE

Elke software(tergroote van iets als een browser) bevat bugs, hoe meer gebruikers je erop zet, hoe eerder ie gevonden word. IE loop al jaren lang voorop het honderdenmiljoenen gebruikers => Meer fouten.

Ik zeg niet dat IE beter is of FF, maar het lijkt de kant op te gaan als met IE. Wel petje af voor de snelheid waarmee gereageerd word, ook al is het een temp-fix, daar kan microsoft wel van leren.
De mogelijkheid software door sites te laten installeren is zoiets als ActiveX, als je dit uitschakeld worden zowel Firefox als IE veiliger.
Bij Firefox heb je een lijst waarin je kan zetten welke sites software mogen installeren (weet niet of het bij IE ook zo is), die default 2 sites heeft. Als je daar meer aan toevoegt ben je mijns inziens sowiezo dom.
Bij IE kan je dat inderdaad ook aangeven per "zone" (tools-options-security). Met SP2 wordt er nog eens een extra drempel opgelegd in de vorm van SP2 die de gebruiker expliciet vraagt of er code geinstalleerd mag worden (en ook waarschuwt voor de risico's)
Dat hele idee van per site toestaan of er software mag worden geïnstalleerd is leuk, alleen leidt het wel tot onnodig klikken, namelijk wanneer je extensions (imo een van de sterkere verkooppunten van FF) gaat installeren, zelfs vanaf de officiële site. Stellen dat meer dan die sites toestaan dom is, is dus een vrij loos statement.
Het gaat om deze code. Echter heb ik er absoluut geen last van met de stipe build gebaseerd op een milestone. De security bug is dus inmiddels al lang opgelost, hij is alleen nog niet vrijgegeven.
Heb jij niet net als ik gewoon dit :
of in de browser de optie uit te schakelen die toestaat dat websites software installeren.
uitstaan :?

* 786562 nero355
Het moet je in de hackers scene wel een eeuwig durende roem opleveren als je firefox ontmaagd hebt :P :P
Valt wel mee hoor, waarschijnlijk is die exploit door de mensen van Mozilla zelf gevonden.
Zonder te willen flamen, maar wie laat er nu toe dat een website "zomaar" software kan installeren op uw systeem. Bedoel: het ligt toch echt aan de gebruiker die met een zeker behoedzaamheid met zijn systeem moet omspringen.

Zomaar willekeurig klikken op vanalles en nog wat zonder na te denken, "want ik heb toch een virusscanner" is niet de beste houding.

Bovendien welke extra software zou een gemiddelde gebruiker willen op zijn systeem? Eens er de flashplayer, shockwave, java jre opstaat en misschien nog de realplayer dan kan je bijna alle sites op.

Als er dan toch zo'n popup verschijnt die stelt dat je een of ander dubieus stukje software moet installeren: lees dan toch tenminste waarover het gaat...
maar wie laat er nu toe dat een website "zomaar" software kan installeren op uw systeem
Wie? Ik vrees de gemiddelde gebruiker....
Opvallend dat het lek juist zit in een populaire plaats van Firefox - (oa) de extensie install. Blijkbaar is dit toch enigszins experimenteel en gevoelig.
Maar het is altijd afgeraden allerhande sites toe te staan software te installeren. Dat geldt niet alleen voor Firefox, maar ook voor IE. Software installeren moet je eigenlijk alleen doen vanaf sites die je vertrouwd, bijvoorbeeld die van mozilla zelf.
Firefox werkt met een whitelist van sites die software mogen installeren en daar staat voor zover ik weet standaard alleen update.mozilla.org in. Zolang er niet achter je rug om sites worden toegevoegd is er niet veel aan de hand als het goed is. Er zal in ieder geval niet achter je rug om vanalles worden geinstalleerd.
Firefox werkt met een whitelist van sites die software mogen installeren en daar staat voor zover ik weet standaard alleen update.mozilla.org in.
En daar zit hem nu net de kneep. Van wat ik van Secunia begrijp, gebruikt de exploit het betrouwbare adres van update.mozilla.org (iframe bug) om vervolgens illegale code uit te voeren (IconURL bug). Mozilla heeft dit tijdelijk omzeild door het adres te veranderen.
Op zich een goede actie om de ergste impact van die exploit te verminderen, maar ik moet er niet aan denken als MS zo'n workaround tijdelijk zou toepassen. De FP zou ontploffen :)
Totdat er een definitieve patch is uitgebracht, wordt er geadviseerd om javascript uit te schakelen
Oh jee, Firefox begint steeds meer op IE te lijken...
1 verschil. Als IE met zo'n advies komt staat deze pagina vol met :( :Z |:( :r M$ enz. enz.

Als FF betreft: Ach, het valt allemaal wel mee.
Misschien heeft dit ook te maken met het verschil in reacties van MS vs. Moz org. Al voordat dit bericht op hier op tweakers staat, is het al gepatched. Ik kan me niet herinneren dat MS ooit zo snel is geweest met de release van een patch.
Ik kan me niet herinneren dat MS ooit zo snel is geweest met de release van een patch.
Dat komt ook doordat Microsoft eerst de patch uitgebreid test, voordat ze 'm releasen. Bij Microsoft spelen er nl. ook nog bepaalde zakelijke belangen mee en ze kunnen niet zomaar een quickfix releasen en dan het risico lopen dat bepaalde klanten in grote problemen komen. Aan de andere kant kan zo'n exploit natuurlijk ook veel problemen veroorzaken...
Ik wil je bericht toch behoorlijk ontkrachten:
Misschien heeft dit ook te maken met het verschil in reacties van MS vs. Moz org. Al voordat dit bericht op hier op tweakers staat, is het al gepatched.
Server-side is het gepatched, niet client-side. Dit betekend dat de bug er nog zit dus is NIET GEPATCHED.
Ik kan me niet herinneren dat MS ooit zo snel is geweest met de release van een patch.
a) er is NIETS GERELEASED
b) de snelheid zo zo hoog dat er nog niets is vrijgegeven

beetje jammer ;)
Ik wil je bericht toch behoorlijk ontkrachten:


Misschien heeft dit ook te maken met het verschil in reacties van MS vs. Moz org. Al voordat dit bericht op hier op tweakers staat, is het al gepatched.


Server-side is het gepatched, niet client-side. Dit betekend dat de bug er nog zit dus is NIET GEPATCHED.


Ik kan me niet herinneren dat MS ooit zo snel is geweest met de release van een patch.

a) er is NIETS GERELEASED
b) de snelheid zo zo hoog dat er nog niets is vrijgegeven

beetje jammer
Dit is ook wat Secunia.com zegt. Firefox wordt daar door het gebrek aan een patch als "extremely critical" aangeduid: http://secunia.com/product/4227/
Ik zie het probleem niet. De exploit werkt niet meer doordat de url van de update server is veranderd, en die staat niet in de allow list. Kortom, de exploit werkt niet meer..

wat lopen jullie nou te zeiken over dat er geen patch is? De exploit werkt toch niet meer..?
Oh jee, Firefox begint steeds meer op IE te lijken...
Behalve dan dat het nergens anders in je OS gebruikt wordt, en de schade dus beperkter is.

Neemt niet weg dat iedere software idd fouten heeft, en dat dit te verwachten was.
Frapant dat iedereen het zo mild opneemt. Dat loopt meestal wel anders als het, de zoveelste, bug in IE betreft waardoor malafide software wordt ingestalleerd.

Natuurlijk was het maar een kwestie van tijd tot de eerste exploit voor FF werrd geboren. En er zullen er vast en zeker nog velen volgen.
Met dat verschil dat mozilla de bug tenminste héél serieus neemt en er zich vooral niet voor schaamt om de security-message in het lang en het breed op hun site te zetten. Dit om juist te voorkomen dat ze ge-exploit kan worden. Vind het toch een fundamenteel verschil in het omgaan met security bugs. :Y)
En dat is anders bij Microsoft? Niet dus.

Bovendien is er geen patch en wel al een exploit beschikbaar, goh, wat zijn ze fundamenteel goed bezig...
Het is dan ook vrij mild: ik weet sinds gisterenavond het bestaan van deze bug, en vandaag is er al voor gezorgd dat de bug niet meer exploited kan worden met de standaard Firefox 1.0.3, door een server-side aanpassing. Probeer http://greyhatsecurity.org/vulntests/ffrc.htm maar eens: bij mij werkt het in ieder geval niet meer.
Een aanpassing op client-niveau zal waarschijnlijk niet lang op zich laten wachten.

Akkoord dat zo'n bug er niet mocht inzitten, maar zoals zoveel vermeld in deze topic komt dit in alle software voor. Pluim voor Mozilla omdat het zo snel reageert!
Dit soort software wordt op een gegeven moment ook te complex. Internet Explorer is een goed voorbeeld van hoe een van nature simpel programma door alle benodigde ontwikkelingen en bugfixes zo uitgebreid is geworden dat niemand meer weet waar wat zit en exploits aan de lopende band worden gevonden.

Tenzij ontwikkelaars bij Firefox heel erg strak te werk zijn gegaan in de ontwerpfase (wat ik denk dat ze wel gedaan hebben hoor, maar toch) wordt ook Firefox uiteindelijk een bende... kom op techies, fix die shitz :P
Wanneer ook de security in de operating system laag goed geregeld is, hoef je je niet zoveel zorgen te maken over de programma's die erbovenop draaien. Zelfs al zie ik door de gaten de browser niet meer, no way dat ie meer credentials krijgt dan mijn normale user account. Daarvoor moet er namelijk ook een andere bug misbruikt worden in een service die als administrator draait. Wordt het opeens knap lastiger :P

Bij Windows is het standaard onveilig (want in de eerste instantie een admin account) en moet je zelf actie ondernemen om het veilig te krijgen (restricted accounts aanmaken). Ze zouden eens een voorbeeld moeten nemen aan Mac OS X, daar staat het root account in de eerste instantie gewoon uit.
Alles bij elkaar vind het het bij FF beter geregeld dan bij IE.

Als ze bij IE een dergelijke bug vinden dan zeggen ze "Dinsdag is er weer een patch dag! wacht maar af!"

Bij FF passen ze iig de de install procedure aan door er random chars aan toe te voegen om de exploit de nek om te draaien. De Dev'ers van FF wachten niet tot de zoveelste dinsdag van de maand. Dan hebben ze mooi even de tijd om de patch te schrijven&testen en als die goed is kunnen we waarschijnlijk snel een patch ontvangen van FF.
Een groot voordeel van IE (voor consumenten) is dat de updates meegenomen worden in Windows Update. Denk niet dat veel thuisgebruikers elke week naar www.firefox.com surfen om te kijken welke patches ze moeten installeren...
Daarvoor bestaat er een geintegreerde update functie in firefox :)
Die bij mij bijv. nog nooit dienst heeft gedaan.
Er was altijd wel wat mee.

Ik heb ook weer een volledige versie moeten downen om bij te blijven en heb 1.01 en 1.02 overgeslagen door update problemen.

er zijn genoeg mensen die waarschijnlijk nog met de eerste versie werken die er door iemand anders is opgezet.
Die niet werkt en waarvan FF zelf zegt dat je er niet op moet vertrouwen.

Niet zo handig dus.
Flauwekul, alleen normale patches verschijnen op vaste data/dagen, hotfixes voor critical vulnerabilities worden zo snel mogelijk vrijgegeven.
"En wat roepen de IE-flamers nu?"

ZUIGEND! Zulke dingen zullen altijd blijven komen, maar vervelend is en blijft het.
Wat verwacht je anders dan? Alle FF adepten lopen nog steeds vrijwel dagelijks IE af te zeiken dat het zo onveilig is.
Dan krijg je dus een koekje van eigen deeg terug.... heel erg logisch.
Ik heb hier al eens eerder voor gewaarschuwd om niet blind FireFox als veilige browser te accepteren. En dat blijkt nu wel weer, hoewel het in dit geval nog enigzins meevalt.
Geen enkel stukje sofware is veilig.... niet als je het gebruikers vriendelijk wil houden tenminste....
sure... maar bekijk het zo er wordt nu 1 duidelijk voorbeeld gevonden van een exploit. ik zeg niet dat het de enigste exploit in FF is. echter men is erachter gekomen men gaat er direct aan werken aan de serverzijde is al een oplossing.
nu gaan we eens naar IE en kijken we hoelang het duurt eer daar exploits worden opgelost (als ze worden opgelost). Sure zoals je al aangeeft in ieder stukje software kunnen (grote) fouten zitten maar het is de vraag hoe de programmeurs ermee omgaan. en imo gaat de FF foundation er toch net wat beter mee om dan MS.
Hmm.. ja maar hoeveel servers gaan die oplossing ook daadwerkelijk draaien.. Dat is wel ffkes wat anders.. Microsoft heeft vaak ook al een snelle oplossing, tegenwoordig zelfs erg snel, en die exploit in ff is echt al wel langer bekend onder de insiders..
@SuperDre: Het gaat hier alleen om de firefox addons en updates server.
en hoeveel mensen updaten hun IE? of hun IIS? dat men niet update is een ander verhaal.
en dat MS snel is met updates zien we
http://secunia.com/product/11/
en ga dan eens kijken heoveel bugs men nog te fixen heeft.. of waar men maar tijdelijke work arounds voor maakt. of sterker nog helemaal niet fixed.
en bekend onder insiders.. sure geef me een post wanner deze bekend is geworden en wanneer de temp. serverside fix er was en ben er ook vrij zeker van dat de FF1.0.4 snel in de omloop is. ik snap nog steeds niet hoe men erbij kan komen dat MS met hun maandelijkse fixes snel genoemd kan worden er zijn onderhand wel honderden artikels te vinden over dat opensource oplossingen gewoon sneller zijn met fixes tov closed source en MS met name dan.
Serverzijde, ja, heel leuk. erg veel IE exploits zijn zo ook ongedaan te maken. Je past gewoon het stukje code aan wat kwaad doet.

Dit is geen fix, dit is de eigenaren van webservertjes vertellen dat ze iets moeten veranderen omdat anders browsers kunnen gaan flippen, dat kan MS ook.

Daarbij worden addons en dergelijke vanaf veel meer verschillende servers gedraait, dus niet alleen binnen mozilla, maar ook daarbuiten. Het is namelijk niet moeilijk om een addon "server" te maken, zijn gewoon een stel regels code.
Tsja, ik heb nog steeds nergens last van; browser draait onder een apart user id (speciaal voor browsing) op m'n linux bak. In het ergste geval zou ik dat account opnieuw moeten aanmaken.

Vergelijk dat met IE onder windows: dat is by design onveilig. En dat heeft niets met afzeiken te maken, maar puur met harde feiten.

Bovendien weet iedereen die software schrijft dat er niet zoiets bestaat als foutloze software of software zonder veiligheidslekken. De frequentie van het voorkomen van die lekken en de snelheid waarmee ze worden gepatched is dan ook zeker significant. Feit blijft dat dit soort fouten bij de Moz foundation sneller worden gefixed dan bij MS, en dat firefox minder vulnerabilities kent.
Ooit overwogen om op een windowsbak IE ook gewoon onder een apart user id (speciaal voor browsing) te laten draaien? Kan immers net zo makkelijk.
@^Tijger^
Op welke optie doel je dan precies?
"En wat roepen de IE-flamers nu?"
IE zuigt! Wil ik Firefox inwisselen voor IE omdat Firefox zo onveilig is, blijkt IE om de een of andere reden niet op Linux te draaien :)
hahahhaha

dat is de mentaliteit :P
"En wat roepen de IE-flamers nu?"
Ahum...komt-ie dan hè:
"Ik loop geen risico met IE, ten eerste heb ik een oude versie en daar worden geen bugs meer voor gemaakt, en ten tweede surf ik uitsluitend naar Nederlandse thuispagina's, en aangezien exploit een Engels woord is....... :Y)
Ik gebruik Firefox 1.0.3 en als een website bij mij iets wil installeren, wordt dat netjes gevraagd en kan ik cancellen. Ik geef dan ook alleen MCAFEE en Mozilla zelf toestemming, de rest kan de spreekwoordelijke boom in! Ik snap dan ook deze ophef niet en jij begrijpt het blijkbaar niet.

Veel geschreew, weinig wol.
Internet Explorer rulez!!!! :Y) }:O :r :7 :> :9

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True