Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 25 reacties
Bron: ZDnet

Het Amerikaanse Department of Homeland Security heeft een open standaard laten ontwikkelen waarmee gebruikers kunnen meebeslissen over de ernst van softwarefouten. Het zogenoemde CVSS of Common Vulnerability Scoring System moet wereldwijde aanpak van lekke programma's mogelijk maken. Het Forum of Incident Response and Security Teams, kortweg FIRST, heeft van het ministerie de opdracht gekregen om verdere ontwikkeling te coördineren. Dit internationale consortium - waar bijvoorbeeld de Incident Response Teams van Sun en Microsoft, maar ook die van ABN Amro en Ernst & Young deel van uitmaken - zal het systeem op maandag presenteren.

FIRST-logo Gebruikers van het systeem kunnen bugs een cijfer tussen de 1 en de 10 geven. Daarnaast worden factoren als de verspreiding van malware en de beschikbaarheid van patches meegewogen. De belangrijkste doelen zijn het eenvoudiger stellen van prioriteiten en het voorkómen van dubbel werk, meent de FIRST. Bovendien stelt het systeem 'risk assessment managers' in staat om vergelijkingen tussen verschillende softwareleveranciers te maken.

Diverse bedrijven, zoals Symantec, ISS en Qualys, hebben aangegeven de CVSS-ratings te gaan gebruiken. Cisco biedt zelfs al CVSS-waarderingen op haar site aan. Microsoft, volgens een Gartner-analist 'de grootste leverancier van kwetsbaarheden op de desktop', ziet echter weinig heil in de nieuwe standaard. 'Onze gebruikers hebben duidelijk gemaakt dat het waarderingssysteem dat we sinds 2002 hanteren, goed functioneert', aldus Microsoft-beveiligingsexpert Kevin Kean. Hij gaf echter wel aan dat wanneer klanten om CVSS vragen, MS overstag zal gaan.

Microsoft bug report-dialog
Moderatie-faq Wijzig weergave

Reacties (25)

Eindgebruikers moet je nooit ongecontroleerd, zonder toezicht een oordeel laten geven over de ernst van een bug. Kans dat een gebruikers het cijfersysteem misbruikt om zijn ongenoegen constant te laten merken door de hoogst mogelijke prioriteit aan te geven is dan namelijk erg hoog. Bug waarderingen moet je gebruikers laten uitdrukken in hun eigen woorden. Zo kan je veel duidelijker een 'waarheid' benaderen omdat een oordeel dan valt te wegen aan de hand van de achterliggende gedachte. Een cijfer zegt weinig over waarom het cijfer gegeven wordt en is zeer snel vatbaar voor 'foute' waardering ten opzichte van elkaar.
Nee, momenteel is het lekker dan, nu geven softwaremakers zelf aan wat de rating van hun bug is. Alsof het ratingsysteem dan niet misbruikt wordt!
Dat is inderdaad ook iets wat je eigenlijk niet wil. Maar als je het de softwaremakers laat doen heb je ieg een plek waar je flink op kan zeiken als het niet klopt of fout gaat. Met miljarden gebruikers die al hun fouten op hun computer de belangrijkste fout op aarde vinden (En dat vinden ze!) kun je helemaal niets beginnen...
Microsoft ziet echter weinig heil in de nieuwe standaard
Laf, maar logisch; iedereen die MS/Gartners/Yankee's rapporten bekijkt (Gartner wordt overigens gesponsord door MS), ziet altijd dat Red Hat zogenaamd 'onveiliger' is (meer onbeschermde dagen).
Steevast is het antwoord van Red Hat (en ook van mij als Linux-gebruiker) op zulk soort rapporten
*dat de onderzoeksbureau's betaald zijn door en in opdracht werken van Microsoft,
*Red Hat en alle andre Linux en ook BSD distro's een andere rating toepassen (Een 'moderate' Microsoft-bug zorgt voor meer risico dan een Red Hat 'moderate' bug)
*Red Hat en andre Linux-distro's veel meer standaard geinstalleerde software hebben
Bang dat Microsoft is dat mensen nu ook toegang hebben tot een objectievere bron, doen ze er natuurlijk niet aan mee.
Zelf ben ik allicht wat bevooroordeeld, zoals al gezegd, en daarom juich ik het van harte toe dat MS hieraan deel zou nemen; als 'onafhankelijke' rapporten echt aantonen dat MS 'veiliger' is, zouden ze hier graag aan mee moeten doen, want als dit aantoont dat MS veiliger is, is dat betere reclame dan heel de Get the Facts campagne met grote advertenties bij elkaar.
Maar vooralsnog is de weigering voor deelname een bevestiging van mijn vermoeden dat ze bang zijn dat mensen achter de objectieve waarheid komen: De hele Get the Facts campagne is bevooroordeeld, door MS betaald en gelogen, kortom: B***S***, en deze weigering is dus koren op de molen van de Open-Source lobbyisten.
Die conclusie van jou is anders ook niet veel waard.
Wie weigerde onlangs ook alweer om een samen met MS onderzoek te doen naar Linux/Windows?

ik zeg niet dat dat onderzoek onafhankelijk zou zijn
Klinkt nogal onzinnig IMHO. Hoe weet een end-user nou hoe belangrijk een security lek is?
Het is in mijn ogen een beetje een misleidende titel, maar het gaat hier om de gebruikers van CVSS, wat dus neerkomt op grote bedrijven.

Grote jongens dus, die gebruikers, die toch echt wel weten welke kwetsbaarheden wel en niet ernstig zijn.
En wie moet dat gaan doen binnen een bedrijf? Vaak moet zoiets weer officieel geregeld worden etc.

Het is voor de gebruikers wel beter dat dit zo gebeurt dan wanneer Microsoft zelf alles mag bagatelliseren...
Ik kan nou niet echt zeggen dat een swastika in een lettertype van windows de status "Critical" verdient nee :+
Het moet ook niet de end user zijn maar de eind verantwoordelijke voor een systeem. Dat is totaal iets anders. Zeker als het om bedrijfssystemen gaat.
In het verlengde daarvan zou ik wel eens willen zien dat een OS ontwikkelaar aansprakelijk gesteld kan worden voor een niet goed functionerend geheel waardoor gebruikers eens schadeloos gesteld kunnen worden, ongeacht of dat het hier nu gaat om enterprise gebruikers of thuis gebruikers. De schade die wereldwijd word geleden hierdoor zou ook wel eens in kaart gebracht mogen worden.

Voordeel is dat je een OS ontwikkelaar daarmee ook onbewust dwingt tot betere beveiliging continu. Vind het al erg genoeg dat je uren per week kwijt bent aan scannen naar virussen en andere zaken en op moet letten wat de nieuwste ontwikkelingen zijn op hack gebied !

Toen het internet nog niet zoveel gebruikt werd jaren geleden viel het allemaal nog wel mee, maar het word steeds erger. En een OS, zoals MS verspreid, compleet met internet toegang, mag wel eens wat meer hier aan doen en zonodig aansprakelijk gesteld worden.
Lees maar eens de EULA van Windows.
Dit zou de doodsteek voor de kleine softwareontwikkelaars zijn. Stel er zit een bug in je freeware progje, iemand lijdt er schade door, krijg je ineens een miljoenenclaim aan je broek. Als Linux developer zal je je dan ook wel 3x gaan bedenken voordat je code gaat schrijven...
Dept of homeland security?
Was dat niet die toko die de paranoide van de amerikanen op peil moesten houden?
Dan past het betrekken van mensen bij dit soort problemen er uitstekend bij. Laat ze zich maar druk maken over wat er allemaal verkeerd kan gaan.

Maar wat ik dan niet snap is waarom dat dept bijv microsoft niet kan verplichten aan die CVSS mee te gaan doen. Want in dat opzicht is lijkt het me helemaal niet verkeerd dat ze tenminste gedwongen wordt om te luisteren naar de gebruikers zodat zij kunnen aangeven wat zij belangrijk vinden. Dat kan idealiter mooi gecombineerd worden met de expertise van de bedrijven zelf.
Duh, alsof bedrijven die software verkopen niet naar gebruikers luisteren. Hoe dacht jij dat zij hun software blijven verkopen dan?

Wel grappig dat een OSS fanboy ineens een voorstander is van verplichte rapportages aan Homeland Security, ik neem aan dat jij ook een voorstander bent dat dit dan ook op SuSe, RedHat etc toegepast wordt?
'Onze gebruikers hebben duidelijk gemaakt dat het waarderingssysteem dat we sinds 2002 hanteren, goed functioneert',
als ze afgaan op het nummer van reports dat ze teruggezonden krijgen na een fout, dan zouden ze wel eens gelijk kunnen hebben, ik durf gerust zeggen dat 50% van de win xp gebruikers nl niet weet wat ze ermee motten doen, en nog minder hoe ze het motten afzetten.

ik ervaar die reports namelijk als hoogst irriterend en de helft van die reports worden wss direct weggesmeten omdat het aan programm's van derden ligt.


@ Rataplan

ik weet dat ja, maar weten andere gebruikers dat, ik heb het over mijn beginperiode over xp, toen ik dat nog niet wist ^^
hoogst irritant
Hebben we een forum voor :)
My Computer > Advanced > Error Reporting > Disable Error Reporting
Het zogenoemde CVSS of Common Vulnerability Scoring System moet wereldwijde aanpak van lekke programma's mogelijk maken.
En wie gaat dat dan aanpakken, zij zelf?
Zullen de softwarefabrikanten zich hier iets van aantrekken waardoor ze de lekken sneller gaan dichten? Lijkt mij niet. En de lekken die de hoogste score krijgen hoeven niet meteen het gevaarlijkst te zijn. Het moet niet zo zijn dat softwarefabrikanten straks onbelangrijke lekken eerst gaan dichten alleen maar omdat een stelletje simpele gebruikers daarop gestemd hebben.
Microsoft is toch maar van motto veranderd?
'de grootste leverancier van besturingsystemen op de desktop'

naar:
'de grootste leverancier van kwetsbaarheden op de desktop'
:z
dat gaat werken :)
stel je voor, een pc stampvol met spyware en keyloggers
de jan-met-de-pet-gebruiker zou dan zeggen 'maar het werkt toch?'

Ik denk niet dat het gaat werken, hoogstens onder goed opgeleid ICT-personeel
Objectief meer fouten zou ik zo nog niet durven zeggen ... heb nooit een toonaangevend persoon dat horen beweren

En grotere gevolgen, tja een fout in een operating system heeft natuurlijk meer gevolgen dan een fout in een tekstverwerker en al helemaal als dat OS door de meerderheid van de computergebruikers wordt gebruikt, maar dat is natuurlijk wel erg logisch
, tja een fout in een operating system heeft natuurlijk meer gevolgen dan een fout in een tekstverwerker en al helemaal als dat OS door de meerderheid van de computergebruikers wordt gebruikt, maar dat is natuurlijk wel erg logisch
Zelfs daar zul je voorzichtig mee moeten zijn.
Een fout in een tekstverwerker of spreadsheetprogramma waardoor de kans bestaat dat je geld verliest (verloren werkuren, foute berekeningen door onverwacht gedrag) kan zelfs ernstiger zijn dan een OS bug waar een workaround voor is of die minder ernstig is in een "gesloten" netwerk.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True