Mozilla Foundation reageert op rapport Symantec

De president van Mozilla Europe, Tristan Nitot, heeft in een artikel op ZDNet gereageerd op de berichten die de afgelopen week verschenen waarin werd gemeld dat Internet Explorer de afgelopen maanden minder veilgheidsproblemen had dan Firefox. Volgens Nitot is Mozilla veel beter in staat om te reageren op veiligheidsproblemen dan Microsoft.

Firefox en Internet Explorer broederlijk in elkaars armen Het rapport waar de berichten over Internet Explorer en Firefox op waren gebaseerd was afkomstig van Symantec. Nitot noemt de snelheid waarmee veiligheidsproblemen in Firefox worden opgelost veel beter dan de reactiesnelheid van Microsoft. Als voorbeeld noemt hij de IDN-bug die Firefox afgelopen maand in het nieuws bracht. Volgens Nitot was de dag na de bekendmaking van de bug al een 'handmatige' oplossing voor het probleem beschikbaar en binnen tien dagen was er een nieuwe versie (1.0.7) van de browser die het probleem volledig oplost. "Als je dan kijkt naar Microsoft, die slaat zijn maandelijkse patch deze maand over, waardoor er dus geen enkel probleem wordt opgelost.", aldus Nitot. Ook wijst de Mozilla-baas er op dat de veiligheidsproblemen volgens statistieken van Secunia in Firefox over het algemeen minder ernstig zijn dan die in Internet Explorer.

Volgens Nitot is het echter niet onwaarschijnlijk dat er de komende tijd nog veel meer bugs in Firefox bekend worden. Dit wordt volgens hem dan veroorzaakt doordat de browser steeds meer gebruikt wordt en de broncode vrij beschikbaar is. Hij zegt dan ook dat mensen die overgestapt zijn van Internet Explorer naar Firefox zichzelf moeten afvragen of dit wel voldoende is om veiligheidsproblemen te voorkomen. "De mensen moeten er niet van uit gaan dat het veranderen van de browser voldoende is, maar moeten ook kijken naar een totaal andere veiligheidsconfiguratie".

Reacties (52)

NNF 22 september 2005 17:19

Hij zegt dan ook dat mensen die overgestapt zijn van Internet Explorer naar Firefox zichzelf moeten afvragen of dit wel voldoende is om veiligheidsproblemen te voorkomen. "De mensen moeten er niet van uit gaan dat het veranderen van de browser voldoende is, maar moeten ook kijken naar een totaal andere veiligheidsconfiguratie".

Kijk, deze meneer begrijpt het tenminste. Hij zegt in feite wat iederéén zou behoren te weten: security is a process, not a product. Dat houdt dus óók in: je besturingsysteem up to date houden, een goede virusscanner draaien (als je gebruik maakt van Windows), een goede firewall draaien of gebruik maken van NAT, geen antieke pruts-OS'en als Windows 9x draaien, en last but not least: je verstand gebruiken tijdens het surfen met eender welke browser.

Verwijderd @NNF • 22 september 2005 18:00

Mhh... krijg nu toch wel mijn bedenken. Als ik nu zo'n oude Windows 3.11 kist aansluit op internet ... heb ik dan ook problemen met virussen ? Wie schrijft er nu dan nog virussen voor Windows 3.11. Hetzelfde geld met veiligheid; als jij als hacker ergens in wilt breken ga je er in eerste instantie vanuit dat de desbetreffende PC Windows 98 tot windows Loghorn of een Linux variant draait. Kom je er dan naar 20 uur hacken achter dat het Windows 3.11 is dan ren je schreeuwend en huilden naar je moeder of je vrouw en je verwijt jezelf 'hoe kon ik daar 20 uur voor nodig hebben'

Hyronymus @NNF • 22 september 2005 17:36

Daar ben ik het helemaal mee eens. Des te vreemder is het dat je toch erg vaak het 'advies' hoort om FF te gebruiken omdat dat 'gewoon' veiliger is. Als je even een stapje maakt naar auto's: SAAB heeft erg veilige modellen maar als je in een SAAB met 120km/h op een betonwand rijdt ben je even dood als in een Chinese terreinauto (ben de naam even kwijt), dood = dood.

Misschien dat mensen zich meer moeten realiseren dat ze niet zo onmachtig zijn in het bepalen van hun eigen veiligheid.

Andros @Hyronymus • 22 september 2005 17:52

Dat is de Landwind. Maar als je op datzelfde muurtje knalt met 30 dan overleef je het in de Saab beter dan in de Landwind...

Hyronymus @Andros • 22 september 2005 18:08

Helemaal mee eens maar het ging mij erom om aan te tonen dat veiligheid mede-afhankelijk is van wat je doet.

TheCapK @NNF • 22 september 2005 19:26

De versie van je OS zou niet uit moeten maken als je je veiligheid up to date hebt! Ik heb zelf een tijdje nog win98 SE gedraaid terwijl er diversen in mijn omgeving op XP werkten en heb in die tijd minder problemen gehad dan die XP mensen.
Mijn ouders draaien nog steeds 98 SE omdat hun PC te oud is voor XP en daar heb ik ook de veiligheid goed in orde gebracht! Resultaat: geen problemen met virussen!

Kortom: het OS maakt niet uit, je veiligheidsmaatregelen wel!

Sfynx @TheCapK • 23 september 2005 14:59

Windows 98 is inherent onveilig, elk proces heeft volledige toegangsrechten.

Cybje @NNF • 22 september 2005 17:51

Of juist nog antiekere pruts-OS'en draaien, zoals Windows 3.1, want die doen geen TCP/IP

Verwijderd 22 september 2005 17:09

Ik vond de vorige publicatie over dit onderwerp al teveel pro IE, gelukkig wordt dat bij deze rechtgezet. Goed puntje trouwens dat genoemd wordt dat alleen van browser verwisselen het niet veel veiliger zou maken. Firefox is geen wondermiddel.

Verwijderd @Verwijderd • 22 september 2005 17:13

Ik vond het juist eens weer eindelijk een positief verhaal over IE.
Naar mijn mening nog steeds niks mee.

Verder maakt hij inderdaad een goed punt dat browser wissel het veiligheids probleem niet meteen oplost.
Daarom, als je gewoon oplet wat je doet hoef je ook niet van browser te wisselen.

Dus niet zoals hierboven gesuggereerd wordt overstappen naar linux, maar gewoon opletten wat je doet!

Little Penguin @Verwijderd • 22 september 2005 17:21

Daarom, als je gewoon oplet wat je doet hoef je ook niet van browser te wisselen.

Dat is inderdaad niet nodig als je IE op Windows XP met SP2 gebruikt. Gebruikers van IE op oudere computers zouden dat wel moeten overwegen, op die systemen kan IE namelijk nog heel lek zijn. Het installeren van ActiveX controls (zonder tussenkomst van de gebruiker) wordt op die systemen standaard namelijk niet goed geblokkeerd.

EnsconcE @Verwijderd • 22 september 2005 17:30

Naar mijn mening nog steeds niks mee.

Nu wil ik je niet persoonlijk aanvallen maar als ik jou was zou ik het bericht nog een keer doorlezen. Veiligheidslekken mogen eigenlijk niet in software, maar ze komen wel voor. Mozilla reageert hier gelukkig heel snel op, daar waar IE een hoop te wensen overlaat. Daarnaast is IE een browser en firefox meer op de gebruiker gericht.

Verwijderd @Verwijderd • 23 september 2005 09:49

Firefox is geen wondermiddel

Nee, maar Firefox (en andere browsers ook) is wel een geneesmiddel voor de slechte gezondheid van het internet.

De aanwezigheid van alternatieve browsers dwingt web ontwikkelaars om goede sites te schrijven, die netjes aan de standaarden voldoen. Na een aantal jaren zullen de troep-websites verdwenen zijn en kunnen browsers aanzienlijk eenvoudiger worden.

Het bouwen van een browser die netjes de standaard volgt is namelijk veel eenvoudiger, een hoop code kan uit bestaande browsers worden verwijderd. Een eenvoudige browser is automatisch ook veiliger.

Er is dus ook een lange termijn verhaal, waardoor je een alternatieve browser zou moeten gebruiken, als het internet en de veiligheid daarvan je lief is.

NeoXP 22 september 2005 17:08

"De mensen moeten er niet van uit gaan dat het veranderen van de browser voldoende is, maar moten ook kijken naar een totaal andere veiligheidsconfiguratie"

Hij bedoelt natuurlijk FF draaien op Linux

edit: het was als grap bedoeld hoor!

Pmf1971 @NeoXP • 22 september 2005 18:22

Ik installeer bij al mijn klanten het volgende (met toestemming):

Microsoft antispyware
Hitman Pro 2
Mozilla Firefox
Mozilla Thunderbird
AVG Free edition antivirus.

Deze combi van GRATIS software zweer ik bij. Al mijn klanten die dit hebben, hebben nagenoeg geen last van spyware of virussen of wat ook. Werkt als een speer en het zijn ook nog eens lichte programma's, XP SP2 op een p3-800 met 256MB draait zelfs nog lekker ermee. Al mijn klanten zijn er zeer tevreden over.

Verwijderd @Pmf1971 • 22 september 2005 20:41

Tsja op zich geen slechte keuze, maar wat als de klant met een PDA of zijn mobieltje wil syncen? Volgens mij moet je dan weer uitwijken naar Outlook of Outlouk express.
Of heb je hier een oplossing voor?

dusty @Pmf1971 • 23 september 2005 19:42

"AVG Free edition antivirus"

Die is gratis voor THUIS gebruikers.. als jij dat dus bij zakelijke klanten installeer ben JIJ en de klant fout bezig.

DeadMetal @Verwijderd • 22 september 2005 19:58

@Briandewis: Bron? Bewijs? Argumentatie?

Little Penguin @NeoXP • 22 september 2005 17:15

Nee, dat bedoelt hij niet. Het gaat hier meer over het niet zomaar klikken op links, niet zomaar prive gegevens invullen e.d.

Ook moet je niet zomaar op "yes" klikken bij iedere vraag die gesteld wordt (bijvoorbeeld voor het installeren van software - xpi (Firefox extensies) en plugins.

In Internet Explorer was het te gemakkelijk om Active-X (IE extensies) te installeren. Met het gevolg dat veel computers onder de spyware geraakten - dit is nu sterk verbeterd.

De gebruiker zelf moet altijd echter een stukje gezond verstand gebruiken bij het rondsurfen op het internet. Helaas zijn hele volkstammen opgegroeid met het idee dat je niet op hoeft te letten als je op het web rondsurft...

Edit: Maar ook op een grap kun je serieus reageren

Blokker_1999

Bedrijfsnieuws

@NeoXP • 22 september 2005 17:18

Niet enkel vertrouwen op de browser maar ook andere maatregelen nemen zoals anti-spyware en anti-virussoftware en ook een firewall uiteraard. en daarnaast gewoon je gezond verstand gebruiken.

Verwijderd @Blokker_1999 • 22 september 2005 17:21

ff offtopic

Ik heb sinds ik firefox gebruik niks maar dan ook niks meer van spy- of malware binnengekregen. ik scan met Ad-aware en Spybot en ze vinden beiden niets!!!!! Go Firefox

BramT @Verwijderd • 22 september 2005 18:46

Gebruik IE sinds versie 4 ofzo en net zo goed nog nooit spy- of malware binnengekregen. ik scan met Ad-aware en Spybot en ze vinden beiden niets!!!!! Go IE

Zoals ik al eerder heb gepost en wat mr Mozilla hier ook deels aangeeft, het heeft allemaal niet zoveel (meer) met je browser te maken. Gewoon gezond verstand is 99% van de oplossing.

_Pussycat_ @Verwijderd • 23 september 2005 01:31

Met IE 4.0 surfen is anders echt behoorlijk leip hoor, zeker als je de 'gebaande paden' verlaat. Met SP2 is het wel allemaal een stuk beter geworden, dat geef ik toe.

Verwijderd @Verwijderd • 22 september 2005 18:08

heb ik al maaanden geen last meer van sinds SP2
op IE dan

Verwijderd @NeoXP • 22 september 2005 22:42

grap of niet, zeker weten dat als je naast van browser te wisselen ook meteen maar Linux als hoofd-OS neemt je heel wat veiligheids zorgen minder hebt! Heb M$ al een paar jaar geleden vaarwel (nou ja, wel) gezegd, en ben inmiddels een dik tevreden linux user. Net zo makkelijk allemaal.

Andros 22 september 2005 17:53

Het leuke is dat dat bericht van Symantec alle nieuwsmedia gehaald heeft maar dit soort rechtzettingen leest iedereen overheen. Meestal omdat het originele artikel met koeienletters in de krant stond en de rechtzetting in een klein kuthoekje op pagina 13 tussen de pornolijnen...

Athlon_2o0o @Andros • 23 september 2005 11:16

En jij denkt dat mensen de pornolijnen niet lezen

Verwijderd 22 september 2005 17:19

Of je activeert het unieke SurfRight systeem van Hitman Pro. Die ontneemt Internet Explorer en Firefox de rechten om software te installeren of het systeemregister en bestanden te manipuleren. Deze browsers (en de daaruit voortkomende processen) hebben dan niet langer dezelfde rechten als de gebruiker. Werkt super.

Verwijderd 22 september 2005 17:13

Hij komt in het bericht niet voor, echter Opera is toch wel weer een stuk veiliger dan beide bovengenoemden. Door over te stappen op Opera ga je er qua veiligheid toch wel degelijk op vooruit.

veltnet @Verwijderd • 22 september 2005 17:17

Ik denk niet dat het erg veel uitmaakt welke browser je gebruikt als je tegelijkertijd geen virusscanner/firewall hebt geinstalleerd.

Je kunt je voordeur dichtmetselen, maar dat heeft geen zin als je de achterdeur open laat staan

woekele @veltnet • 22 september 2005 18:33

Virusscanners zijn onzin. Helemaal die auto-protect functies die je PC sloom maken. Het kan soms even handig zijn om een enkel bestand dat je gedownload hebt van internet te kunnen scannen, maar verder niet. Als je zelf een beetje oplet, kan je nooit zomaar een virus krijgen.

Zorgen dat je windows up-to-date hebt en een firewall (mag ook NAT zijn) is in principe genoeg.

the_shadow @woekele • 23 september 2005 01:01

Het kan ook voorkomen dat een website die je normaal gesproken vertrouwt, wordt geinfecteerd waardoor jij ook zomaar de pineut kan zijn. Die heurestic mode ziet dan wel degelijk dat er iets niet in de haak is en zal dan ook voorkomen dat je computer wordt geïnfecteerd/beïnvloed door corrupte code.

Met alleen een NAT en een up to date Windows houdt je het niet lang virus/malware vrij. Een NAT beschermt alleen maar tegen inkomend verkeer (mits natuurlijk goed geconfigureerd, anders beschermt hij helemaal niet), maar tegen uitgaand verkeer doet hij niets. Mocht er onverhoop een keylogger op je systeem zijn gekomen (omdat je geen virusscanner draait), dan kan die keylogger toch nog gewoon alle data netjes doorsturen, en jij zal nooit wat in de gaten hebben.

Voor alom beveiliging van je systeem heb je toch echt een virusscanner en een firewall (of een server met daarop een firewall die zowel inbound als outbound verkeer controleerd) nodig.

woekele @woekele • 23 september 2005 10:22

Wat een onzin. Ik draai jaren met alleen up-to-date windows en een firewall, geen virusscanner. Toch nog nooit een virus gehad. En een website kan mn computer echt niet besmetten. Dan moet er een serieus lek in je browser zitten waardoor dit zou kunnen.

Er kan per ongeluk een virus zitten in een bestand dat je download. Maar zoals ik zei: die scan ik handmatig met een virusscaner (geen auto-protect o.i.d).

Eerlijkheidshalve moet ik toegeven dat op mn ouders PC wel een virusscanner staat die constant alles in de gaten houdt. Maar dat is gewoon omdat mn ouders niet snappen wat ze wel en niet mogen openen.

martijnvanegdom @Verwijderd • 22 september 2005 18:30

Ik durf er wel een wedje op te zetten, dat als Opera ook een usage gaat kennen van 10% dat de lekken vanzelf zullen binnen stromen.

Firefox is nu ook interessant geworden om exploits voor te schrijven. Zoeken naar lekken in Firefox loont dus nu voor de virus/trojan schrijvers.

Opera, mag dat misschien wel veiliger zijn. Ik ben benieuwd hoe lang dat stand zal houden als Opera groot word.

Verder is Opera een fijne browser, maar op sommige punten, zoals de css ondersteuning is tie ook niet alles. Maar daar is geen enkele browser goed is. Oja.. eigenlijk wel Lynx die ondersteund gewoon weg geen css

edit : redactie op kidde

Als het puur budgetair lag. Waarom heeft Microsoft dan Internet Explorer niet bug-vrij gemaakt? Daarnaast, hoeveel mensen zouden er aan Internet Explorer werken en de bron code bekijken? Daarnaast misschien voor Firefox dat er inderdaad minder mensen mee actief zijn.. maar zouden er voor internet explorer er echt 8x zoveel mensen aan het werken zijn?

Neem KDE, ik heb weleens begrepen dat daar 800 mensen actief elke dag mee bezig, plus nog eens 1.000-en code reviewers. Zo mijn microsoft echt meer dan 5000 duizend man hebben zit op hun grafische schil en er meer dan 8000 hebben die de code reviewen?

kidde @martijnvanegdom • 23 september 2005 00:06

Vergeet niet, Opera is een bedrijf. Als meer mensen het (betaald) gebruiken, kan Opera meer werknemers aannemen en het budget verhogen om de boel veiliger te maken (dat geldt natuurlijk al langer voor IE).

Bij Firefox is het aantal mensen dat de code doorneemt helaas minder evenredig aan het aantal gebruikers, hoewel wel steeds meer FF-mensen nu voor een bedrijf gaan werken.

O, en Lynx is trouwens zó 20e eeuw; in de 21 is het alles Links wat de klok slaat! (En MSN.com lijkt er goed in)

s463042 @mimic • 22 september 2005 18:02

8.5 al geprobeerd? Die is namelijk voor elke website precies zo aan te passen dat het altijd werkt. Of de site nu voor IE only, Mozilla only (ja, ook die heeft zijn kronkels) of wat dan ook geschreven zijn. Iedere browser heeft zo zijn tekortkomingen, maar in Opera kun je het gedrag in ieder geval aanpassen.

Fred-Erik @s463042 • 22 september 2005 19:20

Heb ik iets gemisd? Waar zit die functie?

Verwijderd 22 september 2005 17:36

Volgens Nitot was de dag na de bekendmaking van de bug al een 'handmatige' oplossing voor het probleem beschikbaar en binnen tien dagen was er een nieuwe versie (1.0.7) van de browser die het probleem volledig oplost.

Beetje scheef zo, want het grootste gedeelte van de IE exploits kunnen ook direct opgelost worden via een 'handmatige' oplossing, zoals het uitschakelen van ActiveX. En dit wordt vaak al direct dan aanbevolen door de security websites die de exploits in het nieuws zetten.

Dan zou je als pro-IE gebruiker meteen kunnen zeuren dat het dus een 0-day oplossing beschikbaar is, echter vindt ik al dat pro-dit en pro-dat onzin. Een zeer groot gedeelte van de gebruikers die de statistieken voor gebruik opmaken, heeft vaak geneens de keus voor wat anders. Vaak doordat de software door de IT-admin wordt beheert, en die eventueel een pro-IE keuze moest maken door interne Intranet software (of Windows Update website). En een groot ander gedeelte vindt het te moeilijk of te lang (dial-up), die is al lang blij dat ze op de knop kunnen drukken om hun e-mail te lezen.

[off-topic]
Voor mij als developer verandert er ook niks, ik moet noodgedwongen met alle versies (IE, FF, NS, Opera en Safari) in de slag om een zo groot mogelijke ondersteuning voor websites te krijgen.

Ben eigenlijk blij dat Opera door de volledige gratis overgang nu misschien een groter marktaandeel gaat verkrijgen, want qua ondersteuning van de W3C standaarden en de bijbehorende snelheid staat die voor mij bovenaan.

TheCapK @Verwijderd • 22 september 2005 19:31

Dat geldt ook voor de FF exploits! Vergeet echter niet dat MS niet zo snel zelf met de oplossing komt aandraven en FF doet dit wel! Dat is het punt waar het om gaat!
MS reageert gewoon heel langzaam. Als XP een kritieke fout ontdekt en ik stuur een Error Report dan duurt het al een week minimaal voordat ik ook maar hoor dat mijn report is ontvangen. We zullen het dan maar niet hebben over reactie op het probleem zelf!

Glashelder

@Verwijderd • 22 september 2005 20:50

Heb je wel eens geprobeerd ActiveX uit te schakelen? Ik kan je dit zeggen; als je een pagina tegenkomt waar je geen waarschuwing krijgt van:

"deze pagina maakt gebruik van ActiveX controls blabla aanzetten zus zo"

dan is het een wonder

sopsop 22 september 2005 18:10

en binnen tien dagen was er een nieuwe versie (1.0.7) van de browser die het probleem volledig oplost

Dat vind ik overigens wel een nadeel van FireFox. Iedere keer weer een nieuwe versie neerzetten. Daarnaast werd deze kritische bug niet automatisch gemeld. Ik moet dus zelf op zoek of er nog kritische bugs zijn opgelost en of daar een nieuwe versie voor beschikbaar is.

Kan aan mij liggen hoor, maar bij IE wordt ik daar wel automagisch van op de hoogte gesteld.

Verwijderd @sopsop • 22 september 2005 19:24

Gelukkig hebben de ontwikkelaars deze lancune ook ontdekt en hebben zijn in versie 1.5 wel een automagische update functie ingebouwd die in tegenstelling tot nu wel in staat is om delen van de browser te updaten. Dit in tegenstelling inderdaad tot de huidige manier van updaten waarbij elke keer een hele binarie moet worden gedownload.

Voordeel blijft in elk geval dat je niet je pc moet herstarten bij een update

TheCapK @Verwijderd • 22 september 2005 19:32

automagische update???? Die update zichzelf zonder dat de PC aan staat????

ronaldvr @Verwijderd • 23 september 2005 10:23

Overigens hoop ik dat ze het wel beter aanpakken dan bij MS. Daar kun je niet een compleet gepatchte versie ophalen van IE. Je moet altijd éérst IE installeren, en dan alles patchen... Bijzonder onhandig.

Pmf1971 @sopsop • 22 september 2005 18:29

gelukkig is er de autoupdate feature van firefox, die geeft dat netjes aan en downloadt zelf zijn eigen nieuwe versie. Is echt geen drol aan en is zo gebeurd, sneller nog dan microsoft's automatische updates (waarbij je meestal ook nog eens moet rebooten).

Andros @sopsop • 22 september 2005 19:11

Kwestie van dat installfiletje draaien. Firefox is een redelijk nieuwe browser en nog steeds in ontwikkeling. Dat patchen zal in een toekomstige versie heus wel komen, daar twijfel ik niet aan. Ze patchen het tenminste meteen, kan ik van die andere door me strot geramde browser niet zeggen...

i-chat 22 september 2005 23:14

was - binair patchen van FF geen feature van FF-1.5????

EDIT: - reactie op > sopsop

Dat vind ik overigens wel een nadeel van FireFox. Iedere keer weer een nieuwe versie neerzetten.

Sfynx 23 september 2005 15:10

Hij zegt dan ook dat mensen die overgestapt zijn van Internet Explorer naar Firefox zichzelf moeten afvragen of dit wel voldoende is om veiligheidsproblemen te voorkomen. "De mensen moeten er niet van uit gaan dat het veranderen van de browser voldoende is, maar moeten ook kijken naar een totaal andere veiligheidsconfiguratie".

Dit zal niet zo snel veranderen vrees ik. De meeste mensen die ik ken weten geen zak van computers en al helemaal niet dat het tegenwoordig volkomen onverantwoord is om alles te doen met een beheerdersaccount. Een proces niet meer rechten geven dan nodig (oftewel het 'least-privilege' concept) is de enige effectieve manier om de gevolgen van een beveiligingslek te verlichten. Je moet aannemen dat wat de gebruiker draait vol met gaten zit, en zorgen dat dat geen bal uitmaakt.

Maar nee, dat vinden ze vervelend omdat ze dan van account moeten switchen om een programma te installeren. Maar ga dan ook niet vragen of ik het wil fixen als heel Windows kapot is door een gat in je browser.

De gezinscomputer hier draait gewoon Internet Explorer en die bekende vragen om iets te installeren komen niet tevoorschijn onder een gelimiteerd account. En zou dat wel gebeuren, dan zou het installeren falen na een naieve klik op Ja. Dat systeem is al twee jaren spyware- en virusvrij.

De browsers zijn prima, de gebruikers meestal niet.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (52)

Sorteer op:

Weergave: