Nederlandse overheid gaat gebruik IE niet afraden

De Nederlandse overheid heeft bewust het gebruik van Internet Explorer niet afgeraden toen zich een ernstige kwetsbaarheid in de browser voordeed en zal dit ook niet doen. Alternatieven zouden evenmin veilig zijn. In Duitsland gebeurde dit wel.

Half september werd een ernstige zero day-kwetsbaarheid in Internet Explorer ontdekt, die actief werd misbruikt. De Duitse overheid vond het lek dermate ernstig, dat het gebruikers afraadde de browser van Microsoft te gebruiken. De SP stelde daarop kamervragen waarom dat in Nederland niet gebeurd was en of dat in het vervolg niet zou moeten gebeuren.

Minister van Veiligheid en Justitie Opstelten antwoordt dat het Nationaal Cyber Security Centrum over kwetsbaarheden in verschillende browsers bericht en dat dit ook in de periode van het desbetreffende Internet Explorer-lek is gebeurd voor Apple Safari, Google Chrome, Mozilla Firefox en Opera. "Het advies om over te stappen op een alternatieve browser zou daarom onterecht de indruk van een volledig veilig alternatief wekken", schrijft Opstelten. "Het NCSC heeft de afweging om een alternatieve browser te gebruiken bewust bij de individuele gebruiker en organisatie gelaten."

Volgens de minister is het voor veel gebruikers en organisaties ook niet eenvoudig om over te stappen 'omdat interne programma’s vaak afhankelijk zijn van het type browser dat wordt gebruikt'. Op 21 september bracht Microsoft een patch voor het lek uit en het NCSC adviseerde gebruikers dezelfde dag deze update door te voeren. Opstelten ziet geen reden in de toekomst te adviseren een bepaalde browser met kwetsbaarheden niet te gebruiken.

IT-banen

Reacties (108)

Eelke Spaak 4 oktober 2012 08:23

Groot gelijk, eerlijk gezegd vind ik dit ook niet een taak van de overheid. Hoewel dat argument "omdat interne programma’s vaak afhankelijk zijn van het type browser dat wordt gebruikt" natuurlijk wél onzin is

(of zou moeten zijn).

Tarabass @Eelke Spaak • 4 oktober 2012 08:36

En dat dat zo is, is volledig de schuld van MS. Die heeft zich niet aan de standaarden gehouden, waar ze zelf nog over meebeslist zouden hebben, waardoor veel 'oudere' applicaties enkel door bijv. IE6 ondersteunt worden. En dat laatste is juist bij overheden, geheel aan zichzelf te wijten, het geval. Er zijn nog erg veel overheden die draaien met IE6, omdat die ene applicatie daar alleen maar in draait.

Het is dus niet zo gek dat onze overheid dit niet kan adviseren. Dit zou betekenen dat ze zelf niet over kunnen, maar anderen gaan adviseren dat wel te doen. Daarnaast is het natuurlijk helemaal juist dat ook de alternatieven niet 100% veilig zijn

BillyTheClit @Tarabass • 4 oktober 2012 10:24

Precies.

Microsoft betaalt nu (nog steeds) de prijs voor hun gevecht met Netscape. Ze moesten Netscape zo nodig van de kaart vegen en dat kon vooral door hun browser door de strot van elke Windowsgebruiker te rammen en zich vooral niet aan standaarden te houden.

Na het winnen van de browseroorlog zijn ze jaren op hun lauweren gaan rusten (IE6 verscheen in 2001, IE7 verscheen in 2007) en in die tijd is er veel software ontwikkeld op basis van IE6 omdat het toch de "de facto standaard" was. Later browsers die zich wel aan de standaarden hielden zijn dan ook niet (goed) compatibel met deze toepassingen.

Door de globalisering, die precies in de periode 1999-2005 hoogdagen kende, werd het ontwikkelen van browser based toepassingen gezien als een ideaal antwoord op alle problemen die met client-server toepassingen rezen in een internationale context. Deze werden dan massaal op IE6 gericht en deden hun werk naar behoren.

Door de huidige crisis (eigenlijk al vanaf 2008) wordt er geen budget vrijgemaakt voor iets "doms" als software die "toch al jaren goed werkt" en daar zit je dan.

Loller1

Microsoft

@BillyTheClit • 4 oktober 2012 16:19

Alsof Netscape zich wel aan de standaarden hield, de vertraging op IE7 is trouwens ontstaan door de problemen tijdens de ontwikkeling van Windows Longhorn. Net als Windows heeft ook Internet Explorer toen een code reset gekregen, IE7 is dus eigenlijk 2 keer ontwikkeld.

tweakerbee @Eelke Spaak • 4 oktober 2012 08:33

In de praktijk blijkt het zeker bij intern ontwikkelde programma's zo te zijn dat het wisselen van browser bugs op kan leveren. Wanneer er gestandaardiseerd is op IE dan is het veel sneller, en dus goedkoper, om alleen in die browser te testen.

Zed_no1 @tweakerbee • 4 oktober 2012 08:42

Wat je bedoeld is dat men ooit software rond alle IE bugs heeft ontwikkeld. Deze software is inmiddels al achterhaald maar het wordt nog niet als afgeschreven beschouwd. Waardoor gebruikers nog altijd verplicht zijn om er mee te werken.

Zou MS niet veel beter kunnen zorgen dat de allerlaatste browser exact dezelfde ondersteuning bied als de eerste? Normaal ontwikkel je software waarbij je je oude software ook nog (beperkt) ondersteund.

Ik vind het al erg slecht van MS dat ik niet verschillende versies van IE naast elkaar kan installeren.. Dan zou ik voor surfen de laatste kunnen gebruiken en voor het werk eentje waar de brakke code nog op functioneert.

Tarabass @Zed_no1 • 4 oktober 2012 08:51

Dat kan ook, maar vanaf IE9/IE10 kan je terug t/m IE7. En het is geen geheim waarom IE6 dus niet meer ondersteunt wordt. Zelfs de ontwikkelaar kan via een stukje code aangeven in welke IE-versie de website gerendeerd moet worden. Je hebt dus eigenlijk alle versies in één IE zitten.

En die bugs waar jij het over hebt zijn geen bugs maar features. Features waarmee MS hoopte klanten vast te houden, omdat dat alleen met IE6 werkt. Gelukkig is mening softwarebedrijf slimmer geworden door crossbrowsed te gaan ontwikkelen, maar tot op heden moet het gedrocht IE6 vaak nog (en dus vooral voor overheden) ondersteunt worden.

En ondersteunt Google de eerste versie van Chrome nog? En mozilla de eerste van Firefox? MS moet altijd alles maar blijven steunen, maar als andere softwaregiganten je verplichten over te stappen op een nieuwere versie is dit alleen maar goed te noemen. Vreemd. Daarnaast is de fix, voor de bug waar het bericht over gaat, ook versneld uitgebracht voor IE6..

Verwijderd @Tarabass • 4 oktober 2012 08:58

Helaas heeft die IE7 modus van IE9/IE10 dan weer subtiele verschillen met een daadwerkelijke IE7 die je dus ook weer op moet vangen.

catfish @Verwijderd • 4 oktober 2012 11:47

waarom zou je schrijven voor IE7?
iedereen met WindowsXP kan upgraden tot IE8 en in Windows Vista/7 kan iedereen IE9 gebruiken

ik kom trouwens genoeg websites tegen die goed werken in Chrome, maar niet volledig in Opera of Firefox of omgekeerd
dat alle browsers behalve IE de standaarden perfect zou ondersteunen is dus gewoon niet waar
dikwijls raad ik zelf IE9 aan omdat die meestal gewoon werkt

BuzzeW @catfish • 4 oktober 2012 12:58

Heel wat grote bedrijven werken nog steeds met IE6/IE7, dus als developer is het erg belangerijk dat het op alle platformen werkt. Dat je genoeg websites tegenkomt die niet goed cross-browser (want zo heet dat) werken, dan is het erg jammer.

Elk (beetje)professioneel developmentbedrijf moet, hoe klote het ook is, rekening houden met oude brouwsers, disabled javascript, ... Alles moet ten allen tijde werken.
Natuurlijk dat het zonder javascript aan usability moet inboeten, maar dat kan ook niet anders. Het mag niet zijn dat wanneer je geen javascript enabled staan hebt dat een bepaald formulier niet kan ingevuld worden. (wat overigens immens veel zo is).

Denk dat de IE-reeks zowiezo nog een heel eind een pain in the ass zal zijn, al vind ik dat andere browsers er ook flink mee wegkunnen als je kijkt naar CSS3 animaties. -webkit-, -moz-, -o-, ... 5 lijnen code voor 1 mini-animatie werkende te krijgen. En dat terwijl W3C ea (en alle developers op heel de wereld) ervoor pleiten 1 systeem te verkrijgen.

Denk dat dat nog een ver-van-ons-bed show is, jammer genoeg.

Darude1234 @BuzzeW • 4 oktober 2012 22:29

Elk (beetje)professioneel developmentbedrijf moet, hoe klote het ook is, rekening houden met oude brouwsers

Ja en nee, zolang developers rekening blijven houden met oudere browsers, zullen de mensen met oudere browsers niet overstappen naar de nieuwere.
Als alle developers nou zouden dwingen om over te stappen op een nieuwere browser, stappen mensen vanzelf wel een keer over. Scheelt een hoop ontwikkeltijd.
Misschien niet het meest gebruikersvriendelijke, maar hoe lang wil je door blijven draaien op 11 jaar oude technieken? IE8 is al zo'n 2,5 jaar uit. Lijkt mij dat je in die tijd toch je applicaties wel een keer compatible moet hebben gemaakt.

hackerhater @BuzzeW • 5 oktober 2012 09:52

De css3 animaties zijn nog niet final, Dat is de reden voor die prefixes zodat ze getest kunnen worden. Zodra deze final worden vallen de prefixen weg.

Het is net als beta-software. Daar moet je ook niet klagen dat het af en toe op zijn gat valt.

Vaan Banaan @catfish • 4 oktober 2012 14:14

Maar ligt dat aan de browser of aan de site?
van ziggo.nl:
if (window.opera) {
window.attachEvent("onload", function() {
var sElement = "<div class='zp-browserPopup'><h2>Browser wordt niet ondersteund</h2>...

Verwijderd @Verwijderd • 4 oktober 2012 09:47

Misschien toch maar beter dat men schrijft voor de up-to-date versies van veelgebruikte browsers, heb je dat probleem ook niet, laat staan de rest van de redenen waarom er überhaupt nieuwe versies zijn.

PhilipsFan @Tarabass • 4 oktober 2012 09:32

Gelukkig is mening softwarebedrijf slimmer geworden door crossbrowsed te gaan ontwikkelen,

O please. Softwarebedrijven zijn nog dommer dan het achtereind van een koe. Hoe vaak heb ik wel niet mailtjes gestuurd naar webmasters dat hun site niet werkte in Firefox. Als ik geluk had kreeg ik een antwoord: dat 99% van de bezoekers toch IE gebruikt en het daarom niet nodig is om voor andere brosers te ontwikkelen. Als ze het TOEN hadden opgepakt, dan waren ze slim geweest.

Nu was het gewoon noodzaak, omdat meer mensen andere browsers gingen gebruiken moesten ze wel. Dat is niet slim zijn. En nu zitten we met z'n allen in de shit, vooral wat betreft bedrijfsapplicaties.

Okee, ontopic dan: Ik wist helemaal niet dat een van de taken van de overheid was om advies te geven over te gebruiken software. Dat moeten mensen toch gewoon zelf doen?

[Reactie gewijzigd door PhilipsFan op 23 juli 2024 12:30]

Verwijderd @PhilipsFan • 12 oktober 2012 04:34

Okee, ontopic dan: Ik wist helemaal niet dat een van de taken van de overheid was om advies te geven over te gebruiken software. Dat moeten mensen toch gewoon zelf doen?

Sowieso de laatste groep waar je advies over dergelijken zou vragen...

mystic101 @Tarabass • 4 oktober 2012 10:11

...Zelfs de ontwikkelaar kan via een stukje code aangeven in welke IE-versie de website gerendeerd moet worden. ...

Daar heb je bij oude legecy applicaties niets meer aan want hier heb je geen ontwikkelaar meer die de code kan aanpassen zodat deze aangeeft IE6 compatibiliteit te willen.

Zelfs als je dit nog zou kunnen is het maar de vraag of het IE6 gedrag 100% wordt 'geëmuleerd' in de modernere versies van IE. De praktijk blijkt vaak weerbarstiger dan de theorie.

KoalaBear84 @Zed_no1 • 4 oktober 2012 09:35

Dat kan inderdaad niet. Het alleen twee weken geleden hiervoor een echt goede oplossing gevonden.

Je zal voor jezelf, of je bedrijf een account moeten maken. Maar daarna draait het echt goed. Niet zoals allerlei oplossingen die wel IE6 kunnen opstarten, maar vervolgens niet de IE6 brakheid hebben

https://www.spoon.net/browsers/

Het kan een oplossing zijn voor een bedrijf die de nieuwste IE wil / moet hebben, maar toch nog IE6, 7 of 8 moet hebben.

Rinzwind @KoalaBear84 • 4 oktober 2012 10:49

Hee, IE staat er weer bij! Die was tijd terug verwijderd op verzoek Microsoft...
ah nog steeds niet beschikbaar... run knop uitgeschakeld.
(Internet Explorer is not available in the library by request of the publisher.)

[Reactie gewijzigd door Rinzwind op 23 juli 2024 12:30]

Verwijderd @Zed_no1 • 4 oktober 2012 11:08

Het is eigenlijk vreemd dat het ontwikkelen van programmatuur voor een browser zoveel moeite kost. Vroeger, in het oude IBM PC tijdperk was het veel gemakkelijker om programmatuur te schrijven. Write once, run almost anywhere. Wat dat betreft zijn we er niet echt op vooruit gegaan.

Schrijf je nu iets in HTML en Javascript, dan weet je (1) niet zeker of het ook op andere browsers werkt en (2) niet zeker of het op de volgende versie van dezelfde browser nog wel werkt. Je code is dus bijna al defect op het moment dat het je computer verlaat.

Ik hoop dat er snel een technologie komt die dit oplost want volgens mij wordt er onnodig veel gespendeerd aan ontwikkeling en onderhoud van web software.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 12:30]

Nardon @Verwijderd • 4 oktober 2012 11:28

Uh juist wel. Er zijn wel enige verschillen maar je kunt ervan uitgaan dat HTML en Javascript in bijna alle gevallen op alle browsers goed work uitgevoerd. Vooral als je een goeie cross-platform library als jQuery gebruikt kun je ervan uitgaan dat alles werkt.

HTML en JavaScript (allemaal standaarden van het W3C) zijn juist ontwikkeld om op alle browsers op dezelfde manier te werken. Het zijn juist de technologieën zoals ActiveX die er voor zorgt dat een programma maar op een bepaalde browser kan draaien.

[Reactie gewijzigd door Nardon op 23 juli 2024 12:30]

MLess @Nardon • 4 oktober 2012 13:44

Je kunt er helemaal NIET vanuit gaan dat html en javascript crossbrowser werkt. Css is het grootste probleem voor cross-browser compatibility maar html heeft ook bepaalde tags en attributen die in de ene browser wel werkt en in de andere niet (vooral IE heeft in zijn glory periode veel eigen tags geintroduceerd). Misschien gebruik je een andere definitie van goed werken maar bij goed werken versta ik dat elke (major) browser dezelfde output geeft.

Html en javascript zijn ook niet 'juist ontwikkeld om op alle browsers op dezelfde manier te werken', pas toen respectievelijk W3C en ECMA zich ermee gingen 'bemoeien' onstonden de standarisatierichtlijnen. Aangezien dit richtlijnen zijn en geen wettelijke regels zijn bedrijven niet verplicht zich eraan te houden en hadden (hebben) browser ontwikkelaars in eerste instantie hun eigen interpretatie van html en javascript code gebruikt. Gelukkig beginnen ze steeds meer naar de standaarden te normalizeren.

Wanneer je boilerplates gebruikt zoals de html5boilerplate dan kan je er redelijk zeker van zijn dat je output in verschillende browser er hetzelfde uitziet en kan je dus op eenzelfde manier je code schrijven voor alle browsers. Activex kom ik tegenwoordig (gelukkig) niet vaak meer tegen.

En nog even over een eerdere reactie, helaas zijn er nog steeds veel bedrijven die niet of niet goed cross-browser websites/applicaties ontwikkelen...

groeten van iemand uit de busines

djwice

@tweakerbee • 4 oktober 2012 09:33

Ik zie het juist vaak bij software van grote leveranciers (SAP, Siebel etc). Upgrade naar een meer compatibele versie kost vaak miljoenen voor de klant. Dit wordt dan ook niet zo snel gedaan, met alle gevolgen van dien. (hier werkt browser header spoofing vaak niet goed).

Ook nieuwe software van wat kleinere leveranciers heeft vaak de neiging schermen te tonen als "u gebruikt geen MSIE" waarna je niet naar de applicatie kan.

Browsers zijn "gratis" en moeten op elke PC in een bedrijf draaien, daarom is er vaak geen directeur die er over wil beslissen, het gaat immers de invloed reikt dan ook buiten zijn verantwoordelijkheid en de zichtbare bedragen liggen onder een half miljoen. Dus daar hoort hij zich niet bezig mee te houden is het idee.
Dus gebeurd er niets, totdat het duidelijk is dat een upgrade naar een nieuw OS 600 euro per PC kost omdat de bedrijfssoftware out-dated of niet compatible is met de buitenwereld.

[Reactie gewijzigd door djwice op 23 juli 2024 12:30]

Roland684 @tweakerbee • 4 oktober 2012 10:15

Maar dan zit je niet alleen vast aan IE, maar ook aan een specifieke versie. En daarmee zelfs aan een specifieke verzie van Windows. Dat zijn bedrijven die nu nog uit alle macht Windows XP machines kopen en/of een stoffige windows-98 machine in leven proberen te houden omdat alleen daarop (een deel van) de administratie gedaan kan worden.

Dat is een kostenbesparing die je uiteindelijk duur komt te staan.

The Zep Man

Nederland
Microsoft
Politiek en recht
Beveiliging
Overheid

@Eelke Spaak • 4 oktober 2012 08:50

Groot gelijk, eerlijk gezegd vind ik dit ook niet een taak van de overheid.

Dus het is ook niet de taak van de overheid om in te spelen op besmet voedsel, wat ook een veiligheidsrisico kan vormen?

Om het in correcte vergelijking te plaatsen: van salmonella is het bekend dat het kan leiden tot koorts, diarree, misselijkheid, braken, buikkrampen en hoofdpijn. Een arbeider die dit overkomt heeft als gevolg dat het economische schade veroorzaakt, omdat die arbeider tijdelijk niet meer kan werken. Hetzelfde voor de computer van een arbeider die besmet raakt met malware, waar ook economische schade uit voortvloeit. En natuurlijk bestaat er altijd de kans dat een andere browser ook in deze tijdsperiode een zero-day exploit bevat die misbruikt wordt, net zoals de kans bestaat dat ander voedsel besmet is met salmonella. Is dat dan maar een reden om het advies niet uit te brengen?

Let op dat ik niet over schuld of verantwoordelijkheid praat, maar alleen maar over gevolg. Als het advies is om bijvoorbeeld oude zalm uit de vriezer te halen omdat het besmet kan zijn met salmonella (preventief), dan zou een preventief (en tijdelijk) advies op andere soortgelijke vlakken ook wenselijk kunnen zijn.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 12:30]

Noeandee @The Zep Man • 4 oktober 2012 11:11

Ik vind, dat er nogal een groot verschil zitten tussen het waarborgen van de volksgezondheid, en het waarborgen van IT gerelateerde spullen. Je hebt heel veel moeite gedaan om een vergelijking te trekken, die nergens op slaat.

Natuurlijk is er economische schade mogelijk bij het uitvoeren van besmette software. Maar is de overheid degene, die ons moet waarschuwen bij dergelijke situaties? Moet de overheid ons dan ook waarschuwen, als er defecte koelkasten in omloop zijn. Moet de overheid ons dan ook waarschuwen, als er houten planken verkocht worden met scheve nerf?

The Zep Man

Nederland
Microsoft
Politiek en recht
Beveiliging
Overheid

@Noeandee • 4 oktober 2012 11:31

Ik vind, dat er nogal een groot verschil zitten tussen het waarborgen van de volksgezondheid, en het waarborgen van IT gerelateerde spullen. Je hebt heel veel moeite gedaan om een vergelijking te trekken, die nergens op slaat.

We zullen zien.

Natuurlijk is er economische schade mogelijk bij het uitvoeren van besmette software. Maar is de overheid degene, die ons moet waarschuwen bij dergelijke situaties? Moet de overheid ons dan ook waarschuwen, als er defecte koelkasten in omloop zijn. Moet de overheid ons dan ook waarschuwen, als er houten planken verkocht worden met scheve nerf?

De schaal van de gevolgen van defecte koelkasten en houten planken met een scheve nerf (individueel niveau) is te klein. Bovendien zorgen beiden niet voor grootschalige bijkomende schaden. Zowel salmonella als malware doen dit wel: salmonella zorgt voor gezondheidsklachten (wat erger is dan een individueel kapot materialistisch iets) en malware kan grootschalige schade aanrichten door zichzelf te verspreiden.

Ik denk dat ik hiermee heb aangetoond dat jouw vergelijking 'nergens op slaat'.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 18:35]

Free rider @The Zep Man • 4 oktober 2012 09:10

Wat je dus voorstelt is een maatschappij waar de overheid alles gaat beslissen - immers, een verkeerde beslissing leidt tot schade, en je vindt het een taak van de overheid om te voorkomen dat personen en bedrijven ook maar enige schade oplopen.
Kennelijk zijn personen en bedrijven volgens jou niet geschikt om eigen verantwoordelijkheid te nemen, de overheid is daar veel beter in. Maar daar wil je niet over praten (jouw derde alinea).
Er is nog iets ander: als de overheid alles gaat beslissen krijg je een maatschappij waar maar één type auto wordt verkocht (de veiligste, anderen zijn volgens de overheid minder veilig), één type computer (zelfde reden), één telefoon, één merk kleding enz.enz.

The Zep Man

Nederland
Microsoft
Politiek en recht
Beveiliging
Overheid

@Free rider • 4 oktober 2012 09:41

Wat je dus voorstelt is een maatschappij waar de overheid alles gaat beslissen - immers, een verkeerde beslissing leidt tot schade, en je vindt het een taak van de overheid om te voorkomen dat personen en bedrijven ook maar enige schade oplopen.
Kennelijk zijn personen en bedrijven volgens jou niet geschikt om eigen verantwoordelijkheid te nemen, de overheid is daar veel beter in. Maar daar wil je niet over praten (jouw derde alinea).
Er is nog iets ander: als de overheid alles gaat beslissen krijg je een maatschappij waar maar één type auto wordt verkocht (de veiligste, anderen zijn volgens de overheid minder veilig), één type computer (zelfde reden), één telefoon, één merk kleding enz.enz.

Zoals der_joachim aangeeft gaat het om een (vrijblijvend) advies, een aspect waar een overheid zeker wel in moet voorzien. Er wordt nergens een beslissing genomen over wat wel en niet gebruikt mag worden.

En juist de overheid zou een sterkere (vrijblijvende) adviserende rol moeten krijgen op de gebieden van veiligheid en orde. Ik ben iemand die principieel tegen censuur en het afdwingen van het inleveren van privacy voor (theater) veiligheid is. Echter ben ik ook iemand die beseft dat een overheid zeker wel een rol kan spelen op het gebied van beveiliging en veiligheid, zolang gegeven advies maar SMART gedefinieerd is. Als de overheid bijvoorbeeld het advies had gegeven om Internet Explorer tijdelijk niet te gebruiken, dan moet er ook achteraf een bericht de wereld in wanneer het advies weer wordt ingetrokken. Hetzelfde kan gedaan worden voor andere browsers in soortgelijke situaties, om zo de schijn van partijdigheid weg te nemen.

Immers gaat het om maatschappelijke belangen.

Delgul @The Zep Man • 4 oktober 2012 09:54

En juist de overheid zou een sterkere (vrijblijvende) adviserende rol moeten krijgen op de gebieden van veiligheid en orde.

bedoel je nu diezelfde overheid die niet kon inzien dat ie6 volgen een slecht idee was? Dezelfde die open standaarden de deur uit schopt zo gauw ze een telefoontje uit redmond krijgt? Dezelfde die een patentwet zoals in de VS een goed idee vond. Dezelfde die zijn eigen beveiliging niet op orde lijkt te krijgen? Goed idee dat ja. Weten we zeker dat het een grotere puinhoop gaat worden...

Edit:typo...

[Reactie gewijzigd door Delgul op 23 juli 2024 12:30]

The Zep Man

Nederland
Microsoft
Politiek en recht
Beveiliging
Overheid

@Delgul • 4 oktober 2012 10:40

[...]

bedoel je nu diezelfde overheid die niet kon inzien dat ie6 volgen een slecht idee was? Dezelfde die open standaarden de deur uit schopt zo gauw ze een telefoontje uit redmond krijgt? Dezelfde die een patentwet zoals in de VS een goed idee vond. Dezelfde die zijn eigen beveiliging niet op orde lijkt te krijgen?

Ik doel op een overheid die leert van fouten en adviezen uitbrengt met de beste intenties voor de bevolking en niet in het belang van commerciele organisaties.

Goed idee dat ja. Weten we zeker dat het een grotere puinhoop gaat worden...

Het is ook zeker de huidige overheid niet. Die wilt niet eens een advies uitbrengen. En let op dat het een advies blijft en geen dwingende regelgeving die alles 'in een grotere puinhoop' forceert.

der_joachim @Free rider • 4 oktober 2012 09:32

Wat je dus voorstelt is een maatschappij waar de overheid alles gaat beslissen

Beslissen is niet hetzelfde als adviseren. Als jij willens en wetens dingen eet, waar salmonella in zit, zal de overheid je geen strobreed in de weg leggen. Ze adviseren echter met klem om het niet te doen, omdat de gevolgen van een salmonellavergiftiging aanzienlijk zijn.
Ik ben helemaal voor eigen verantwoordelijkheid, maar vind het niet per definitie een slechte zaak als de overheid een advies geeft over potentieel onveilige software. Wat de consument met deze informatie doet, mag en moet hij echter helemaal zelf weten...

arjankoole

Beveiliging
Overheid

@Eelke Spaak • 4 oktober 2012 08:34

zou moeten zijn inderdaad, want het is helaas een keiharde waarheid dat dergelijke software heel eenkennig is.

Dennahz @arjankoole • 4 oktober 2012 08:37

Vooral wegens "geen interesse" van hogerhand, wat resulteert in een te krappe tijdslimiet om dingen fatsoenlijk te programmeren en te testen.

NicoJuicy @Eelke Spaak • 4 oktober 2012 08:41

Ik vraag me eerder af welke kwetsbaarheden er zijn in Chrome en waarom ze deze dan niet indienen? Daar valt zelf heel wat geld mee te verdienen + ze worden vlug gefixed (in tegenstelling tot "sommige" andere browsers)

kozue @Eelke Spaak • 4 oktober 2012 09:35

Hoewel dat argument "omdat interne programma’s vaak afhankelijk zijn van het type browser dat wordt gebruikt" natuurlijk wél onzin is

In het geval van de overheid hebben ze waarschijnlijk gelijk. Ze kijken namelijk naar hun eigen situatie, zien dat ze vast zitten vanwege een paar antieke pakketten en denken dat de hele wereld zo werkt. En dan gaat het ook niet eens specifiek over IE maar vooral over IE6. De enige plekken waar ze nog IE6 gebruiken is bij inflexibele, grote bedrijven met teveel bureaucratie.
Zoals banken. 2 jaar geleden zat ik een tijdje op de beheerafdeling van een grote bank en daar hadden ze nog steeds XP werkplekken met IE6. Om veiligheid geven ze blijkbaar niks. Mensen die denken dat je XP kunt beveiligen door het dicht te spijkeren zouden eigenlijk geen systemen mogen beheren. Hiermee zet je alleen functionaliteit uit voor je gebruikers, maar het lek wat de hacker gebruikt zit er nog steeds in.

Dreamvoid @Eelke Spaak • 4 oktober 2012 10:13

Hoewel dat argument "omdat interne programma’s vaak afhankelijk zijn van het type browser dat wordt gebruikt" natuurlijk wél onzin is (of zou moeten zijn).

IE-only applicaties verdwijnen wel, maar met het succes van Safari en Chrome dreigt de situatie opnieuw te ontstaan, met name voor mobile webapps.

[Reactie gewijzigd door Dreamvoid op 23 juli 2024 12:30]

Verwijderd 4 oktober 2012 08:23

Toch jammer dat de overheid dit niet doet. Aangezien er toch een groot gevaar in zit. Als alternatief zou ik zelf Google Chrome aanraden. Aangezien er ook vaak op security.nl staat dat bepaalde virussen/malware niet op deze browser werkt.

Voordeel van Google Chrome. Installeerd automatisch de updates. IE doet dit alleen als jij zelf bij de Windows Updates de update installeerd. Wat niet netjes elke nederlander doet.

Voor bedrijven is het een heel ander verhaal. Die kunnen niet zomaar 1.2.3. een alternatief op elke computer plaatsen. Vaak omdat het eerst nog getest moet worden. Waar ook weer een paar weken over heen kan gaan.

Luuk1983

@Verwijderd • 4 oktober 2012 08:30

Elke browser heeft zijn voordeel en elke browser heeft zijn nadeel. Het sterkste argument vind ik dat IE niet automatisch geüpdate wordt. Dat is inderdaad erg jammer. Maar verder is het vooral een onderbuikgevoel uit het verleden dat IE 'zo onveilig' is. Want Microsoft komt meestal heel snel met patches en als je de security boards bekijkt, dan zou je bijvoorbeeld Firefox ook moeten afraden. Qua beveiliging doet Internet Explorer het tegenwoordig absoluut niet slecht.

tweakerbee @Luuk1983 • 4 oktober 2012 08:35

Als je Windows Update aan hebt staan wordt IE wel degelijk automatisch geupdatet.

Loller1

Microsoft

@Luuk1983 • 4 oktober 2012 16:31

IE haalt automatisch updates binnen. Upgrades worden automatisch binnengehaald als je aan minstens 1 van de 2 voorwaarden voldoet:

- Je gebruikt Internet Explorer 10
- Je woont in een land dat dienst doet als test terrein voor automatische upgrade in IE6, 7, 8 en 9

Dat laatste word in andere landen later uitgerold.

barchettanl @Verwijderd • 4 oktober 2012 08:32

Oh, ik heb computers bij mensen gezien waar onderin een icoontje van Windows Update staat. Blijkt het bijvoorbeeld Vista Service Pack 1 te zijn ...

Ook icoontjes van Java Update, PDF en Flash zie ik regelmatig bij mensen. Als ik vraag waarom ze niet updaten, is het antwoord (geparafraseerd) dat de software toch al alles doet wat ze wensen en geen nieuwe features nodig hebben. Men denkt bij nieuwe versies aan meer opties, niet aan beveiliging.

Daarom raad ik altijd Chrome aan: die regelt updates van zichzelf en daarmee ook de ingebouwde flash en PDF-reader zelf, zonder tussenkomst van de gebruiker.

MadEgg @barchettanl • 4 oktober 2012 08:39

Automatisch updaten doet Firefox ook en die stuurt tenminste niet je browsegegevens automatisch door naar Google.

Loller1

Microsoft

@barchettanl • 4 oktober 2012 16:32

Internet Explorer haalt ook automatisch updates binnen, waarom zegt iedereen toch van niet?

hackerhater @Loller1 • 5 oktober 2012 09:54

Omdat IE dat niet zelf doet?
Dat IE in windows update zit is een 2e, maar IE doet zelf niet updaten.

Quacka @Verwijderd • 4 oktober 2012 08:32

ehh:
http://www.nrc.nl/nieuws/...me-risicos-bij-aanmelden/

Rey Nemaattori @Quacka • 4 oktober 2012 09:11

ehh:
http://www.nrc.nl/nieuws/...me-risicos-bij-aanmelden/

Over een aanfluiting pur sang gesproken :x

* Rey Nemaattori typt dit vanuit chrome

arjankoole

Beveiliging
Overheid

@Verwijderd • 4 oktober 2012 08:37

Als alternatief zou ik zelf Google Chrome aanraden.

dat is wel het laatste wat ik zou adviseren, spyware van google noem ik niet veilig.

Adviseer dan Iron: Chrome, zonder al die google privacy gevoeligheden.

Rey Nemaattori @Verwijderd • 4 oktober 2012 08:59

[...]
Voordeel van Google Chrome. Installeerd automatisch de updates. IE doet dit alleen als jij zelf bij de Windows Updates de update installeerd. Wat niet netjes elke nederlander doet.

Windows update staat standaard op 'instaleer alles dat je kan vinden en stoor me er niet mee', tenzij je dat als user aangeeft?

SuperDre @Verwijderd • 4 oktober 2012 09:55

Probleem is alleen dat Chrome en FireFox ook niet veilig zijn.. En dat automatisch installeren van updates zonder tussenkomst van gebruiker is nou ook niet echt de beste oplossing.

Loller1

Microsoft

@Verwijderd • 4 oktober 2012 16:25

Waarom zou je, Chrome heeft even grote problemen, het verschil is dat niemand dat in het nieuws wilt plaatsen omdat het Chrome is. IE is trouwens de browser die aan de leiding staat met onkwetsbaarheid voor virussen en malware. IE installeerd updates ook automatisch, daar hoef je niet voor naar Windows Update te gaan, als je major updates bedoeld: licht er aan in welk land je je bevind en of je Internet Explorer 9 en lager gebruikt. Sommige landen hebben een update doorgekregen die IE6, 7, 8 en 9 een nieuwe functie bijgeven die standaard in IE10 aanwezig is: automatisch upgraden.

Haas_nl 4 oktober 2012 08:28

Dit "'omdat interne programma’s vaak afhankelijk zijn van het type browser dat wordt gebruikt'"
Moet je ze gewoon afleren. Even investeren in je IT en het is opgelost.

CMD-Snake @Haas_nl • 4 oktober 2012 09:20

Klinkt als een gebrek aan praktijk ervaring.

Software die van de browser gebruik maakt wordt door de fabrikant goedgekeurd voor een aantal browsers op het moment van release. (Ik zie nu vaker FF in het lijstje staan).

Het probleem is echter dat browsers als FF en Chrome als een malle updaten met nieuwe features en wat niet. In een bedrijfsomgeving is dat heel onwenselijk. Praktisch elke update van Chrome is een major release. En je hebt geen controle over de deployment. Dat zijn dingen die niet kunnen in een bedrijfsomgeving waar alles stabiel moet blijven. Elke keer als de browser geupgrade wordt dan moeten de gebruikers weer testen of hun applicatie nog steeds werkt. Daar gaat veel tijd in zitten.

blorf @CMD-Snake • 4 oktober 2012 10:30

Volgens mij hanteren browsers een standaard. Als je software die op de browser leunt na een update ineens niet meer goed werkt moet dus of de browser of jouw software ergens van de standaard afwijken.
Maar je zou ook kunnen stellen dat je software zich te exotisch gedraagt aangezien het struikelt over een browser update waar normaalgesproken alleen kleine details mee worden aangepast. Je moet het niet afhankelijk laten zijn van browseronderdelen die te pas en te onpas gewijzigd kunnen worden. Het is ook niet nodig. Gangbare browsers hebben genoeg functionaliteit die conform de standaarden is en geen incompatibiliteitsproblemen problemen kan en mag veroorzaken na elke (kleine) update.
Maar als je een browser gaat gebruiken als complexe engine voor allelei oplossingen op maat moet je het vast niet gaan updaten. Ik zou dan aanraden voor "obscure" handelingen/bewerkingen een aparte browser in het systeem door te voeren. Wel zou ik daar vraagtekens bij zetten. Het klinkt nogal onwaarschijnlijk dat dat echt ergens voor nodig zou zijn. Een aanpassing in de software die op langere termijn dealt met browser-updates zodat je alleen de systeembrowser nodig hebt lijkt me effectiever.

[Reactie gewijzigd door blorf op 23 juli 2024 12:30]

Verwijderd @blorf • 4 oktober 2012 10:59

Volgens mij hanteren browsers een standaard.

Vaak lopen chorme een FF voor opstandaarden en moeten ze die aanpassingen later weer ongedaan maken.
Dat laatste doen ze niet altijd waardoor er websites onstaan die bijvoorbeeld alleen op webkit browsers draaien.
Zo is bijvoorbeeld de webstandaard voor CSS3 gradients enorm veranderd van draft naar recommendation.
De draft leek op een vroege Webkit implementtie maar de uiteindelijke standaard recommendation is daar totaal niet compatibel mee.

Nu zit je dus met sites die Webkit gradients ondersteunen.
En dat kan omdat Webkit browsers deze vroege implementaties vaak blijven ondersteunen. Een soort IE6 effect.

hackerhater @Verwijderd • 4 oktober 2012 11:11

Daarom moet je ook experimental !!! dingen niet gebruiken voor productie spullen tenzij je er rekening mee houd dat je de boel komt aan te passen.

jqv 4 oktober 2012 08:25

Als die browsers zo kwetsbaar zijn, zouden ze standaard in sandbox modus moeten draaien.
. Maakt het een stuk veiliger

Dreamvoid @jqv • 4 oktober 2012 10:27

Alle browsers draaien in een sandbox, maar ja - het hele probleem is nou juist dat die sandboxes lek zijn.

w3news @jqv • 4 oktober 2012 08:59

Zoals Chrome dat dus wel doet

SuperDre @w3news • 4 oktober 2012 09:56

onzin, ook chrome draait niet standaard in een sandbox, en ook dan, hoe veilig zijn de sandboxes, ook die zijn al vaak genoeg lek gebleken..

[Reactie gewijzigd door SuperDre op 23 juli 2024 12:30]

bonus 4 oktober 2012 08:23

Dat kun je wel doen maar dan moet iedereen dus een andere browser ff gaan installeren terwijl MS toch redelijk snel is met patchen (meestal). Okay deze was al oud, je moet ook maar net weten dat hij er is natuurlijk. Andere wel veilig, die hebben andere lekken of fouten dus tja...

Ik denk ook dat systeembeheerders niet blij zouden worden, gaat iedereen meteen ff proberen wat anders te installen (als het al kan). Geen onnodige paniek zaaien, het meerendeel van de mensen heeft het waarschijnlijk niet een gemerkt en zelfs helemaal niet als de media er niet zo groots mee was gekomen...

hellbringer @bonus • 4 oktober 2012 09:27

Dat kun je wel doen maar dan moet iedereen dus een andere browser ff gaan installeren terwijl MS toch redelijk snel is met patchen (meestal).

Ik werk in een vrij grote organisatie (200.000+ users) en hier zijn we over naar Firefox corporate als standaard browser, dat was niet 'ff' maar met goede voorbereiding is dat prima te doen.
Natuurlijk zijn er hier ook 'applicaties' die alleen werken in Internet Explorer dus daarvoor hebben we IE-tab.
Internet Explorer is zo lek als een mandje en dat blijft het, zeker omdat er nog veel mensen zijn die Windows XP draaien, hierop zal IE9 niet beschikbaar komen dus die zitten nog met IE8 opgescheept.

En MS redelijk snel? http://secunia.com/factsheets/IE-2011Q4.pdf voor 'High' exploits heeft MS soms meer dan een maand nodig om een fix aan te bieden.
Zie ook: http://www.zdnet.com/blog...ts-internet-explorer/7604
http://www.zdnet.com/blog...rity-vulnerabilities/9590

Internet Explorer is vanaf de grond af onveilig (het is zelfs mogelijk om Windows systeem files te laten aanpassen via IE! (Windows update)) en omdat het zo ver in Windows geïntegreerd is en bijna onmogelijk te verwijderen is het gewoon een security risk (Zeker in combinatie met Siverlight, Flash én Java)

Loller1

Microsoft

@hellbringer • 4 oktober 2012 16:22

Windows Update werkt niet meer via IE, trouwens, ik ben er vrij zeker van dat IE lang niet de meeste lekken bevat. Zodra een andere browser de grootste wordt zitten zij met de gebakken peren...

GiLuX 4 oktober 2012 10:01

dit is echt het vreemdste bericht ooit...

IE wordt door ongeveer 50% nog gebruikt en je systeem was te hacken door enkel op een link te klikken..

hoe kan je dit in godsnaam bagatelliseren door te zeggen dat andere browsers "ook niet perfect zijn"?

en ook werd er gezegd door het NCSC dat het lek niet misbruikt zou worden terwijl iedere andere nieuwssite anders beweerde..

naar aanleiding van dat bericht direct metasploit geïnstalleerd en de proef op de som genomen met windows 7 met IE9 en ja hoor.. boem binnen enkele seconden gehacked.

heb er een filmpje van gemaakt:
http://www.youtube.com/watch?v=m8GCr88-nOE&feature=plcp

als dit niet ernstig dan weet ik niet meer wat ernstig is...

het is alsof er in de supermarkt giftige pindakaas van merk A wordt verkocht maar de overheid zegt "niets aan de hand, andere pindakaas is ook niet altijd even goed.."

vali @GiLuX • 4 oktober 2012 10:20

Ik ben totaal niet met je eens en ik vind het echt te gek voor woorden dat het zo opgeblazen wordt. Alle anti Microsoft websites springen erop in en vele ervan hebben echt geen idee waar ze het over hebben ( nu.nl o.a.) Daarnaast zou het -net als tweakers.net geposted heeft in het artikel- een vals gevoel van veiligheid geven, sinds de andere browsers ook lekken bevatten.

Er is zelfs in testen naar boven gekomen dat Microsoft sinds de laatste paar patchen als veiligste browser op dit moment is.

Dit wordt natuurlijk niet gepubliceerd door tweakers.net want dat levert natuurlijk te weinig hits op...

[Reactie gewijzigd door vali op 23 juli 2024 12:30]

biggydeen2 @GiLuX • 4 oktober 2012 14:25

Beetje onzin dit, ik heb nog nergens berichten gezien dat belangrijke data op deze manier gestolen is van een bedrijf en of andere instanties. Daarnaast zegt dat filmpje helemaal niks want je hebt waarschijnlijk geen enkele vorm van security eraan hangen. Thuis gebruikers zullen misschien risico lopen maar wat valt daar precies te halen? In een corporate omgeving is dat even wat anders. Als je daar nu een filmpje van had praten we weer verder.

Wat hier bedoeld wordt is dat geen enkele browser 100% veilig is. Of denk je dat chrome of mozilla dat wel zijn? Het is heel simpel, IE is altijd de meest gebruikte browser geweest en wordt nog steeds enorm veel gebruikt, vooral binnen bedrijven\instanties. Mede daarom is IE gevoeliger voor hacks en exploits. Hetzelfde verhaal met Windows vs Linux.

Men denkt altijd dat het zo makkelijk is om even over te stappen op een andere browser. In de praktijk kost dat ontzettend veel tijd en vaak miljoenen om het netjes te doen. Alle applicaties moeten namelijk getest worden en als er daarnaast apps gebruikt worden die alleen op IE werken hang je al. Dan zul je andere apps moeten gaan zoeken wat vaak qua licentie kosten ook miljoenen euro's gaat kosten.

Je vergelijking met pindakaas is ook erg krom, daar speel je met mensenlevens. In een uitzonderlijk geval zou dat heel misschien met deze exploit ook kunnen gebeuren maar we zitten hier niet in een speelfilm.

Loller1

Microsoft

@GiLuX • 4 oktober 2012 16:40

Vreemd, een gepatchte Windows 7 installatie met IE9 was namelijk imum voor de bekende exploit (het lek was aanwezig, maar de exploit werkte niet).

Het grotere probleem is dat zodra er slecht nieuws over software van Microsoft is, dat het direct de voorpagina's haalt van alles, zelfs de gedrukte kranten. Maar o we als er wat over een lek in Chrome of Firefox te schrijven valt, nee, dat doet de pers niet. Terwijl die leks vaak veel groter zijn, kijk maar naar Webkit die alles open zet op iOS.

wadjinn 4 oktober 2012 08:51

Overheid moet zich hier helemaal niet mee bezig houden. Ze doen toch al niet wat ze zouden moeten doen en de kans dat het kabinet valt omdat men zich bezig houdt met IE of Chrome oid moeten we zien te vermijden.

Verwijderd 4 oktober 2012 09:28

Vreemd voor een land waar je constant door de overheid gewezen wordt op alles wat 'niet goed' voor je zou zijn en juist in dit zou wat extra betutteling niet heel erg zijn.

simplicidad 4 oktober 2012 10:33

De Nederlandse overheid heeft bewust het gebruik van Internet Explorer niet afgeraden toen zich een ernstige kwetsbaarheid in de browser voordeed en zal dit ook niet doen. Alternatieven zouden evenmin veilig zijn. In Duitsland gebeurde dit wel.

Als Vlaming verwondert mij dat niet. Ik heb sowieso het gevoel dat jullie Nederlanders een andere band hebben met Microsoft en hun producten, dan de rest van ons Europeanen.

Het zijn veelal ook enkel maar Nederlanders die ik ken, die echt enthousiast worden over zaken zoals Windows 8 RT of Windows 8 phones. Als ik op een Duits of Frans forum de reacties zie, is dat toch een heel groot verschil. En hier in Vlaanderen ken ik zelf niemand in mijn omgeving die zo'n toestel ziet zitten.

Je merkt dat zelf in de verkoop, waar de Xbox in Vlaanderen (of België in het algemeen) gewoon een ramp was qua verkoop, was de situatie in Nederland helemaal anders. Microsoft probeert die situatie hier in Vlaanderen te veranderen door heftig te investeren in zogenaamde "innovation centers", maar het heeft weinig invloed.

Op zich vind ik het ook een rare uitspraak dat alternatieven evenmin veilig zouden zijn. Niet is onfeilbaar, maar je moet toch echt wel onder een steen leven om niet in te zien dat van alle kwetsbaarheden het veelal IE is die de kroon spant.

En zelf het argument van marktaandeel en dus het "interessantst" gaat ook niet op, gezien Microsoft veel marktaandeel is verloren de laatste jaren en allesbehalve het dominantste browser is.

[Reactie gewijzigd door simplicidad op 23 juli 2024 12:30]

GiLuX @simplicidad • 4 oktober 2012 11:12

durfde het zelf niet zo te zeggen als nederlander...

als ik dat doe wordt je weggezet als troller..

nederland eet, drinkt.. ademt microsoft maar waarom?

denk dat het met de enorm behoudende en achter de kudde aanloop mentaliteit te maken heeft: "doe maar normaal dan doe je eigenlijk al veel te gek"

maw, als je je hoofd boven het maaiveld uitsteekt, een andere manier aandraagt, van het geijkte pad afwijkt dan spoor je niet.

wat me opvalt is dat veelal mensen kritiek op het 'andere' steevast met argumenten aan komen zetten die ze van "horen zeggen" hebben.

zo zie je vaak dat mensen die roepen dat windows super mooi is en linux toch vooral super kut dat ze in hun profiel enkel ervaring met windows hebben aangevinkt...

maar ja.. wat doe je er aan?

je kan namelijk geen normale discussie meer voeren want als je enkel al iets negatiefs zegt over microsoft producten.. of iets positiefs over alternatieven, of het nou steek houdt of niet, het wordt meteen weg gezet als ongewenst.

en als men weigert een inhoudelijke discussie te voeren.. ja.. dan verandert er dus ook nooit wat.

een goed voorbeeld is wat ik net deed, aantonen met notabene een filmpje hoe debiel simpel het is om een windows pc met IE te hacken met een simpele url..

en de eerste reactie die volgt is een opmerking van een windows systeem beheerder dat het overdreven is omdat hij een link heeft naar een wc-eend website waar "Microsoft" zegt dat IE de veiligste browser is...
en dat wordt dan ook direct als +1 gemod

WhizzKid-Eddy 4 oktober 2012 10:41

IE is in het bedrijfsleven zowat mainstream. Bijna iedere kantoor PC wordt standaard voorzien van IE. Er zijn wel alternatieven (Firefox etc, etc), maar die moeten dan weer door een ICT afdeling geïnstalleerd worden, omdat de meeste gebruikers van hun baas geen toestemming hebben om zomaar elke willekeurige applicatie te installeren op een kantoor PC. Daarnaast zal het voor de overheid wel goedkoper zijn om met IE te blijven werken, of is er een ander commercieel belang bij gemoeid.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (108)

Sorteer op:

Weergave: