Gepubliceerd: Woensdag 4 februari 2009
Firefox 3 is alweer aan zijn zesde security-update toe. Fouten in de browser-engine maken het mogelijk om willekeurige code te laten draaien.
Toon volledig artikel
Firefox 3 is alweer aan zijn zesde security-update toe
hmmm... in deze zin zit een opgedrongen waarde oordeel verborgen. Als ik dit lees wordt ik spontaan misselijk. Het is me duidelijk, Michiel van Blommestein is een anti-firefox mannetje. 'k zou liever zien dat een "journalist" dat niet laat doorschemeren in z'n journalistiek. Dat geeft een negatief beeld bij mij van deze bewuste auteur...
Ik bekijk het anders... mensen maken fouten, programmeren is mensenwerk, dus fouten zullen er altijd in zitten. Als deze dan snel opgelost worden dan is dat alleen maar goed.
Overigens hoort dit hele artikel in de meuktracker van tweakers thuis... dit is geen WW artikel waard...
De meeste lekken/security problemen worden intern ontdekt.
Verder wordt geprobeerd om een hoop crash problemen te fixen die al in de trunk (de laatste nightly build) gefixt zijn, eg, backporten van patches.
Ik ben zelf die hele discussie van 'welke browser is veiliger?' al zo zat, dat ik daar geen energie meer probeer in te steken.
Ik ben zelf die hele discussie van 'welke browser is veiliger?' al zo zat, dat ik daar geen energie meer probeer in te steken.
dit is zo'n discussie die zinloos is. Mensen hebben een voorkeur voor een bepaalde browser en doen vervolgens argumentatie om dat te ondersteunen. Gezien de manier waarop IE haar marktaandeel heeft gekregen, zal er bewust of onbewust er ook een bepaalde aversie tegen IE zijn.
Dat maakt IE niet noodzakelijkerwijs slechter dan Firefox.
Er zijn ook discussies die worden verziekt door trollen. Die discussies zijn ook zinloos. Ergo, er zijn maar weinig goede discussies. :-)
bij IE zit je langer met lekken want die brengen 1x per maand updates uit. firefox brengt updates sneller uit.
bij microsoft is het af en toe zo dat er lekken worden gedicht maar door de update komen er weer nieuwe lekken bij. dus dat schiet ook niet op.
Bij Mozilla zijn ze ook niet zo heel erg snel hoor. De meest kritieke bug werd voor het eerst gerapporteerd op 30 augustus vorig jaar. Toen was het ook al direct duidelijk dat het lek exploitable was.
Ik tel dus ruim 5 maanden waarin gebruikers van Firefox (theoretisch) behoorlijk gevaar liepen.
Ik weet niet over welke bug je het hebt, maar als je het over "meest kritieke" hebt, dan bedoel je waarschijnlijk een van de bugs die moz_bug_r_a4 heeft gefiled.
Die persoon is ook in dienst van Mozilla (godzijdank!).
Dat het soms lang duurt voordat een bepaald security probleem gefixt wordt heeft er ook mee te maken dat er geen regressies mogen ontstaan. In dat geval was dat kennelijk moeilijk om te voorkomen.
Ik heb het over deze bug. Deze werd gemeld op 30 augustus met de mededeling dat de bug exploitable is. Vervolgens duurt het bijna 2 maanden voordat een developer op 29 oktober de moeite neemt om de bug te onderzoeken. Dan is na 2 weken de patch klaar, maar duurt het daarna nog bijna 3 maanden voordat deze aan het grote publiek beschikbaar word gesteld.
Dat kan toch wel sneller?
bij IE zit je langer met lekken want die brengen 1x per maand updates uit. firefox brengt updates sneller uit.
Zo te zien brengt Firefox ongeveer elke 5-6 weken security updates uit.
Dat impliceert juist het omgekeerde van wat jij zegt namelijk dat de lekken LANGER openstaan.
En het zijn ook echt niet gloednieuwe lekken of zo waarvoor FF snel een patch uitbrengt.
Zo is bijvoorbeeld nu deze critical bug opgelost:
https://bugzilla.mozilla.org/show_bug.cgi?id=331088
Uit 2006 dus!
Voor wat het waard is, degene die de bug gefiled had is in dienst van Mozilla. En dat geld voor het merendeel van deze bugs.
Maar goed, nog steeds niet netjes dat deze bug zo lang bleef liggen.
Aan de andere kant, het is een crash, en het blijft voor mij gewoon een crash totdat iemand het tegendeel bewijst.
Bugs die worden aangeleverd via bijvoorbeeld de email van een security bedrijf worden toch ook door Mozilla medewerkers in bugzilla gezet.
Dat een bug door iemand van Mozilla is ingebracht zegt dan dus eigenlijk niets over het ontdekken van de bug.
Verder vind ik het wel heel onbenullig van een Mozilla medewerker om te zeggen dat het 'gewoon een crash' is omdat juist crashes vaak leiden tot de meest gevaarlijke exploiteerbare bugs. Als een medewerker van Micrsoft een dergelijk opmerking had gedaan dan zou die hier helemaal afgemaakt worden.
Bugs die worden aangeleverd via bijvoorbeeld de email van een security bedrijf worden toch ook door Mozilla medewerkers in bugzilla gezet.
Klopt, maar dat staat wel in comment 0 van de bug over het algemeen.
Ik begrijp dat je het onbenullig vindt. Inderdaad, als een medewerker van Microsoft een dergelijke opmerking had gedaan, dan zou die hier helemaal afgemaakt worden.
Overigens is dit mijn prive-mening, niet de mening van Mozilla.
Ik vind wel dat crashes het liefst zo snel mogelijk gefixt moeten worden, omdat dat de stabiliteit ten goede komt, over het algemeen.
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
