Gepubliceerd: Dinsdag 3 maart 2009
Is Firefox echt de veiligste browser ter wereld? Jeff Jones van Microsoft vergelijkt de kwetsbaarheden van Firefox met die van Internet Explorer. Deel 3.
Toon volledig artikel
Ik ga het niet eens lezen, maar laat me raden: Een MS medewerker die aan gaat tonen dat een product van een ander niet veilig is. Zal vast heel betrouwbaar zijn!
Dat is volgens mij niet de essentie van het verhaal.
Dat lijkt me: Een Microsoft medewerker stelt claims aan de kaak gemaakt door een andere browserleverancier.
Hij stelt niet dat zijn Microsoft browser beter of veiliger is. Hij stelt niks over de veiligheid van enigerlei browser in bovenstaand stuk.
Maar hij stelt wel verschillende claims aan de kaak van Mozilla die wel claims over hun eigen browser maken ten opzichte van andere browsers en die in die claims dus niet altijd even open zijn...
Als elk bedrijf de M$ "Get the facts" gaat proberen te weerleggen/onderbouwen hebben ze bij WW ruimte te kort, maar als een ander bedrijf zoiets tegen M$ doet wordt het wel breed uitgemeten.
Gewoon weer een PR op weg naar WIN7.
De openheid bij Firefox zit in de sourcecode, er wordt niets verborgen, alles is achterhaalbaar. Dit in tegenstelling tot Microsoft, dat alleen problemen publiceert die door buitenstaanders zijn aangebracht. Ik ga dit uitleggen.
Het is wel zo dat de Firefox-bugzilla-entries die ernstige problemen bevatten een tijdlang gesloten blijven omdat ze laagdrempelige exploit-beschrijvingen bevatten.
Alles is open, alleen niet laagdrempelig. Ik weet niet wie hiermee een probleem zou kunnen hebben, behalve iemand die laagdrempelig een exploit wil inzetten.
Goed, je kunt hierover discussiëren, maar dat is mijn standpunt. Misschien zijn er betere standpunten mogelijk.
Maar dat staat los van Jeff Jones.
Jeff Jones verdient al enkele jaren zijn kost door gesloten oncontroleerbare gegevens te vergelijken met open controleerbare gegevens. Dat maakt van hem een schertsfiguur. Hij is als deskundige volkomen oninteressant. In de begintijd bij Microsoft wisten ze ook geen raad met hem, hij werd "security guy" genoemd, doet me erg denken aan die film, "the cable guy", daar doet Jeff Jones me ook aan denken, met zijn kromme vergelijkingen. Ik geloof dat hij nu een wat serieuzere functie-titel heeft gekregen.
- gesloten, oncontroleerbaar: Microsoft meldt elke maand een vijf tot tien security-issues over de honderden miljoen regels code die ze beheren. Die vijf tot tien issues zijn voor 95% door buitenstaanders aangebracht. Het zou kunnen dat Microsoft zelf geen security-issues intern vindt, ik zou als klant dit niet hopen. Het zou ook kunnen dat Microsoft intern gevonden issues niet naar buiten brengt maar in stilte repareert. Als klant van MS zou ik dit hopen, het is ook het meest waarschijnlijke.
- open, controleerbaar, Open source producten melden alle issues, ze zijn gewoon controleerbaar in de code-wijzigingen. Alleen laagdrempelige informatie wordt soms afgeschermd (bij Mozilla).
Jeff Jones grijpt beide getallen aan en concludeert dat Microsoft software veiliger is. Hij is dus een schertsfiguur, maar ik denk, wel met een goed inkomen. Hij heeft het goed voor elkaar, dat wel. Toch ben ik blij dat ik niet in zijn schoenen sta. Het past niet bij mijn karakter.
Dus, hoofdstuk Jeff Jones weer gesloten.
Alleen laagdrempelige informatie wordt soms afgeschermd (bij Mozilla).
Je bedoelt ernstige lekken die ze onder de mat moeten houden totdat de patch er is?
Of wat bedoel je dan met "laagdrempelig"? Dat mijn oude moedertje het ook begrijpt?
Het gaat inderdaad om ernstige lekken, waarvan laagdrempelige exploit-informatie voor het uitbrengen van een patch, maar ook na het uitbrengen van de patch een tijdje onder mat wordt gehouden. Ik weet niet precies hoelang. Enkele maanden.
Wat laagdrempelig is verschilt van geval tot geval.
Ik herinner me een bepaald geval van een malformed URL, die iets vreselijks veroorzaakte.
Het exploit uit de code reconstrueren is moeilijk, maar als in bugzilla een werkend voorbeeld staat, dan is dat natuurlijk veel eenvoudiger.
(een werkend voorbeeld wordt vaak in bugzilla gezet om het probleem aan te tonen)
Maar let wel, niet het probleem zelf wordt verborgen, niet het feit dat er een probleem is, alleen hoe dit probleem makkelijk uit te buiten.
Men verbergt inderdaad (ernstige) lekken.
Niet slechts hoe bepaalde lekken geexploiteerd worden zoals sommigen mogelijk hier suggereren.
Aangezien de beweringen van Mozilla juist over overheid bij het het patchen van lekken gaan is dat nogal relevant.
Ik snap niet hoe je iets kunt verbergen als de sourcecode, en iedere wijziging daarin publiceert.
je kunt gewoon met "diff" en dergelijke tools iedere wijziging opvragen.
Het klopt wel dat dit niet laagdrempelig is, je moet echt een terdege technicus zijn om hier iets mee te kunnen.
Scriptkiddies die op zondag middag een lek-exploit willen programmeren kunnen hier niets mee.
Professionele hackers wel, maar ook hier is de weg lastig, en vraagt het vele uren investering.
Dat is vaak waarom het gaat in misdaadbestrijding, grenzen opwerpen, laagdrempelige mogelijkheden voorkomen, en hoogdrempelige mogelijkheden verder bemoeilijken.
Dit kan heel goed in samenhang met open source, dat blijkt. Niet alleen uit Firefox, er zijn heel veel open source producten, waarin men min of meer hetzelfde doet.
Wat geheimzinnigheid betreft moet Jeff Jones toch echt naar zijn eigen werkgever, zoals ik al eerder (hier boven) uitlegde.
Ik weet dat dit niet in het straatje past van Microsft, vandaar dat Jeff Jones zo'n mooi inkomen heeft.
Professionele hackers wel, maar ook hier is de weg lastig, en vraagt het vele uren investering.
Professionele hackers hadden vorige keer 2 uur nodig om een patch van Microsoft te reverse engineeren om de bijbehorende bug te ontbloten. En dat zonder toegang te hebben tot de source!
Een Microsoft medewerker stelt claims aan de kaak gemaakt door een andere browserleverancier.
Dus : Bedrijf X trapt via de media bedrijf Y de grond in.
Dat is effectief hetzelfde als jezelf omhoog praten.
M.A.W. Dit stuk is gewoon M$ Marketing propaganda.
Dus : Bedrijf X trapt via de media bedrijf Y de grond in.
Eerder: Bedrijf Y claimt beter te zijn X en geeft daarvoor allerlei argumenten. Bedrijf X laat hierboven zien dat deze argumenten gewoon vaak niet waar zijn en daarmee misleidend zijn.
en het staat ook nog onder de rubriek opinie.
Dit betekend voor mij zowiezo om een artikel met een korreltje zout te nemen.
Verder sluit ik me aan bij Blingux, ik heb nergens gelezen dat IE beter is dan Firefox. Ik vind het inderdaad ook niet meer dan terecht dat "Open source" ook even aan de kaak gesteld wordt.
For the record, ik ben zelf een trouwe Firefox gebruiker.
Jeff Jones wordt elke maand wel een keer besproken in de Internationale pers. Hij heeft vaak gezegd dat IE veiliger is dan Firefox en Windows veiliger dan Linux, Zeg maar alles van M$ is veiliger dan een vergelijkbaar open source product.
Iemand die iets kan aanwijzen waarin Jeff Jones een open source product veiliger beschouwt als een MS product verdient een zoen.
Jeff Jones is een door MS marketing veel geciteerde blogger, hij werkte bij Network Associates, die ze een baan hebben gegeven.
Nuance en een zelfs een schijn van relativeringsvermogen is hem vreemd.
Google gewoon een keer, Jeff Jones Linux, Jeff Jones Firefox, je zal het gelijk snappen.
Wel leuk dat het oorspronkelijke artikel op een Linux-server staat met Apache. (link) En ook Webwereld draait natuurlijk Red Hat icm Apache.
Jeff Jones .... hahaha, de grootste clown van het Internet.
Die beweert nog dat Gazelle de veiligste browser is van dit moment, is natuurlijk uit zijn onderzoek gebleken ;)
Deze clown die in de avonduren als idioot optredens geeft en wat bijklust, is al zo vaak onderuit gehaald met zijn onzin dat het zielug is.
Webwereld. wat een domper weer.
Het artikel begint met:
Jeff Jones van Microsoft vergelijkt de kwetsbaarheden met die van Internet Explorer.
Zucht, hoe serieus kan je het dan nog nemen, gelukkig hoef je dus maar een paar regels te lezen dat deze ongeloofwaardige berichtgeving pure FUD is, gevaletje wij van wc eend.
Micro$oft is potje dikke overgedateerde multinational poep...
Mozilla heeft woendag een update uitgebracht die acht lekken in Firefox 3.0.6 repareert. Zes daarvan zijn kritiek. Aanvallers kunnen die zwakke plekken in de beveiliging misbruiken om op afstand willekeurige code uit te voeren op een kwetsbare computer.
Ach ja,
Waarom liegen? Nooit gehoord van evangelisme?
Lieg nooit, is regel 1, anders werkt het niet
Er zijn 5 lekken gerepareerd (ipv 8), waarvan 3 kritisch (ipv 6), en een hoog en een laag
http://www.mozilla.org/security/known-vulnerabilities/firefox30.html#firefox3.0.7
Dat betekent dat 3 issues kunnen leiden tot executeren van code onder de rechten van de user. (onder windows is dat voor een belangrijk deel administrator, dus ernstig)
De andere lekken, een lek kan leiden tot datadiefstal, en een lek kan een andere URL in de lokatie-balk tonen dan waar de gebruiker werkelijk is.
Zeker ernstige zaken, goed dat ze gerepareerd zijn. Belangrijk om te updaten
Maar dat jij het wenst te overdrijven maakt van jou een leugenaar. De vraag is natuurlijk waarom je dat doet. Wat is jouw agenda?v
Ik ga het niet eens lezen. Ten eerste is dit gewoon marketing en ook nog op een hele smerige manier. En ten tweede beslis ik zelf wel wat ik gebruik. Dat is toevallig Firefox en ook om meerdere redenen. In de eerste plaats is het de snelheid van het tonen van pagina's, dan volgen nog de plugins/addons/theming-mogelijkheden, die zijn in mijn ogen vele malen beter (ik durf zelfs het woord superieur wel te gebruiken) dan IE-welke-versie-dan-ook. Maar goed, een IE-adept zal dit ongetwijfeld onder het tapijt schuiven en dat geeft verder ook niks, iedereen installeert maar wat ie wil. Waarom niet een echt onafhankelijk onderzoek door een van jullie medewerkers?
Na deel 1 en 2 gelezen te hebben was ik blij dat het stil bleef, zou WW de onzin van de "opinie" reeks ingezien hebben?
(deel 3 dankzij een link van hAl, al even geleden, gelezen, niet$ nieuw$ onder de $on)
M$ zal dan wel betalen voor de "Opinie" serie, maar alsjeblieft, WW stop met deze "crap".
Of laat de "Opinie" artikelen alleen onder Opinie zien, dan kan ik het overslaan.
toet$enbord
Ik zou zeggen: ga niet mee in deze stupiditeit.
Er zijn er al genoeg hier die, denkend dat ze grappig zijn, zich constant belachelijk maken.
Is anders de normale schrijfwijze voor de afkorting van microsoft. Als je dat liever hebt kunnen we er ook MacroSof van maken
Mag ik Webwereld in alle vriendelijkheid aanbevelen een professioneel vertaalburo in te schakelen voor dit soort teksten. Deze tekst, die qua inhoud al droog genoeg is, is door de slechte (lees: veel te letterlijke) vertaling helemaal onleesbaar. Ik kom er in elk geval niet doorheen.
Wat een totaal onzin artikel, zonde van de ruimte. En nee... ik heb NIET de moeite genomen om het te lezen. Propaganda, niets meer en niets minder.
Waarmee Webwereld toch wel aangeeft zichzelf als 'ICT-nieuws site' niet erg serieus neemt.
O ja, wil Webwereld 'ICT-nieuws'? Misschien vermeldenswaardig dat bijvoorbeeld Apple een aantal producten compleet heeft vernieuwd. Het kan misschien niet iedereen iets schelen, maar het is WEL nieuws wat hier zou passen, en waarmee Webwereld de plank dus volledig misslaat.
Waardeloos!
Onzinnig! Ik heb het een beetje doorgelezen. Vond 't redelijk hoog trol-gehalte, en slecht vertaalt. Bovendien ben ik meer een WebKit gebruiker. Hoe dan ook, met statistiekjes knoeien valt een boel geld te verdienen.
Wat betreft Apple. Hoop aankondigingen. Nieuwe Mac Mini. Nieuwe iMac. Nieuwe Time Capsule. Nieuwe Mac Pro. Opzeker nieuwswaardig. Als dit op Macworld was aangekondigt dan had het op Webwereld gestaan. Weet ik zeker.
Hoe kun je nou iets niet lezen en dan lopen zeuren. En dan ook nog eens 6 plusjes. Ik neem echt niemand meer serieus hier. Wat een kwats zeg.
Misschien moet je de rest van m'n reactie lezen, alvorens te reageren. Je maakt je aan hetzelfde schuldig, kennelijk ;-)
De strekking van mijn reactie is dat het artikel een onnoemelijk lang, droog, taai artikel is van generlei nieuwswaarde. Het neemt onnodig ruimte in, het verveelt mensen. Het is een stukje propaganda waar een journalist zich voor zou moeten schamen!
En ook in mijn reactie: er WAS wel degelijk 'ICT-nieuws', maar dat is Webwereld ontschoten... Nee, liever zo'n onzinnig stuk plaatsen dan echt nieuws....
[edit] En ter informatie: ik heb mijn ongenoegen ook via mail naar de redactie gestuurd, en daarin ook gezet dat de redactie eens wat beter naar de reacties op artikelen zou kunnen kijken en er wat mee doen. Tot op heden: Geen Reactie!!! [/edit]
Een advertorial voor wie ?
Het artikel gaat helemaal over Mozilla en zegt niks over Microsoft of prodcuten vna Microsoft
Het afbranden van de concurrent met selectieve statistiek en gezochte onderbouwing is voor VS begrippen een zeer gangbare manier om reclame te maken.
Het afbranden van de concurrent met selectieve statistiek en gezochte onderbouwing is voor VS begrippen een zeer gangbare manier om reclame te maken.
Zijn dat soort reclames toegestaan in Nederland?
Voor zover ik weet niet.
Zijn dat soort reclames toegestaan in Nederland?
Voor zover ik weet niet.
Ja hoor, maar je moet vreselijk oppassen, want als je ook maar iets claimt wat niet waar is of wat je niet hard kunt maken, dan stapt de tegenpartij naar de rechter en ben je aansprakelijk voor de schade. En hoe groter je campagne is, hoe aannemelijker dat de tegenpartij daar dan ook grote schade van ondervindt. Tele2 en KPN bijv. zitten elkaar voortdurend in de haren op dit punt.
En wederom ontbreekt elk kritisch geluid van WW! Nooit geweten dat een "nieuwssite" ook gebruikt kan worden als publicatieplatform voor de software-industrie.
Ik vraag me echt af welke ww-"journalist" eindelijk eens gaat leren dat berichtgeving iets anders behoort te zijn dan het - overigens bedroevend slecht - vertalen van berichten van een fabrikant.
Kijk eens naar bijvoorbeeld auto-journalistiek. Natuurlijk komen autofabrikanten met schitterende folders en prachtige persberichten. Een beetje autojournalist zal de beweringen die een fabrikant doet toch eerst eens even zelf tegen het licht houden, om te kijken of de claims inderdaad kloppen. En dus blijkt het vaak dat fabrikanten nogal geflatteerde onderzoeksresultaten en overige berichten presenteren. Gelukkig is er dan het kritische geluid van de journalist die geïnteresseerden de andere kant van de medaille laat zien. Anders zouden ze net zo goed gewoon het foldertje van de fabrikant kunnen publiceren - dat zou het publiek denkelijk niet accepteren.
En dit is nu precies wat WW wel doet: we pakken het foldertje van de fabrikant, we vertalen het nog even (laat dit in hemelsnaam door een professional doen, want het is werkelijk allerbelabberdst en op sommige plekken zelfs vrijwel onbegrijpelijk) als extra service en hopla, weer een artikel voor de website.
Zoals al eerder betoogd hebben deze "journalisten" echt de basis van wat goede journalistiek inhoudt echt niet begrepen. Je neemt niet kritiekloos letterlijk iets over! Eigenlijk is het gewoon plagiaat...
Wat had je wel kunnen doen? Simpel: je meldt dat Jeff Jones van MS iets onderzocht heeft en wat globaal daarvan de bevindingen zijn. Omdat dit onderzoek twee partijen behelst, stel je ook de andere partij in de gelegenheid een weerwoord te geven en je verwerkt een en ander in een artikel, waarin je ook nog eens duidelijk maakt waar de valkuilen van dergelijke onderzoeken zitten.
De inhoud van het artikel is overigens wat mij betreft een wat zielige, kleuterachtige: 'de mijne is beter dan de jouwe'. Ja, dat weten we nou wel. Natuurlijk happen de fanboys weer heerlijk toe en krijgen we de negentienhonderdzesendertigste herhaling van zetten van de bekende gemeenschap alhier.
WW begint zo langzamerhand echt een bijzonder bedenkelijk niveau van journalistiek te bedrijven. Ik kan de berichtgeving nauwelijks nog serieus nemen, laat staan WW als een betrouwbare bron van informatie aanmerken. En met name dit laatste is heel erg triest als je pretendeert nieuws te brengen. Betrouwbaarheid moet het hoogste goed voor journalisten zijn.
Het gaat hier niet om nieuws maar een opiniestuk.
WW biedt dat opinie platform ook regelmatig aan bijvoorbeeld een zeer pro-OSS voorstander van de opendoc society.
Je hebt inderdaad gelijk dat het onder opinie staat. Had ik even niet gezien.
Maar ook een opinie-rubriek hoort geen vrijplaats te zijn voor producenten. Een opiniërend stuk wordt normaal gesproken door een medewerker (journalist) van het medium, of een freelancer. Maar niet door een medewerker van een bedrijf dat iets negatiefs over zijn eigen concurrent wil publiceren.
Het gaat hier niet om nieuws maar een opiniestuk.
Een opiniestuk moet imho nieuwe informatie of nieuwe invalshoeken geven, die voor lezers van dit forum interessant kunnen zijn. Een 1-op-1 overgenomen advertorial van een leverancier die kritiekloos zijn eigen product ophemelt ten koste van een concurrerend product is geen opiniestuk. In die zin mag WW best wat kritischer kijken naar de kwaliteit van de aangeleverde teksten.
Zelfs als tevreden Microsoft gebruiker vind ik dit artikel een aanfluiting. Het wordt steeds meer een onzinnige haarkloverij. Zo meteen gaat hij nog stukjes source code vergelijken om aan te tonen dat IE veiliger is.
om aan te tonen dat IE veiliger is
Ik heb het stuk gelezen en dat zegt hij nergens. Het enige wat hij doet is claims die Mozilla maakt aan de kaak te stellen. En die claims an sich gaan ook weer niet om de veiligheid van FF ten opzichte van IE. Wat dat betreft is de titel van dit stuk totaal misleidend.
Ik neem overigens de uitspraken van Jones en Shaver zelf ongeveer even serieus: nauwelijks. Hun vak is namelijk om alles mooi te praten en beide zeggen daarin dingen die niet overeind blijven als je er kritisch naar kijkt.
FYI: ik gebruik bewust zowel IE als FF, gewoonweg omdat ik voor sommige dingen FF prettiger vind en voor anderen dingen IE.
Beetje offtopic maar als journalist ga je toch wel eerst je stukje doorlezen voordat je deze publiceert. Nu zeg ik niet dat ik foutloos schrijf maar van een journalist zou je dat wel mogen verwachten, die is immers professioneel met zijn schrijfwerk bezig. En als je dan in 1 alinea al 2 fouten ziet, dan is voor mij de lol er al af om het stukje verder te lezen en kan ik het niet meer serieus nemen, aangezien het dan amateuristisch gaat lijken in mijn ogen.
Ik ga niet het onderste uit de kan halen maar doe gewoon wat basisonderzoek en ik kijk wel wat ik vind:
Het komt net over, of dat hij gewoon een paar voor hem goede resultaten opsomt en de rest maar begrijperlijker wijze laat liggen.
Hoe kan je nou iemand serieus nemen in een (volgens hem gefundeerd) onderzoek als deze zo'n uitspraak doet?
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
