Gepubliceerd: Maandag 18 januari 2010
De Chinese aanval op Google laat ook in Nederland zijn sporen na. De Nederlandse overheid adviseert de eigen ministeries om gebruikersrechten op pc's te beperken.
Toon volledig artikel
Als dat niet al geregeld is, dan zou dat best eens een lastig klusje kunnen zijn, als je alle applicaties moet gaan testen of ze nog wel werken. Want Windows en rechtenbeheer, dat is geen kattenpis.
Waarom adviseren ze niet om Firefox te gaan gebruiken? Lijkt me veel praktischer. En als ze bepaalde applicaties hebben draaien met IE6, dan neem je de IETab plugin voor die websites. Lijkt me 10x simpeler en vele malen veiliger.
Denk dat het 'produktieklaar' krijgen van Firefox binnen een overheidsorganisatie, net zo veel tijd, zo niet meer, kost als het testen van de mogelijke gevolgen van de DEP fix.
Het is toch ook niet voor niets dat 'men' blijft hangen op IE6 en 7. Het even testen van bijvoorbeeld speciale (al dan niet op maat gemaakte) applicaties, zoals Oracle en SAP, lijkt mij geen sinecure. Grootste probleem, lijkt mij, is dat 'men' de W3C standaards niet altijd heeft aangehouden. FF straft dat genadeloos af.
Het is toch ook niet voor niets dat 'men' blijft hangen op IE6 en 7.
Blijven hangen op IE7 is zinloos.
Zelfs als je interne applicaties hebt die niet IE8 compatible zijn kun je IE8 makkelijk op je lokale netwerk naar believen in IE7 compatibiliteits modus dwingen.
Dan heb je betere bescherming met IE8 naar bijvoorbeeld het internet maar behoudt je, indien gewenst, wel compatibiliteit met IE7.
Als je in Firefox werkt met een IETab en de je klikt zonder na te denken door, dan heb je geen veiligheid. Volgens mij gebruikt de IETab gewoon de IE-engine in een Firefox-venster. Dat je dan veilig zou zijn, is een illusie.
Je bent wel veiliger bezig als je Firefox+NoScript gebruikt. Dan kan je in theorie zelfs als "admin"-user op het internet.
Wat de meeste users/admins onderschatten, zijn gehackte sites van de grote bedrijven en instellingen.
Vraag maar onder je collega's wie niet doorklikt als een site van een ministerie of van de NOS iemand vraagt om een script uit te voeren. In hun beleving zijn alleen de 18+ en p2p sites "gevaarlijk".
@xehrbagiz : het installeren van FF op een admin account en een gewone gebruiker dat gebruik maakt van een admin account is net zo onveilig als IE op een admin account.
Wat mij zo sterk verbaasd dat Govcert dit advies al niet 10 jaar geleden had moeten uitbrengen en had moeten eisen van de software leveranciers dat de geleverde software op gewoon gebruikers account zou moeten werken.
beveiliging van een computer begin by het OS, niet bij de browsers.
De security-instantie van de overheid plaatst nog geen melding op Waarschuwingsdienst.nl omdat er nog geen definitieve fix is voor het lek in Internet Explorer.
Belachelijk. Er is wel een definitieve fix: upgraden naar IE8 of DEP inschakelen of overstappen op een andere browser. Vertel het dan in ieder geval, want wat voor zin heeft het om alleen melding te maken van al opgeloste lekken? Dat is niet echt waarschuwen...
Alleen niet als de hackers ook nog een aanval zouden vinden om DEP te kraken.
Het is dus geen oplossing voor het echte probleem, maar in de praktijk geeft een upgrade naar IE8 m.i. wel degelijk voldoende bescherming; het is erg onwaarschijnlijk dat men juist op dit moment ook nog protected mode en DEP zou weten te hacken.
Ik vermoed dat Microsoft inmiddels rond de klok werkt aan een IE fix, dit kunnen ze niet langer laten voortduren.
Het is ze inderdaad aangeraden om z.s.m. een fix te maken. IE6 zal MS imiddels als een MolenSteen om de nek hangen. Maar ik kan er geen medelijden mee hebben: het is hun eigen schuld: De lock-in strategie waarmee ze het internet en vrijwel elk bedrijf gegijzeld hadden zal zich tegen hen gaan keren... Omdat ze de security niet goed kunnen garanderen omdat ze kennelijk zelf niet weten wat hun code allemaal doet. En zo blijft het patch op patch op patch.
Ze hebben de klant in de handboeien, maar ze vergaten een ding: als de klant onder gaat aan onveiligheid, gaat MS mee.
Ze hebben de klant in de handboeien, maar ze vergaten een ding: als de klant onder gaat aan onveiligheid, gaat MS mee.
Integendeel, die handboeien waren niet best en Microsoft is veel te zachtzinnig en lief geweest... ze hadden klanten eerder naar een veiliger platform (zoals Vista/IE7/IE8, of Linux of Mac) moeten dwingen, en XP/IE6 de nek om moeten draaien. IE6 is inderdaad een molensteen geworden.
Integendeel, die handboeien waren niet best en Microsoft is veel te zachtzinnig en lief geweest...
Kun je aangeven waar MS te lief is geweest?
MS heeft de "klant" in de handboeien, al jaren, en denkt alleen aan de aandeelhouders, de "klant" betaald toch wel...
Volgens mij kan inderdaad alleen een klant die lijdt aan het "Stockholm syndroom" iets 'liefs' vinden in de lock-in methodes van MS. De nieuwe edities zijn misschien gebruiksvriendelijke gepolsterde handboeien van MS, maar je zit er net zo aan vast, zonder sleuteltje (exit-mogelijkheid).
Ik denk dat het bedrijfsleven dat prima door heeft. Het Vista debacle was echt geen 'incident'..
Kun je aangeven waar MS te lief is geweest?
MS heeft de "klant" in de handboeien, al jaren, en denkt alleen aan de aandeelhouders, de "klant" betaald toch wel...
Aan de klanten die nu nog steeds IE6 draaien heeft Microsoft misschien voor laatst negen jaar geleden 100 euro per pc verdiend.
De service aan die klanten, voor die 100 euro van negen jaar geleden, veroorzaakt dat overheden het nu zelfs nodig vinden aan te raden naar een andere browser over te stappen (terwijl een goed geconfigureerde IE7 en IE8 momenteel niet kwetsbaar zijn). Deze klantenservice levert Microsoft software onterecht een slechte naam op. Microsoft is dus te lief.
Geen enkele andere software vendor support nog 9 jaar oude internet software.
Aan de klanten die nu nog steeds IE6 draaien heeft Microsoft misschien voor laatst negen jaar geleden 100 euro per pc verdiend.
Wat Microsoft werkelijk aan deze klanten heeft verdiend is dat zij 9 jaar lang mee hebben geholpen aan het voorkomen van de acceptatie van Microsoft-onafhankelijke webstandaarden.
Integendeel, die handboeien waren niet best en Microsoft is veel te zachtzinnig en lief geweest...
Die handboeien waren prima. Aanvankelijk was het ook de bedoeling dat IE6 de laatste versie van Internet Explorer zou zijn en het internet permanent in IE6 mode zou worden bevroren. Netjes in de MS-handboeien.
En ook nu is Microsoft natuurlijk nog prima tevreden met het marktaandeel van IE6. Iedereen die IE6 draait kan immers per definitie geen aan de applications barrier to entry knibbelende Microsoft onafhankelijke webapplicaties draaien. En dat is toch de raison d'être van Internet Explorer.
ze hadden klanten eerder naar een veiliger platform (zoals Vista/IE7/IE8, of Linux of Mac) moeten dwingen
Waarbij we het in het geval van Vista/IE7/IE8 vooral hebben over marginaal veiliger en in het geval van Linux of Mac over substantieel veiliger.
Aanvankelijk was het ook de bedoeling dat IE6 de laatste versie van Internet Explorer zou zijn en het internet permanent in IE6 mode zou worden bevroren
Blijkbaar begrijp je niet waar je aan refereert of maak je een opzettelijk foute interpretatie. Je referert namelijk aan een interview dat ging over het niet meer leveren van IE als los product voor legacy OS versies. Tot IE6 werdt IE geleverd als losse versie voor Windows 95 en Windows NT 4. Dit waren origineel OS versies die niet standaard met IE werden geleverd en daarvoor waren standalone installatiepakkten van IE beschikbaar om achteraf de OSsen van IE te voorzien. Vaak wereden deze op gratis CD/onderzetters in tijdschriften verspreid. Dat beleid werd gestopt in 2003 omdat toen al een jaar of 4-5 alle OS versies van MS beschikten over een meegeleverde IE versie.
Ach daar hebben we ook Blieb/Albert/modje[1-99]/baseline/hAl/chrissie/dosprompt/etc/etc/etc weer die trouw de zaak komt recht haldraaien voor Microsoft.
Ik denk dat iedereen mijn originele reactie erbij kan pakken en voor zichzelf kan interpreteren hoe de vork in de steel zit. Natuurlijk zegt Brian Countryman niet letterlijk dat ze het internet in IE6 mode willen bevriezen, het is een Microsoft werknemer. Maar ik denk dat ieder weldenkend mens wel zal begrijpen dat dat de bedoeling was. En ondanks wat kleine tegenslagen proberen ze dat natuurlijk ook nog steeds met IE7 en IE8.
Op wikipedia gaat het ook weer lekker he?
Waar heb je het over ?
Je maakt overduidelijk een foute interpretatie door de afschaffing van de standalone versies van IE6 voor lecay OS versies te beschouwen als een stop van de totale ontwikkeling van IE. Dat is dus niet het geval.
Waar heb je het over ?
Als je werkelijk denkt dat je door je van de domme te houden de indruk kunt wekken dat jij niet de befaamde MS astroturfer Blieb aka Akbert aka Baseline aka Hal aka Chrissie aka Dosprompt aka modje1 t/m modje99 etc etc etc bent dan ben je nog wereldvreemder dan ik al dacht. En dat is waarlijk een enorme prestatie.
Nu je voor de zoveelste keer een ban hebt gekregen op Wikipedia richt je je pijlen maar weer op Webwereld?
Je maakt overduidelijk een foute interpretatie door de afschaffing van de standalone versies van IE6 voor lecay OS versies te beschouwen als een stop van de totale ontwikkeling van IE. Dat is dus niet het geval.
Nee het was overduidelijk de bedoeling van Microsoft om het web te bevriezen in IE6 mode. Natuurlijk zegt Microsoft werknemer Brian Countryman dit niet letterlijk op deze manier, daar schijn jij je nogal aan vast te houden.
Wat je daar bij vergeet is dat het web tijdens de IE6 jaren 'evident' inderdaad in de IE6 modus was vastgevroren. En dit was natuurlijk ook precies de bedoeling van Microsoft. Had Firefox niet (voor Microsoft blijkbaar totaal onverwacht) een paar procentpuntjes marktaandeel van IE6 afgesnoept dan was het internet nu 'evident' nog in IE6 modus vastgevroren geweest. In dat geval waren er ook nooit een IE7 of een IE8, op zichzelf sowieso slechts marginale verbeteringen tov van IE6, geweest.
En dat Brian Countryman (en jij) dan bij het beindigen van de 'standalone' versies van IE6 een mooi verhaal ophangt hoe al die ongekende Microsoft web innovaties nu buiten een standalone versie van IE6 om gaan plaatsvinden verbaasd mij dan verder niet zo. Natuurlijk was het hiermee de bedoeling van MS om het Internet te bevriezen. Dat blijkt natuurlijk alleen al uit het feit dat ze dat ook daadwerkelijk jarenlang hebben gedaan.
"Zonder admin-rechten kan er niks geïnstalleerd worden, en kan de exploit geen kwaad".
Pardon?
dacht ik dus niet..
Govcert, het Computer Emergency Response Team van de Nederlandse overheid, heeft vandaag in een advisory aangeraden alleen systeembeheerders nog volledige gebruikersrechten te geven.
"Vandaag" ??? Dat hadden ze beter 10 jaar geleden al gedaan. Ik kan me haast niet voorstellen dat er vandaag de dag nog instellingen of bedrijven zijn waar de doorsnee gebruiker nog met volledige gebruikersrechten werkt...
Mav.
Ik raad die overheid aan om al die machines van het internet te houden, want wat moet een belastingdienst medewerker op het internet, die komt daar om te werken en niet te internetten exact hetzelfde geldt voor de andere instanties. 1 Machine moet genoeg zijn aan het internet, laat de rest maar alleen op het intranet werken. Dan nog een goede Sandbox op de hoofdmachine die aan het net hangt en de problemen zijn opgelost.
De nederlandse overheid die aanraad dat gebruikers geen administrator meer zouden moeten zijn...
OH oh oh...
Wat een open deur....
Je kunt gewoon geen Windows PC's beheren / in stand houden waar gebruikers ook in de local-admin groep zitten..
Ongelooflijk, zoveel naiviteit.
Gewoon die IE browser niet gebruiken.
Dat ding is zo onveilig als de pest.
Oh wacht, kan niet uit dat uhum OS, dan maar heel windows niet gebruiken ;-)
"De security-instantie van de overheid plaatst nog geen waarschuwing op Waarschuwingsdienst.nl omdat er nog geen definitieve fix is voor het lek in Internet Explorer."
Pardon? Dat is hetzelfde als zeggen: "Er is geen probleem totdat we er een oplossing voor hebben gevonden."
In het verleden heeft Waarschuwingsdienst.nl wel meer niet opgeloste problemen gemeld, dus waarom nu niet? Met die insteek hoef je ook niet te waarschuwen voor gladheid, totdat de wegen gestrooid zijn.
Ik snap eigenlijk niet waarom mensen zo vallen over de waarschuwing en het advies wat de overheid doet.
Alsof het een verassing is dat de overheid en IT niet samen gaan. Dat is al jaren bekend en ik heb niet het idee dat dat binnen afzienbare tijd zal gaan veranderen. Niet dat de IT-ers bij de overheid slecht zijn in hun werk want dit soort zaken komen vaak van hogere lagen dan de medewerker. En die hogere lagen zijn over het algemeen niet gehinderd door enige vorm van kennis van de IT.
Er is niet mis met management dat niets begrijpt van de operationele praktijk. Het gaat pas mis wanneer management en operationele medewerker elkaar niet verstaan. De oplossing daarvoor moet van twee kanten komen. Harde-kern-techneuten moeten enerzijds leren zich te verplaatsen in de tactisch/strategische zakelijke werkelijkheid van de manager en tegen die achtergrond met aanbevelingen te komen. Anderzijds moeten managers leren zich niet te bemoeien met de operationele technische details waar ze nu juist die techneut voor hadden ingehuurd.
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
