'IE8 is veiligste browser'

Security by marketing en PR.

Goed getimed natuurlijk.

Een jaar geleden was er trouwens precies zo'n controverse: Toen weigerde NSS inzage te geven in de preciese methodologie en bedoelde sites.
Benieuwd of we die nu wel te zien krijgen zodat dit onderzoek tenminste geverifieerd kan worden.

Je was me voor :-)

Microsoft heeft een 'onafhankelijke' partij betaald

Hangt toch samen met het feit dat alleen Microsoft zelf hun eigen producten mag testen en benchmarken. Het staat mij bij dat het in de gebruiksvoorwaarden is verboden om te benchmarken met Microsoft producten.

Dat maakt het makkelijk voor Microsoft en daarom zie je ook zo vaak dat ze zelf een "onderzoek" hebben laten doen. elk onafhankelijk onderzoek is illegaal en onmogelijk.

Alles waar Microsoft niet zo goed in zou kunnen zijn is voorzichtigheidshalve maar niet getest.

Je kunt alleen maar testen wat er bekend is.
Driveby download zoals beschreven in het artikel komen op gepatchte PC's tot niet nauwelijks voor. Dat is voornamelijk het voorland van ongepatchte (XP) computers. Om dat enigzins te testen zou je opzettelijk ongepatchte software moeten gebruiken wat een test sowieso al twijfelachtig zou maken.

Social engineering malware vormt de bulk van de malwareverspreideingen die normale gebruikers bedreigen tegenwoordig. Het is dus op zich veel logischer om te kijken deze vorm van malware verspreding. Deze malware versprediging werkt onafhankelijk van alle browsers en wordt dus ook niet beinvloed door marktaandelen van browsers en alle browsers kunnen deze malware ook op gelijke voet bestrijden.

Omdat social engineering malware de grootste dreiging is en de beveiliging daartegen wel goed is te testen is dat een logische bron van onderzoek.

Ik zie hier al weer een hele stapel reacties die proberen het onderzoek af te doen als biased maar het staat andere browserbouwer vrij om een onafhankelijk onderzoeksbureau te sponsoren voor het uitvoeren van een test.
Oh nee wacht die andere browserbouwers houden niet van onafhnakelijke test maar maken liever hun eigen testjes om hun browser te etaleren. Dat doen ze al in bijvoorbeeld de Sunspider javascript herhaal test (Apple/webkit), V8 javascriptheraaltest (Google), Dromaeo javascript herhaal test (Mozilla) en de ACID3 test (voor 90% door Google, Mozilla en Opera). Als er als biased browser test gemaakt worden dan eerder door de browserconcurrenten van Microsoft dan door Microsoft zelf.
Bovenstaande test door een reputabel onderzoeksbureau in plaats van is in browserland al bijna ongewoon in zijn onafhankelijkheid.

Waarom zouden die andere browserbouwers niet geinteresseerd zijn in een onafhankelijk onderzoek naar een heel belangrijke security aspect.

Bij eerdere tests van NSS Labs was Microsoft sponsor. Over eventueel sponsoren van deze tests is voor zover ik kan zien (nog) niets bekend.
Wel hebben ze erg de schijn tegen zich...

Ongetwijfeld. Het is ze van harte gegund.

En Microsoft schrijven als Micro$oft en de vergelijking van de WC-eend boven halen zijn intussen zo afgezaagd dat het haast tenenkrullend wordt.

Los daarvan zijn gesponsorde onderzoeken altijd waardeloos, van wie ze ook mogen komen...

Mav.

En met je Duck gedoe was Peter je al voor. Lees je de reacties eigenlijk wel of stop je bij het woordje MS?

Het is uit het rapport ook niet duidelijk `of en met welke filters de andere browsers getest zijn.

Dat MS veel info heeft over allerlei threats moge duidelijk zijn, het zit dicht bij de bron. Microsoft heeft zelf het grootste botnet

dan zou het toch prettig zijn als de hele wereld er van zou kunnen profiteren?
Je bedoelt: ondanks het gebash weer graag meeliften aub ? ||||-

Ik zit me af te vragen, kan een plugin voor Firefox gebruik maken van dat SmartScreen Filter van Microsoft, net zoals Firefox nu zelf al doet met de data van Google?

Nee, om gebruik te maken van het smartscreen filter zou een browserbouwer bijvoorbeeld een overeenkomst met Microsoft moeten afsluiten. Er wordt voor dat filter natuurlijk gequeried op de servers van Microsoft. Firefox heeft vermoedelijk wel zo'n overeenkosmt met Google waarmee ze ook een zoekveld overeenkomst hebben.
Ik denk dat als Firefox of een andere browser ooit voor Bing zou kiezen dat ze dan ook makkelijk een Smartscreen filter overeenkomst zouden kunnen sluiten.

In dit geval heeft Microsoft er één specifiek punt uitgelicht en daar de test omheen gebouwd. Helaas heb ik geen idee hoe die test is opgebouwd en of die is toegeschreven naar het resultaat.

Het feit dat Trendmicro de test wel een positief oordeel gaf kan er op duiden dat het geen volstrekt waardeloos onderzoek is.

Daarom lijkt het me ook erg interessant als Microsoft, net als Google, anderen toegang geeft tot hun lijst. Op die manier wordt iedereen er beter van.

Ik realiseer me dat het waarschijnlijk ijdele hoop is, aangezien alleen al de naam Smartscreen (R) is, maar ik blijf optimistisch. :)

Kun jij even beschrijven hoe je drive by downloads zou moeten testen. Op dit moment zijn er bijvoorbeeld geen zero-exploits publiekelijk bekend waarmee je een browser zou kunnen exploiteren. Lijkt me dus lastig testen dan. Dergelijke exploits komen nog maar zelden voor en worden dan meestal in een waak of zo gepatched. Er worden nog wel computer met dergelijke exploits besmet maar dat komt dan vrijwel altijd omdat deze niet gepatched worden.

Omdat dergelijk exploits nog maar zelden voorkomen zijn al jaren social engeneering malware aanvallen de belangrijkste factor in malware verspreiding. En dat is precies wat er nu wel getest wordt. Bescherming voor het grootste computerlek, de man acher het toetsenbord.

Ofwel andere browsers wilden geen cent meebetalen voor een onderzoek waarvan ze al wisten dat ze er slecht in zouden presteren?

Alleen verrassend omdat je het artikel van webwereld niet hebt gelezen neem ik aan?

Kortom: lekker dat Drive-By (in je veilige Volvo) Downloads niet meegenomen zijn in de test, dat zijn juist de problemen die argeloze gebruikers parten spelen
Normale gebruikers met een gepachte computers zijn zo goed als safe voor dergelijk aanvallen. Voor dergelijk aanvallen heb je namelijk ongepatchte publieke exploits nodig en deze zijn slechts of nooit zelden beschikbaar en als dat al gebeurt worden ze vrijwel altijd tussentijds sneller dan normaal gepatched.

Je kunt het zelf nalezen wat er is getest:
http://nsslabs.com/test-reports/NSSLabs_Q12010_GTRBrowserSEM_FINAL.pdf

XSS moet niet door een browser gestopt worden, maar de site-makers moeten hun werk fatsoendelijk doen!

Tegen welke schaal zijn die verschillen?
Het gaat om percentages. Wat is daar onduidelijk aan?

, bij andere tests stond IE8 steeds lager dan Firefox en Opera
Is dat zo of verzin je dat nu?
Laat dan maar eens een wat van die onderzoeken zien waarin IE8 lager staat in veiligheid dan andere browsers?

Ja, die inderdaad!

En laat nu het grootste gedeelte van de IE gebruikers nu net GEEN IE8 gebruiken. Ergo : Microsoft en zijn gebruikers hebben een groot probleem.

Zo is dat. Het heeft geen zin om een kogelwerend vestje te dragen als je in de meest onveilige buurt ter wereld woont.
De veiligste browser + onveiligste besturingssysteem = onveilig

wellicht de default instellingen veranderd zodat ze niet als admin het internet op gaan? Dat scheeld enorm veel

leg mij nu eens uit waarom ik dan op mijn thuis PC die door 5 mensen zeer intensief wordt gebruikt nooit één virusje heb gehad? En hij loopt na 5 jaar nog als een zonnetje.

En al die botnets dan? Wil je beweren dat al die miljoenen pc's besmet zijn, uitsluitend en alleen, door de schuld van de gebruikers?

Van al die miljoenen gebruikers, is er niemand die windows-update aan heeft staan en een up-to-date virusscanner gebruikt?

Geloof je dat nou echt?

Juist deze Smartscreen (of Google safe search) beveiliging probeert te voorkomen dat de gebruiker ongeacht slimheid een fout kan maken en malware kan downloaden en installeren

Een browser is net zo veilig als dat de gebruiker slim is...

Het enige wat in de praktijk helpt, is de gebruiker een alternatief OS voorschotelen.
Zolang de meerderheid lekker windows blijft gebruiken, kan de minderheid veilig en ontspannen rondsurfen.

Iedereen in de ICT weet dat IE zo brak is als het maar kan
Iedereen met een beetje kennis van ICT weet dat IE8 juist op security gebied een voorloper is als browser die
* Protected mode (proces draait met verlaagde rechten tov user)
* is DEP enabled
* is ASLR enabled
* Bevat tab procesisolatie met tab crash recovery
* Bevat InPrivate browsing
* EV certificaatondersteuning
* Cross Scripting protectie
* Domainhighlighting
* Smartscreen phishing filter
* Smartscreen malware download detectie en blokkering
(deels features al vanaf IE7 aanwezig)

Ook andere browser bevatten standaard nu meerdere van deze features maar geen zo uitgebreid als IE8.

Je hebt gelijk, ter aanvulling: het gaat inderdaad om coss-site scripting in een Iframe.
Ik had dit nog nooit in de praktijk uitvoerig getest met diverse scripts, maar de uitslag was frappant. IE 8 was de enige die goed blockte.

n dat is het beste wat ik hieruit op kan maken)

Anders had ik het geen cross-site scripting genoemd.
Bij nalezen had ik het toch de 1e keer al goed geformuleerd ;)