Jeff Jones, directeur van Microsoft Security, heeft vorige week op persoonlijke titel een onderzoekje op zijn blog geplaatst waaruit zou moeten blijken dat Internet Explorer minder beveiligingsproblemen kent dan Firefox. Jones baseert zich daarbij op het aantal gedichte lekken van de afgelopen drie jaar in beide browsers, zoals dat bij de Amerikaanse National Vulnerability Database bekend is. Waar Firefox volgens Jones ruim tweehonderd beveiligingsproblemen moest oplossen, hoefde IE 6 onder SP2 minder dan honderd lekken te dichten. De cijfers, zo concludeert Jones, "laten zien dat Firefox zich de laatste jaren meer is gaan richten op beveiliging. Maar anders dan meestal wordt gedacht, bevat Internet Explorer minder kwetsbaarheden dan Firefox." Ook zou het aantal lekken dat niet verholpen is bij Firefox groter zijn dan bij IE 7, claimt Jones.

Vanuit Firefox wordt daar heel anders over gedacht. Tristan Nitot, voorzitter van Mozilla Europe, laat in een reactie aan Techworld weten dat het tellen van het aantal kwetsbaarheden geen indicatie geeft van de kwaliteit van het product. "Wel belangrijk is de tijd die nodig is om een bug te verhelpen, net als de transparantie", schrijft Nitot. Hij verwijst naar de blogs van zijn collega's, waar ze uitgebreid op de zaak ingaan. Nitot sluit zijn reactie af met een uitspraak van Firefox-evangelist Mike Shaver tegenover eWeek: "Dat tandartsen in Amerika meer gebitten repareren dan in Afrika wil nog niet zeggen dat onze tanden er slechter aan toe zijn dan die van mensen in Afrika."

Shaver gaat op zijn blog verder in op de zaak. "Als Mozilla het in dit rapport beter wil doen dan Microsoft, dan zouden we het makkelijk krijgen: dan zouden we elke bug die we zelf vinden niet meer openbaar maken en repareren", schrijft Shaver.

Mozilla technicus Mike Schroepfer meent dat de cijfers van Microsoft niet door buitenstaanders vallen te controleren. Door verschillen in beleid is een bugvergelijking tussen IE en Firefox eentje van appels en peren. "Herinnert u zich het URI lek van afgelopen juli nog?" schrijft Schroepfer. "Toen wij erop stuitten waren we, net als anderen, er vrij zeker van dat het een fout was in IE. Veel mensen hebben ons op die houding aangevallen. Gênant genoeg bleken wij kwetsbaar voor hetzelfde probleem. Een week later hadden we het gedicht. Microsoft gaf het probleem pas drie maanden later toe, toen Outlook en Outlook Express ook kwetsbaar bleken."

Window Snyder, beveiligingsspecialist bij Mozilla en in het verleden werkzaam bij Microsoft, schrijft dat de methode van Jones typisch is voor de houding van Microsoft ten opzichte van lekken, en dat Microsoft het alleen wil hebben over de problemen die openbaar zijn. "Microsoft is bang dat als ze een X aantal lekken te dichten, alle aandacht zich vestigt op het aantal lekken, en niet op het feit dat de problemen verholpen zijn."

Jeff Jones laat op zijn beurt weer weten dat hij de discussie wat vreemd vindt. Hij mailt dat hij een kwetsbaarheidsanalyse heeft uitgevoerd, en niet zozeer een veiligheidsanalyse. Hij zegt aan te geven dat beide uitgevers veel aandacht besteden aan hun browsers, en dat het voor hem geen kwestie is van beter of slechter. "Als je dan toch een tandartsmetafoor moet gebruiken, dan zou ik zeggen dat een gebit met meer gaatjes niet per definitie een slechter gebit is", zo schrijft hij. Bron: Techworld