Op de beveiligingspagina van Firefox heeft Mozilla een tabel gepubliceerd waarin beweerd wordt dat Internet Explorer in 2008 284 dagen onveilig was. Firefox zou maar 9 dagen kwetsbaar zijn geweest. Daarmee beweert Mozilla de veiligste browser ter wereld te hebben. Jeff Jones, probeert dit onderzoek te weerleggen door nog eens nader naar de data te kijken en kwam tot de conclusie dat Firefox eigenlijk 285 dagen kwetsbaar is geweest.

Onderzoeker en journalist Brian Krebs, die het onderzoek uitvoerde waar Jones naar verwijst om zijn data te ondersteunen, vindt dat er appels met peren worden vergeleken. "Wat Jones vergeet te vermelden is dat ik alleen onderzocht heb hoelang de meest gevaarlijke dreigingen duurden zoals wordt gedefinieerd door de verschillende bedrijven", schrijft Krebs in een column voor de Washinton Post.

Argumenten houden geen steek

In het geval van IE telde hij de fouten die Microsoft aanmerkte als 'kritiek'. Bij Mozilla telde hij de dreigingen die door het bedrijf zelf werden aangemerkt als 'kritiek' of 'hoog'. In beide gevallen legde hij de focus op beveiligingsproblemen die vanaf een afstand misbruikt konden worden met weinig of geen tussenkomst van gebruikers zelf. "Jones komt tot de conclusie dat Firefox 285 dagen kwetsbaar was door alleen te focussen op fouten die zowel door Mozilla en security experts werden aangemerkt als veel minder gevaarlijk", aldus Krebs.

De onderzoeker constateert dat er zelfs drie fouten worden meegenomen door Jones die in de categorie 'laag' en 'gemiddeld' vallen. Als die risisco's niet worden meegeteld verdwijnen de 285 risicodagen als sneeuw voor de zon, concludeert Krebs.

Jones beweert in een e-mail aan Krebs dat hij niet wist dat het onderzoek alleen draaide om de ergste risico's. "Ik heb je artikel gelezen en het was voor mij niet duidelijk dat het allen ging om kritieke fouten. Je hebt die bewoording gebruikt in sommige passages over IE, maar het was onduidelijk dat daar bij de andere browsers ook sprake van was", verdedigt Jones zich in de e-mail.

IE vele malen kwetsbaarder

Krebs: "Jones verzuimd in te gaan op de meer onrustbarende conclusie van mijn onderzoek. Er waren namelijk minstens 89 dagen in 2006 waarop er geen software van Microsoft voorhanden was om te voorkomen dat criminelen gebruik konden maken van die fouten. Op dat moment werden die lekken daadwerkelijk gebruikt om persoonlijke en financiële data van gebruikers te stelen." Ook schrijft hij dat uit zijn onderzoek blijkt dat Firefox 9 dagen kwetsbaar was voor dezelfde praktijken echter zonder het bewijs erbij dat dit ook daadwerkelijk gebeurde.