Ongeveer een jaar geleden stelde ik de securityclaims van van Mozilla aan de kaak met een beveiligingsanalyse. Mozilla claimde namelijk dat Firefox 'niet in de buurt zou komen van de vele beveiligingslekken waar Internet Explorer mee kampt'.

Uiteraard hakte Mike Shaver van Mozilla er na de publicatie er flink op in (lees het alsjeblieft om zijn punt te begrijpen). In de reactie wordt een manmoedige poging gedaan om de discussie weg te leiden van Firefox naar Microsoft, maar de beveiligingsmarketingpraat die Mozilla sinds de eerste versie van Firefox verspreidt wordt niet belicht.

Feiten worden genegeerd

Mijn analyse over de beveiligingslekken wordt weggezet als ontoereikend. Daarnaast wordt in het weerwoord het feit genegeerd dat de ceo van Mozilla publiekelijk claimt dat 'Firefox niet eens de helft van de beveiligingslekken heeft waarmee Internet Explorer kampt'. Dat statement was de aanzet voor mijn onderzoek.

Het punt is: niemand heeft Mozilla ooit gedwongen om deze beveiligingsclaims en -beloftes te doen. Dat mogen ze doen -ik heb daar geen bezwaar tegen- het is onderdeel van hun business. Maar als ze ervoor kiezen om van beveiliging een marketingthema te maken (en daarnaast hun pijlen te richten op specifieke andere producten), geloof ik dat dat oproept tot het checken van feiten en het starten van een open discussie.

Top drie

Bekijk bijvoorbeeld de beveiligingspagina van Firefox eens en merk de top drie marketingclaims op die Mozilla benadrukt. Dat zijn volgens mij:

- Het grote lettertype dat gebruikt wordt voor 'The Safest Web Browser- een claim die we in perspectief moeten zien.

- De claim dat 'Firefox je persoonlijke en online interesses weghoudt bij bad guys'.

- "Waar loop je gevaar? Een onafhankelijke studie toont aan dat, in 2006, IE-gebruikers voor 78 procent van de tijd kwetsbaar waren."

Ik denk dat deze drie beweringen goed voer zijn voor de de volgende delen van deze serie. Daarin graaf ik dieper in deze wirwar van marketingtermen en zal ik de beveiligingslekken gedetailleerder te berde brengen. Het rapport uit 2006 ziet er bijvoorbeeld erg interessant uit, ik vraag me af hoe goed dit standhoudt afgezet tegen recentere periodes.

In de loop van deze serie wil ik een beeld schetsen van deze beveiligingsclaims en het huidige landschap van browser security in het verleden en de toekomst te bekijken. Gaandeweg moet blijken hoe serieus we deze claims precies moeten nemen.

Jeff Jones is security director bij Microsoft's Trustworthy Computing group. Jeff heeft jarenlange beveiligingservaring en werkte met het interne beveiligingsteam van Microsoft en veel Chief Security Officers uit het bedrijfsleven. Hij doet onderzoek om praktische en meetbare resultaten over beveiliging te krijgen waarmee de beveiliging van Microsoftprogramma's en processen verbeterd worden. Vertaling: Loek Essers. Bron: CIO.com.