Netscape blundert met kritieke lekken in nieuwe browser
De nieuwste Netscape browser is amper een dag oud, maar gebruikers worden nu al gewaarschuwd voor ernstige lekken die in de browser aanwezig zijn. Netscape 8 is namelijk gebaseerd op de 1.0.3 versie van Firefox, waar onlangs nog twee zeer kritieke lekken in werden ontdekt. Verschillende Mozilla ontwikkelaars hebben Netscape inmiddels al bekritiseerd wegens de blunder. Firefox engineer Ben Goodger plaatste deze exploit op zijn weblog, die een persoonlijk Google cookie laat zien. "Als je security belangrijk vindt, laat dit zien dat browsers die op de officiele Mozilla releases gebaseerd zijn, nooit zo snel security updates kunnen uitbrengen als Mozilla zelf" zegt Goodger. Ook ontwikkelaar Gervase Markham haalt in zijn weblog uit naar de nieuwe Netscape browser. (Zdnet)
Update 12:57
Inmiddels heeft Netscape een update beschikbaar gesteld die de lekken verhelpt.
Reacties (17)
20-05-2005, 12:45 door
MvE
Update 2005-05-20: Credit where credit's due. 8.0.1 is out,
fixing the 1.0.4 security issues. Good turnaround.
fixing the 1.0.4 security issues. Good turnaround.
netjes dat ze zo snel patchen, maar iets releasen waar
bekende bugs inzitten is niet echt handig als je weer
marktaandeel probeert te krijgen.
bekende bugs inzitten is niet echt handig als je weer
marktaandeel probeert te krijgen.
Momentje, ik ken veel developers die snel werken maar deze
update kwam wel ietsje te snel. Tussen 1.03 en 1.04 zit een
behoorlijk verschil. Toch weten ze het bij Netscape te
presteren om binnen een paar uurtjes al met een update te
komen waarmee NS8 eigenlijk moet zijn omgetoverd in een
basis van 1.04 ipv 1.03. Nu kan er veel, maar ze kunnen mij
niet wijs maken dat ze dit niet alleen in korte tijd
gepatched hebben maar ook vervolgens alles hebben getest.
update kwam wel ietsje te snel. Tussen 1.03 en 1.04 zit een
behoorlijk verschil. Toch weten ze het bij Netscape te
presteren om binnen een paar uurtjes al met een update te
komen waarmee NS8 eigenlijk moet zijn omgetoverd in een
basis van 1.04 ipv 1.03. Nu kan er veel, maar ze kunnen mij
niet wijs maken dat ze dit niet alleen in korte tijd
gepatched hebben maar ook vervolgens alles hebben getest.
Netscape is gebaseerd op firefox, nix mis mee natuurlijk.
Maar een lek in Firefox is automatisch een lek in Netscape
en dus lopen ze standaard achter met de updates...
Misschien handig voor Netscape om ook een versie te maken
waarmee je de Netscape schil over je eigen Firefox heen kan
zetten... Op de zelfde manier waarop sommige andere
programma's een schil over IE heenzetten.
Maar een lek in Firefox is automatisch een lek in Netscape
en dus lopen ze standaard achter met de updates...
Misschien handig voor Netscape om ook een versie te maken
waarmee je de Netscape schil over je eigen Firefox heen kan
zetten... Op de zelfde manier waarop sommige andere
programma's een schil over IE heenzetten.
Dit is 2 maal amateurisme.
1. Fouten uit brengen die eigenlijk al zijn opgelost.
2. Ongetest een patch uitbrengen.
Wanneer zijn we zo eerlijk met zijn allen om te zeggen: dat open source
kan alles flikken, zijn eigenlijk nauwelijks regels en als ze willen kunnen ze
er ook zo mee stoppen. Dit is toch geen manier om op te bouwen?
1. Fouten uit brengen die eigenlijk al zijn opgelost.
2. Ongetest een patch uitbrengen.
Wanneer zijn we zo eerlijk met zijn allen om te zeggen: dat open source
kan alles flikken, zijn eigenlijk nauwelijks regels en als ze willen kunnen ze
er ook zo mee stoppen. Dit is toch geen manier om op te bouwen?
Door Anoniem
Wanneer zijn we zo eerlijk met zijn allen om te zeggen: dat
open source kan alles flikken, zijn eigenlijk nauwelijks
regels en als ze willen kunnen ze er ook zo mee stoppen. Dit
is toch geen manier om op te bouwen?
Wanneer zijn we zo eerlijk met zijn allen om te zeggen: dat
open source kan alles flikken, zijn eigenlijk nauwelijks
regels en als ze willen kunnen ze er ook zo mee stoppen. Dit
is toch geen manier om op te bouwen?
ja het is zoveel beter dat je ergens flink voor betaald dat
dan niet veilig is en lang moet wachten voordat die fouten
verbeterd worden. en zelfs dan is het niet helemaal in orde.
zijn er zoveel meer regels daar dan?
beide systemen zijn niet perfect, welke beter is is meestal
toch een persoonlijke keuze.
Door Anoniem
ja het is zoveel beter dat je ergens flink voor betaald dat
dan niet veilig is en lang moet wachten voordat die fouten
verbeterd worden. en zelfs dan is het niet helemaal in orde.
zijn er zoveel meer regels daar dan?
beide systemen zijn niet perfect, welke beter is is meestal
toch een persoonlijke keuze.
Ik krijg meestal prima service!Door Anoniem
Wanneer zijn we zo eerlijk met zijn allen om te zeggen: dat
open source kan alles flikken, zijn eigenlijk nauwelijks
regels en als ze willen kunnen ze er ook zo mee stoppen. Dit
is toch geen manier om op te bouwen?
Wanneer zijn we zo eerlijk met zijn allen om te zeggen: dat
open source kan alles flikken, zijn eigenlijk nauwelijks
regels en als ze willen kunnen ze er ook zo mee stoppen. Dit
is toch geen manier om op te bouwen?
ja het is zoveel beter dat je ergens flink voor betaald dat
dan niet veilig is en lang moet wachten voordat die fouten
verbeterd worden. en zelfs dan is het niet helemaal in orde.
zijn er zoveel meer regels daar dan?
beide systemen zijn niet perfect, welke beter is is meestal
toch een persoonlijke keuze.
beide systemen zijn niet perfect, welke beter is is meestal
toch een persoonlijke keuze.
over de professionaliteit van open source en dan voornamelijk over
continuiteit van het product en of ze gebonden zijn aan bepaalde regels of
preocedures mbt updates.
20-05-2005, 17:57 door
raboof
Dit is 2 maal amateurisme.
1. Fouten uit brengen die eigenlijk al zijn opgelost.
2. Ongetest een patch uitbrengen.
Wanneer zijn we zo eerlijk met zijn allen om te zeggen: dat
open source kan alles flikken,
Uh, Netscape is gewoon een bedrijf hoor. En ja, zowel1. Fouten uit brengen die eigenlijk al zijn opgelost.
2. Ongetest een patch uitbrengen.
Wanneer zijn we zo eerlijk met zijn allen om te zeggen: dat
open source kan alles flikken,
bedrijven als open-source-projecten kunnen vanalles
`flikken'. Maar dat onderscheidt ze niet van elkaar.
Zijn eigenlijk nauwelijks regels en als ze willen
kunnen ze
er ook zo mee stoppen. Dit is toch geen manier om op te
bouwen?
Als je bedoelt dat open-source projecten kunnen stoppen: datkunnen ze
er ook zo mee stoppen. Dit is toch geen manier om op te
bouwen?
klopt. Maar bedrijven kunnen net zo goed failliet gaan of
een productlijn stopzetten.
Het lijkt alsof je open-source probeert aan te vallen,
alleen je noemt geen nadelen van open-source ten opzichte
van `commerciele' software. Ook in de commerciele hoek is
het amateurisme troef tegenwoordig. Je zult echt specifieke
producten met elkaar moeten vergelijken, je kunt echt niet
zeggen dat commerciele software beter is dan open-source of
andersom...
Door Anoniem
beide systemen zijn niet perfect, welke beter is is meestal
toch een persoonlijke keuze.Het ging hier volgens mij niet over de vraag welke beter was. Het
ging hier
over de professionaliteit van open source en dan voornamelijk
over
continuiteit van het product en of ze gebonden zijn aan bepaalde
regels of
preocedures mbt updates.
beide systemen zijn niet perfect, welke beter is is meestal
toch een persoonlijke keuze.
ging hier
over de professionaliteit van open source en dan voornamelijk
over
continuiteit van het product en of ze gebonden zijn aan bepaalde
regels of
preocedures mbt updates.
Aangezien we in softwareland weinig tot geen regels hebben
bepalen de producenten de regels zelf. En daar zit het hem nu in,
want dat verschilt van producent tot producent. En dat heeft dus
weinig te maken met open source of closed source of commerciele
aanbieders. Je kan zeggen dat een hobbyist welke uit ideale
motieven software schrijft het ook perfect wil hebben. Je hebt
ook hobbyisten die het wel best vinden als het werkt en geven
aan dat er nog bugs in zitten en als je die er uit wil halen : Ga je
gang. En er zijn hobbyisten die het gewoon wel best vinden als
het werkt. Dat geld ook voor closed source bedrijven en ook voor
commerciele aanbieders. De een haalt alles uit de kast en de
ander gebruikt de fouten juist om nieuwere versies te blijven
verkopen. Het is de visie van het bedrijf welke de bepalende rol
speelt.
ALG
Ik merk dat de commerciele jongens er strikte regels erop na houden. Kijk
naar IBM, Sun maar ook M$. Bespeur dat meestal niet bij opensource.
naar IBM, Sun maar ook M$. Bespeur dat meestal niet bij opensource.
Nou, wat houdt M$ er strikte regels op na zeg...
Monopoliseer eerst de complete browsermarkt door alle
concurrentie gewoon van de markt af te drukken, en verander
daarna gewoon helemaal niets meer in je produkt omdat
niemand er iets van zegt.
Pas als er écht weer iets gebeurt, neem je alle ideeën van
de nieuwkomer over en druk je die vervolgens ook weer van de
markt af...
Als ik dat zo eens teruglees, dan houdt Microsoft er wel
degelijk strikte regels op na... Maar ik denk dat ik dan
toch liever volgens de regels van bijvoorbeeld Mozilla werk...
Monopoliseer eerst de complete browsermarkt door alle
concurrentie gewoon van de markt af te drukken, en verander
daarna gewoon helemaal niets meer in je produkt omdat
niemand er iets van zegt.
Pas als er écht weer iets gebeurt, neem je alle ideeën van
de nieuwkomer over en druk je die vervolgens ook weer van de
markt af...
Als ik dat zo eens teruglees, dan houdt Microsoft er wel
degelijk strikte regels op na... Maar ik denk dat ik dan
toch liever volgens de regels van bijvoorbeeld Mozilla werk...
Door Anoniem
Ik merk dat de commerciele jongens er strikte regels erop na
houden. Kijk
naar IBM, Sun maar ook M$. Bespeur dat meestal niet bij
opensource.
Netscape is geen opensourceIk merk dat de commerciele jongens er strikte regels erop na
houden. Kijk
naar IBM, Sun maar ook M$. Bespeur dat meestal niet bij
opensource.
Door Anoniem
Weet je dat zeker? De Mozilla-licentie zegt volgensDoor Anoniem
Ik merk dat de commerciele jongens er strikte regels erop na
houden. Kijk
naar IBM, Sun maar ook M$. Bespeur dat meestal niet bij
opensource.
Netscape is geen opensource Ik merk dat de commerciele jongens er strikte regels erop na
houden. Kijk
naar IBM, Sun maar ook M$. Bespeur dat meestal niet bij
opensource.
(http://www.flexwiki.com/default.aspx/FlexWiki/LicenseResearch.html)
het volgende (let op puntje 3):
The MPL (available here ), like the GPL, is a more
intricate license than MIT or BSD. It specifies the
following things:
* You may distribute, modify, use, or sublicense the work
* You must include a copy of the license when
distributing the work
* You must make source code available if you make a
modified binary version available
* You must include a statment in any modified files that
you modified them, and how
* You must indicate where source code is available if
you distribute the work in binary form
* You may combine the work with other code as long as
the part you took continues to be covered by the MPL
Additionally, the MPL:
* Makes some statements related to patents that I don't
understand
* Specifies that the code comes with absolutely no warranty
* Limits the liability of contributors
* Makes some statements about governemnt use that I
don't understand
De Netscape-licentie v1.1 vind je op
http://www.mozilla.org/MPL/NPL-1.1.html.
Op dit moment kijk ik vast over kleine lettertjes heen.
Bovendien kunnen propietary bedrijven er net zo hard mee
stoppen als een groepje open-source ontwikkelaars. Er is
*niets* dat ze tegenhoudt (bij off the shelf software
uiteraard). Bij open source weet je tenminste dat er altijd
nog met de huidige code verdergegaan kan worden.
stoppen als een groepje open-source ontwikkelaars. Er is
*niets* dat ze tegenhoudt (bij off the shelf software
uiteraard). Bij open source weet je tenminste dat er altijd
nog met de huidige code verdergegaan kan worden.
Door Anoniem
Weet je dat zeker?
Yeps, probeer maar eens de broncode van Netscape (dus niet Weet je dat zeker?
het Mozillagedeelte) te downloaden, die wordt niet aangeboden.
Constructie van Mozilla (die overigens een dual license heeft) is
te vergelijken met die van openoffice.org/staroffice, openoffice is
opensource, maar staroffice is dat niet.
Rinse
Door Anoniem
het Mozillagedeelte) te downloaden, die wordt niet aangeboden.
Constructie van Mozilla (die overigens een dual license
heeft) is
te vergelijken met die van openoffice.org/staroffice,
openoffice is
opensource, maar staroffice is dat niet.
Rinse
Dank :-)Door Anoniem
Weet je dat zeker?
Yeps, probeer maar eens de broncode van Netscape (dus niet Weet je dat zeker?
het Mozillagedeelte) te downloaden, die wordt niet aangeboden.
Constructie van Mozilla (die overigens een dual license
heeft) is
te vergelijken met die van openoffice.org/staroffice,
openoffice is
opensource, maar staroffice is dat niet.
Rinse
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
