Tja dat krijg je als je updates te snel uitbrengt. Je bent dan wel sneller
beveiligd maar zit je toch in de shitzooi.

Hier vind je de nederlandse versie:
http://ftp.mozilla.org/pub/mozilla.org/firefox/nightly/latest-aviary1.0.1-l10n/firefox-1.0.5.nl-NL.win32.installer.exe
deze is wel op de nightly build gebaseerd, maar je kan ook
de engelstalige downloaden en dan de nederlandse extensie
erop zetten

> De stichting heeft alle "localisation teams" namelijk
> aangeraden om te stoppen met het werk aan deze
> versie en te wachten op 1.0.6

Absoluut onverantwoord en onacceptabel. POC's zijn al bijna
een week beschikbaar, onder andere hier
http://www.frsirt.com/exploits/. Als je PC
gekraakt wordt en ze gaan er met je private key vandoor heb
je ook lekker veel aan GPG/PGP (waar in de praktijk doorsnee
gebruikers niets mee doen).

Stel die updates beschikbaar en toon op de downloadsite en,
ingeval van de automatische update, voor het installeren een
waarschuwing dat sommige zaken niet meer zullen werken. Dan
is de gebruiker zelf verantwoordelijk voor de beslissing wel
of niet te updaten.

Als poster "flod" op
http://www.mozillazine.org/talkback.html?article=6950
inderdaad lid is van het Italiaanse "localization team", en
het waar is dat hij beweert dat de localization teams wel
willen, maar de Mozilla Foundation versie 1.0.5 voor alle
andere talen dan US-EN tegenhoudt, dan voorspel ik
(helaas) een sombere toekomst voor Firefox.

Het lijkt er op dat gezaghebbenden binnen de Mozilla
Foundation net zo denken als sommige posters op
eerdergenoemd forum, waarvan er 1 zegt nog nooit van de taal
"Polish" gehoord te hebben (het boegbeeld van de
Amerikanen, Archie Bunker, wist zelfs beter). Alleen al de
arrogantie om te suggereren dat iedereen dan maar de
Engelstalige versie moet gebruiken is m.i. dodelijk voor dit
project.

De issue is hier uiteindelijk dat localized versions niet
automatisch geupdate worden en Mozilla Foundation daarmee
PC's van gewone gebruikers onnodig kwetsbaar laat.

Dit is niet alleen een flinke teleurstelling voor de
ontwikkelaars, maar ook voor velen op dit forum, die (net
als ik) vrienden en familie hebben overgehaald om Firefox te
gebruiken. Ik twijfel nu erg of ik daar wel mee door moet gaan.

Erik van Straten

Laatst was ik een groot deel van de dag bezig om allerlei security-updates
op te halen. Dit varieerde van Windows tot Firefox en ga zo maar door.

Op ten duur krijg je er wel eens genoeg van.

Bij het
bezoeken van normale site's is de kans dus gering.
Je krijgt toch eerst een
schermpje waarin je akkoord moet gaan met de bepalingen,
voor installatie.
Trouwens, voor een update maak je toch altijd eerst een backup?
Da's normaal in de ICT, waar mogelijk zekerheid inbouwen.
Waarom?
In een zeer kort tijdsbestek verschijnt 1.0.6 al, die wordt
vertaald.
Nee, er is gebleken dat sommige extenties niet
meer functioneren met de aangepaste API van 1.0.5 dus heeft
men er voor gekozen de vertalingen uit te stellen voor 1.0.6
die z.s.m. verschijnt. 1.0.6 is met behoud van
functionaliteit, waarbij enige security-aandachtspunten
zullen zijn opgelost.
Dan weet ik niet wat voor aard
site's jullie afstruinen waarom dit zo'n groot punt voor je
is. Zodadelijk is er 1.0.6. in je moerstaal.

Anoniem op zondag 17 juli 2005 16:11:
> Trouwens, voor een update maak je toch altijd eerst
> een backup?

Jij bent er zeker zo een die eenvoudige gebruikers afraadt
om automatische updates aan te zetten, zodat ze eerst een
backup kunnen draaien? Wat in het geval van Firefox
flauwekul is want je kunt eenvoudig de vorige versie
downloaden en installeren.

> Bij het bezoeken van normale site's is de kans dus gering.

Wat een kortzichtige reactie voor op een security site.

Ga even naar http://www.mozilla.org/ en klik op
"Spread Firefox Hacked". Of kijk even hier
http://www.security.nl/article/11202/1/Engelse_Microsoft_website_gehackt_en_defaced.html
en zo herinner ik me ook nog dat je via gekraakte Falk AG
adbanner servers door het lezen van The Register narigheid
op kon lopen. Zie
http://www.theregister.co.uk/2004/11/21/register_adserver_attack/.
En zo weet ik er nog wel meer.

Daarnaast moet mijn zoon, en ook de kids van een vriend van
mij waar ik Firefox geinstalleerd heb, regelmatig van school
('t is nu vakantie) voor werkstukken zoeken op internet, en
komen zo soms op de meest wilde sites uit. Als ervaren
surfer is het vaak al lastig om in te schatten op wat voor
site je terecht zult komen, en zeker voor leken en dan met
name kinderen is dat het geval.

Ten slotte is niet alles meer wat het was. Als je
bijvoorbeeld zoekt naar "incident-response" vind je nog
steeds sites die verwijzen naar
http://www.incident-response_dot_org/ (LET OP!
ALLEEN bezoeken als je ergens pillen voor wilt; N.B. ik
claim niet dat er malware op deze site staat).

Die site is dus niet meer van Rob Lee, die daar ooit
interessante tools op publiceerde. Genoemde URL staat echter
nog in vol ornaat op bijv.
http://www.pgpkeys.net/html/linuxsecurity5.html
en
http://www.sans.org/CDI03SanAntonio/faculty.php.
Toch geen sites waar je als security-pro (of
-geinteresseerde) foute URL's verwacht.

Een webbrowser hoort echter tegen elke site te kunnen.
Surfen moet geen gokspel zijn.

Erik van Straten

Inderdaad, eerst testen
voor het in productie te nemen. Dat geldt eigenlijk voor
alles dat nieuw is. Die procedure is in de ICT gemeengoed,
dat heeft niet zozeer met vertrouwen te maken. Dit is geen
flauwekul omdat data in het ergste geval gecorrumpeerd zou
kunnen raken. Je gaat er niet vanuit, toch moet je daar in
algemene zin rekening mee houden. (Meest actuele) data heb
je zonder backup niet even gauw terug, programma's wel.
Eerder een interpretatieverschil.
Ja, ik ook:
hoeveel kans heb je om betrokken te raken bij een
verkeersongeluk. Hoeveel kans loop je om slachtoffer te
worden van een misdrijf. Hoeveel kans loop je dat ergens in
je huidige platform of applicaties fouten gedijen die nog
veel erger zijn?
Hoe kan
dit worden gelezen? "Bij het zoeken naar gewassen voor m'n
werkstuk voor biologie kwam ik bij deze volborstige natte
blote dames uit, pappa, echt waar!" :)
Dan ben ik blijkbaar een
ander type gebruiker.
Dit ben ik helaas met je eens. Eerder
onderzoek door ik meen Symantec wees eerder uit dat de meest
wilde site's bizar maar waar worden gevonden door typisch
kinderlijk gebruik.
Eens. Maar
blind aanklikken is er ook niet bij. Natuurlijk heb je de
gebruikelijke proof-of-concepts die een bepaald probleem
illustreren.
Met die theorie ben ik
het eens, echter, net als in het echte leven, kleeft aan
alles een zeker risico. Risicoloos bestaat niet, dat is
onrealistisch.
Je kunt wachten op versie 1.0.6 of zolang de Engelse versie
gebruiken of de source met de taalmodule(s) zelf compileren
als je er geen last van hebt dat sommige extenties niet
onder 1.0.5 functioneren.

Volgens mij is het zo dat als je met consumtenten te maken hebt dat die
gewoon blindelings moeten kunnen updaten. Een consument zou niet
allerlei procedures moeten doorlopen die moet gewoon automatisch
updaten en klaar. En dat moet ook gewoon werken. Voor windows zet je
daar ook gewoon windows update aan. Je gaat niet alle patches zitten
testen, wie moet dat gaan doen dan? De gebruiker? Dat kun je niet van
hem verwachten en het slimme neefje heeft ook wel meer te doen.

Nee, een
update kan geen rekening houden met al of niet aanwezige
exotische toepassingen of processen die de gebruiker op zijn
of haar computer (erbij geïnstalleerd) heeft.
Updates kunnen ingrijpen op complexe materie. Dan kun je
niet zondermeer garanderen dat elk proces of toepassing
ermee overweg kan.
Automagisch updaten is een mooie theorie, die niet altijd
wenselijk uitpakt als voorspeld. Wanneer je aan Application
Program Interfaces sleutelt weet je eigenlijk min of meer
zeker dat er buiten iets zal zijn dat zal gaan stuiteren.
Doet me denken aan XP SP2,
dat erna bij mensen direct een flinke berg niet meer
functioneerde.
De beheerder, niet de gebruiker.