Microsoft ontkent beveiligingslek in Internet Explorer 7
Een twee jaar oud browserlek dat ook in Internet Explorer 7 blijkt te zitten is helemaal geen beveiligingslek, zegt Microsoft. Al in 2004 was de softwaregigant al op de hoogte van de kwetsbaarheid, maar zag het niet als een probleem, omdat gebruikers bewust beveiligingsmaatregelen tegen phishing moesten negeren om er door getroffen te worden.
Nu neemt Microsoft alle waarschuwingen en berichten serieus, ook al gaat het niet om beveiligingslekken, aldus security program manager Christopher Budd. In dit geval heeft de softwaregigant zich afgevraagd hoe ze de anti-phishing en anti-spoofing features kunnen verbeteren, en dat is het tonen van de URL van de website, zelfs in een pop-up venster.
Volgens het Deense Secunia, dat het "lek" wereldkundig maakte, moet Microsoft de verantwoordelijkheid nemen voor alle bugs, zwaktes en lekken in hun browser om ervoor te zorgen dat gebruikers tegen phishingaanvallen beschermd zijn. Het zou namelijk juist de phishing bescherming zijn die in IE7 verbeterd is.
onderzocht, en toen vonden we het geen lek maar een feature
en dus is het geen lek maar een feature.
En "They key thing is that what we said about the issue in
2004 still applies: that you should never decide to trust a
web page without first verifying both the address of the web
page and an SSL connection."
Kortom: de gebruiker moet in deze gevallen steeds de
adressen controleren en zichzelf ervan gewissen dat een en
ander niet onveilig is.
Microsoft legt vaker de verantwoordelijkheid voor veiligheid
bij gebruikers en slaat gebruikers dus hoger aan dan
misschien verantwoord is.
Ik zou zeggen dat het een feature is, die standaard uit moet
staan maar door veiligheidsbewuste gebruikers aangezet kan
worden als ze er zeker van zijn dat de veiligheid niet in
gevaar komt. Zoals NoScript ongeveer werkt.
vliegtuigfabrikant leverde vroeger toestellen af met een
optie om zuurstofmaskers niet automatisch bij drukverschil
tevoorschijn te laten komen. Vervolgens worden die
toestellen gerenoveerd en de optie standaard uitgezet maar
zonder dat de maskers alsnog automatisch tevoorschijn zullen
komen. De fabrikant vind dat voor veiligheid onbelangrijk
omdat ze vroeger de optie als normaal leverden.
Ik denk dat we heel blij moeten zijn dat Microsoft geen
vliegtuigfabrikant is.
als iemand de "stop" eruit trekt? Nou ja, dan vergaat
diezelfde duikboot-feature met man en muis......
In België maken ze daarom sinds kort onzinkbare duikboten...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
