Firefox vergroot beveiligingsproblemen Windows XP
Het rapport van Microsoft's Jeff Jones, waaruit blijkt dat Windows Vista minder lekken heeft dan XP, Red Hat, Ubuntu en Mac OS X, zorgde voor verhitte discussies. Ook Jesper Johansson, voormalig Microsoft werknemer en auteur van het boek Windows Vista Security, heeft een mening. In plaats van een product uit 2001 met een vijf jaar nieuwer product te vergelijken, wilde hij weten of Vista gebruikers meer beveiligingsproblemen hadden dan XP gebruikers. "Het feit dat Vista in het eerste jaar van z'n bestaan minder problemen had dan XP in 2001 is niet relevant voor me als ik een IT manager ben die moet bepalen of hij vandaag XP door Vista vervangt."
"Wat ik wil weten is wat ik kan verwachten qua beveiligingslekken vandaag, niet waar ik zes jaar geleden mee te maken had."
Eigen onderzoek
Johansson besloot daarom zelf maar op onderzoek uit te gaan. Eerst controleerde hij het aantal lekken dat vorig jaar in Vista en XP werden gevonden. Vista had te maken met 45 lekken, terwijl XP in combinatie met IE6 er 62 had. XP gebruikers met IE7 kregen 61 kwetsbaarheden voorgeschoteld. Met name het aantal ernstige lekken ligt in Vista veel lager, met 17 tegenover 29 in XP met IE7 en 38 in XP met IE6. Niet alleen moesten Vista gebruikers minder patches installeren, ook verschenen er op 10 verschillende dagen updates, terwijl dit bij XP 11 was.
Firefox vergroot problemen
"Veel mensen zien deze cijfers en zeggen dat die niet relevant zijn, omdat ze Firefox gebruiken", gaat Johansson verder. Ook deze stelling legde hij onder de loep, en wilde weten of Firefox gebruikers minder vaak moeten patchen en of ze ook met minder lekken te maken hebben. Mozilla bracht op 8 verschillende momenten updates voor Firefox uit, terwijl Microsoft op vijf verschillende dagen IE op Vista moest patchen, en zes moment voor IE6/IE7 op XP nodig had.
Het grote verschil zit hem in het aantal beveiligingslekken. Firefox moest 44 gaten repareren, terwijl dit er bij de browser van Vista 17 waren. Ook XP gebruikers hebben de helft minder lekken als ze IE6 of IE7 gebruiken.
Werkdruk
"Het eerste dat ik wil opmerken is dat het tellen van beveiligingslekken geen goede graadmeter van de beveiliging is. De gegevens laten duidelijk zien dat Firefox meer lekken had dan IE, toch beweren de meeste mensen dat IE vaker wordt aangevallen. Ik heb niet de moeite genomen om gegevens te vinden om die bewering te bevestigen."
Wat het tellen van lekken wel doet, is het meten van de werkdruk voor een automatiseringsafdeling. IT-afdelingen die Vista moesten beheren hadden minder werk dan het geval was bij afdelingen die met XP en IE6 werkten. "De werkbelasting voor een IT-afdeling die ook Firefox beheerde was zelfs nog groter."
maar ondertussen wel gaan tellen en vergelijken. Kennelijk
is publiciteit behalen toch ergens belangrijker voor meneer
Johansson. Hoe zou dat toch komen met al die boeken die hij
wil verkopen.
"De werkbelasting voor een IT-afdeling die ook Firefox
beheerde was zelfs nog groter."
En dan nu 1 praktijkvoorbeeld:
Wij sturen alle verkeer door de proxy naar buiten.
In de proxy wordt IE de toegang tot internet ontzegd.
(op enkele vrijgegeven sites na)
De rest wordt bezocht met Firefox.
Dit draait zo al een paar jaar en het werd voor ons een stuk
rustiger sinds de invoering zodat we ons met automatisering
konden bezighouden.
werkdruk voor een automatiseringsafdeling."
Tuurlijk, 1 SP update neemt geeft minder werkdruk dan 3
kleine beveiligingsupdates. En als de straat nat is, regent
het... logica van een kind wat deze vent gebruikt X-(
De bedrijfsfilosofie (de klant is er voor MS en niet
andersom), de hoeveelheid FUD, en het door de strot drukken
van eigen standaarden is werkelijk "zum kotzen".
Ook Johansson lijdt aan het Stockholm syndroom. Wordt nog
druk op de afkick kliniek.
"Frl"
beveiligingslekken geen goede graadmeter van de beveiliging is."
Kan de redactie in het vervolg rekening houden met dit soort
conclusies voordat ze dit soort titels verzinnen? Het
artikel gaat over werkbelasting, de titel over beveiliging.
Over werkbelasting gesproken, ik vind het als niet-zakelijke
gebruiker een stuk prettiger om FF te updaten dan windows.
met hardware en software die door Vista wordt veroorzaakt
moet je ook meetellen in de belasting die Vista oplevert
voor de werkdruk. De migratie van XP naar Vista ook. De
hoeveelheid sites die het in IE en/of FireFox niet doen is
ook per bedrijf/persoon verschillend.
Conclusies aan statistiek verbinden is kennelijk niet aan
journalisten besteed.....
firefox kan heel simpel automatisch updaten, bij updates
voor IE kunnen zich problemen voordoen van een wat grotere
omvang
De hoeveelheid bijkomende problemen door incompatibiliteit
met hardware en software die door Vista wordt veroorzaakt
moet je ook meetellen in de belasting die Vista oplevert
voor de werkdruk. De migratie van XP naar Vista ook. De
hoeveelheid sites die het in IE en/of FireFox niet doen is
ook per bedrijf/persoon verschillend.
Conclusies aan statistiek verbinden is kennelijk niet aan
journalisten besteed.....
van de software en drivers van derden. En alle sites die het in IE in XP
doen, doen het ook in IE in Vista hoor.
Conclusies zijn jouw sterkste kant dus duidelijk niet.
"Het eerste dat ik wil opmerken is dat het tellen van
beveiligingslekken geen goede graadmeter van de beveiliging is."
Kan de redactie in het vervolg rekening houden met dit soort
conclusies voordat ze dit soort titels verzinnen? Het
artikel gaat over werkbelasting, de titel over beveiliging.
Over werkbelasting gesproken, ik vind het als niet-zakelijke
gebruiker een stuk prettiger om FF te updaten dan windows.
worden (m.a.w. er veel worden gevonden) en in IE maar 10%
gedicht wordt.
Oftewel, ze vergelijken totaal verkeerde cijfers.
Het probleem is dat in FF ook echt veel lekker gedicht
worden (m.a.w. er veel worden gevonden) en in IE maar 10%
gedicht wordt.
Oftewel, ze vergelijken totaal verkeerde cijfers.
Soms hebben beide browsers er last van maar vaak werkt een
ie-lek niet op ff, en andersom. Dan kan je de ene gebruiken
als de ander lek is. Daardoor wordt men m.i. niet onveiliger.
Op dit moment is volgens Secunia de ernst van de FF
2.x-lekken lager dan die van IE 6.x en 7.x, ook van de
niet-gepatchte.
Het updaten van FF heeft doorgaans alleen tot gevolg dat je
het programma opnieuw moet starten. Daarbij vraagt het of
het je oude browse-sessie zal herstellen.
Bij FF werken dan soms add-ons niet meer maar FF zelf doet
het doorgaans goed.
Maar dan het updaten van IE (op productie-servers)... Dat
werkdruk-argument is misschien niet zo handig gekozen.
Al met al denk ik dat FF de problemen niet vergroot maar
juist flink kan verzachten.
te gaan van de cijfers die Microsoft levert. Lijkt mij als
security expert nu niet direct betrouwbaar.
Als voorbeeld de aangehaalde vergelijking tussen Vista en de
overige OS-en.
Vista werd vergeleken met XP op basis van Microsoft
gegevens(hier heeft Microsoft een duidelijk belang dat Vista
beter scoort), terwijl voor de andere OS-en de fouten
inclusief meegeleverde software (je weet wel office en zo)
geteld werden. Kaal OS vs. OS inclusief alle applicaties..
Zo kan ik ook alle cijfers krijgen die ik wil.
te daten dan IE :
FF : enkel bij het starten van FF wordt er gemeld dat er een
update is. binnen de minuut is de update binnen, wordt FF
herstart en worden eventuele aanpassingen binnen de
extensions (die m.i. FF nog wat extra veiliger maken)
doorgevoerd.
IE : via Windows update komt de update binnen, natuurlijk
midden tijdens het afwerken van een dringen project,
begint-ie te zagen dat-ie wil updaten, moet je gaan checken
wat-er nu precies allemaal gaat doen, na installatie begint
om de zoveel minuten te klagen dat er gereboot moet worden,
en om er van af te zijn herstart je maar, om dan tot de
conclusie te komen dat er nog een aantal 'onafgewerkte'
updates tussen zaten waardoor je systeem vierkant begint te
draaien. En die deadline, die wacht natuurlijk niet....
Ik zou het wel weten wat voor mij de minste werkdruk geeft ....
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
