Firefox fans surfen veiliger dan IE-aanhangers
Maar liefst veertig procent van alle mensen op het internet surft met een lekke browser, zo blijkt uit onderzoek van Google, IBM en de Zwitserse Communication Systems Group. De cijfers zijn gebaseerd op de zoekopdrachten die Google tussen januari 2007 en juni 2008 te verwerken kreeg. Van de 1,4 miljard internetgebruikers, bleken 576 miljoen een gedateerde browser te gebruiken.
Mozilla gebruikers surfen over het algemeen met de laatste versie van de browser, wat met een percentage van 83,3% duidelijk wordt bevestigd. In het geval van Safari ging het om 65,3% terwijl Opera 56,1% haalde. Gebruikers van Internet Explorer zijn de grootste risicogroep. Daar surft slechts 47,6% met de meest recente versie. De reden dat Firefox fans veiliger zijn, komt doordat het patchproces van Mozilla sneller en minder problematisch is. De meeste mensen installeren een nieuwe Firefox versie zodra de browser dit aan hen vraagt.
Opera controleert wel op updates, maar de gebruiker moet die nog steeds zelf downloaden en installeren. Safari maakt gebruik van de Apple-updater die op reguliere intervallen op updates controleert, terwijl IE eens per maand wordt gepatcht. De onderzoekers zijn dan ook duidelijk. "Het auto-update mechanisme zoals in Firefox aanwezig is, is het meest efficiënte van alle browsers die we onderzochten." Het onderzoek keek niet naar kwetsbare plugins. Dan zou het aantal kwetsbare websurfers nog veel hoger kunnen liggen. Zo werd laatst al duidelijk dat veertig procent van de security bewuste internetters niet over de laatste versie van Flash beschikt.
Marktaandeel
Naast het aantal gepatchte browser, brachten de onderzoekers ook het marktaandeel van elke browser in kaart. Internet Explorer is met 78,3% nog altijd alleenheerser en lijkt voorlopig niet door Firefox te worden ingehaald. Mozilla's browser had een aandeel van 16,1%. Nog altijd veel meer dan Safari, dat door 3,4% van de internetgebruikers wordt gebruikt. Het aandeel Opera bleef steken op 0,8%, toch nog goed voor 11 miljoen gebruikers.
Houdbaarheidsdatum
De reden dat mensen hun browser niet updaten is omdat ze het niet doen, ze het niet kan schelen of omdat ze het niet weten. Om de gebruiker bewuster te maken stellen de onderzoekers een systeem voor dat lijkt op die van de houdbaarheidsdatum bij levensmiddelen. De browser kan dan zeggen hoeveel dagen die lek is en om hoeveel lekken het gaat. Ook websites zouden aan de hand van de USER AGENT kunnen zien of iemand met een lekke versie surft en hem dan waarschuwen. Als laatste adviseren de onderzoekers om niet alleen betere auto-update mechanismen te implementeren, maar ook om op kwetsbare plugins te controleren.
kunnen zien of iemand met een lekke versie surft en hem dan
waarschuwen.
website om informatie te presenteren, en niet om te
controleren of iemand wel goede software gebruikt om dat te
lezen.
kunnen zien of iemand met een lekke versie surft en hem dan
waarschuwen.
website om informatie te presenteren, en niet om te
controleren of iemand wel goede software gebruikt om dat te
lezen.
juist, niets zo vervelend als opdringerige browserchecks. De
ergste zijn nog wel die perfect renderbare data niet laten
zien omdat ze je user-agent niet herkennen.
of OS werkt om zo mensen te verlokken een programma te installeren...
Wordt dan weer de kunst om deze neppers/slechterikken van De Goeden te
onderscheiden.
Leuheuk :-)
Deze kan je met NoScript redelijk tegenhouden. Werkt alleen
niet als een vertrouwd domein gekaapt blijkt.
En dan een doe-het-zelf-proefje, voor de liefhebbers.
Ik zet mijn pc aan en boot Windows XP sp2. Ik meld me aan
als administrator, open taakbeheer en start een cmd.exe.
Daarin start ik met runas een nieuwe cmd.exe als gebruiker
A. Als A start ik met runas een cmd.exe als gebruiker B. In
de cmd van A en in de cmd van B start ik Firefox tegelijk.
In taakbeheer zie ik (als admin) maar een firefox-instance,
onder gebruikersnaam A.
Als ik dit onder linux doe, zie ik de 2e firefox draaien
onder gebruiker B.
dat standaard gebruiken omdat het op het systeem staat.
Firefox moet geinstaleerd worden en meestal zijn dat de
mensen die wat meer verstand hebben van internet is mijn mening.
En het updaten is superfijn in firefox, gebruik zelf
trouwens portablefirefox :)
zijn.[/sarcasme]
komt waarschijnlijk ook omdat zakelijke gebruikers meestal
met IE werken en bij bedrijven niet de gebruiker zelf maar
het systeembeheer bepaald wanneer updates worden
geïnstalleerd. Bij grote bedrijven worden deze eerst
uitgebreidt getest en dan pas uitgerold. Dan kan soms een
maand of nog langer duren voordat een update wordt
geïnstalleerd en in de tussentijd word IE natuurlijk gewoon
gebruikt.
het niet doen"
Duh... :)
Reden waarom mensen Firefox wél updaten is omdat ze gewoon
geinformeerd worden als er een update is. Reden waarom
mensen IE updaten is omdat de meesten tegenwoordig de
automatische updates wel aan hebben staan, en dan de updates
van IE ook automatisch krijgen.
En dan een doe-het-zelf-proefje, voor de liefhebbers.
Ik zet mijn pc aan en boot Windows XP sp2. Ik meld me aan
als administrator, open taakbeheer en start een cmd.exe.
Daarin start ik met runas een nieuwe cmd.exe als gebruiker
A. Als A start ik met runas een cmd.exe als gebruiker B. In
de cmd van A en in de cmd van B start ik Firefox tegelijk.
In taakbeheer zie ik (als admin) maar een firefox-instance,
onder gebruikersnaam A.
shell (DOS-console) als gebruiker B. Echter draait het programma dat je van
uit die dos-shell start niet (let op, sleutel woord) IN de dos-shell, dus zijn de
USER, etc automatisch hetgeen waar je onder ingelogt bent, helaas.
Windows en Linux hebben een wezenlijk andere memory & user -
management, soms zijn slechts details verschillend, soms zijn de concepten
totaal verschillend. [/offtopic]
On topic, auto-update is inderdaad handig, echter is er een grote valkuil
(single point of failure) in het concept. Als de update-server(s) gekraakt word,
is de impact enorm. Maar dat geld ook voor software op bijv. CD, met de
master-CD kan natuurlijk ook gerotzooid worden.
PS: de CAPTCHA zuigt, voor mensen die een klein beetje kleurenblind zijn, of
hun monitor niet correct hebben ingesteld. Sommige kleuren vallen bijna
helemaal weg, ik pleit voor een een zwart/witte CAPTCHA.
(geen flame). Je start de dos-shell (DOS-console) als
gebruiker B. Echter draait het programma dat je vanuit die
dos-shell start niet (let op, sleutel woord) IN de
dos-shell, dus zijn de USER, etc automatisch hetgeen waar je
onder ingelogt bent, helaas.
Administrator moeten draaien. Die draait echter als
gebruiker A. Wanneer ik met runas een proces start, hoort
dat proces te draaien onder het account dat ik bij runas
opgeef. Daarom zou de tweede Firefox simpelweg als gebruiker
B moeten draaien, die heb ik tenslotte opgegeven in de runas.
De tweede firefox draait ook als gebruiker A, en gebruiker B
zou dan in m.i. principe toegang kunnen krijgen tot het
Firefox-proces van gebruiker A. Het lijkt mij dat de
scheiding tussen processen niet helemaal goed geregeld is in
XP. Kan malware dit gedrag misbruiken, vraag ik me dan af?
Probeer eens runas /profile {...}
Om te gillen. Hilarisch :-)
roepen dat "wij" met Firefox zo veilig zijn! Alsof je iemand gaat redden met een
lekke roeiboot. Overigens verbazend hoe hier weer uitgebreid gezwegen wordt
over al die Firefoxlekken. Ga hier maar eens kijken (hoop dat het
onbeschadigd overkomt]:
https://bugzilla.mozilla.org/buglist.cgi?
query_format=advanced&short_desc_type=allwordssubstr&short_desc=&prod
uct=Firefox&long_desc_type=substring&long_desc=&bug_file_loc_type=allwor
dssubstr&bug_file_loc=&status_whiteboard_type=allwordssubstr&status_whit
eboard=&keywords_type=allwords&keywords=&bug_status=UNCONFIRMED
&resolution=&emailassigned_to1=1&emailtype1=exact&email1=&emailassig
ned_to2=1&em
Wie de waslijst aan lekken in de nieuwe Firefox ziet, wordt niet goed. En maar
roepen dat "wij" met Firefox zo veilig zijn! Alsof je iemand gaat
redden met een
lekke roeiboot. Overigens verbazend hoe hier weer uitgebreid gezwegen wordt
over al die Firefoxlekken. Ga hier maar eens kijken (hoop dat het
onbeschadigd overkomt]:
https://bugzilla.mozilla.org/buglist.cgi?
query_format=advanced&short_desc_type=allwordssubstr&short_d
esc=&prod
uct=Firefox&long_desc_type=substring&long_desc=&bug_file_
loc_type=allwor
dssubstr&bug_file_loc=&status_whiteboard_type=allwordssubstr&a
mp;status_whit
eboard=&keywords_type=allwords&keywords=&bug_status=U
NCONFIRMED
&resolution=&emailassigned_to1=1&emailtype1=exact&e
mail1=&emailassig
ned_to2=1&em
meestal in het snel oplossen van problemen, want helemaal lekvrij zal
software nooit zijn.
in dit artikel gaat het om iets heel anders, namelijk hoe goed de gebruikers
van een bepaalde browser die updaten. dat zegt meer over de gebruikers dan
over de veiligheid van de browser opzich.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
