IE-gebruikers kwetsbaarder dan Firefox fans
Gisteren en vandaag regent het beveiligingsupdates voor browsers, wat voor Internet Explorer gebruikers een reden was om te zeggen dat alle browsers even onveilig zijn. De ontwikkelaar van de populaire Firefox plugin NoScript is het daar niet mee eens. Gisteren patchte Opera een trio ernstige lekken en waren vandaag Firefox en IE aan de beurt. Volgens IE-aanhangers is dit het bewijs dat het niet uitmaakt welke browser je gebruikt en dat er dus geen reden is om Microsoft's browser te dumpen, een steeds vaker gehoord advies.
Giorgio Maone deelt die opvatting niet. De kwetsbaarheid in IE wordt op grote schaal misbruikt, terwijl er nog geen aanvallen voor Firefox en Opera bekend zijn. Daarnaast installeert Firefox automatisch de laatste versie, nog voordat aanvallers de kans krijgen om het lek te analyseren, zo gaat de NoScript ontwikkelaar verder. "Dat is pas effectief patchen." Opera gebruikers lopen meer risico, aangezien de browser nog steeds niet over een volledig geautomatiseerd update mechanisme beschikt, iets wat met versie 10 zal veranderen. "Zero-day aanvallen kunnen bij elk programma plaatsvinden, en Opera en Firefox kan dit morgen overkomen, toch is er een aantal interessante verschillen."
NoScript
Maone doelt daarbij op het patchbeleid van Microsoft. Handig voor grote ondernemingen, het helpt ook kwaadwillende figuren en "security attention-bitches" die tot op de minuut nauwkeurig hun exploits of disclosure kunnen plannen. Sinds de laatste patchdinsdag zijn er drie zero-day exploits verschenen, wat volgens de ontwikkelaar geen toeval kan zijn. In het geval van Opera en Firefox verschijnen de updates zodra die gereed en getest zijn.
Het oplossen van problemen met IE is veel lastiger omdat de browser zo nauw verweven met het onderliggende besturingssysteem is. Vaak krijgen gebruikers te horen om JavaScript op alleen betrouwbare sites toe te staan, maar het instellen hiervan is gebruiksonvriendelijk en bijna onbruikbaar, aldus Maone, die in dit geval zijn eigen plugin promoot. Via NoScript is het namelijk veel eenvoudiger om JavaScript toe te staan of te weigeren. "Samengevat: alle browsers kunnen beveiligingslekken bevatten en moeten even snel gepatcht worden, maar niet alle gebruikers zijn even kwetsbaar."
Daarom is Windows Vista precies net zo onveilig als Windows 95. Dat malware goed werkt op Windows, komt alleen door het grote marktaandeel van Windows. En daarom is AIX net zo vatbaar voor malware als MS-DOS 3.21. Al dat Microsoft-bashing moet nu toch eens afgelopen zijn.
IE zou veel baat bij hebben als er een noscript voor zou komen.
maar met tools als WOT en SITE ADVISOR heb je voor IE ook al een beetje bescherming, want het is dan aan de gebruiker of die de site wilt bezoeken, ja of nee..
als je ziet hoeveel figuren er zijn, wiens oren beginnen te klapperen als je over wot en siteadvisor hebt, is growelijk veel..
Maar IE-gebruikers zijn veel vaker dupen, meer zorgen moet je maken over fake plugin voor firefox! PlugIn installeren moet je alleen doen op officele website Mozilla firefox.
Daarom is Windows Vista precies net zo onveilig als Windows 95. Dat malware goed werkt op Windows, komt alleen door het grote marktaandeel van Windows. En daarom is AIX net zo vatbaar voor malware als MS-DOS 3.21. Al dat Microsoft-bashing moet nu toch eens afgelopen zijn.
Virus writers began to take their work seriously. The computer underground had already mastered an array of new polymorphic generators and constructors, and founded new electronic publications. This year saw new viruses which employed new techniques to infect files, penetrate systems, destroy data and conceal themselves from antivirus applications.
(http://www.viruslist.com/en/viruses/encyclopedia?chapter=153311168)
Inderdaad, kosten baten plaatje. The most Bang for your Buck
Vreemd betoog.
Onwaar De kwetsbaarheid ( van Dale: vatbaarheid voor verwonding of ander onheil ) heeft niets te maken met het aantal gebruikers
De kans dat er iets mee gebeurt, is gelieerd aan het aantal gebruikers (denk aan populariteit bij het malware verspreidende publiek).
De beveiliging die software zelf biedt, doet ook volledig niet ter zake: de gebruiker is de zwakste schakel.
De beveiliging doet natuurlijk wel ter zake. Ook al is de gebruiker de zwakste schakel dan is de tweede lijn der verdediging natuurlijk altijd de beveiliging van de software zelf ( als de domme gebruiker ergens op klikt, valt of staat de defensie met het feit of de software al dan niet vatbaar is voor deze aanval)
Tijdens de ontwikkeling van Windows 95 (een OS zonder kernel) was beveiling minder belangrijk dan bij de ontwikkeling van Vista (tijdsbeeld en behoeften) Fouten die in Windows 95 zijn gemaakt zul je niet in Vista vinden (leerproces)
Al dat Microsoft-bashing moet nu toch eens afgelopen zijn.
Commentaar op een OS leverancier omdat ze zaken niet voldoende op orde hebben is toegstaan.
Vaak worden de problemen dan ook gewoon opgelost.
Als dit niet binnen een acceptabel tijdsbestek (in verhouding met de kans dat er niets naar kan gebeuren en de impact van dat naar) gebeurt, dan is er reden om dat eens stevig je ongenoegen te ventileren.
Tenslotte betalen we een hoop geld voor hun producten.
die weten bijv. niet wat een browser maar deze mensen gebruiken wel allemaal IE want dat zit standaard in windows.
deze mensen staan ook niet stil bij kwetsbaarheden van websites en activeren bijv. makkelijkers een active X component.
dit is denk ik 1 van de grootste problemen van IE het lijkt mij daarom ook dat het gross IE gebruikers kwetsbaarder is omdat het niveau van kennis bij deze gebruikers in verhouding het kleinst is.
klein vb. gister belde mijn tante hoe kan ik me aanmelden voor msn. er stond op de pagina waar ze op dat moment al opzat 1 groote knop registreren. en dan toch die over het hoofd zien of niet begrijpen e.d.
Dus als OS/X een groter marktaandeel zou hebben, zou dat de most bang for the buck geven?
Vreemd betoog.
Onwaar. Het gaat ook om de gebruiksinterface. Niet alleen het marktaandeel is belangrijk. Veel mensen gebruiken Windows omdat het makkelijker te bedienen valt, en ja het word veel gebruikt waardoor mensen kennis delen. De mensen met NIET veel verstand of ervaring van computers en /of besturingssystemen hebben vinden het gebruik wat makkelijker. En inderdaad, de meeste mensen gebruiken IE omdat het standaard in Windows zit. Ook hebben ze er waarschijnlijk geef benul van dat er ook andere browsers zijn.
Ik gebruik ook IE ( enige nadeel is de snelheid )
De ontwikkelings kosten van IE zitten natuurlijk in de prijs van het MS OS (dat standaard geleverd wordt met IE) de updates zijn in zoverre gratis dat ze wel even checken of je een legale windows hebt, dus ZO GRATIS is het nou ook weer niet ;-)
Jij betaalt helemaal niks voor IE. En kijk eens hoe snel Microsoft nou een pas ontdekt lek heeft gerepareerd? Daar kan Mozilla nog wat van leren. Probeer de nieuwste versie 3 maar eens uit. Veel plezier met de nieuwe problemen die hierdoor ontstaan.
Vol verwachting klopt ons hart :-)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
