"Microsoft moet IE op Firefox manier patchen"
Om Windows gebruikers beter tegen cybercriminelen te beschermen moet Microsoft Internet Explorer van de maandelijkse patchdinsdag scheiden, zegt Wolfgang Kandek. Volgens de CTO van Qualys is Microsoft's browser vanwege het marktaandeel en "high risk" profiel een ideaal doelwit voor kwaadaardige hackers, maar zijn bedrijven traag met het installeren van IE patches. Uit eigen onderzoek blijkt dat bedrijven de updates voor Internet Explorer net zo snel als andere belangrijke updates uitrollen. Het risico van een kwetsbaarheid in de browser is echter vele malen groter.
Kandek krijgt vaak de vraag welke updates bedrijven als eerste moeten uitrollen. "Meestal zijn we terughoudend om het ene lek boven het andere te stellen. Als we naar de gegevens van 2008 kijken, dan zijn we het ermee eens dat IE-lekken de hoogste prioriteit horen te krijgen en als eerste gepatcht moeten worden." De browser is namelijk de meest gebruikte applicatie en staat in contact met het internet. Een vaak gehoord excuus is dat bedrijven eerst de updates willen testen. Kandek voorziet in het geval van IE geen problemen. "Browser patches worden grondig door Microsoft getest en zullen waarschijnlijk geen bestaande functionaliteit op de desktop breken."
Lesje Firefox
Microsoft moet daarom dezelfde aanpak hanteren als Mozilla voor Firefox gebruikt, namelijk de browser automatisch laten updaten zodra er een update verschijnt, aldus Kadenk. "Patches zouden sneller worden uitgerold en we zouden een gezondere IE populatie hebben."
Leuke aanname, maar geldt dit ook voor in-house applicaties? Programmeurs kunnen allerlei dingen doen om hun doel te bereiken, dus...
Mag ik dan stellen dat bijvoorbeeld web-based applicaties als bijvoorbeeld Tibco's I-process workspace browser niet wil draaien in FF en wel in IE, en dat alleen al om die reden het eerst zelf testen van een security-update van IE wel degelijk van belang is.
Wat is de x-as en wat is de y-as?
"It isn't even wrong!"
Ook Lamaar is door de kredietcrisis getroffen. MS heeft zijn budget met een aanzienlijk percentage naar beneden bijgesteld. ;)
Mag ik dan stellen dat bijvoorbeeld web-based applicaties als bijvoorbeeld Tibco's I-process workspace browser niet wil draaien in FF en wel in IE, en dat alleen al om die reden het eerst zelf testen van een security-update van IE wel degelijk van belang is.
Mag ik dan hioerop stellen dat die webbased applicatie zuigt als deze alleen op IE draait. Dan is het geen webbased applicatie maar een IE-Plugin.
En nee ik ben niet anti MS (wel pro firefox) en moet zelf ook gedwongen gebruik maken van dit soort apps.
een echte webbased app werkt browser onafhankelijk.
Mag ik dan stellen dat bijvoorbeeld web-based applicaties als bijvoorbeeld Tibco's I-process workspace browser niet wil draaien in FF en wel in IE, en dat alleen al om die reden het eerst zelf testen van een security-update van IE wel degelijk van belang is.
Mag ik dan hioerop stellen dat die webbased applicatie zuigt als deze alleen op IE draait. Dan is het geen webbased applicatie maar een IE-Plugin.
En nee ik ben niet anti MS (wel pro firefox) en moet zelf ook gedwongen gebruik maken van dit soort apps.
een echte webbased app werkt browser onafhankelijk.
Normaliter draaien dergelijke applicaties niet op webservers die normaal via het www zijn te benaderen en hebben ze ook hun normale clients in een reguliere windows-omgeving. W3c richtlijnen zijn, dacht ik, alleen maar van toepassing wanneer we het hebben over het www. De webbased-versie wordt slechts als extra uitgerold tbv. bepaalde groepen gebruikers, bv. thuiswerkers die via VPN of een token het bedrijfsnetwerk benaderen.
sorry....
Mag ik dan stellen dat bijvoorbeeld web-based applicaties als bijvoorbeeld Tibco's I-process workspace browser niet wil draaien in FF en wel in IE, en dat alleen al om die reden het eerst zelf testen van een security-update van IE wel degelijk van belang is.
Mag ik dan stellen dat de makers van die web-based applicaties geen flauw benul hebben van de technieken die ze gebruiken? Als je iets maakt wat webstandaarden negeert dan vraag je inderdaad om weinig draagkracht. En laat dat nou net de strategie van Microsoft zijn.
Ook Lamaar is door de kredietcrisis getroffen. MS heeft zijn budget met een aanzienlijk percentage naar beneden bijgesteld. ;)
dat komt om dat FF geen vaste dag in de maand heeft .wat MS wel weer heeft;
Ja dat zeg ik toch.
@Clockwork
Neem aan dat je doelt op Lamaar. Deze is niet weg maar alleen onder een andere naam verder gegaan. Zelfde stijl en zelfde voor liefde voor MS. En een onverklaarbare haat tegen netscape & latere Mozilla. Op gezette tijden gaat hij aan het werk, zullen we maar zeggen.
Ook Lamaar is door de kredietcrisis getroffen. MS heeft zijn budget met een aanzienlijk percentage naar beneden bijgesteld. ;)
Hoi Nomen Nescio!! Tijd geleden :) Hoeveel aliassen heb je nu inmiddels verzameld? ;)
Ook Lamaar is door de kredietcrisis getroffen. MS heeft zijn budget met een aanzienlijk percentage naar beneden bijgesteld. ;)
Hoi Nomen Nescio!! Tijd geleden :) Hoeveel aliassen heb je nu inmiddels verzameld? ;)
* Nomen Nescio;
* Lamaar;
* Clockwork (wellicht afgeleid van zijn grote held, de Clogwog Usenet k00k);
Uiteraard schrijft hij ook incidenteel anoniem commentaren, maar die vallen meteen op door de herkenbare schrijfstijl.
Ik ben een grote fan van Nomen Nescio/Lamaar/Clockwork, hij laat me altijd aan Callimero denken :-)
Ook Lamaar is door de kredietcrisis getroffen. MS heeft zijn budget met een aanzienlijk percentage naar beneden bijgesteld. ;)
http://webwereld.nl
Dat is een echte pro Microsoft site. Op Webwereld wordt Microsoft altijd de hemel ingeprezen, ongeacht welke troep ze er ook van maken.
Ook daar kan je commentaren op de artikelen geven en je zal je snel thuis voelen bij SED, Kiser Söze en Albert van Zonnevelt. Alle drie, regelrechte Microsoft Astroturfers en vaak kom je er zelfs echte medewerkers van Microsoft tegen (zogenaamde Blog Technical Evangelisten).
Security.nl is een site voor kritische mensen, die de veiligheid van software op prijs stellen.
Webwereld is een site voor mensen die braaf het ejaculaat van Microsoft slikken.
Veel plezier op Webwereld :-)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
