image

IE6-monster laat bedrijven niet los

donderdag 21 januari 2010, 16:36 door Redactie, 13 reacties

Ondanks alle beveiligingsrisico's kunnen bedrijven maar geen afscheid van Internet Explorer 6 nemen. Na de aanval op Google en andere grote bedrijven vroegen veel mensen zich af hoe het kon dat deze ondernemingen nog steeds een negen jaar oude browser gebruikte. Vaak zijn het de bedrijfsapplicaties die bovenop IE6 draaien waardoor upgraden lastig is. Zelfs banken kunnen daardoor niet naar een nieuwere versie overstappen.

Kosten
"De meeste bedrijven blijven met IE6 werken om de kosten te besparen die het herschrijven en testen van hun applicaties op een nieuwere versie of andere browser met zich meebrengt", zegt Tasneem Patanwala, malware-onderzoeker bij anti-virusbedrijf ESET. Ook gebruikers die onbekend zijn met het instellen van een nieuwe browser blijven aan IE6 vastgeplakt. "Maar door het veranderende landschap loopt meer dan alleen financiële informatie gevaar." Diefstal van intellectueel eigendom kost vaak meer dan de investering voor het upgraden naar een veilige en gepatchte browser.

Daarnaast kun je je afvragen in hoeverre een bedrijf met IE6 in staat is om gegevens en informatie tegen aanvallers te beschermen, merkt Patanwala op. "Een combinatie van verschillende beveiligingslekken, verouderde features en het verschijnen van moderne browser doen Internet Explorer 6 kwetsbaar overkomen." De onderzoeker vindt dat de eigenaar van het systeem uiteindelijk voor het updaten van zijn systeem, applicatie en browser verantwoordelijk is en legacy software moet vermijden.

Firefox
Voor kantoorpersoneel is deze keuze niet zo eenvoudig. "Internet Explorer wordt veel gebruikt. Er zijn applicaties voor geschreven en niet iedereen kan van het ene op het andere moment overstappen", laat Craig Schmugar van McAfee weten. Eerder gaven de Franse en Duitse overheid aan om op een alternatief over te stappen. Geen verkeerd advies volgens Schmugar, maar ook Firefox heeft lekken, zegt hij. "De kans dat een Firefox-gebruiker wordt aangevallen is veel kleiner vanwege het feit dat hackers voor de massa kiezen. Ze kiezen voor Windows omdat meer mensen het gebruiken."

Reacties (13)
21-01-2010, 16:57 door Klaas de Paashaas
Firefox is er ook voor Windows hoor, meneer Schmugar.
21-01-2010, 17:56 door Anoniem
Het verschil met de community driven software (zoals FF) is dat het binnen (on)afzienbare tijd de bugs en de vulnerability's hier uit worden gehaalt ,en het geen jaren (17 jaar!) overheen gaat voordat er iets wordt herstelt of een slechte workaround voor wordt beschreven (waar ook weer een workaround voor is;-) (DEP)

Bedrijven denken vaak dat ze niet een alternatief in de plaats van IE kunnen draaien zoals FF of Opera, dan is het vaak te danken aan het niet toepassen van open standaarden en zo een steeds verdere afhankelijkheid (dieper het moeras in) voor zichzelf creeren of laten gebeuren (samen (of door) (met) de (software)leverancier/integrator).
Je zal eerst een kwantitatieve meeting moeten doen wat het aandeel is van gebruikers met deze specifieke browser elementen die geen open standaarden zijn (bv active-X elementen!) en afhankelijkheden met (closed) specifieke informatiesystemen, dan durf ik te wedden dat er een groot gedeelte wel veilig kan werken met het alternatief!

Kort gezegd als je beroerde en lekke software blijft schrijven, kopen en toepassen, gebaseerd op gesloten standaarden ,zul je altijd met dit dilemma zitten als organisatie en zul je nooit een vrije keuze hebben en altijd te veel betalen voor je maatwerk!

De laatste stuiptrekkingen van een oud business model zullen we maar denken;-)

Anon Mous
21-01-2010, 18:04 door Anoniem
"De kans dat een Firefox-gebruiker wordt aangevallen is veel kleiner vanwege het feit dat hackers voor de massa kiezen. Ze kiezen voor Windows omdat meer mensen het gebruiken."

en omdat een bug (die een exploit kan worden) bij firefox binnen 24 gerepareert wordt en er bij Microsoft eerst twee overheden en 34 bevriende bedrijven moeten gaan klagen voordat MS denkt te gaan patchen.

Waarna dan nog eens een week ! gedebateerd wordt of de patch wel naar buiten mag omdat het nog geen dinsdag is.

Wanneer nemen bedrijven de controle over hun ICT terug? Het blijkt dus gewoon dat bedrijven niet zitten te wachten op een veilig netwerk of computers.
21-01-2010, 18:04 door [Account Verwijderd]
Nogmaals bedankt Microsoft!
21-01-2010, 18:06 door Anoniem
En weer die foute, onnozele opmerking:

"...is veel kleiner vanwege het feit dat hackers voor de massa kiezen. Ze kiezen voor Windows omdat meer mensen het gebruiken."

Dit is een onnozele opmerking, gegeven de vele, en oude, onderzoeken en resultaten welke eenvoudig te vinden zijn via google en dit duidelijk weerleggen. Een voorbeeld:

http://www.theregister.co.uk/2004/10/22/security_report_windows_vs_linux/

Myth: There’s Safety In Small Numbers
...This reasoning backfires when one considers that Apache is by far the most popular web server software on the Internet....
...Yet this is precisely the opposite of what we find, historically. IIS has long been the primary target for worms and other attacks, and these attacks have been largely successful....
21-01-2010, 18:37 door Anoniem
Door Donenzone: Nogmaals bedankt Microsoft!

Want het is de schuld van Microsoft dat programmeurs hun web applicaties niet browser onafhankelijk maken?
Of zocht je gewoon een reden om Microsoft weer eens te bashen ??
21-01-2010, 23:31 door Anoniem
Ik kan me nog de discussies rond een externe webapplicatie herinneren, waar een grote druk was om voor het grootste marktaandeel, dus IE, te ontwikkelen. Ik heb met moeite managers, gebruikers en collega-IT'ers ervan kunnen overtuigen dat je door standaards te ondersteunen in plaats van de 90% marktaandeel (of wat het was) van IE zomaar 100% van de markt te pakken had, en dat verschuivingen in marktaandeel, die in buurland Duitsland al zichtbaar waren, en in bijvoorbeeld de Arabische wereld waar anti-Amerikaanse sentimenten op dat moment bedrijven (en we hadden daar klanten) van MS-producten wegdreven. Het heeft me verbaasd hoe abstract dat inzicht voor sommigen was, met name managers bleken maar heel moeilijk te begrijpen dat een standaard niet per se is wat de grootste ellebogenwerker doet. Dat IE relatief krakkemikkig was in de standaardsondersteuning was grotendeels te ondervangen door in de honger naar het gebruik van alle denkbare fancy mogelijkheden te temperen.

En toen bleek opeens dat buiten de IT-afdelingen om een clubje ontstaan was dat interne webapplicaties ontwikkelde. En die zaten nog hevig in de wow-fase en pasten alles toe wat ze maar aan coole mogelijkheden tegenkwamen in de browser die ze toevallig gewend waren: IE. Ik heb absoluut respect voor veel aspecten van wat ze gebouwd hebben, het waren slimme en origineel denkende mensen, maar mijn vermelden van standaards, JavaScript met het W3C DOM als beter alternatief voor VBScript met een IE-specifiek DOM, dat kwam totaal niet bij ze aan. Glazige ogen, hun focus lag te sterk op andere aspecten van waar ze mee bezig waren. Ze scoorden intern enorm met wat ze maakten, en dus waren onmisbare geworden interne applicaties met handen en voeten aan IE6 gebonden.

Ze hadden in zoverre een punt dat mijn argumenten vooral gericht waren op de vrijheid van klanten om de browser van hun keuze te gebruiken, wat intern geen punt was. Maar door de keuze van Microsoft om (eindelijk) standaards serieus te nemen blijken mijn argumenten achteraf ook in die situatie te gelden. Het illustreert hoe belangrijk het volgen van standaards is (en dan bedoel ik niet leverancierspecifieke "standaards"), zelfs in een situatie waarin je het nut ervan niet direct ziet.

Het is niet meer mijn probleem, ik werk daar niet meer, maar de onstuitbaarheid waarmee dit type situatie kan ontstaan is om moedeloos van te worden.
21-01-2010, 23:51 door Anoniem
Huh zitten we al op 8???
Ik draai nog op IE 1
22-01-2010, 10:06 door Anoniem
De bank waar ik gewerkt heb is pas een paar maanden terug, na een transitieperiode van zeker driekwart jaar, overgegaan naar IE7. Alle bestaande applicaties moesten worden getest met IE7, als het niet meer werkte werd een nieuwere versie aangeschaft en de eigen applicaties moesten herschreven worden. Maar uiteindelijk is het wel gelukt. Precies de types die Anoniem @23:31 beschrijft hebben ervoor gezorgd dat de transitie zo lang duurde. Maar ook de code die achter sommige commerciele producten zit is vaak om akelig van te worden.
22-01-2010, 10:07 door Anoniem
"Daarnaast kun je je afvragen in hoeverre een bedrijf met IE6 in staat is om gegevens en informatie tegen aanvallers te beschermen, merkt Patanwala op."

Dat kan best. Mits je een groot deel van de actieve content uitschakelt en al het webverkeer met een content filter controleert en filtert. Dus ActiveX uit, zo min mogelijk trusted sites en een goede intrusion prevention op zowel de host als het netwerk. Dan valt met IE6 nog best veilig (maar niet prettig) te werken. Ook Aurora krijgt geen kans door een goed ingestelde IPS.
22-01-2010, 15:08 door Anoniem
Door Anoniem: De bank waar ik gewerkt heb is pas een paar maanden terug, na een transitieperiode van zeker driekwart jaar, overgegaan naar IE7. Alle bestaande applicaties moesten worden getest met IE7, als het niet meer werkte werd een nieuwere versie aangeschaft en de eigen applicaties moesten herschreven worden. Maar uiteindelijk is het wel gelukt. Precies de types die Anoniem @23:31 beschrijft hebben ervoor gezorgd dat de transitie zo lang duurde. Maar ook de code die achter sommige commerciele producten zit is vaak om akelig van te worden.

Leuk: Nu IE8 uit is, kunnen ze het hele truukje nog eens uithalen. Wanneer leren ze nou eens?
22-01-2010, 16:09 door [Account Verwijderd]
Door Anoniem:
Door Donenzone: Nogmaals bedankt Microsoft!

Want het is de schuld van Microsoft dat programmeurs hun web applicaties niet browser onafhankelijk maken?
Of zocht je gewoon een reden om Microsoft weer eens te bashen ??

Het is Microsoft dat IE6 heeft gemaakt, diep in het systeem heeft geïntegreerd, expres de webstandaarden niet heeft gevolgd (waardoor bedrijven niet kónden updaten), vervolgens de development vijf jaar bijna stil heeft laten liggen (oke oke op een paar pleisters en veiligheidsupdates na) en het nu gaat supporten tot 2014?!?!?

Als Microsoft een beetje had nagedacht was dit probleem een stuk kleiner geweest.

Daarnaast was er in 2000 geen reden om je webapp browseronafhankelijk te maken, want er was maar 1 standaard: IE.
22-01-2010, 22:04 door Anoniem
Door Donenzone:
Daarnaast was er in 2000 geen reden om je webapp browseronafhankelijk te maken, want er was maar 1 standaard: IE.

Misschien was dit ironisch bedoeld, maar ik reageer er toch maar op.

Een standaard is wat anders dan wat een dominante marktpartij doet, een standaard is een algemeen geaccepteerde maatstaf waar alle betrokkenen onder voor hun redelijke voorwaarden toegang toe hebben. Als een van de marktpartijen ervoor kiest iets heel anders te doen is dat daarmee nog geen standaard, ongeacht hun marktaandeel.

Standaards bestonden wel degelijk in 2000 (W3C is al in 1994 opgericht), maar de browserleveranciers waren nog volop bezig om hun zaakjes op orde te krijgen. Opera deed het van begin af aan goed, IE5 voor de Mac was in tegenstelling tot de Windows-versie ook goed, en die kwam in 2000 uit. Iedereen die nog mee heeft gemaakt IE3, IE4 en alle Netscape 4.x-varianten te moeten ondersteunen kan zich moeilijk niet bewust zijn geweest van het nut van standaardisatie.

Met de rest van je post ben ik het overigens roerend eens.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.