Het zegt natuurlijk niets over de McAfee AV producten maar het is natuurlijk geen lekkere reclame ;-)

Het zegt wel iets over de manier waarop McAfee controles uitvoert en zorgt dat haar eigen code in orde is. Naast dat het geen goede reclame is, zorgt het zeker ook voor wantrouwen ten opzichte van andere McAfeeproducten.

Het wantrouwen is er al.
Tel slechte detectie/testen dit jaar bij op. Dan blijft er weinig goede reclame meer over.

Hoe zei men dat vroeger? Het zoontje van de schoenmaker loopt op blote voeten.

Zo veel vertrouwen had ik al niet in McAfee z'n producten. Zo heb ik al meerdere keren cross site scripting lekken gevonden in websites die de badge dragen van McAfee dat de website getest is en veilig is, en ook de via URL shortener van McAfee die cross site scripting moet voorkomen kunnen linken naar een site en een xss triggeren.

Hier een voorbeeldje van de "secure" short URL service: http://mcaf.ee/8a059
En hier een voorbeeldje van een een door McAfee als veilige website: http://www.vitaminstore.nl/GoogleCustomSearch.aspx?keywords=%27%29%3Balert%28%27XSS%27%29%3B%2F%2F

En ja, ik heb ze al in december geinformeerd hierover.

Dat er eens een foutje in de website opduikt, dat kan gebeuren. Maar dat het meer dan 6 weken moet duren om dat te fixen is echt aan niemand uit te leggen als beveiligingsbedrijf! Security.NL krijgt ook wel eens mailtjes van hackers die iets vinden, maar dat wordt dezelfde dag nog gefixed.

Een website is nooit waterdicht. Eigenaren van websites laten de veiligheid vaak versloffen, omdat er gewoonweg te weinig tijd is of geld om webbouwers en hostingbedrijven te financieren. Ook indien ze dit soort tools gebruiken. Het kan dus best zijn dat McAfee de xss-fouten en information disclosures wel traceert, maar niet plaats in een hoog kritiek niveau. Er zijn 5 niveaus, waarvan categorie 1 en 2 geoorloofd zijn om de badge te kunnen tonen. De badge mag namelijk pas getoond worden, wanneer men veilig is bevonden en er geen niveau 3 t/m 5 lekken aanwezig zijn. Geadviseerd wordt om ook naar niveau 1, 2 te kijken, maar dit is vaak een te grote en dure opgave voor de eigenaren. Upgrade dit, upgrade dat etc etc......

Feit is dat indien je McAfee SECURE (want zo heet het officieel) aanschaft en de IP-adressen van de scanner niet whitelist, dat je dan gewoon non-stop de badge kunt tonen inclusief datumstempel L) Logischerwijs worden er dan helemaal geen lekken gevonden en ben je volgens hen gewoon elke dag veilig bevonden. Hierdoor kunnen eigenaren van de websites die de badge dragen hun bezoekers gewoonweg in de maling nemen en natuurlijk henzelf.

Wij gebruiken zelf McAfee SECURE en verschillende andere tools voor onze websites, omdat wij gewoonweg het risico niet nemen dat er gevoelige gegevens van onze klanten op straat komen te liggen. Wij weten bij voorbaat al dat de tool van McAfee geen volwaardig wondermiddel (die bestaat niet) is, maar we kunnen door het samenvoegen van de resultaten van alle tools en handmatige tests wel een goed beeld maken van de risico's. Dus voor ons heeft McAfee SECURE weldegelijk waarde.

Natuurlijk grotendeels vanwege het marketing aspect en feit is dat wij door het tonen van de badge een toename zie in het verkopen op alle websites. Inmiddels hebben wij ook badges van andere bedrijven getest op de websites (GoDaddy, Trustwave, SecurityMetrics etc......). Waarbij wij geen noemenswaardige stijgingen in de verkopen aantroffen.