Een voormalig engineer van opensource-ontwikkelaar Mozilla heeft Windows-gebruikers opgeroepen om hun anti-virussoftware uit te schakelen, tenzij het de virusscanner van Microsoft is die ze gebruiken. Robert O'Callahan deed zijn uitspraak naar aanleiding van een eerdere discussie tussen Google- en Mozilla-personeel aan de ene kant en ant-virusvoorstanders aan de andere kant.
Volgens Justin Schuh, security-engineer bij Google en verantwoordelijk voor de beveiliging van Chrome, zijn virusscanner het grootste obstakel voor een veilige browser. Zo kon een beveiligingsmaatregel om Chrome-gebruikers tegen Flash-aanvallen te beschermen vanwege anti-virussoftware een jaar lang niet worden toegevoegd, aldus de Google-engineer. Daarnaast voeren virusscanners man-in-the-middle-aanvallen op gebruikers uit wat voor allerlei fouten zorgt en belangrijke maatregelen zoals hsts ondermijnt. Mozilla's security-engineer April King haalde ook uit naar anti-virussoftware, omdat het een "berg van beveiligingsproblemen" voor Firefox veroorzaakt.
O'Callahan gaat nog een stap verder en zegt dat het verstandiger is om virusscanners uit te schakelen. Door beveiligingslekken openen ze systemen voor aanvallers. Verder volgen de ontwikkelaars geen standaard security best practices. De uitzondering is echter Microsoft, waar de ontwikkelaars over het algemeen wel competent zijn, stelt O'Callahan. "Anti-virusproducten vergiftigen het software-ecosysteem omdat hun invasieve en slecht geïmplementeerde code het lastig voor browserontwikkelaars en andere ontwikkelaars maakt om hun eigen security te verbeteren", aldus de voormalige Mozilla-medewerker.
Als voorbeeld geeft hij het inschakelen van de aslr-beveiliging voor Firefox. Veel anti-virusbedrijven ondermijnden dit door hun eigen bestanden te injecteren waar aslr juist was uitgeschakeld. Ook is het meerdere keren voorgekomen dat virusscanners Firefox-updates blokkeerden. Als een browser door de geïnstalleerde virusscanners crasht of erg traag wordt geven gebruikers vaak de browser de schuld, in plaats van de virusscanner.
Volgens O'Callahan is het lastig voor softwareontwikkelaars om zich over deze problemen uit te laten, aangezien ze de hulp van anti-virusbedrijven nodig hebben als er iets misgaat. "Gebruikers zijn misleid door anti-virusbedrijven met security te associeren en je wilt niet dat anti-virusbedrijven je product afkraken." Softwarebedrijven kunnen ook niet adviseren om virusscanners uit te schakelen vanwege de eventuele gevolgen mocht er iets gebeuren. Nu O'Callahan niet meer voor Mozilla werkt voelt hij zich echter geroepen om de problematiek aan de kaak te stellen.
Deze posting is gelocked. Reageren is niet meer mogelijk.