Google-engineer vergelijkt veiligheid Chrome en Edge
Microsoft heeft onlangs enkele details vrijgegeven over de maatregelen die het heeft genomen en gaat nemen om de Edge-browser tegen aanvallen te beschermen, waardoor sommige experts nu stellen dat Edge veiliger dan Google Chrome is, maar volgens Google-engineer Justin Schuh hanteren beide partijen een andere aanpak. Schuh is hoofd engineering van het beveiligingsteam van Chrome.
Hij stelt echter dat een groot deel van zijn werk bestaat uit het beoordelen van beveiligingsmechanismen en bepalen waar de Chrome-ontwikkelaars hun aandacht aan moeten besteden. Idealiter zou zijn bevooroordeeldheid dan ook geen invloed op zijn beschouwing van beide browsers moeten hebben, aldus de engineer. Volgens Schuh investeert Microsoft veel in het voorkomen dat aanvallers aan de voorkant willekeurige code kunnen uitvoeren. De softwaregigant richt zich hierbij op de eerste schakel in de exploitketen.
"Als dit werkt is het een goede manier om een aanvaller te stoppen. Het nadeel is echter dat deze oplossingen in een kat-en-muisspel kunnen veranderen, waarbij elke beveiligingsmaatregel meer werk van een aanvaller vereist, maar geen de exploit direct kan stoppen", aldus Schuh in een vergelijking van beide browsers. De Google-engineer merkt op dat de aanpak van Microsoft waarschijnlijk gebaseerd is op de aanvallen die in het wild tegen IE en Edge worden gebruikt.
Google richt zich juist meer op het isoleren tijdens het surfen, om zo de impact van een aanval te beperken. "Net als Microsoft wordt onze aanpak gestuurd door de exploits die we in het wild tegen Chrome gezien hebben", stelt Schuh. Hij merkt echter op dat het ook om een andere filosofie gaat. Het isoleren zou op de langere termijn een effectievere strategie zijn en beter zijn toe te passen op de verschillende platformen die Google ondersteunt.
In zijn artikel vergelijkt Schuh de verschillende maatregelen die in Edge zijn genomen, zoals "JavaScript JIT hardening", "Control Flow Guard" en "MemGC". De Google-engineer laat in zijn conclusie weten dat browserveiligheid een gecompliceerd en verwarrend onderwerp is. "Daarom wilde ik wat context geven over de beslissingen die we voor Chrome maken en waarom." Aan de andere kant zegt Schuh dat als hij voor Edge verantwoordelijk was, hij waarschijnlijk andere data zou krijgen en mogelijk andere beslissingen zou maken.
Afsluitend prijst Schuh de maatregelen die Microsoft neemt om het injecteren van code in Edge door derde partijen tegen te gaan, zoals bijvoorbeeld door virusscanners, aangezien dit voor alle browsers een "pijnpunt" is. Google zou dit jaar dezelfde soort maatregelen aan Chrome willen toevoegen om dit probleem aan te pakken die Microsoft al aan Edge heeft toegevoegd.
Niet bevooroordeeld? Wij van WC-eend...
In het orginele artikel komt het ook iets anders over als hier in het Nederlands:
Niet bevooroordeeld? Wij van WC-eend...
Ik het oorspronkelijke artikel staat het er ook anders:
Wat een stuk redelijker klinkt dan zoals het hier gequote wordt. Beetje een misquote IMHO.
Het is meer dat de controleur van de smaak van Pepsi de manier waarop de controleur van de smaak van cocacola zorgt voor een consistente smaak. Het maakt hem niet uit of de ene smaak beter is dan de ander. Dan geeft hij ook aan:
Als je andere ingredienten hebt, krijg je een andere smaak. Maar de ingredienten wijzigen in de loop van de tijd van smaak, met als gevolg dat de smaak van het eindproduct wijzigt als de controleur geen goed toezicht houdt.
Peter
Ik persoonlijk denk dat inderdaad, beide (in dit geval) fabrikanten andere inzichten hebben in hun aanvalsvectoren.
Dat is ook logisch lijkt me, daar Microsoft een redelijk goede basis heeft van hoe ze afgelopen tig jaar zijn aangevallen...
Google zou graag die informatie ook willen, lijkt me, maar ze weten het simpelweg niet zo goed als Microsoft zelf.
Aan de andere kant, mensen die Chrome aanvallen zijn een andere soort aanvallers...
Daarom zul je daar per definitie een een andere aanpak zien voor mitigatie van aanvallen.
Omdat de aanvallen anders zijn (bij Microsoft Edge zal dit meer 'massa aanvallen' op basis van slecht geupdate systemen, bij Google meer drive-by en specifieke aanvallen) zal de mitigerende aanpak dus ook waarschijnlijk verschillend zijn ten opzichte van de andere...
Vergelijken op basis van welke soort mitigerende factoren zal dan ook per definitie niet een correct beeld geven.
Zie het als Edge de Ferrari is en Chrome de Tesla... Een aanval op een non-wifi Ferrari is anders dan een aanval op een wifi gebaseerd ODB2 systeem. Als de Ferrari oplossing is "parkeer de auto in een garage onder de grond" werkt dat ook voor de Tesla.. immers, geen wifi bereik, geen aanval mogelijkheid... Dat de implementatie is dat er slechte bereikbaarheid is voor beide voertuigen, doet niet af dat de er bij de Tesla ook de wifi aanvals vector gemitigeerd wordt.
Dan ontkom je er niet aan dat er niet wordt gecontroleerd of op andere wijze een gat in de systeembeveiliging wordt gecreeerd.
Waarom bieden de browsers geen interfacepunt aan waarin de virusscanner kan worden geactiveerd om de inhoud te toetsen ? Als je dan ook nog optioneel scans over een pagina kunt uitschakelen, dan leg je de controle bij de gebruiker.
Toen mail en Internet opkwam moest ook alles uit de kast gehaald om dat zoveel mogelijk af te sluiten want potentieel gevaarlijk. Nee ik geloof niet in de mainframe toekomst.
Een beetje meer werkelijkheisbesef zou niet mistaan.
Onderzoek de waarheid is wat anders dan de waarheid naar je hand proberen te zetten.
Windows v Linux security: the real facts: http://www.theregister.co.uk/2004/10/22/linux_v_windows_security/
"Linux's design is not vulnerable in the same ways, and no matter how successful it eventually becomes it simply cannot experience attacks to similar levels, inflicting similar levels of damage, to Windows."
en
"Claims that all Windows flaws get fixed are baffling when we consider that there are Microsoft Security Bulletins saying some flaws will never be fixed, and the existence of these also makes it tricky to understand how the fix rate could ever get to be 100 per cent."
Een artikel uit 2004, echt?
Al eens gekeken naar recente cijfers over CVE's voor de diverse Linux platformen?
Linux is gewoon mensenwerk, net als Windows. En daar zitten net zo veel zwakheden in.
En zoals al lang in de praktijk bewezen is beveiliging in de praktijk voor het overgrote deel afhankelijk van de kwaliteit van beheer.
En ja, er is veel slecht Windows beheer, maar ik zie ook veel slecht of zelfs helemaal niet beheerde Linux servers. Ooit geinstalleerd door een of ander projectje en nooit meer bijgewerkt want niemand weet hoe.
Volgens iemand van Wilders uit Florida staat het nu toch snel te gebeuren. Maar ach en wat zit er nog meer allemaal in Edge en Google browsers verborgen om hun grote "data waterhandel" mogelijk te blijven maken? Backdoors die nog niet zijn ontdekt wellicht?
Windows v Linux security: the real facts: http://www.theregister.co.uk/2004/10/22/linux_v_windows_security/
"Linux's design is not vulnerable in the same ways, and no matter how successful it eventually becomes it simply cannot experience attacks to similar levels, inflicting similar levels of damage, to Windows."
en
"Claims that all Windows flaws get fixed are baffling when we consider that there are Microsoft Security Bulletins saying some flaws will never be fixed, and the existence of these also makes it tricky to understand how the fix rate could ever get to be 100 per cent."
Is een artikel uit 2004 ...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
