Microsoft kan nog wat leren van Mozilla
Gisteren werd bekend dat er een lek in Mozilla Firefox en Thunderbird aanwezig was, waardoor het mogelijk zou zijn om willekeurige code op een kwetsbaar systeem uit te voeren. Het lek is alleen aanwezig in de Windows versies van de software. Jem Matzan ziet al voor zich hoe Microsoft het lek zal gebruiken als ze de security van open source software willen aanvallen. Ironisch genoeg kunnen ook open source voorstanders het voorval gebruiken om de security van Microsoft aan te vallen, want er was al een patch beschikbaar voordat het lek overal bekend was. De patch voor het lek, dat niet eens zo ernstig was, kon binnen 24 uur na de ontdekking gedownload worden, iets waar Microsoft nog wat van kan leren, aldus dit artikel.
Reacties (25)
BS. Ik was juist benieuwd naar hoe lang ik onwetend
vulnerable was door het gebruiken van Firefox. Het probleem
tegelijk met de oplossing presenteren is marketing-technisch
wel heel erg leuk...
vulnerable was door het gebruiken van Firefox. Het probleem
tegelijk met de oplossing presenteren is marketing-technisch
wel heel erg leuk...
Door Anoniem
Het probleem tegelijk met de oplossing presenteren is
marketing-technisch wel heel erg leuk...
Zoals ik al in een vorige post heb vermeld: Het is nietHet probleem tegelijk met de oplossing presenteren is
marketing-technisch wel heel erg leuk...
marketing technisch gedaan dat het probleem en de oplossing
tegelijk zijn uitgekomen. Het is puur te danken aan de
hacker ethics. Hackers werken volgens het principe dat als
zij een bug vinden, deze niet direct bekend maken. Zij
melden het eerst aan de maker van het product, en wachten
netjes tot er een patch voor is.
De bugs die gevonden zijn in IE die wel bekend zijn maar
waar nog geen patch voor is, zijn ontdekt door mensen die
Microsoft onderuit willen halen, of door mensen die dat
soort lekken gebruiken om spyware te installeren oid.
Dit is dus ook de reden dat problemen in Firefox, Mozilla,
Opera etc. altijd worden gemeld als er op het zelfde moment
een patch uitkomt, en bij IE niet altijd.
je verhaal komt erop neer dat mensen die firefox hacken aardig zijn en
mensen die IE hack evil...
jaja....
mensen die IE hack evil...
jaja....
Het klopt ook niet helemaal, de meesten melden het inderdaad
eerst aan de makers van de software. Als er na een bepaalde
periode (zeg een maand, wat eigenlijk al behoorlijk veel is)
nog geen patch is, maken ze hem publiek. Grote commerciele
bedrijven willen vaak niet reageren op zulke submits, totdat
ze moeten, omdat de holes bekend gemaakt worden. Bij open
source heb je nog het voordeel dat een ontdekker in principe
ook zo de fix kan meegeven.
eerst aan de makers van de software. Als er na een bepaalde
periode (zeg een maand, wat eigenlijk al behoorlijk veel is)
nog geen patch is, maken ze hem publiek. Grote commerciele
bedrijven willen vaak niet reageren op zulke submits, totdat
ze moeten, omdat de holes bekend gemaakt worden. Bij open
source heb je nog het voordeel dat een ontdekker in principe
ook zo de fix kan meegeven.
Door Anoniem
BS. Ik was juist benieuwd naar hoe lang ik onwetend
vulnerable was door het gebruiken van Firefox. Het probleem
tegelijk met de oplossing presenteren is marketing-technisch
wel heel erg leuk...
BS. Ik was juist benieuwd naar hoe lang ik onwetend
vulnerable was door het gebruiken van Firefox. Het probleem
tegelijk met de oplossing presenteren is marketing-technisch
wel heel erg leuk...
Dit doet MS al jaren ... what else is new
...want er was al een patch beschikbaar voordat het lek overal
bekend was.
Helaas, zo rooskleurig was het niet. De bug was volgens de mededeling bekend was.
van het Mozilla team als eerste gepost in een publieke security nieuws
groep, vervolgens kwamen er ook geheime bug meldingen binnen bij het
team en daarna is binnen een dag een goed werkende patch in elkaar
gezet en beschikbaar gemaakt.
Maar dat is gelukkig wel bijna 100x sneller dan MS IE fixt.
je verhaal komt erop neer dat mensen die firefox
hacken aardig zijn en
mensen die IE hack evil...
jaja....
Neej, ik zeg dat als echte hackers een bug ontdekken, dathacken aardig zijn en
mensen die IE hack evil...
jaja....
zij dit dan melden, en wachten op de patch voordat ze het
bekend maken. Mensen die bugs zoeken om ze uit te buiten
voor geld doen dit uiteraard niet. De mensen die het doen
voor geld zullen ook niet de moeite nemen om bugs te zoeken
in een programma wat nog niet gebruikt word door 5%, maar
gaan meteen voor IE, want dat word gebruikt door ruim 90%
van de mensen.
Het klopt ook niet helemaal, de meesten melden het inderdaad
eerst aan de makers van de software. Als er na een bepaalde
periode (zeg een maand, wat eigenlijk al behoorlijk veel is)
nog geen patch is, maken ze hem publiek.
maar ze gaan hier natuurlijk niet jaren op wachten. Ik dacht
trouwens dat het zelfs 2 of 3 maanden is als er dan nog geen
patch is.
Maar t boeit niet zoveel hoelang het duurt, maar dit
verklaard wel onder andere waarom veel patches van IE vaak
een stuk later uitkomen dan dat de bug bekend word gemaakt.
Leest iemand hier wel eens wat? Dit artikel zegt dat MS 7 dagen tijd
nodig heeft gehad voor de laatste fix. Dat is wat anders dan 100
dagen of een half jaar! Dit is weer zo´n tendentieus artikel van Pine.
Kijk eens wat de bron is.... niet echt objectief. Ik ben het ermee eens
trouwens dat 7 dagen te lang is. We moeten wel beseffen dat MS
claims aan zijn broek kan krijgen als de patch slecht is en schade
berokkend. Opensource fanaten hebben dus makkelijk praten...
nodig heeft gehad voor de laatste fix. Dat is wat anders dan 100
dagen of een half jaar! Dit is weer zo´n tendentieus artikel van Pine.
Kijk eens wat de bron is.... niet echt objectief. Ik ben het ermee eens
trouwens dat 7 dagen te lang is. We moeten wel beseffen dat MS
claims aan zijn broek kan krijgen als de patch slecht is en schade
berokkend. Opensource fanaten hebben dus makkelijk praten...
09-07-2004, 14:03 door
Aardbei
MS heeft 7 dagen nodig gehad om een programmaatje te maken
dat een overbodig component uitschakeld. Dat is iets anders
dan een patch. Komt nog eens bij dat de andere helft van het
probleem niet gepatched is, en er een tweede exploit bestaat
waardoor eea nog steeds kan.
dat een overbodig component uitschakeld. Dat is iets anders
dan een patch. Komt nog eens bij dat de andere helft van het
probleem niet gepatched is, en er een tweede exploit bestaat
waardoor eea nog steeds kan.
Door Anoniem
zij dit dan melden, en wachten op de patch voordat ze het
bekend maken. Mensen die bugs zoeken om ze uit te buiten
voor geld doen dit uiteraard niet. De mensen die het doen
voor geld zullen ook niet de moeite nemen om bugs te zoeken
in een programma wat nog niet gebruikt word door 5%, maar
gaan meteen voor IE, want dat word gebruikt door ruim 90%
van de mensen.
In een eerdere discussie riep je dit ook al, en toen heb ikje verhaal komt erop neer dat mensen die firefox
hacken aardig zijn en
mensen die IE hack evil...
jaja....
Neej, ik zeg dat als echte hackers een bug ontdekken, dathacken aardig zijn en
mensen die IE hack evil...
jaja....
zij dit dan melden, en wachten op de patch voordat ze het
bekend maken. Mensen die bugs zoeken om ze uit te buiten
voor geld doen dit uiteraard niet. De mensen die het doen
voor geld zullen ook niet de moeite nemen om bugs te zoeken
in een programma wat nog niet gebruikt word door 5%, maar
gaan meteen voor IE, want dat word gebruikt door ruim 90%
van de mensen.
je ook al gevraagd om wat bewijzen voor deze stelling te
geven. Je roept wat in de ruimte, maar met bewijs kom je niet.
Door Anoniem
In een eerdere discussie riep je dit ook al, en toen heb ik
je ook al gevraagd om wat bewijzen voor deze stelling te
geven. Je roept wat in de ruimte, maar met bewijs kom je
niet.
Als je je een beetje verdiept in security, kom je op eenIn een eerdere discussie riep je dit ook al, en toen heb ik
je ook al gevraagd om wat bewijzen voor deze stelling te
geven. Je roept wat in de ruimte, maar met bewijs kom je
niet.
gegeven moment ook bij het punt "hackers". Als je je daar
dan in gaat verdiepen, dan kom je erachter dat hackers
zoiets hebben als ethics. Ik ging er vanuit dat mensen hier
zich wel verdiepten in security, maar niet dus. Niet
allemaal bedoel ik dan, maar vooral jij.
Maar omdat je iedereen een stapje op weg gezet moet worden
als ie gaat beginnen met security geef ik je hier een tip:
Als je een term ziet die je niet kent, zoek hem op. Voor de
term "ethics" kun je naar securityfocus.org gaan, zoeken op
ethics, en vervolgens kom je onder andere de volgende link
tegen:
http://www.securityfocus.com/archive/1/365548
Daarin word precies uitgelegd wat hackers doen volgens ethics.
Nu eindelijk tevreden?
Door Anoniem
gegeven moment ook bij het punt "hackers". Als je je daar
dan in gaat verdiepen, dan kom je erachter dat hackers
zoiets hebben als ethics. Ik ging er vanuit dat mensen hier
zich wel verdiepten in security, maar niet dus. Niet
allemaal bedoel ik dan, maar vooral jij.
Maar omdat je iedereen een stapje op weg gezet moet worden
als ie gaat beginnen met security geef ik je hier een tip:
Als je een term ziet die je niet kent, zoek hem op. Voor de
term "ethics" kun je naar securityfocus.org gaan, zoeken op
ethics, en vervolgens kom je onder andere de volgende link
tegen:
http://www.securityfocus.com/archive/1/365548
Daarin word precies uitgelegd wat hackers doen volgens ethics.
Nu eindelijk tevreden?
Door Anoniem
In een eerdere discussie riep je dit ook al, en toen heb ik
je ook al gevraagd om wat bewijzen voor deze stelling te
geven. Je roept wat in de ruimte, maar met bewijs kom je
niet.
Als je je een beetje verdiept in security, kom je op eenIn een eerdere discussie riep je dit ook al, en toen heb ik
je ook al gevraagd om wat bewijzen voor deze stelling te
geven. Je roept wat in de ruimte, maar met bewijs kom je
niet.
gegeven moment ook bij het punt "hackers". Als je je daar
dan in gaat verdiepen, dan kom je erachter dat hackers
zoiets hebben als ethics. Ik ging er vanuit dat mensen hier
zich wel verdiepten in security, maar niet dus. Niet
allemaal bedoel ik dan, maar vooral jij.
Maar omdat je iedereen een stapje op weg gezet moet worden
als ie gaat beginnen met security geef ik je hier een tip:
Als je een term ziet die je niet kent, zoek hem op. Voor de
term "ethics" kun je naar securityfocus.org gaan, zoeken op
ethics, en vervolgens kom je onder andere de volgende link
tegen:
http://www.securityfocus.com/archive/1/365548
Daarin word precies uitgelegd wat hackers doen volgens ethics.
Nu eindelijk tevreden?
Je snapt het echt niet he?
Ik weet donders goed hoe echte hackers te werk gaan,
kleuter.
Jij roept dat hackers Microsoft niet op de hoogte
stellen van lekken in IE, ik vraag je dat te bewijzen en jij
komt met dat eeuwige gezanik van je over hacker ethics. Met
andere woorden, je ontwijkt mijn punt.
Waarom zou je mijn punt ontwijken? Waarschijnlijk omdat je
maar wat roept.
Sommige mensen moet je ook alles uitleggen.
Door Anoniem
Leest iemand hier wel eens wat? Dit artikel zegt dat MS 7
dagen tijd
nodig heeft gehad voor de laatste fix. Dat is wat anders dan
100
dagen of een half jaar! Opensource fanaten hebben dus
makkelijk praten...
Tuurlijk, een keer iets heel veel sneller doen dan deLeest iemand hier wel eens wat? Dit artikel zegt dat MS 7
dagen tijd
nodig heeft gehad voor de laatste fix. Dat is wat anders dan
100
dagen of een half jaar! Opensource fanaten hebben dus
makkelijk praten...
gebruikelijke maanden de tijd ervoor nemen om met een patch
te komen maakt alles plots in een keer weer goed aan MS. En
kijk vooral niet naar de security bugs die nog steeds niet
gefixed zijn maar waar ze al maanden weten (en in een flink
aantal gevallen het publiek ook). Vergeet ook even dat die
patch zelfs door MS een lapmiddel is genoemd dat niet de
werkelijke patch is, die komt pas over een paar maanden in
SP2. Vergeet ook even dat MS hiermee nog steeds 7x langzamer
is dan Mozilla die wel een correcte patch levert.
Durf jij bijvoorbeeld hier te klikken?
http://jelmer.homedns.org/test2.htm
Heb je hier al eens gekeken?
http://www.securityfocus.com/bid/vendor/ , selecteer eens
even Microsoft en dan Internet Explorer. Van de laatste
maanden is nog niet eens 10% gepatched.
Inderdaad, IE is een top product en MS een super beveiliging
gericht bedrijf vergeleken met de concurenten.
Door Anoniem
BS. Ik was juist benieuwd naar hoe lang ik onwetend
vulnerable was door het gebruiken van Firefox. Het probleem
tegelijk met de oplossing presenteren is marketing-technisch
wel heel erg leuk...
BS. Ik was juist benieuwd naar hoe lang ik onwetend
vulnerable was door het gebruiken van Firefox. Het probleem
tegelijk met de oplossing presenteren is marketing-technisch
wel heel erg leuk...
Dit argument kun je natuurlijk voor de volle 100% op
Microsoft loslaten.
Ik denk toch dat ik je moet vragen mijn posts nog een keer
te lezen. Ik heb nooit gezegd dat hackers bugs niet
melden aan Microsoft.
Ik heb gezegd dat mensen die in staat zijn bugs te vinden in
browsers en dit gebruiken om geld mee te verdienen dmv
spyware en adware en dergelijke de bugs niet melden aan
Microsoft. Deze mensen noem ik geen hackers. Nooit gedaan,
zal ik nooit doen ook.
Bovendien, hoe zou ik moeten bewijzen dat spyware dudes de
ontdekte bugs niet melden bij Microsoft? Ik zal eerlijk
toegeven dat ik dat niet kan, maar sorry, het is gewoon dom
als je niet begrijpt dat ze dat niet doen!
Voordat ik weer om me oren krijg dat ik meningen zit te
verspreiden:
volwassen. Uit je vorige posts maakte ik op dat je niet veel
verstand van hebt van security, en je hebt me nu nog niet
echt overtuigd moet ik zeggen....
te lezen. Ik heb nooit gezegd dat hackers bugs niet
melden aan Microsoft.
Ik heb gezegd dat mensen die in staat zijn bugs te vinden in
browsers en dit gebruiken om geld mee te verdienen dmv
spyware en adware en dergelijke de bugs niet melden aan
Microsoft. Deze mensen noem ik geen hackers. Nooit gedaan,
zal ik nooit doen ook.
Bovendien, hoe zou ik moeten bewijzen dat spyware dudes de
ontdekte bugs niet melden bij Microsoft? Ik zal eerlijk
toegeven dat ik dat niet kan, maar sorry, het is gewoon dom
als je niet begrijpt dat ze dat niet doen!
Voordat ik weer om me oren krijg dat ik meningen zit te
verspreiden:
Neej, ik zeg dat als echte hackers een bug ontdekken, dat
zij dit dan melden, en wachten op de patch voordat ze het
bekend maken. Mensen die bugs zoeken om ze uit te buiten
voor geld doen dit uiteraard niet. De mensen die het doen
voor geld zullen ook niet de moeite nemen om bugs te zoeken
in een programma wat nog niet gebruikt word door 5%, maar
gaan meteen voor IE, want dat word gebruikt door ruim 90%
van de mensen.
En mensen uitschelden voor kleuter vind ik niet echtzij dit dan melden, en wachten op de patch voordat ze het
bekend maken. Mensen die bugs zoeken om ze uit te buiten
voor geld doen dit uiteraard niet. De mensen die het doen
voor geld zullen ook niet de moeite nemen om bugs te zoeken
in een programma wat nog niet gebruikt word door 5%, maar
gaan meteen voor IE, want dat word gebruikt door ruim 90%
van de mensen.
volwassen. Uit je vorige posts maakte ik op dat je niet veel
verstand van hebt van security, en je hebt me nu nog niet
echt overtuigd moet ik zeggen....
De bugs die gevonden zijn in IE die wel bekend zijn maar
waar nog geen patch voor is, zijn ontdekt door mensen die
Microsoft onderuit willen halen, of door mensen die dat
soort lekken gebruiken om spyware te installeren oid.
Vaak is het zo dat een lek wel wordt gemeld, maar dat MS er
maanden later nog geen patch voor heeft. Op zo'n moment
wordt door de ontdekker van het lek, het lek openbaar gemaakt.
Door Anoniem
Uit je vorige posts maakte ik op dat je niet veel
verstand van hebt van security, en je hebt me nu nog niet
echt overtuigd moet ik zeggen....
Ik kan me niet herinneren dat ik iets heb gezegd overUit je vorige posts maakte ik op dat je niet veel
verstand van hebt van security, en je hebt me nu nog niet
echt overtuigd moet ik zeggen....
security. Ik heb alleen maar gevraagd hoe het zit met jouw
onderbouwing voor de uitspraak die je doet.
Het onderbouwen van uitspraken staat los van kennis over en
ervaring met security.
Maar terug naar de discussie...
Dit postte jij in een eerder bericht:
De bugs die gevonden zijn in IE die wel bekend zijn maar
waar nog geen patch voor is, zijn ontdekt door mensen die
Microsoft onderuit willen halen...
dan voldoende mensen die IE hacken en vervolgens Microsoft
informeren over de problemen die ze gevonden hebben. Wil je
mijn bewijs voor deze stelling? Kijk maar eens op de site
van Eeye. Kijk maar eens hoe mensen als Jelmer en Georgi
omgaan met problemen die ze vinden.
Door Anoniem
De bugs die gevonden zijn in IE die wel bekend zijn maar
waar nog geen patch voor is, zijn ontdekt door mensen die
Microsoft onderuit willen halen, of door mensen die dat
soort lekken gebruiken om spyware te installeren oid.
Vaak is het zo dat een lek wel wordt gemeld, maar dat MS er
maanden later nog geen patch voor heeft. Op zo'n moment
wordt door de ontdekker van het lek, het lek openbaar
gemaakt.
Dat kan inderdaad. Dan zijn er 2 opties. Of MicrosoftDe bugs die gevonden zijn in IE die wel bekend zijn maar
waar nog geen patch voor is, zijn ontdekt door mensen die
Microsoft onderuit willen halen, of door mensen die dat
soort lekken gebruiken om spyware te installeren oid.
Vaak is het zo dat een lek wel wordt gemeld, maar dat MS er
maanden later nog geen patch voor heeft. Op zo'n moment
wordt door de ontdekker van het lek, het lek openbaar
gemaakt.
communiceert niet met de vinder van de bug, zodat deze niet
weet wat er gaande is, en misschien een maand al te lang
vind voor een patch, dus m dan publiceert, Of Microsoft
heeft besloten dat de bug niet zo bijzonder was om m meteen
te patchen en dat die bug bij een volgende versie word
verholpen.
Door Anoniem
De bugs die gevonden zijn in IE die wel bekend zijn maar
waar nog geen patch voor is, zijn ontdekt door mensen die
Microsoft onderuit willen halen...
Hiervoor wil ik graag het bewijs zien. Er zijn namelijk meer
dan voldoende mensen die IE hacken en vervolgens Microsoft
informeren over de problemen die ze gevonden hebben. Wil je
mijn bewijs voor deze stelling? Kijk maar eens op de site
van Eeye. Kijk maar eens hoe mensen als Jelmer en Georgi
omgaan met problemen die ze vinden.
Ja, maar.... Dit heb ik nooit tegen gesproken! Dit soortDe bugs die gevonden zijn in IE die wel bekend zijn maar
waar nog geen patch voor is, zijn ontdekt door mensen die
Microsoft onderuit willen halen...
dan voldoende mensen die IE hacken en vervolgens Microsoft
informeren over de problemen die ze gevonden hebben. Wil je
mijn bewijs voor deze stelling? Kijk maar eens op de site
van Eeye. Kijk maar eens hoe mensen als Jelmer en Georgi
omgaan met problemen die ze vinden.
mensen noem ik hackers! Met dat stukje waarmee je me quotte
legde ik uit wat voor andere soorten mensen NAAST hackers
ook bugs vinden in software.
Post je nou alleen maar om te proberen om mij onderuit te
schoppen? Of lees je gewoon mijn posts niet goed??
wtf of bug-hunters en/of 'hackers' juist omgaan met het
melden van bugs ... zie mozilla bugzilla voor de nette
afhandeling van de recentelijke 'bug' ... het is meer een
beschermin van een exploit mogelijkheid in win xp ... m.b.v.
mozilla ... btw
MS is zeer laks (geweest en nog steeds) met haarf security
fixes, laat staan het testen ervan ... dit misschien omdat
windows een te complex geheel geworden is ? teveel
afhankelijkheden ?
En hoeveel exploits ijn er bij MS bekend maar nog lang niet
publiekelijk gemaakt ? de baster exploit was al meer dan een
1/2 jaar bij ms bekend voor er een patch gereleased was ...
laat staan dat er langer een exploit bekend was bij warez
script kiddies ...
melden van bugs ... zie mozilla bugzilla voor de nette
afhandeling van de recentelijke 'bug' ... het is meer een
beschermin van een exploit mogelijkheid in win xp ... m.b.v.
mozilla ... btw
MS is zeer laks (geweest en nog steeds) met haarf security
fixes, laat staan het testen ervan ... dit misschien omdat
windows een te complex geheel geworden is ? teveel
afhankelijkheden ?
En hoeveel exploits ijn er bij MS bekend maar nog lang niet
publiekelijk gemaakt ? de baster exploit was al meer dan een
1/2 jaar bij ms bekend voor er een patch gereleased was ...
laat staan dat er langer een exploit bekend was bij warez
script kiddies ...
Was er laatst niet iemand die riep dat ie slecht was geprogrammeerd omdat
er zoveel patches uitkwamen. Het alternatief was firefox. Schijnbaar heeft die
dus ook patches nodig. Je kan ook denken dat software altijd patches nodig
hebben, hoe langer een pakket bestaat hoe meer patches en dus stabieler.
In dat geval is ie een betere keus.
er zoveel patches uitkwamen. Het alternatief was firefox. Schijnbaar heeft die
dus ook patches nodig. Je kan ook denken dat software altijd patches nodig
hebben, hoe langer een pakket bestaat hoe meer patches en dus stabieler.
In dat geval is ie een betere keus.
Door Anoniem
En hoeveel exploits ijn er bij MS bekend maar nog lang niet
publiekelijk gemaakt ? de baster exploit was al meer dan een
1/2 jaar bij ms bekend voor er een patch gereleased was ...
laat staan dat er langer een exploit bekend was bij warez
script kiddies ...
de LSASS bug was idd lang bekend. Het was ook een grootEn hoeveel exploits ijn er bij MS bekend maar nog lang niet
publiekelijk gemaakt ? de baster exploit was al meer dan een
1/2 jaar bij ms bekend voor er een patch gereleased was ...
laat staan dat er langer een exploit bekend was bij warez
script kiddies ...
probleem, waarvan de patch goed getest moet worden. De bug
was ontdekt door een hacker, dus die maakte de bug pas
bekend toen de patch uitkwam. Het moment dat de patch
uitkwam was ook het moment dat er exploits voor werden
geschreven voor scriptkiddies. Deze hebben het omgetoverd
naar een worm.
Dat Sasser zo gigantisch veel schade heeft aangericht komt
doordat mensen de patch niet hebben gedownload. Niet omdat
Microsoft te lang aan een patch heeft gewerkt.
Door Anoniem
gebruikelijke maanden de tijd ervoor nemen om met een patch
te komen maakt alles plots in een keer weer goed aan MS. En
kijk vooral niet naar de security bugs die nog steeds niet
gefixed zijn maar waar ze al maanden weten (en in een flink
aantal gevallen het publiek ook). Vergeet ook even dat die
patch zelfs door MS een lapmiddel is genoemd dat niet de
werkelijke patch is, die komt pas over een paar maanden in
SP2. Vergeet ook even dat MS hiermee nog steeds 7x langzamer
is dan Mozilla die wel een correcte patch levert.
Durf jij bijvoorbeeld hier te klikken?
http://jelmer.homedns.org/test2.htm
Heb je hier al eens gekeken?
http://www.securityfocus.com/bid/vendor/ , selecteer eens
even Microsoft en dan Internet Explorer. Van de laatste
maanden is nog niet eens 10% gepatched.
Inderdaad, IE is een top product en MS een super beveiliging
gericht bedrijf vergeleken met de concurenten.
Door Anoniem
Leest iemand hier wel eens wat? Dit artikel zegt dat MS 7
dagen tijd
nodig heeft gehad voor de laatste fix. Dat is wat anders dan
100
dagen of een half jaar! Opensource fanaten hebben dus
makkelijk praten...
Tuurlijk, een keer iets heel veel sneller doen dan deLeest iemand hier wel eens wat? Dit artikel zegt dat MS 7
dagen tijd
nodig heeft gehad voor de laatste fix. Dat is wat anders dan
100
dagen of een half jaar! Opensource fanaten hebben dus
makkelijk praten...
gebruikelijke maanden de tijd ervoor nemen om met een patch
te komen maakt alles plots in een keer weer goed aan MS. En
kijk vooral niet naar de security bugs die nog steeds niet
gefixed zijn maar waar ze al maanden weten (en in een flink
aantal gevallen het publiek ook). Vergeet ook even dat die
patch zelfs door MS een lapmiddel is genoemd dat niet de
werkelijke patch is, die komt pas over een paar maanden in
SP2. Vergeet ook even dat MS hiermee nog steeds 7x langzamer
is dan Mozilla die wel een correcte patch levert.
Durf jij bijvoorbeeld hier te klikken?
http://jelmer.homedns.org/test2.htm
Heb je hier al eens gekeken?
http://www.securityfocus.com/bid/vendor/ , selecteer eens
even Microsoft en dan Internet Explorer. Van de laatste
maanden is nog niet eens 10% gepatched.
Inderdaad, IE is een top product en MS een super beveiliging
gericht bedrijf vergeleken met de concurenten.
Die eerste website is uit de lucht. Of word ik soms geweigerd, omdat ik
IE gebruik? :-) Die tweede lijst is erg interessant. Veel bugs, of in ieder
geval schijnbare bugs. Ik kan niet beoordelen of het echt allemaal bugs
zijn. In ieder geval interessant en te veel. Maar kijk dan eens bij een
ander product. Doe eens Exchange 2003. Dat is een zeer veel gebruikt
product, maar er zijn slechts 2 bugs gemeld. Hoe kan dat? Zijn deze
programmeurs veel beter? Ik denk van niet. Ik denk dat het toch komt,
omdat IE op 2 miljard machines in de wereld staat en Exchange op
200.000 servers (wilde gok). Al die hack kids hebben geen idee wat
Exchange is en dat het in het berdijfsleven erg veel gebruikt wordt. Er
valt ook geen eer mee te behalen om daar iets in te vinden. Ook
overheden (kijk maar naar de EU rechtzaak tegen MS) richting zich
alleen maar op de browser en op mediaplayer. Alsof MS niet meer
standaard meelevert waarvoor concurrenten worden weggedrukt!!!!!
Conclusie? Geen idee. Wie helpt?
13-07-2004, 04:17 door
Rene V
Door Anoniem
Was er laatst niet iemand die riep dat ie slecht was
geprogrammeerd omdat
er zoveel patches uitkwamen. Het alternatief was firefox.
Schijnbaar heeft die
dus ook patches nodig. Je kan ook denken dat software altijd
patches nodig
hebben, hoe langer een pakket bestaat hoe meer patches en
dus stabieler.
In dat geval is ie een betere keus.
Was er laatst niet iemand die riep dat ie slecht was
geprogrammeerd omdat
er zoveel patches uitkwamen. Het alternatief was firefox.
Schijnbaar heeft die
dus ook patches nodig. Je kan ook denken dat software altijd
patches nodig
hebben, hoe langer een pakket bestaat hoe meer patches en
dus stabieler.
In dat geval is ie een betere keus.
Het gaat erom hoe SNEL: een patch beschikbaar komt.
Natuurlijk kunnen er altijd kwetsbaarheden zijn in (nieuwe)
software. Het gaat erom hoe snel zoiets gepatched wordt imho.
IE is nu al aan versie 6. Mozilla nog niet eens aan versie
1.0. Toch zet ik mijn geld op Mozilla!
13-07-2004, 04:19 door
Rene V
Ik bedoel dan Mozilla Firefox. Die is nog niet aan versie 1.0
Mozilla's nieuwste versie is 1.8 maar nog niet officieel als
final candidate.
Mozilla's nieuwste versie is 1.8 maar nog niet officieel als
final candidate.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
