Jaja, het was te verwachten na al die reclame voor Mozilla.
Als die malware dudes Mozilla meer onder de knie krijgen zal
er echte troep gemaakt worden.
Over een tijdje krijgen we dus de Mozilla vs. Opera
discussie ipv IE vs. Mozilla....

de komende tijd zal aangeven of mozilla nu echt zo veilig is
als we allemaal denken. dat XPI nog niet gehackt is kan een
kwestie van tijd zijn, maar het kan natuurlijk ook hackproof
zijn.

we shall see.

Niks is hackproof. Bovendien zullen de makers van Mozilla
een hoop werk krijgen als er nog meer gebruikers overgaan
naar hun product. Je moest namelijk eens weten hoeveel
gemeldde "bugs" bij MS bestaan uit "deze site werkt niet!".
Maja, dat is de prijs die je betaald voor het hebben van
onnozele gebruikers....

Tja, welke monocultuur dan ook is slecht voor security, of
het nou de IE monocultuur is of dat IE vervangen wordt door
één andere browser. Er moeten gewoon voldoende alternatieve
browsers komen... 1 of 2 is te weinig.

Geldt trouwens ook voor operating systems en alle andere
software. Zie heterogene omgevingen maar als een security
feature.

daarom is bugzilla zo mooi,
je eigen eerst aan melden en heel die zooi door staan..
onnozele gebruikers zoeken dat niet,
en als ze echt onnozel zijn vinden ze de register knop niet
eens :)

gewoon hopen dat Firefox snel genoeg reageerd op mogelijke
malware en daardoor beveiliging aanschrept..

we shall she...
maar ga iig geen opera gebruiken :)

Nou, ik blijf lekker bij Netschaap.
Anyhoe, je zult waarschijnlijk hetzelfde krijgen als bij IE.
100-en zoniet 1000-en mensen krijgen de malware op de pc, op
een gegeven moment komt bijvoorbeeld een hacker erahcter,
meld het aan bugzilla, patch moet gemaakt worden, daarna nog
getest, en vervolgens zit je net als bij IE een paar weken
verder.

het enige voordeel dan een browser als
Firefox/Mozilla/Opera/... heeft is dat het een op zich zelf
staand programma is zonder hooks in de kernel. Voor IE is
dit niet het geval. IE bestaat uit een zooi componenten die
diep ingebed zitten in het operating system en waar talloze
applicaties gebruik van maken (mshtml.dll comes to mind).

Het probleem voor Microsoft is dan ook het fixen van de bugs
in die componenten zonder honderden applicaties, van
zichzelf en van andere software leveranciers, te breken. Om
nog maar te zwijgen over windows zelf breken... IE en
explorer zijn het zelfde ding. En de shell van je operating
system breken wil je niet echt :-)

Voordeel van IE is weer dat ie gewoon via automatic update
bijgehouden word. Dit mis ik in FireFox en dergelijke.
Als IE alleen maar tabbed browsing had.....

Automatische updates zijn een eigenschap van je distro, niet
van je browser... cron-apt voor debian werkt erg goed.

Door Marcel op woensdag 14 juli 2004 12:48


Daarnaast maakt MsIE gebruik van ActiveX en VBScript. Beide
behoren echter NIET tot de W3C standaard en zijn vaak de
oorzaak dat een website niet naar behoren functioneert met
alternatieve browsers!

Omdat de alternatieve browsers niet gebruik maken van
ActiveX en VBScript zijn deze ook niet kwetsbaar voor op
ActiveX en VBScript gebaseerde exploits.

Op bugtraq staan al "proof of concepts" voor XPinstaller.
Bij gebruik makend van Javascript kun je een
geautomatiseerde XPinstaller maken die dus voor de gebruiker
onzichtbaar is. De mooiste truck die er niet in Bugtraq
staat is het gebruik maken van formulieren. Eenmaal gedrukt
op "verzenden" en XPinstaller doet de rest.

Bij sommige site's komt ook de melding van Talenpakketten te
voorschijn. Ook hierin is een goeie Javascript + Social
Enginering truck geen probleem.

Enigste wat ik mis buitenom Mozilla en Firefox is dat
Virusscanners niet op dit soort Javascripts Injecties reageren.

De oplossing is erg simpel. Accepteer geen XPinstallers
buitenom de Mozilla.org site.

XaNcE
"Automatic or Automatiq?"

Spreek voor jezelf. Echte beveiligingsdeskundigen maken zich geen illusies
over de veiligheid van Mozilla.

Netscape heeft van oudsher een reputatie om beveiligingslekken niet
serieus te nemen. Waar Microsoft ze nog bekend maakt, verdwijnen ze in de
doofpot bij NS.

Netscape is dood. Hier nog over Netscape praten is echt niet
relevant meer.

Lynx anyone? :-)

Jazeker... in diverse scripts in gebruik :-)

Dat is wel relevant. Er zijn sterke banden tussen Mozilla en Netscape. De
don't tell-don't fix mentaliteit (die nog erger was dan die van Microsoft) is nog
niet overtuigend veranderd.

Ik heb het altijd over computers van domme gebruikers. Deze
hebben windows of Mac, maar 99 van de 100 keer windows. In
windows is er geen automatic update iets voor Mozilla.

In Linux zou ik niet weten hoe dat gaat....

Vond anders dat de laatste fix er snel was :)
heb dat bij MS nog nooit meegemaakt

Ja, ook fijn in het kader van de beheerbaarheid...

Dan toch gewoon Java.... Dat zal ook het platform of choice worden wanneer
de hele wereld overstapt naar Open Source... niet waar?

Java is niet open

Maargoed, ik vermoed (let op: vermoed) dat mozilla meer
dichtgetimmerd is dan IE, om maar een voorbeeld te noemen:
je kunt alleen vanaf vertrouwde plekken met 1 klik dingen
installeren. Bovendien heb je als bedrijf, als je het
gebruikt in je bedrijfskritieke processen, meer
toekomstzekerheid, omdat het per definitie altijd mogelijk
blijft om security updates te maken, zelfs als de hele
mozilla groep weg zou zijn.

zucht ... het artikel niet gelezen ... zo te lezen weinig
van de mensen die gereageerd hebben ... security.nl kan
beter clueless.nl gaan heten ...

Schijn bedriegt. Let eens op het "don't tell" aspect.

In Mozilla versie 1.01 werden 25 vulnerabilities verholpen, zonder dat bekend
te maken. Dat is echt niet beter dan IE.

Patches binnen een dag vrijgeven betekent gewoon dat hij niet getest is. Dat
kan iedereen en geldt niet als prestatie.

Dit wordt lachen alternatieven van IE die je net zo goed achterwege kan laten
omdat ze gewoon brak zijn.

Dus krijgen we IE weer aan de top!


HAHAHAHAHAHAHAHA


Wie het laatst lacht lacht het best!

Verder geen commentaar.
Punt uit!.

MSCORP RULEZZZZZZ ! ! !

Greetings

ALVERDINI MILANGETTI

Ik heb daar een andere mening over.

Het durven vrijgeven van een patch, die vlg jou dan niet
getest is, heeft dan toch alles te maken met kennis en
zekerheid van een goed product afgeven.
Indien Firefox net als MS weken zoniet maanden nodig heeft om:
a de patch te maken
b te testen
ligt dat voornamelijk, m.i., aan het nivo van de schrijver(s)
en zou ik me pas echt zorgen gaan maken om het product, in
dit geval Firefox.

Ik ben zelf programmeur en ik kan je mededelen dat er niet zoiets bestaat als
het kennen van je eigen product zodat je wéét dat je fix geen nieuwe fouten
creeert. Als dat zo was, waarom zat die fout er dan überhaupt in? Het is een
contradictie. Datzelfde geldt ook voor de reparatie van een lek.

Het is fysiek onmogelijk om binnen een dag alle gevolgen van een wijziging
in software te onderzoeken op alle platforms, alle patch levels, alle plug-ins,
en software van derden, zelfs al zet je daar een heel team op. Als de lek
ernstig genoeg is, kun je natuurlijk wel die patch beschikbaar stellen, maar
daar ging het niet over. De stelling was dat binnen een dag een patch
beschikbaar stellen geen bijzondere prestatie is, want niet goed getest.

Daarmee wil ik ook niet de handelswijze van Microsoft wil goed praten. 10
maanden voor een patch is echt veel te lang.

Hmmm, ik twijfel behoorlijk aan je niveau als programmeur.
Blijkbaar kun je geen verschilmaken tussen fouten als een
buffer overflow (gewoon dom programmeerwerk) en semantische
fouten. Wat voor applicaties schrijf je?

Mozilla is een afgebakend geheel, het beprekt zich tot
userspace. Het is een op zich zelf staande applicatie. Met
IE is dit niet het geval. IE bestaat uit vele componenten,
die door 3rd party ontwikkelaars gebruikt worden en die
deels in kernelspace hun werk doen.

Hoe ingevoerd ben je in (D)COM(+)? Als je daar goed in
ingevoerd bent zou je moeten weten dat, als je eenmaal een
interface gepubliceerd hebt, je die interface niet kunt
weizigen zonder alle programma's die gebruik maken van die
interface te breken.

Dat zijn dan ook de problemen waar Microsoft tegen aan
loopt... de afhankelijkheden van hun componenten zijn vele
malen groter. Dat maakt het veel en veel moeilijker om
uberhaubt een fix te produceren, laat staan deze fix te testen.

Firefox is een op zich zelf staand geheel. Dat maakt het
veel makkelijker om een fix te produceren. Overigens, in
beide gevallen is het security model van het onderliggende
operating system (Windows in dit geval) behoorlijk
inadequaat. Niet dat het security model van UNIX/Linux/MacOS
veel beter is. (Voor ik weer afgeschilderd wordt als
Microsoft-basher).

Neem dan MyIE2 deze werkt op de IE engine, maar is tabbed browsing (mis
ik trouwensook bij Firefox en Mozilla en de betaalde Opera is geen
alternatief) en heeft standaard popup en reclame blockers. ff googlen en je
hebt 'm zo (ook in NL)

Sinds wanneer mis je tabbed browsing bij Mozilla en Firefox?
CTRL+T does the trick :-)

Dit is wel knap bijdehand! Die gozer legt je uit hoe het
werkt, en jij als onbenullig persoon die echt geen enkel
idee heeft hoe het werkt spreekt hem tegen! Dat vind ik
ernstig gedurft moet ik zeggen. De programmeur heeft gelijk,
en jij niet. Punt.
Bovendien heeft Mozilla waarschijnlijk ook weken zoniet
maanden aan die patch gewerkt. Hoe weet je nou dat die bug
is ontdekt op de dag van verschijning? Dat kan je niet
weten, en als Mozilla de zelfde dag (of een dag later, weet
ik veel) een patch uitbrengt, zou het een ongelooflijk
amateuristisch zooitje zijn, want dan is het niet goed getest.

Sorry hoor, maar als je geen idee hebt hoe het werkt, ga dan
niet degene tegenspreken die het wel weet, en het je
potverdorie uitlegd!!

Ongelooflijk....

Hoewel de post waarop jij reageert inderdaad niet bijzonder
volwassen was, bracht hij wel wat steekhoudende punten naar
voren. Jouw reactie schiet nogal door.

Je hebt inderdaad (ruwweg) 2 soorten bugs: 'denkfouten' en
'programmeerfouten'. Als er een 'denkfout' gemaakt is, is er
iets mis met de manier waarop het programma in elkaar zit.
Afhankelijk van hoe 'netjes' het programma in elkaar zit en
waar de bug precies zit kan dit gevolgen hebben voor
plug-ins en andere code die met deze code interfacet.

Een programmeerfout daarentegen is een heel ander verhaal:
een buffer overflow houdt ongeveer in dat je hebt gezegd
dat een bepaalde tekst (bijvoorbeeld) niet langer mag zijn
dan 255 tekens, maar je bent vergeten dat ook echt te
checken of dat klopt. Als een tekst wordt aangeleverd van
meer dan 255 tekens zal het programma waarschijnlijk
crashen. Een [cr|h]acker kan in sommige gevallen echter met
een slim gekozen tekst van meer dan 255 karakters controle
over het systeem krijgen. Zo'n soort bug is eenvoudig te
repareren (je voegt gewoon die check toe), en breekt daarbij
geen andere code. Zo'n fix kan er best binnen een dag zijn.

Pardon? Ik heb jaren windows programmeerervaring, zowel
gebruikers applicaties, client-server als kernel stuff. Tel
ik nu wel als expert of ga je me nog steeds als onbenul
afschilderen? Zal ik mijn CV even posten om een en ander toe
te lichten? Nitwit.

eh, met persoonlijke aanvallen schieten we niks op. een
beetje volwassener alsjeblieft.

(en 'hij begon' telt niet ;))

Ik weet niet precies wat je doet, en het kan me ook
eigenlijk niet schelen. Die programmeur had gewoon gelijk
met zijn verhaal. Dan begin jij er opeens door te blaten dat
een patch wel binnen een dag af kan komen? Dat kan misschien
wel, maar testen moet sowieso. Ook al is het maar een simpel
probleempje waarvoor je binnen een uur een oplossing hebt.
Het is zo'n ongeloolijke onzin om het tegendeel te gaan
lopen verkondigen!
Ik WEET dat patches voor simpele buffer overflows zeker
langer dan 2 dagen op zich laten wachten. Ook bij open
source software.

Wat wil je trouwens bewijzen met je CV? Dr zijn veel mensen
die een prachtig CV hebben maar geen moer kunnen.
Ikzelf heb ook redelijk ervaring als programmeur en
systeembeheerder (ik zeg "redelijk", want ik wil niet
opscheppen).
Ik zeg niet dat je een onbenul bent, maar je gedraagt je wel
zo. Een beetje aan iemand zn programmeur niveau twijfelen
terwijl hij gewoon de waarheid verteld.... tsk tsk tsk.

Bedankt voor je kwalificaties. Het soort fouten maakt niet zo veel uit. Iedereen
maakt fouten en mensen die zo arrogant zijn te denken dat zij binnen een
dag een patch kunnen testen leveren bij voorbaat een niet bijzonder
betrouwbaar product.

Mensen die denken dat hun patch een überpatch is en dat die binnen een
dag getest kan worden zijn simpelweg overmoedig.

Een patch, hoe simpel ook (bijvoorbeeld voorkomen van een buffer overflow),
kan problemen veroorzaken.

Neemt niet weg dat men een patch binnen een dag kan publiceren en het
daarbij behorende risico aanvaardt. Het is een kwestie van afwegen van
risico's. Dan is er geen sprake van overmoedigheid.

<snip een hoop niet ter zake doende tekst>

Wat een ongelofelijk geeikel van een hoop mensen hier. Komen
de firefox mensen snel met een patch, is het weer niet goed.
Het gaat jullie allemaal geen ene ruk om security, als
jullie maar wat te zeiken hebben.

Niets is goed en idereen denkt hier dat hij (want ik ben er
van overtuigd dat > 90% hier jongen is) de security
expert van nederland is en dat zijn mening het meest waar
is. Stelletje kleuters.

Het gaat mij er absoluut niet om dat FireFox zo snel met een
patch komt. Het gaat mij erom dat mensen denken dat Mozilla
mensen dit binnen een dag gemaakt hebben. Dat kan niet als
ze het goed gedaan hebben. Ze zouden dit minstens eerst goed
moeten testen. Uit het feit dat de bug en de patch zo goed
als gelijk uitkwamen, kun je opmaken dat Mozilla al langer
op de hoogte was gesteld van de bug. Dit hoop ik tenminste,
want anders is het echt een slecht bedrijf.
Ik beweer niet dat ik de security expert ben, maar ik
weet er genoeg vanaf om te melden dat een goed geteste patch
onmogelijk binnen een dag uit kan komen.

Met andere woorden, je voelt je aangesproken. Mooi!

Overigens is Microsoft van mening dat ze binnen 24 uur een
patch kunnen leveren. Zijn ze dan ook een slecht bedrijf? ;-)

Met belangstelling heb ik de ontwikkeling van dit topic gelezen.
Na mijn opmerking
"Vond anders dat de laatste fix er snel was :)
heb dat bij MS nog nooit meegemaakt"
Is m.i. de zaak uit zijn verband getrokken.

Afhankelijk van de bug moet een patch binnen een paar uur te
leveren zijn.
Alles valt en staat met de kennis die de schrijvers van het
product hebben.
Zoals u dus weet, juist u als MS programmeur, is de
segmentatie van MS het grootste probleem hierin, niet enkel
de verwevenheid maar juist het gemis aan kennis van het
totaal pakket bij de schrijvers.
Omdat dit problemen oplevert van de bovenste plank, immers
voor onderdeel A werkt de patch voor C,D,K dus niet en voor
T, V en Z laat het zelfs alles crashen, is het absoluut
noodzakelijk uit den treure te testen en zo er achter te
komen welke zooi er weer geschreven is.
Bij MS moeten meerdere afdelingen samenwerken om kennis te
bundelen om zo uberhaupt tot eventueel een patch te komen,
dit is tijdrovend en hoe meer schijven hoe meer fouten.

Mij hoor je echt niet zeggen dat Opera of Firefox de
toekomst heeft c.q. niet lek is, echter juist omdat daar de
problematiek , zoals bij MS, niet aanwezig is kunnen de
patches sneller geproduceerd worden.

Dit is geen promotie praatje maar simpel een feit.

In de tijd dat ik nog bij een software huisje werkte duurde
het ook ongeveer een week voordat er voor een heel simpele
bug een patch was. Dit omdat het bedrijf zich niet kon
veroorloven dat er in de patch weer een fout zat. Zo raak je
namelijk klanten kwijt.
Ik kan me voorstellen dat t bij MS langer duurt om een patch
voor IE te maken omdat het product zo gigantisch verweven
zit in het OS. Ook kan ik me voorstellen dat FireFox-patches
ook ook gigantisch getest moeten worden. Dat controle
verhaal van die 255 woorden kun je er inderdaad bij
programmeren, maar een kleine verandering op het ene punt
kan een heel raar effect hebben op een heel ander punt. Ik
hoop voor het bedrijf dat de bug inderdaad al bij hun bekend
was voordat hij bekend werd gemaakt op het internet. Hier ga
ik ook wel van uit. Aan reacties te horen was de bug nogal
ernstig. Daarom kan ik me niet voorstellen dat ze niet eerst
heel goed gekeken hebben of ze niet iets anders over het
hoofd hebben gezien.

Overigens kan ik me wel voorstellen dat het testen wel
sneller gaat bij MS dan bij FireFox. MS is per slot van
rekening een veel groter bedrijf met veel meer werknemers en
een veel groter product.

Dit is dan een halve Tabbed browsing solution, eerst een blanco maken
welke dan wordt gevuld door een page
neeeee, dan werkt MyIE wel wat beter ;-)

Kan dit ook automatisch (nw tab) bij het openen van een nw link ipv een
programma

je hebt helemaal gelijk geikel en een grote kinderachtige kleuterklas die
elkaar alleen maar torpederen, zielig hhor kleuters

je hebt helemaal gelijk geeikel en een grote kinderachtige kleuterklas die
elkaar alleen maar torpederen, zielig hoor kleuters in welke klas zitten jullie

ha iemand die het doorheeft je hebt gelijk anoniempje het zijn kleuters