image

Microsoft blogger: Hoe kan ik Firefox vertrouwen?

woensdag 22 december 2004, 10:36 door Redactie, 26 reacties

Microsoft werknemer Peter Torr dacht waarschijnlijk dat er nog niet voldoende discussies tussen Internet Explorer en Firefox voorstanders waren, en besloot daarom een eigen "flame war" te beginnen. Volgens Torr is er het een en ander mis met de distributie en "code signing" van Firefox. Ga je bijvoorbeeld naar www.getfirefox.com om de Mozilla browser te downloaden, dan verschijnt er opeens een bestand dat van de locatie "mirror.sg.depaul.edu" afkomstig is. "Elke keer dat je iets download van een onbekende site loopt je PC risico", aldus Torr, die in dit weblog flinkt uithaalt naar Firefox. (Neowin)

Reacties (26)
22-12-2004, 11:04 door Anoniem
tip: RTFC

(read the f***ing code)
22-12-2004, 11:07 door Preddie
BLAAT !
22-12-2004, 11:16 door bustersnyvel
Wat een onzin zeg! Hij weet duidelijk niet waar het over
gaat. Het ondertekenen van een bestand zorgt er juist voor
dat je een bestand van een onbetrouwbare server kan
controleren op betrouwbaarheid.
22-12-2004, 11:25 door Jeroen de Graaf
Ik denk dat Peter Torr zich beter bezig kan houden met het oplossen van de
problemen in IE dan kritiek te leveren op andere browsers.

Feit is dat ik als simpele gebruiker, en met mij denk ik vele andere, sinds
ik firefox gebruik geen gesodemieter meer heb met favorieten die
plotseling zijn toegevoegd, de startpagina die is veranderd, tools bars die
zijn geinstallerd en nog veel meer rotzooi.

Dat maakt mij een groot voorstander van Firefox.
22-12-2004, 11:32 door awesselius
Het komt er op neer dat deze man dus niet op de hoogte is van het gebruik
van mirrors. Een kenmerkend gebrek aan internet ervaring dus.

Firefox is een OSS initiatief dat niet van een budget gebruik kan maken
voor elk onderdeel wat met het maken en verspreiden van software te
maken heeft.

Hij zegt dat het downloaden van een onbekende site risico's met zich
meebrengt. Ja.... voornamelijk als je gebruik maakt van IE om Firefox op te
gaan halen zeker....... ;-)

IE is het grootste gevaar waardoor je onbekende sites gaat wantrouwen in
de eerste plaats. Onbekende sites kunnen namelijk bekende exploits in IE
gebruiken om spyware en malware te installeren.

Dus waar hij eigenlijk bang voor is, dat bij het downloaden van zoiets als
Firefox van een onbekende site er iets geinstalleerd wordt op zijn PC. Dit
komt omdat hij waarschijnlijk IE gebruikt en zulke dingen dus mogelijk zijn.

Hij denkt waarschijnlijk niet in een cirkeltje, maar voor ons is het maar
weer eens een teken hoe serieus mensen bij Microsoft kunnen zijn en wat
voor een signalen ze naar buiten brengen buiten de PR-afdeling om.

- Unomi -
22-12-2004, 11:33 door Anoniem
uit artikel: "Microsoft werknemer Peter Torr dacht ..."

Hij hoopt zeker op salaris verhoging bij zijn werkgever.
22-12-2004, 11:38 door Ferdi de Gier
Ik kan alleen maar hard lachen om dit artikel. De man is
niet alleen dom maar ook onwetend. Hij verdient het om bij
Microsoft te werken!

Het Laatste Mozilla nieuws lees je het eerst op
www.de-gier.info/
http://www.de-gier.info/ Daily Mozilla News
22-12-2004, 11:46 door Anoniem
Is dit een zogenaamd subtiele poging om FF door een technische
Microsoft-man te laten afkraken?!?! Hoe zielig kan je als bedrijf zijn zeg.
22-12-2004, 11:51 door raboof
Ik vind dat hij wel een paar hele goeie punten heeft.

Ik bedoel, sure, er zijn vast wel ergens MD5's ofzo
beschikbaar om te checken of je download niet backdoored is,
maar dat zal de standaard Jan de Gebruiker niet doen.

bustersnyvel: de auteur is het met je eens dat het signen
van code een goed idee is, zijn bezwaar is juist dat de
firefox-executable helemaal niet (voor de leek zichtbaar)
gesigned is.

Unomi: ik ben het anders erg met hem eens dat het zomaar
downloaden en opstarten van executables van sites die ik
niet vertrouw niet zo verstandig is. Jij niet?
22-12-2004, 12:15 door Donz
Door raboof
Ik bedoel, sure, er zijn vast wel ergens MD5's ofzo
beschikbaar om te checken of je download niet backdoored is,
maar dat zal de standaard Jan de Gebruiker niet doen.
Jan de Gebruiker opent ook gewoon onbekende attachment in
outlook en download zich te pletter via Kazaa.
Het zeer kleine risico dat hij met het downloaden van FF
loopt moeten we niet gaan overtrekken.
22-12-2004, 12:17 door Anoniem
Door raboof
Unomi: ik ben het anders erg met hem eens dat het zomaar
downloaden en opstarten van executables van sites die ik
niet vertrouw niet zo verstandig is. Jij niet?

Ben ik ook mee eens, zo zou ik persoonlijk nooit iets van
een microsoft.com domein downloaden... malicious software ;)
22-12-2004, 13:17 door Anoniem
Ik zie het probleem niet. Ik hoef FF helemaal niet van een webpage te
installeren - ik vertrouw mijn debian repository, waarvandaan ik al mijn
pakketten installeer. Trouwens, Microsoft maakt vaak gebruik van derde
partijen voor software distributie en dan kom je ook op vage hostnames uit.
En daarbovenop komt nog eens dat elke Jan Lul met een gestolen CC
even een Digital ID op kan pikken bij Verisign om zijn malware mee te
signen (dat betekent dus h-e-l-e-m-a-a-l n-i-e-t-s ...)

FUD, dus (maarja, zie de bron, he? wat had je dan verwacht?)
22-12-2004, 13:30 door Anoniem
firefox rules
is gewoon een verademing na 6 jaar Internet Explorer.
En microsoft kan op zijn kop gaan staan, hun marktaandeel in de
browsermarkt is going down.
22-12-2004, 13:31 door Anoniem
Interessant is dat grote Amerikaanse kranten zich nu ook
positief over firefox
uitlaten, zie:
http://www.nytimes.com/2004/12/19/business/yourmoney/19digi.html
http://www.washingtonpost.com/wp-dyn/articles/A9658-2004Dec18.html

(je moet wel registreren voor de artikelen, maar je kunt
daarvoor ook even op
http://www.bugmenot.com kijken).
22-12-2004, 13:33 door Anoniem
Dat MS zijn code signeerd, daar kunnen we bij misbruik vast
juridisch gezien geen rechten aan ontlenen. Bovendien is MS
inconsequent met het signeren. Run maar eens sigverif.exe
zeker indien je Visual Studio 6 hebt geinstalleerd kun je
dit goed zijn.

Aan de andere kant is de kritiek wel correct het zal niet de
eerste keer zijn dat open source servers zijn gekraakt en
de software voorzien van backdoors.

Het is dan ook een goed idee om de bestanden van gpg
handtekeningen te voorzien. MD5/SHA-X helpt niet want een
mogenlijke aanvaller kan deze nummers zo aanpassen door de
webpagina te veranderen.

Firefox/Mozila moet hier conclusies uit trekken en bedenken
dat als dit het enigste commentaar is, het "goed" gesteld is.
22-12-2004, 13:40 door Anoniem
IE? MS? PCLinuxOS + FF !
22-12-2004, 15:00 door Anoniem
"Elke keer dat je iets download van een onbekende site loopt
je PC risico", aldus Torr.

Microsoft is een bekende, toch lopen pc's en servers daar
aanzienlijk meer risico verder te worden gecompromitteerd.
Hoe kan hij dat verklaren? :)
22-12-2004, 16:13 door Anoniem
Het is natuurlijk standaard om na kritiek op open source de bron van kritiek
te bashen maar hij heeft wel wat goede punten. Doe daar dan wat aan zou
ik zeggen.
22-12-2004, 16:39 door Anoniem
Door Anoniem
Het is natuurlijk standaard om na kritiek op open source de
bron van kritiek
te bashen maar hij heeft wel wat goede punten. Doe daar dan
wat aan zou
ik zeggen.
Zou hij blij zijn door onder mozilla een aantal DNS-entry's
aan te maken die verwijzen naar dezelfde mirrors?
Zoals bij ftp.eu.mozilla.org
In ieder geval is een sign/integrity-check bij Mozilla zelf
(vereist ook nauwelijks bandbreedte) dekkend.
22-12-2004, 16:49 door Anoniem
Door Anoniem
Het is natuurlijk standaard om na kritiek op open source de
bron van kritiek
te bashen maar hij heeft wel wat goede punten.
Wat is
daar standaard aan? Eerst wordt naar de inhoud en teneur
gekeken om deze vervolgens te redeneren en te beantwoorden.
Zo te zien is het een theoretisch potentieel aandachtspunt,
een prima tip, om een potentieel probleem te voorkomen en
zijn we dankbaar voor het meedenken ;)
22-12-2004, 16:57 door Anoniem
Vergeet ook niet dat de sites van mozilla bijzonder populair
geworden zijn de laatste tijd. Zelfs in de krant stond dat
ze 10 miljoen downloads waren gepasseerd. Vaak geld de
regel; als iets aandacht trekt, zal het ook de aandacht van
'slechte mensen' trekken.

Zou dus een goede site zijn om een 'phising scam' mee uit te
halen. Bouw de site na van mozilla.org of switch2firefox
enz, verspreid je eigen url die weer linkt naar je
namaakpagina, en laat de surfer je malware downloaden.

Tuurlijk zal de doorgewinterde it-er hier niet intrappen,
maar die 10 miljoen downloads waren echt niet allemaal
doorgewinterde it-ers hoor! Hoor hier ook al steeds vaker om
me heen dat firefox popi aan het worden is, en die mensen
hebben geeneens door waarom ze overgestapt zijn naar een
alternative browser.

Kortom; als iedereen firefox gebruikt zullen daar de
problemen ook mee komen omdat dat het meest aantrekkelijke
is. Beetje social engineering erbij en klaar is klara.

T
22-12-2004, 18:02 door Anoniem
Door Anoniem
Kortom; als iedereen firefox gebruikt zullen daar de
problemen ook mee komen omdat dat het meest aantrekkelijke
is. Beetje social engineering erbij en klaar is
klara.
De distributiekanalen mogen wellicht wat
zekerder worden afgeschermd, maar ontgaat tegelijkertijd de
grootste kracht van Firefox: zéér complete ondersteuning van
moderne normen gesteld bij het W3C (http://www.w3.org/).
22-12-2004, 22:12 door Anoniem
Het downloaden van elk stuk software is een gok. En
inderdaad kun je je afvragen of de Mozilla boys te
vertrouwen zijn. In elk geval hebben zij het vertrouwen van
veel Duitsers beschaamd door bezoekers van http://www.ebay.de eerst
naar een andere site te sturen. Onder druk van gebruikers is
dat nu gefixed, zie
http://www.mozilla.org/press/mozilla-2004-11-22.html
maar ondertussen is het toch maar gebeurd.

Zonder alle open sourcecode zelf na te pluizen (onbegonnen
werk zelfs voor goede programmeurs met veel vrije tijd) en
zelf te compileren weet je nooit zeker wat je draait. Maar,
mocht je zo wantrouwend zijn, het kan wel, in
tegenstelling tot bij Microsoft.

Aan de andere kant geldt dat vertrouwen net zo goed
voor Microsoft. We zullen er van uit moeten gaan dat al hun
ontwikkelaars te goeder trouw zijn, evenals iedereen bij
Microsoft die code kan signeren. Waarom zouden die mensen
niet om te kopen zijn door bijv. spammers of andere
kwaadwillenden, en waarom zou Microsoft niet geinfiltreerd
kunnen worden of zijn? Het gaat ten slotte om grote sommen
geld, zoals we bij de AOL email adressen hebben gezien.

M.b.t. vreemde sitenames heeft Microsoft helemaal boter op
haar hoofd. Vorig jaar was ik een van de vele mensen die
zich openlijk (en via direct aan hen gerichte mail) heeft
beklaagd over hun belachelijke site
http://www.betaplace.com, waarna ze kennelijk hun
grootheidswaanzin hebben ingezien (zie
http://lists.sans.org/pipermail/list/2003-December/044974.html).
Verder zijn er nogal wat bugs geweest in de signing code van
Microsoft (zie bovenstaande URL), waarbij wellicht de
stomste fout in 2001 door Verisign gemaakt is, toen zij een
reeks certificaten aan iemand verstrekte die zich
-onterecht- voor een Microsoft medewerker uitgaf:
http://www.microsoft.com/technet/security/bulletin/MS01-017.mspx.

Verder zegt een signed ActiveX nauwelijk iets; sterker, deze
kan een vals gevoel van veiligheid geven. Microsoft heeft
bijvoorbeeld (opnieuw na aandringen van derden) na MS03-042
een patchmaand later (zie MS03-048) ingezien dat ze
tshoot.ocx ook moesten killbitten op systemen waar
dit ding helemaal niet op voorkomt, omdat anders
kwaadwillenden je zo'n ding -met bug- door de strot kunnen
douwen (gesigneerd en wel), om vervolgens de bug er in te
exploiten.

Nog een voorbeeld, ik heb zojuist nog even een signed trojan
gedownload (F-Prot: W32/Rameh.Q@dl)
http://www.addictivetechnologies.net.weghalen/DM0/cab/ATPartners.cab.
Het is nog dezelfde file als op 4 oktober. Discussie
hierover alhier, subject "Spyware installs with no
interaction in IE on fully patched XP SP2 box"
http://lists.netsys.com/pipermail/full-disclosure/2004-October/027093.html
(die thread is gebroken, wil je meer weten open dan de hele
maand oktober). En dit is niet de enige gesigneerde malware
die ik "gevangen" heb.

Met het downloaden en installeren van Firefox heb absoluut
ik een gokje gewaagd. Dat is, in elk geval op dit moment,
een minder grote gok dan met IE surfen naar als betrouwbaar
bekend staande sites en via een gehackte bannerserver
malware opgedrongen te krijgen, of een site aan te doen met
kennelijk buggy PHP en/of phpBB en daardoor meerdere
"beheerders".

Erik van Straten
22-12-2004, 22:54 door Anoniem
en dit van de grootste concurrent van Firefox, die, nadat-ie
marktleider was, de browser links heeft laten liggen, en al
sinds 2001 een bug in SSL niet heeft opgelost waardoor MSIE
kwetsbaar is voor een MITM aanval.
23-12-2004, 10:48 door Anoniem

In elk geval hebben zij het vertrouwen van
veel Duitsers beschaamd door bezoekers van http://www.ebay.de eerst
naar een andere site te sturen.

En nu van de site:


This URL was provided by eBay Germany. The Mozilla Foundation allowed
this URL to be implemented not realizing the privacy implications. This was
an error on our part.

En nog een keer:


This URL was provided by eBay Germany.
23-12-2004, 17:29 door Anoniem
hahahahahahahahahaha
microshit zeikt over veiligheid?!?!?!?!? moet ik nou ff
lache zeg
hahahahahahahahahaha
firefox 4ever
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.