Mozilla: Full-disclosure Firefox lekken pijnlijk, maar nodig
Dit weekend dichtte Mozilla zeven beveiligingslekken in haar open source browser Firefox. Oorspronkelijk had de update eerder moeten verschijnen, maar vanwege het werk van beveiligingsonderzoeker Michal Zalewski die wekelijks nieuwe lekken in de browser vindt, besloot men die eerst te verhelpen.
Op de avond voor de release van de patch was het echter weer Zalewski die een nieuw ernstig lek in de browser ontdekte, waardoor een aanvaller het systeem zou kunnen overnemen. De Poolse onderzoeker maakt zijn ontdekkingen meteen aan het publiek bekend, zonder Mozilla in te lichten.
Hoewel Mozilla liever ziet dat Zalewski en andere onderzoekers eerst de browserbouwer inlichten, is de ontwikkelaar wel afhankelijk van deze experts om klanten tegen aanvallen te beschermen, hoe pijnlijk full-disclosure soms is.
"We hebben liever dat hij ons eerst inlicht, maar het is belangrijker dat we blij zijn met onderzoekers die Firefox controleren en ons helpen bij het verhelpen van problemen. We weten waar onderzoekers mee te maken hebben, als het gaat om frustratie en de hoeveeltijd die vendors nemen om lekken te dichten" zegt Mozilla's CSO Window Snyder. Snyder hoopt dat, als Mozilla sneller wordt in het patchen van lekken, onderzoekers ook beter met de nonprofit organisatie zullen samenwerken.
Wat een goede reactie van Mozilla!
Nee. Juist niet. Dit geeft een verkeerd signaal af. Dit is hetzelfde wanneer
je inbrekers aanmoedigd om vulnerabilities in je voordeur te vinden.
Dit geeft een verkeerd signaal af. Dit is hetzelfde wanneer
je inbrekers aanmoedigd om vulnerabilities in je
voordeur te vinden.
Het gaat niet om het aanmoedigen van inbrekers, het gaat om
het aanmoedigen van voordeurbeveiligingspecialisten.
bijde Mozilla en MS claimen een veiligere browser te hebben. Dus dan
moeten ze niet klagen als lekken per direct publiek worden gemaakt.
Dit geeft een verkeerd signaal af. Dit is hetzelfde wanneer
je inbrekers aanmoedigd om vulnerabilities in je
voordeur te vinden.
Het gaat niet om het aanmoedigen van inbrekers, het gaat om
het aanmoedigen van voordeurbeveiligingspecialisten.
En de voordeurbeveiligingspecialisten moeten het gevonden lek dan maar
direct op het internet publiceren?
volgens mij weet de gemiddelde voordeurbeveiligingspecialist heel goed
wat de gevolgen van een dergelijke actie zijn.
En dat maakt meteen het verschil: de grote bedrijven zijn
of te log, of teveel gefocussed op geld....
- deze redenen zijn er met de haren bij gesleept, dus speculatief.
- Mozilla kon niet anders reageren.
- het zal niet lang meer duren of deze ambitieuze Zalewski zal niet alleen
lekken openbaar maken, maar er ook zelf een werkende exploit bijleveren
om een groter effect te bereiken.
- trouwens, hoe ziet het imago van FF van "in het ontwerp meest veilige
browser" er nu uit?
Het gaat niet om het aanmoedigen van inbrekers, het gaat om
het aanmoedigen van
voordeurbeveiligingspecialisten.
een zekere verantwoordelijkheid ten opzichte van gewone
mensen. Een persoon die een lek publiek maakt zonder eerst
ruimte te bieden om het probleem te verhelpen, wetend van de
potentiële gevolgen die dat kan hebben, lijkt mij geestelijk
niet stabiel. Dat zijn enge mensen.
Dit geeft een verkeerd signaal af. Dit is hetzelfde wanneer
je inbrekers aanmoedigd om vulnerabilities in je
voordeur te vinden.
Het gaat niet om het aanmoedigen van inbrekers, het gaat om
het aanmoedigen van voordeurbeveiligingspecialisten.
...en vervolgens vertellen die
voordeurbeveiligingspecialisten het de hele wereld
(inclusief het dievengilde dat gretig meeluisterd) waar en
hoe je binnen komt. Het mag dan wel geen aanmoediging zijn,
maar ik vind het wel verwijtbaar dat inbrekers gebruik
kunnen maken van deze informatie terwijl de bewoner hier
geen enkele manier van verdediging tegen heeft.
Stel: Iemand komt er achter dat jouw auto sleutel is te
kopieren. Die vertelt het via het NOS journaal precies wat
je moet doen en geeft een voorbeeld. Je hebt geen afgesloten
garage voor de deur, dus moet hij buiten staan. In je auto
ligt duur gereedschap dat je elke dag nodig hebt. De
fabrikant heeft nog geen oplossing voor dit probleem. Ben je
dan nogsteeds zo blij???
Ben je dan nogsteeds zo blij???
stellen als lekken gewoon via het reguliere bugtrack proces
worden aangemeld. Maar Mozilla geeft ook aan dat ze hoe dan
ook blij zijn met elke melding van een lek. Dan kunnen ze
tenminste ook aantonen dat ze in staat zijn lekken te dichten.
Er zijn genoeg voorbeelden van organisaties die mensen die
een lek gevonden hadden aanklaagden wegens overtreding van
allerhande wetten, regels en wat al meer. Dus in die zin is
Mozilla voor ons beter bezig.
Dat die Michal het leuk vindt zichzelf op de borst te slaan,
mwaah. Goed dat ie de lekken vindt, hij mag daar best de
credits voor krijgen. Dat ie vervolgens ons, ff gebruikers,
risico laat lopen vind ik minder. Volgens mij heeft Mozilla
wel aangetoond volwassener te zijn.
- deze redenen zijn er met de haren bij gesleept,
dus speculatief.
- Mozilla kon niet anders reageren.
- het zal niet lang meer duren of deze ambitieuze
Zalewski zal niet alleen
lekken openbaar maken, maar er ook zelf een
werkende exploit bijleveren
om een groter effect te bereiken.
- trouwens, hoe ziet het imago van FF van "in
het ontwerp meest veilige
browser" er nu uit?
Michal Zalewski levert zijn exploits bijna altijd
met een werkende exploit, dat doet hij al jaren.
Voor het effect hoeft hij het niet te doen, daar
is zijn reputatie voldoende voor.
Veel van de exploits die de laatste tijd door
Zalewski zijn gevonden werken zowel op firefox als
op ie of andersom in een of andere vorm. Dat maakt
hem niet uit.
En de beveiliger een geestelijk, instabiel eng mens te
noemen, dat is typisch een reactie van achter het
toetsenbord.
dat werd geschreven. Ter bescherming van het publiek heeft
een beveiliger een bepaalde verantwoordelijkheid te nemen.
En dat is zeker niet door 'unintended audience' van
informatie te voorzien voordat redelijk de gelegenheid is
gegeven het probleem op te lossen.
Laat ik het afzwakken door de stellen dat met zulk handelen
de werkelijke intentie van de onderzoeker onzeker is.
Laat onverlet dat men blij is met alle input over zaken die
opgelost moeten worden, maar liever op een verantwoorde wijze.
Wat een goede reactie van Mozilla!
Nee. Juist niet. Dit geeft een verkeerd signaal af. Dit is
hetzelfde wanneer
je inbrekers aanmoedigd om vulnerabilities in je
voordeur te vinden.
als je niet weet tegen welke anoniem je het hebt - ik moet
aannemen dat deze dezelfde is als degene van de reacties om
12:25 en 12:32)
maar is mijn benadering in deze wellicht te abstract.
Anonieme berichten kunnen van verschillende personen
afkomstig zijn, zoals in dit geval.
Dit geeft een verkeerd signaal af. Dit is hetzelfde wanneer
je inbrekers aanmoedigd om vulnerabilities in je
voordeur te vinden.
Het gaat niet om het aanmoedigen van inbrekers, het gaat om
het aanmoedigen van voordeurbeveiligingspecialisten.
En de voordeurbeveiligingspecialisten moeten het gevonden
lek dan maar
direct op het internet publiceren?
volgens mij weet de gemiddelde voordeurbeveiligingspecialist
heel goed
wat de gevolgen van een dergelijke actie zijn.
keybumping op dat gebied ? Volgens mij staat er gewoon op
internet hoe dat moet, maar m'n voordeur is er niet
onveiliger van geworden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.