De ene bewering is nog stommer als de andere.... Volgen deze mensen geen fatsoenlijke opleidigen of zo? Verbazinwekkend hoe deze so called 'professionals' keer op keer met dit soort loze opmerkingen komen...

Het absolute aantal niet echt, nee. Wat wel iets zegt is het feit dat het merendeel "code execution" bugs zijn.

Werkelijk niet te geloven. Het lijkt wel alsof ze willen discusseren om de discussie.
Je komt ze welleens tegen op verjaardagen. Van die mensen tegen wie je zegt, je moet een firewall gebruiken en een virusscanner en niet klikken op vreemde mails met bijlage en dan beginnen ze hoor: Maar een firewall wil niets zeggen en virusscanner herkent niet de nieuwste virussen en een onbekende mail kan ook van een oude klasgenoot zijn etc.. Van die dwangmatige relativeerders.

Stel je zegt hier is een lijst met de 10 hoogste gebouwen ter wereld. en dan komt iemand anders en die gaat zeuren, maar hoogste gebouw wil niet zeggen mooiste gebouw, of moeilijkste gebouw, blah blah, kots...

Feit is dat er een, en dat lijstje kun je interpreteren.

Onbegrijpelijk dat zo'n man hoofd is van een security team. Maar ja: Chrome is ook zo lek als een mandje (net als Apple Safari). Keep dreaming boys ....... en advies aan Trend Micro: ga zo door met eerlijke rapportage en onderzoek.

Verklaar je nader?
Zo wordt er nu gesproken over verplicht melden van data lekken.Volgens jou redenering is het bedrijf dat de meeste lekken rapporteert dus het onveiligste? Ik zie het anders, er zijn bedrijven die hier aandacht aan besteden en nu al vrijwillig melden, en er zijn bedrijven die openstaan envan alles lekken en het niet eens weten. Dan heb ik liever mijn data bij het eerste soort bedrijf dan bij een bedrijf die niet eens weet dat het lekt...

Het zegt op zich niet veel, maar ik kan met een bepaalde mate van zekerheid wel conclusies hangen aan de softwareontwikkelingsprocessen van een bedrijf dat software maakt waarin heel veel beveiligingslekken zitten. Die conclusies zijn vaak identiek aan bij veel bedrijven:

(1) Secure coding practices zijn waarschijnlijk nog niet (volledig) doorgedrongen tot het bedrijf. De kans dat op secure coding kennis wordt geselecteerd aan de poort is klein, en de kans dat beveiligingsbewustzijn is doorgedrongen tot alle stappen van de SDLC en bij alle belanghebbenden is niet groot. Creativiteit en gebruiksvriendelijkheid is bij Apple extreem belangrijk, security aanzienlijk minder.
(2) Vulnerability assessments, bijvoorbeeld in de vorm van source code reviews (hetzij statisch, hetzij dynamisch), worden niet of niet goed uitgevoerd.
(3) De prijs die voor de software betaald moet worden is te hoog, want reparatie achteraf kost vele malen meer dan het in eerste instantie veilig en goed programmeren van hun software.
(4) Functionaliteit en gebruiksgemak is belangrijker dan veiligheid van de geleverde software. Ook dat is typisch Apple.


Wat dacht je van "Meer opgeloste moordzaken betekent dat de politie het iets kan schelen." Neemt niet weg dat er nog steeds veel moorden worden gepleegd, en dat daar toch iets aan gedaan moet worden. Het zegt mij ook wat over de afwezigheid van preventieve maatregelen om de kans op een moord te minimaliseren. Het is niet voor niets dat Apple al vele malen de Microsoft van 10 jaar geleden wordt genoemd als het op beveiliging aankomt. Ze hebben nog een heel grote inhaalslag te maken. Met de winst van de afgelopen drie maanden moet er toch wel wat moois van te maken zijn lijkt me.

Het gaat erom hoe die de put is

Het feit dat de ene grondwerker meer aarde dumpt in die put dan de andere zegt alleen maar iets over het werk wat die grondwerker verzet.

De put van de grondwerker die het hardst werkt kan nog steeds veel dieper zijn dan die andere put en vica versa toch?

Waar het om gaat is hoe diep is die put nou en hoe meet je dat?

:-)