image

Google-engineer vergelijkt veiligheid Chrome en Edge

maandag 27 februari 2017, 09:54 door Redactie, 14 reacties
Laatst bijgewerkt: 27-02-2017, 12:11

Microsoft heeft onlangs enkele details vrijgegeven over de maatregelen die het heeft genomen en gaat nemen om de Edge-browser tegen aanvallen te beschermen, waardoor sommige experts nu stellen dat Edge veiliger dan Google Chrome is, maar volgens Google-engineer Justin Schuh hanteren beide partijen een andere aanpak. Schuh is hoofd engineering van het beveiligingsteam van Chrome.

Hij stelt echter dat een groot deel van zijn werk bestaat uit het beoordelen van beveiligingsmechanismen en bepalen waar de Chrome-ontwikkelaars hun aandacht aan moeten besteden. Idealiter zou zijn bevooroordeeldheid dan ook geen invloed op zijn beschouwing van beide browsers moeten hebben, aldus de engineer. Volgens Schuh investeert Microsoft veel in het voorkomen dat aanvallers aan de voorkant willekeurige code kunnen uitvoeren. De softwaregigant richt zich hierbij op de eerste schakel in de exploitketen.

"Als dit werkt is het een goede manier om een aanvaller te stoppen. Het nadeel is echter dat deze oplossingen in een kat-en-muisspel kunnen veranderen, waarbij elke beveiligingsmaatregel meer werk van een aanvaller vereist, maar geen de exploit direct kan stoppen", aldus Schuh in een vergelijking van beide browsers. De Google-engineer merkt op dat de aanpak van Microsoft waarschijnlijk gebaseerd is op de aanvallen die in het wild tegen IE en Edge worden gebruikt.

Google richt zich juist meer op het isoleren tijdens het surfen, om zo de impact van een aanval te beperken. "Net als Microsoft wordt onze aanpak gestuurd door de exploits die we in het wild tegen Chrome gezien hebben", stelt Schuh. Hij merkt echter op dat het ook om een andere filosofie gaat. Het isoleren zou op de langere termijn een effectievere strategie zijn en beter zijn toe te passen op de verschillende platformen die Google ondersteunt.

In zijn artikel vergelijkt Schuh de verschillende maatregelen die in Edge zijn genomen, zoals "JavaScript JIT hardening", "Control Flow Guard" en "MemGC". De Google-engineer laat in zijn conclusie weten dat browserveiligheid een gecompliceerd en verwarrend onderwerp is. "Daarom wilde ik wat context geven over de beslissingen die we voor Chrome maken en waarom." Aan de andere kant zegt Schuh dat als hij voor Edge verantwoordelijk was, hij waarschijnlijk andere data zou krijgen en mogelijk andere beslissingen zou maken.

Afsluitend prijst Schuh de maatregelen die Microsoft neemt om het injecteren van code in Edge door derde partijen tegen te gaan, zoals bijvoorbeeld door virusscanners, aangezien dit voor alle browsers een "pijnpunt" is. Google zou dit jaar dezelfde soort maatregelen aan Chrome willen toevoegen om dit probleem aan te pakken die Microsoft al aan Edge heeft toegevoegd.

Reacties (14)
27-02-2017, 10:33 door Anoniem
Schuh is hoofd engineering van het beveiligingsteam van Chrome. Hij stelt echter dat een groot deel van zijn werk bestaat uit het beoordelen van beveiligingsmechanismen en bepalen waar de Chrome-ontwikkelaars hun aandacht aan moeten besteden. Hij zou dan ook niet bevooroordeeld zijn.

Niet bevooroordeeld? Wij van WC-eend...
27-02-2017, 11:58 door Anoniem
Door Anoniem:Niet bevooroordeeld? Wij van WC-eend...

In het orginele artikel komt het ook iets anders over als hier in het Nederlands:
Granted, as the engineering lead for Chrome Security I’m going to be biased. However, a big part of my job requires me to objectively evaluate security mechanisms and determine where my team needs to invest effort, so ideally my bias won’t color the conclusions.
27-02-2017, 12:00 door Anoniem
Door Anoniem:
Schuh is hoofd engineering van het beveiligingsteam van Chrome. Hij stelt echter dat een groot deel van zijn werk bestaat uit het beoordelen van beveiligingsmechanismen en bepalen waar de Chrome-ontwikkelaars hun aandacht aan moeten besteden. Hij zou dan ook niet bevooroordeeld zijn.

Niet bevooroordeeld? Wij van WC-eend...

Ik het oorspronkelijke artikel staat het er ook anders:

Granted, as the engineering lead for Chrome Security I’m going to be biased. However, a big part of my job requires me to objectively evaluate security mechanisms and determine where my team needs to invest effort, so ideally my bias won’t color the conclusions.

Wat een stuk redelijker klinkt dan zoals het hier gequote wordt. Beetje een misquote IMHO.
27-02-2017, 12:37 door karma4
Pepsi cola beoordeeld de smaak van coca cola....
27-02-2017, 13:31 door Anoniem
Door karma4: Pepsi cola beoordeeld de smaak van coca cola....

Het is meer dat de controleur van de smaak van Pepsi de manier waarop de controleur van de smaak van cocacola zorgt voor een consistente smaak. Het maakt hem niet uit of de ene smaak beter is dan de ander. Dan geeft hij ook aan:

Aan de andere kant zegt Schuh dat als hij voor Edge verantwoordelijk was, hij waarschijnlijk andere data zou krijgen en mogelijk andere beslissingen zou maken.

Als je andere ingredienten hebt, krijg je een andere smaak. Maar de ingredienten wijzigen in de loop van de tijd van smaak, met als gevolg dat de smaak van het eindproduct wijzigt als de controleur geen goed toezicht houdt.

Peter
27-02-2017, 14:18 door Anoniem
Ik denk dat de neutrale lijn hier moet zijn dat een of enkele mitigatie producten toegevoegd aan welke browser dan ook 100% dekking geeft tegen malware en andere vormen van externe dreigingen die veiligheid van een browser test.

Ik persoonlijk denk dat inderdaad, beide (in dit geval) fabrikanten andere inzichten hebben in hun aanvalsvectoren.
Dat is ook logisch lijkt me, daar Microsoft een redelijk goede basis heeft van hoe ze afgelopen tig jaar zijn aangevallen...
Google zou graag die informatie ook willen, lijkt me, maar ze weten het simpelweg niet zo goed als Microsoft zelf.

Aan de andere kant, mensen die Chrome aanvallen zijn een andere soort aanvallers...
Daarom zul je daar per definitie een een andere aanpak zien voor mitigatie van aanvallen.

Omdat de aanvallen anders zijn (bij Microsoft Edge zal dit meer 'massa aanvallen' op basis van slecht geupdate systemen, bij Google meer drive-by en specifieke aanvallen) zal de mitigerende aanpak dus ook waarschijnlijk verschillend zijn ten opzichte van de andere...

Vergelijken op basis van welke soort mitigerende factoren zal dan ook per definitie niet een correct beeld geven.
Zie het als Edge de Ferrari is en Chrome de Tesla... Een aanval op een non-wifi Ferrari is anders dan een aanval op een wifi gebaseerd ODB2 systeem. Als de Ferrari oplossing is "parkeer de auto in een garage onder de grond" werkt dat ook voor de Tesla.. immers, geen wifi bereik, geen aanval mogelijkheid... Dat de implementatie is dat er slechte bereikbaarheid is voor beide voertuigen, doet niet af dat de er bij de Tesla ook de wifi aanvals vector gemitigeerd wordt.
27-02-2017, 14:25 door [Account Verwijderd]
[Verwijderd]
27-02-2017, 16:15 door Anoniem
Hoe moet een virusscanner https verkeer scannen als het geen code aan de browser mag toevoegen ?
Dan ontkom je er niet aan dat er niet wordt gecontroleerd of op andere wijze een gat in de systeembeveiliging wordt gecreeerd.

Waarom bieden de browsers geen interfacepunt aan waarin de virusscanner kan worden geactiveerd om de inhoud te toetsen ? Als je dan ook nog optioneel scans over een pagina kunt uitschakelen, dan leg je de controle bij de gebruiker.
27-02-2017, 17:22 door karma4
Rinjani linux Unix en afgeleiden daarvan (oa Windows) zijn nooit gebouwd om veilig te zijn. Als je iets veilgs wilde hebben moest je bij de oude mainframes zijn. Sna afgesloten netwerk speciale hardware zonder concurrentie.
Toen mail en Internet opkwam moest ook alles uit de kast gehaald om dat zoveel mogelijk af te sluiten want potentieel gevaarlijk. Nee ik geloof niet in de mainframe toekomst.
Een beetje meer werkelijkheisbesef zou niet mistaan.
Onderzoek de waarheid is wat anders dan de waarheid naar je hand proberen te zetten.
27-02-2017, 17:27 door Anoniem
Door Rinjani: Over de veiligheid van het onderliggende besturingssysteem:

Windows v Linux security: the real facts: http://www.theregister.co.uk/2004/10/22/linux_v_windows_security/

"Linux's design is not vulnerable in the same ways, and no matter how successful it eventually becomes it simply cannot experience attacks to similar levels, inflicting similar levels of damage, to Windows."

en

"Claims that all Windows flaws get fixed are baffling when we consider that there are Microsoft Security Bulletins saying some flaws will never be fixed, and the existence of these also makes it tricky to understand how the fix rate could ever get to be 100 per cent."

Een artikel uit 2004, echt?

Al eens gekeken naar recente cijfers over CVE's voor de diverse Linux platformen?

Linux is gewoon mensenwerk, net als Windows. En daar zitten net zo veel zwakheden in.
En zoals al lang in de praktijk bewezen is beveiliging in de praktijk voor het overgrote deel afhankelijk van de kwaliteit van beheer.
En ja, er is veel slecht Windows beheer, maar ik zie ook veel slecht of zelfs helemaal niet beheerde Linux servers. Ooit geinstalleerd door een of ander projectje en nooit meer bijgewerkt want niemand weet hoe.
27-02-2017, 18:17 door Anoniem
Een klein voorbeeldje bij M$... wanneer zijn we uiteindelijk verlost van de verborgen tweede extensie bij dubbele extensies en al de infecties die dit al in de achterliggende decennia heeft veroorzaak?

Volgens iemand van Wilders uit Florida staat het nu toch snel te gebeuren. Maar ach en wat zit er nog meer allemaal in Edge en Google browsers verborgen om hun grote "data waterhandel" mogelijk te blijven maken? Backdoors die nog niet zijn ontdekt wellicht?
27-02-2017, 20:14 door [Account Verwijderd] - Bijgewerkt: 27-02-2017, 20:15
[Verwijderd]
28-02-2017, 09:43 door Anoniem
Door Rinjani: Over de veiligheid van het onderliggende besturingssysteem:

Windows v Linux security: the real facts: http://www.theregister.co.uk/2004/10/22/linux_v_windows_security/

"Linux's design is not vulnerable in the same ways, and no matter how successful it eventually becomes it simply cannot experience attacks to similar levels, inflicting similar levels of damage, to Windows."

en

"Claims that all Windows flaws get fixed are baffling when we consider that there are Microsoft Security Bulletins saying some flaws will never be fixed, and the existence of these also makes it tricky to understand how the fix rate could ever get to be 100 per cent."

Is een artikel uit 2004 ...
28-02-2017, 10:55 door [Account Verwijderd] - Bijgewerkt: 28-02-2017, 11:51
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.