Zoals altijd, die Tavis kan beter eerst naar Google's eigen software kijken in plaats van blame and shame naar derde partijen. Denk bijvoorbeeld maar aan
Juli: https://www.security.nl/posting/522957/Google+dicht+140+beveiligingslekken+in+Android
Juni: https://www.security.nl/posting/518397/Google+verhelpt+101+beveiligingslekken+in+Android
Mei (118 lekken): https://www.security.nl/posting/513162/Google+dicht+opnieuw+recordaantal+Android-lekken
April https://www.security.nl/posting/506464/Google+dicht+107+beveiligingslekken+in+Android

Het is zo makkelijk van Google om anderen te verwijten dat wat zij zelf nalaten...

Als ze zoveel interne testcapaciteit zouden hebben bij Google dan waren al die eigen fouten niet naar buiten gekomen maar intern herkend en voor uitrol asngepakt.
Nu maken ze eigenlijk reclame dat je brakke software mag uitrollen als je ook maar naar anderen kan wijzen.

Nogal precair iets dat webex kwetsbaar is. Het wordt vaak gebruikt in leverancier klantrelaties om even remote mee te kijken bij de klanten. Zit je in de spagaat dat je als klant afnemer zoiets moet toestaan omdat de leverancier anders het probleem niet snapt.

Ik moet karma4 hier eigenlijk wel een beetje bijvallen. Want wat doet Google zelf in de browser met bijvoorbeeld de extensie AP engine codeI?

Google gaat de strijd aan met standaarden, vanwege het belang van de core business en dat bestaat uit Google advertentie-inkomsten.
.
Google code staat gelijk aan spionneercode, Google Chrome extensies hebben beperkingen die gelegen zijn in het feit dat de extensie API het blokkeren van javascript onstabiel doet zijn en zorgt dat inline script niet wordt geblokkeerd.

Dit alles vanwege de Google ad-service tracking code. Deze api engine wordt op termijn ook naar alle andere grote browsers gebracht, dus het codebochtjes afsnijden hebben ze al aardig geleerd. En voorlopig moeten ontwerpers hieraan meedoen.

Daarom kan NoScript op Google Chrome moeilijk uit de voeten en gebruik ik uMatrix en Negotiator als toggle- extensies.

Verhoogt dit de algemene veiligheid van de infrastructuur? Ik meen het niet of je moet checksums en hashes laten berekenen door script blokkers om te kunnen vaststellen welke grappen Google allemaal voor ons in petto heeft en wat er uiteindelijk aan de code verandert.....

Voorbeeldje, zie: htxps://ajax.googleapis.com/ajaz/libs/jquery/1.6.2/jquery.min.js

Uncaught SyntaxError: Unexpected end of JSON input.

Laat hier eens een javascript unpacker op los of kijk hoe veel langer de code loopt dan verwacht, ook een goede indicatie dat er iets niet goed zou kunnen zitten.

De meeste website security onderzoekers en pen-testers nemen deze ontwikkelingen niet eens in overweging en tegengeluiden? Ach, Ik heb er tenminste hier nog niemand over horen klagen. Bewijs te meer dat de website bouwers op hun Apple machientjes zich niet echt met veilig script-coderen bezighouden. Maar ik wilde e.e.a. toch wel hier even kwijt, omdat ik weet dat men er hier wel oog voor heeft of zou moeten hebben althans.

luntrus (vrijwillig website veiligheidsanalist en fouten-jager)

Amen! Dat is namelijk precies wat hier gebeurd. Security by Obscurity... Heb een heel team om je fouten te verhullen door naar anderen te wijzen in plaats van dit team in te zetten om eigen nieuwe code eerst intern eerst te controleren!

Dus recept is, doe het op de Google manier en spring door de Google code hoepel.
U krijgt uitvoerbare code als beloning, u hoeft er zelf bijna niets meer voor te doen.
Op de automatische piloot op naar de volgende "bug" die ons allen parten kan gaan spelen.

Ze hebben er zelfs een visuele editor voor bij Google Chrome die blocks in executable code moet omzetten.
Werkt ook in firefox, safari, opera en IE: https://developers.google.com/blockly/

En zo verschijnen er 'getrainde aapjes' op het ontwerp-toneel en niemand vraagt zich meer af:
"Waarom doen we wat we doen zo en niet anders? Je hoeft als Google niets meer te verhullen, want je hebt je 'obscurity' al vooraf ingebouwd.

Anoniem van 19:29 heeft het dus al wel helemaal goed gezien. Nu moeten de anderen hier het nog doorkrijgen en dan kunnen we pas met security als eerste prioriteit gaan ontwerpen. Het zal eens tijd worden,zeg!
Opswat is het al op dit punt met me eens en wil alles

luntrus

Fabrikanten kijken elkaars product na op kwetsbaarheden. Dat gebeurd gevraagd en ongevraagd. Binnen Cisco is de TALOS groep hiervoor verantwoordelijk. En ook Google heeft een soortgelijke groep hebben.

Indien men wat vindt, wordt de desbetreffende fabrikant ingelicht. Meestal (industrie standaard) heeft deze dan 6 weken om het probleem op te lossen. Daarna wordt, na overleg, de kwetsbaarheid openbaar gemaakt.

Dit openbaar maken is niet om elkaar onder druk te zetten of belachelijk te maken. Het doel is om iedereen te informeren dat ze moeten patchen.

Dus, gewoon business as usual.