Symantec Internet Security Rapport

Hierin kan alles wat te maken heeft met beveiliging op het Internet. Bijvoorbeeld het beveiligd versturen van emails of het voorkomen van adware, spyware en andere ongewenste software.
Gebruikersavatar
vulture
Berichten: 3981
Lid geworden op: 20 november 2004, 17:58
Locatie: Zoo (aasgier)

Symantec Internet Security Rapport

Bericht door vulture » 27 september 2006, 8:27

Geregeld komt Symantec met een rapportage over het aantal lekken in een browser en hoelang het duurt voordat ze gemaakt zijn. Als je aalleen naar de getalletjes kijkt zou je kunnen denken dat Firefox een onveilige browser is. Mozilla heeft nu officieel gereageerd op dit rapport en legt uit hoe je het rapport het beste kan lezen. Helemaal on bevoordeeld is Symantec natuurlijk niet zij wil graag haar veiligheidsproducten verkopen. Omdat het beneden staande verhaal nog al technisch is heb ik het maar helemaal gequote ipv een korte vertaling.

Volgens het tiende Internet Security Threat Report van Symantec

Virus / worm / veiligheidslek / security / hackers (klein)Tijdens de afgelopen zes maanden heeft Symantec naar diverse aspecten van het toegenomen gevaar gekeken. Zo zouden zwakke plekken in webapplicaties verantwoordelijk zijn voor 69 procent van het totale aantal gerapporteerde veiligheidsgaten. Ook in browsers zijn in vergelijking met het vorige rapport flink wat meer lekken gevonden. Zo zag Mozilla de teller stoppen op 47, terwijl deze het vorige half jaar niet verder kwam dan 17. Ook Internet Explorer zag in dezelfde periode meer meldingen voorbijkomen en steeg van 25 naar 38, terwijl Apples Safari een verdubbeling van 6 naar 12 moest tolereren. Daar staat tegenover dat de meeste makers wel sneller met oplossingen komen. De reparatietijd van Internet Explorer, de Mozilla-browsers, Safari en Opera bedraagt respectievelijk 9, 1, 5 en 2 dagen, terwijl de vorige periode deze tijden nog 25, min 2, 0 en 18 bedroegen. Ook keek Symantec naar het aantal dagen dat er nodig was voordat problemen in Microsoft Windows (13), Apple OS X (37), Red Hat Linux (13), HP (53) en Sun (89) opgelost werden.
Mozilla is hierop met een officiele reactie gekomen:
Better Metrics for Security - Understanding the Symantec Internet Security Threat Report

The Symantec Internet Security Threat Report came out yesterday. Of all the metrics that they are using, number of vulnerabilities gets top billing. This is possibly because this concept is easiest for people to understand: Count up the number of bugs. Product with the least bugs is declared to be more secure.

It is, of course, much more complex than that.

Looking at the number of vulnerabilities does not tell you much at all. The number of bugs that are counted for a commercial product is the number of bugs that are reported externally and fixed in a security update. Any bugs that are found through the QA process or by vendors engaged to find security vulnerabilities are fixed in service packs or in major product revisions. It makes sense for a commercial vendor to do it this way since those fixes will get the benefit of the longer test pass. Those bugs do not appear in security updates are not included in the overall count.

At Mozilla, you can see all of our bugs. The process is open, by design. You see the bugs found by internal testing and those reported to us externally, everything. Just counting up the number of bugs between products will never be an apples-to-apples comparison.

Nothing is secure. If all software has vulnerabilities, then the most important metric is really how long it takes the vendor to fix a bug once it is identified. That’s the measure of how long the user is at risk.

The report does talk about days of risk (they call it “time to patch,”) but it’s deep in the analysis sections, not in the summary. The highlights only mention the number of vulnerabilities and that’s the easiest story for the press to run. If you look at the other metrics you begin to get a much clearer picture.

On “time to patch”:

The time period between the disclosure date of a vulnerability and the release date of an associated patch is known as the “time to patch.” If exploit code is created and made public during this time, computers may be immediately vulnerable to widespread attack. It should be noted that this metric includes all patched vulnerabilities affecting the browser, regardless of their severity. During the current reporting period, Apple Safari had an average patch development time average of five days, up from zero days in the second half of 2005 (figure 22).76 In the first six months of 2006, Microsoft had an average patch development time of ten days for Internet Explorer vulnerabilities, down from the 25 days in the second half of 2005. Between January and June 2006, Mozilla had an average patch development time of three days, slightly lower than the five-day average during the second half of 2005. During this reporting period, Opera had an average patch development time of two days. In the second half of 2005, it was 18 days.

On “window of exposure”:

The window of exposure is the difference in days between the time at which exploit code affecting a vulnerability is made public and the time at which the affected vendor makes a patch available to the public for that vulnerability.

And…

In the first half of 2006, Internet Explorer had a window of exposure of ninedays, down considerably from 25 days in the second half of 2005 (figure 4). Apple Safari had a window of exposure of five days, up from zero days in the second half of 2005.12 In the first half of 2006, Opera had a window of exposure of two days, down considerably from 18 days during the second half of 2005. In the first half of this year, Mozilla had a window of exposure of one day. In the second half of 2005, Mozilla had a window of exposure of negative two days, meaning that exploit code in that period was generally released after patches were available.

Looking at “time to patch” and “window of exposure” you begin to see the real success story for Mozilla security. We’re able to keep the time to patch so low because of the incredible contributions of the Mozilla community. Every time you run nightly builds you are creating a more secure web experience for millions and millions of people.

This entry was posted on Tuesday, September 26th, 2006 at 12:14 pm and is filed under General, Security
Bron http://tweakers.net/nieuws/44536/Symant ... evaar.html
Bron http://developer.mozilla.org/devnews/in ... at-report/
MAC OSX 10.48 en Ubuntu 6.10
Ferdi's World en Ferdi's Photo's

Sebazzz
Berichten: 368
Lid geworden op: 14 augustus 2006, 15:12
Locatie: Spijkenisse

Bericht door Sebazzz » 27 september 2006, 13:46

Wat Mozilla vertelt hier, ben ik het helemaal mee eens. Als je bug in de 3 groepen zou verdelen, (groot gevaar, middel, en klein), en je zou ze een score geven van 3, 2, en 1, dan zou IE al bij de 100 zitten, die heeft immers veel meer kritieke bugs!

Gebruikersavatar
adri
Moderator
Berichten: 11546
Lid geworden op: 5 maart 2005, 14:00
Locatie: Diessen

Bericht door adri » 27 september 2006, 17:11

Nog los van het feit dat een lek in IE gelijk een lek in je OS (want onlosmakelijk onderdeel van) is en derhalve toch echt wel wat ernstiger.
Afbeelding

Sebazzz
Berichten: 368
Lid geworden op: 14 augustus 2006, 15:12
Locatie: Spijkenisse

Bericht door Sebazzz » 27 september 2006, 17:28

Ach ja, alles over één kam scheren is makkelijker en het is blijkbaar fun om nu Firefox altijd de grote schuld te geven :x

Gebruikersavatar
nirwana
Beheerder
Berichten: 11328
Lid geworden op: 19 september 2003, 5:09

Bericht door nirwana » 27 september 2006, 22:11

Sebazzz schreef:Ach ja, alles over één kam scheren is makkelijker en het is blijkbaar fun om nu Firefox altijd de grote schuld te geven
Het idee is altijd geweest "wacht maar tot Firefox ook breder wordt gebruikt, want dan zullen ook daarin wel grote gaten gevonden worden". Echter ben ik nog altijd van mening dat Firefox een veilige browser is en dat des te meer bugs je erin vindt, des te meer bugs erin opgelost worden. Des te meer opgeloste bugs, des te stabieler is de browser uiteindelijlk. Zolang de tijd om kritieke bugs op te lossen lekker laag blijft, lijkt Firefox mij op de goede weg.
Met vriendelijke groet,

Martijn
[ Mede-oprichter + webmaster MozBrowser | beheerder Startpagina's over freeware, GIMP, Mozilla en OpenOffice.org / LibreOffice, Ubuntu

Gebruikersavatar
vulture
Berichten: 3981
Lid geworden op: 20 november 2004, 17:58
Locatie: Zoo (aasgier)

Bericht door vulture » 28 september 2006, 15:38

Weer een gigantisch lek in IE dat niet gepatched wordt. Het lek zit er al 2 maanden en men kan je computer volledig overnemen. Advies niet openen van onbetrouwbare websites en email. :( Ik geef als advies installeer vandaag nog een betrouwbare browser zoals Firefox

bron http://www.security.nl/article/14493/1
MAC OSX 10.48 en Ubuntu 6.10
Ferdi's World en Ferdi's Photo's

Gebruikersavatar
rappie pappie
Berichten: 1503
Lid geworden op: 19 januari 2006, 14:01

Bericht door rappie pappie » 28 september 2006, 16:29

vulture schreef: Ik geef als advies installeer vandaag nog een betrouwbare browser zoals Firefox
Bedankt voor de tip ga het gelijk doen...! :lol: :lol: :lol:
Afbeelding

Sebazzz
Berichten: 368
Lid geworden op: 14 augustus 2006, 15:12
Locatie: Spijkenisse

Bericht door Sebazzz » 28 september 2006, 19:39

vulture schreef:Weer een gigantisch lek in IE dat niet gepatched wordt. Het lek zit er al 2 maanden en men kan je computer volledig overnemen. Advies niet openen van onbetrouwbare websites en email. :( Ik geef als advies installeer vandaag nog een betrouwbare browser zoals Firefox

bron http://www.security.nl/article/14493/1
Is dat er al twee maanden?! :shock:
Heus?! :o

rebil
Berichten: 507
Lid geworden op: 25 april 2006, 20:07

Bericht door rebil » 28 september 2006, 22:10

nirwana schreef:
Sebazzz schreef:Ach ja, alles over één kam scheren is makkelijker en het is blijkbaar fun om nu Firefox altijd de grote schuld te geven
Het idee is altijd geweest "wacht maar tot Firefox ook breder wordt gebruikt, want dan zullen ook daarin wel grote gaten gevonden worden". Echter ben ik nog altijd van mening dat Firefox een veilige browser is en dat des te meer bugs je erin vindt, des te meer bugs erin opgelost worden. Des te meer opgeloste bugs, des te stabieler is de browser uiteindelijlk. Zolang de tijd om kritieke bugs op te lossen lekker laag blijft, lijkt Firefox mij op de goede weg.
Ik voel me ook een stuk veiliger met Firefox dan met IE. Toch vraag ik me soms af of er niet meer serieuze bugs boven water gaan komen als ze een zekere kritische massa bereikt hebben. ActiveX is een groot veiligheidsrisico in IE, maar Firefox hangt dan weer helemaal aan elkaar met XUL, javascript en CSS. Hoewel het best wel zeer veilig gemaakt zal zijn, voel ik me er als programmeur toch een beetje ongemakkelijk bij. Zeker als mensen zomaar extensies van eender waar gaan installeren.

Gebruikersavatar
vulture
Berichten: 3981
Lid geworden op: 20 november 2004, 17:58
Locatie: Zoo (aasgier)

Bericht door vulture » 30 september 2006, 8:32

Symantec is weer "goed" in het nieuws zie Symantec helpt criminelen met verspreiden spyware
MAC OSX 10.48 en Ubuntu 6.10
Ferdi's World en Ferdi's Photo's