Onlangs kwam ik het woord ‘evergreen-browsers’ tegen op internet. De naam van dit concept is afkomstig uit de plantenwereld. Net zoals planten hun bladeren niet verliezen maar het hele jaar door bloeien, zijn evergreen-browsers in staat altijd automatisch te updaten met als doel zo actueel mogelijk te zijn. Google Chrome en Mozilla Firefox zijn hier de belangrijkste voorbeelden van. Beide browsers krijgen van moderne webdevelopers hoge cijfers voor hun compliance en snelheid. Daarmee kunnen webdevelopers de nieuwste technologie integreren in hun sites en de nieuwe generatie webapplicaties vooruithelpen.
Evergreen-browsers pakken een van de grootste beveiligingsgaten in onze huidige omgevingen aan: gedateerde versies van browsers met bekende zwakke plekken en een gebrek aan hardening-technologieën. Hackers benutten deze zwakke plekken om werkstations aan te vallen, waarna ze die op afstand besturen en gebruiken als gunstig startpunt voor verdere aanvallen op zakelijke netwerken. Voorbeelden van zulke gevallen zijn legio – van de Aurora-aanval op Google, die alleen mogelijk was omdat een gedateerde browser werd gebruikt, tot de recente aanval door de Java-plug-in op Twitter, Facebook en Apple.
De Amerikaanse blogger Brian Krebs was in staat toegang te krijgen tot informatie van de criminele onderwereld. Deze informatie ondersteunt de theorie dat moderne en altijd up-to-date browsers beter opgewassen zijn tegen de typische cyberaanvaller. Krebs deed onderzoek naar de STYX-exploit-kit, een toolkit die een groot deel van de technische kennis, benodigd voor het verspreiden van malware over het internet, automatiseert. Het lukte hem in een actieve STYX-installatie te komen en hij had toegang tot de effectiviteitscijfers van de aanvalssite in kwestie. Waar de infectiewaarden voor Internet Explorer schommelen tussen twaalf procent voor IE 10 en twaalf procent voor IE 8, zijn de waarden voor zowel Chrome als Firefox zo dicht bij nul dat ze eigenlijk niet bestaan.
Voor mij is de situatie duidelijk. Als je de keuze hebt voor een browser, kies dan degene die zichzelf zo veel mogelijk blijft updaten en die zich richt op de meest aangevallen browser-plug-ins. Chrome en Firefox hebben nu allebei hun eigen PDF-readers geïntegreerd. Deze zijn immuun voor de typische aanvallen op basis van PDF-documenten en bieden hulp bij het beheer van de Java-plug-in, die het doelwit is van veel van de recente aanvallen.
Bent u werkzaam in de IT en heeft u controle over wat uw zakelijke gebruikers kunnen gebruiken? Dan raad ik aan te bekijken of het beveiligingsvoordeel dat deze nieuwe technologie oplevert, opweegt tegen minder controle bij het automatische-updateproces van de evergreen-browsers. Door over te stappen op nieuwere browsers, vergroot u niet alleen uw beveiliging, maar uw browsers zijn ook uitgerust voor toegang tot betere en snellere websites. Zeg nou zelf: hoe vaak zijn er nu daadwerkelijk twee vliegen – meer veiligheid en een betere gebruikerservaring – in één klap te behalen?
Wolfgang Kandek, CTO Qualys
Een duidelijk betoog, dat wel een beetje voorbij gaat aan de klassieke beheerders- dillema’s rondom software updates: is elke vernieuwing ook echt een verbetering? En wat te doen in een bedrijfsnetwerk? De automatische updates toestaan is een te nemen maatregel, maar hoe weet je dat iedere gebruiker dit ook gedaan heeft? Een actief centraal update beleid lijkt mij dan tochbeter.
Ik vind de redenatie en onderbouwing van dit artikel eigenlijk wel prima.
Automatische updates staan standaard aan en kosten moeite om uit te zetten. Als er nadelen aanzitten als ze aan staat is het iets wat miljoenen mensen ervaren en zal een patch snel volgen.
Ik ben helemaal voor… al kun je vaak de standaard IE browser niet eens omzeilen en verlies je weer een deel van je voordeel aangezien je EN moet patchen EN er een stuk software bijgekregen hebt.
Overigens zie je dat IE met gezwinde spoed zoveel mogelijk op Chrome wil lijken.