Vraagtekens bij Googles beveiligingsbeleid

Volgens een waarschuwingsbulletin van Microsoft zijn de varianten 6 en hoger van Internet Explorer kwetsbaar voor de inbraak waar Google slachtoffer van werd. Die mededeling was voor het Duitse Bundesamt für Sicherheit in der Informationstechnik zelfs aanleiding afgelopen vrijdag het advies uit te brengen om een andere browser dan IE te gebruiken totdat Microsoft het lek heeft gedicht.

Microsoft merkt zelf echter in het waarschuwingsbulletin al op, dat Windows Vista en Windows 7 minder kwetsbaar zijn dankzij de daarin opgenomen geheugenbeveiligingstechnologie. Datzelfde geldt voor IE8, waarin Data Execution Prevention-technologie standaard is ingeschakeld. Na publicatie van de aanvalscode constateren verschillende experts, waaronder Dave Marcus van McAfee, dat vooral IE6 op Windows XP kwetsbaar is. De inbraakmethode zou wel kunnen werken bij andere varianten van IE, maar dat zou aanpassingen in de code vergen.

Die constatering roept de vraag op, waarom men bij Google nog met IE6 werkt. Of preciezer, waarom het gebruik van IE6 niet beperkt is tot de ontwikkel- en testafdelingen, want dat Google met die nog steeds gebruikte browser wil testen, ligt voor de hand. Microsoft zelf ontraadt het gebruik van de verouderde browservariant. Het startte vorig jaar augustus zelfs een campagne onder het motto: vrienden laten hun vrienden geen IE6 gebruiken.

Nu zijn Microsoft en Google natuurlijk niet bepaald vrienden. Maar in verschillende reacties klinkt toch verbazing door dat men bij Google kennelijk niet standaard gebruikmaakt van de eigen browser Chrome, en dat Google kennelijk het gebruik toestaat van een verouderde browser waarvan de fabrikant het gebruik afraadt op pc’s van waaruit men toegang kan krijgen tot Googles bedrijfsgegevens.

Google zelf heeft nog niet gereageerd op de kritische noten.