De website van beveiligingsbedrijf McAfee zou eigenlijk het certificaat McAfee Secure, eerder Hacker Safe genaamd, niet verdienen. Dit certificaat garandeert dat een website niet gecrackt kan worden.
Het tegendeel bleek echter waar toen onderzoeker Nate McFeters hackers uitdaagde lekken in de website van McAfee te vinden. Zoals deze video demonstreert is de website van McAfee dan ook vatbaar voor cross-site scripting. Dit kan betekenen dat McAfee zijn eigen tool voor het beoordelen van de veiligheid van een website niet heeft gebruikt om de website te beveiligen of dat de tool zijn werk niet goed doet.
Volgens McFeters toont dit aan dat McAfee XSS-lekken niet serieus neemt en hij was dan ook geschokt van het resultaat. Hij vindt dat het tijd is dat zulke lekken wel serieus worden genomen door McAfee, gezien ze volgens hem een serieus probleem zijn, en dat de McAfee Secure-tool aangepast moet worden omdat het gevanceerde webapplicaties niet zo eenvoudig kan beoordelen als veilig. Eerder lag McAfee al onder vuur omdat het meer websites had gecertificeerd die niet McAfee Secure waren. Ook toen was er dezelfde kritiek.
In een reactie laat McAfee weten dat XSS-lekken geen toegang verschaffen tot de server en daardoor geen echt beveiligingsrisico vormen. Desalniettemin is het wel mogelijk om op die manier creditcardgegevens te stelen, waarmee McAfee volgens sommigen aangeeft dat het niets om de veiligheid van de bezoeker geeft.
49 minuten geleden
Expert bijdrage
