Proč je Firefox 1.x bezpečnější než Internet Explorer 6.0

Čas od času někde zahlédnu článek či příspěvek konstatující, že produkt A je bezpečnější než produkt B. Pakliže se jedná o věcné srovnání podložené nějakými fakty a analýzou, nezbývá než pokývat hlavou a dát autorovi za pravdu. Včera jsem si přečetl srovnání, kde autor tvrdí, že Firefoxu 1.x byl v roce 2006 méně bezpečný než Internet Explorer 6.0. Asi by se tomu chtělo zasmát, ale bohužel řada lidí to bezmyšlenkovitě vzala vážně.

Autor uvedeného příspěvku tak usuzuje dle počtu evidovaných chyb na serveru Secunia, kde dopadlo skóre 64:30 v neprospěch autora. Pokud se však nad tím zamyslíme, zjistíme, že těmto kupeckým počtům cosi schází. Svoje připomínky k tomuto srovnání jsem sepsal do jednotlivých bodů.

1) Bezpečnost produktu se odvíjí od možnosti chybu zneužít
Ideální je, pokud máte situaci, kdy informace o bezpečnostní chybě je uveřejněna až tehdy, když je k dispozici oprava. V opačném případě totiž hrozí, že se objeví nástroje, jak chybu zneužít a ohrozit tak uživatele. Za rok 2006 si nevzpomínám na případ, kdy by byli uživatelé Firefoxu "v ohrožení". U Internet Exploreru ano. Částečně je to asi dáno tím, že lidé, kteří naleznou podobnou chybu jsou motivováni k její nahlášení. Získají za to od tvůrců částku 500$.

2) Na závažnosti chyb a rychlostí jejich oprav přeci záleží
Autora uvedeného srovnání tak nějak nezajímala závažnost chyb. Je docela podstatný rozdíl, zda je chyba snadno zneužitelná či zda je zneužitelnost potencionální. Ba co víc, nezajímalo ho ani to, zda a jak rychle byly opraveny. To je podle mě dost podstatná záležitost.

3) Tvůrci Firefoxu zveřejňují vše. Jsou vývojáři Internet Exploreru podobně otevření?
Vývoj Firefoxu je otevřenou záležitostí, kde je vše průhledné a zveřejňuje se vše tj. i nalezené bezpečnostní chyby. Nemalá část chyb Firefoxu byla nalezena samotnými vývojáři, kteří o nich po opravě vždy informovali. I tyto chyby jsou součástí statistik. Myslíte si, že tvůrci Internet Exploreru zveřejňují informace o chybách, které sami nalezli?

Pokud se mě tedy zeptáte, zda byl Firefox 1.x v roce 2006 bezpečnější, odpovím, že ano. Jeho uživatelé se neocitli v ohrožení díky veřejně známé chybě a měli k dispozici pravidelné bezpečnostní aktualizace. Od verze 1.5 mají k dispozici automatické inkrementální aktualizace, díky kterým se opravy dostávají ke koncovým uživatelům rychleji, což prakticky znemožňuje zneužití chyby. Od verze 2.0 budou mít k dispozici bezpečnostní kontrolu nainstalovaných doplňků. Vypadá snad takhle málo bezpečný produkt? Nemyslím.

Přečtěte si také:

Komentáře

1. VfB (www)
já myslel, že je to reakce na nejnovější článek "toho jehož jméno se nevyslovuje", který nejříve pohanil FF, že neumí pracovat s Active X a na závěr napsal, že nejlepší je Opera, která pokud vím též s Active X nepracuje, nebo se pletu?

ale ti kdo znají Hulána vědí...

2. Liberatrix (www)
Především třetí argument má největší váhu. občas mám pocit, že tvůrci MSIE své chyby zatajují. Firefox je prostě best (až na ty memoryleaky...)

3. lední brtník
dík za upozornění na orangutanův* článek. zvláště vychvalovaný activex a díky němu zaspywarované desítky miliónů počítačů po světě jsou excelentním výsledkem :))
takové internetové bankovnictví kb které právě díky ie připravilo jejich klienty o peníze...
jo, dá se jakž takž zabezpečit i pc s msie, ale to 99% users neumí a nikdy nebude umět, což nějak zapomněl vzít v potaz jak orangutan, tak i "poptech" andrew - jeho závěr diskuse je opravdu paroubkovitý, a "Propoganda will not be allowed to be published here" by zasloužilo tesat :)
---
*) jeho jméno bych radši nevyslovoval

4. Fred (www)
V tom srovnání porovnává Firefox 1.x, konkrétně sčítá Firefox 1.5.05 + 1.5.04 + 1.5.02 + 1.5.01, takže porovnává součet chyb čtyř verzí Firefoxu s jednou verzí MSIE. Ani jedna z těch verzí pokud se srovná s MSIE 6.0 nemá samostatně víc chyb.

5. JasnaPaka (www)
[4] Ale to nejsou nové verze. To jsou bezpečnostní aktualizace. Jen se to narozdíl od IE jinak čísluje.

6. Fred
Aha, já jsem 1.5 přeskočil. Používám Firebird 0.7, občas Firefox 2 beta 2 a zřídka Minefield 3.0a1 - tam jsou ale bugy příliš nepříjemné. Např. focus ve vyhledávacím poli Google toolbaru ( http://groups.google.com/group/FFToolbar-Group-Bugs/browse_thread/thread/b5036dfb2f152afb ), navíc každá aktualizace sestřelí Nightly tester tools a tím pádem všechny Add-ons. Po aktualizaci ze 7. září se mi již nepodařilo Nightly tester tools nahodit zpátky, takže je to pro mne nepoužitelné. BTW FB 0.7 používám právě kvůli starému Googlebaru, který se mi zdá lepší než nástroj Googlu u kterého je instalace do nepodporované verze Firefoxu detektivka. Ale zpět k tématu, ono tam nejde ani tak o porovnání FF a IE, ale o skrytou propagaci Opery, vzhledem k osobě, která ten link vyhrabala. Oni tihle Opera fanatici dokážou člověka zdvihnout ze židle viz třeba http://kahi.cz/blog/firefox-2-beta-2-opera-je-nasim-nedostiznym-vzorem

7. Michal Till (www)
Firefox je bezpečnější proto, že v devadesátých letech se počítalo s masivní migrací aplikací na web, pro což IE obsahuje mnoho funkcí, typicky ActiveX. Microsoft na tom založil mnoho částí svých aplikací, mj. i uvnitř Windows některé dialogy jsou defakto HTML. FF je daleko starší, kdy už tato metoda byla off-topic a nic takového neumožňuje. Proto je bezpečnější. Microsoft bohužel nemůže svoje technologie uvnitř IE odpískat (tj. například koupit Operu), protože na tom stojí spousta "enterprise" věcí.

8. MiK
"skóre 64:30 v neprospěch autora" - v neprospěch FF, ne?

Jinak jestli jsem to dobře pochopil, pak se do toho počítají všechny chyby za všechny chyby FF 1.x, tedy i za již opuštěnou větev 1.0.x. To by potom měli zahrnout i MSIE 5.x, ne? Proč se nebaví jen o aktuální stabilní větvi? Nepřeceňují trošku význam "major verze"? Kdyby Firefox místo čtvrté číslovky měnil hned první, tak srovnají MSIE 6 s Firefoxem 75, nebo co? ;-)

BTW: CAPTCHA smrdí, vyřiďte mu to.

Přidat komentář

K tomuto příspěvku není možné přidávat další komentáře.