Vývojáři Firefoxu opravují bezpečnostní chyby rychleji
Secunia, která se zabývá IT bezpečností, uveřejnila souhrnný report za rok 2008 (PDF). V něm se mimo jiné zaměřila i na oblast webových prohlížečů. Dle této zprávy bylo ve Firefoxu za rok 2008 nalezeno 115 chyb, které byly označeny jako bezpečnostní, u Internet Exploreru to bylo 31, u Safari 32 a Opery 30. Velký rozdíl v počtu chyb u Firefoxu a ostatních prohlížečů je dán otevřeností, s jakou Mozilla uveřejňuje informace o chybách.
Velkou většinu z nich totiž objeví sami vývojáři a oddělení kvality a narozdíl od jiných tvůrců o takto objevených chybách při vydání pravidelně informuje. Jak se píše v Mozilla Security blogu, podobně zveřejněné statistiky nejsou zrovna šťastné, protože defakto nutí vývojáře, aby tyto informace v rámci "dobré" prezentace zamlčovali, což rozhodně není cílem.
Ve zprávě se též můžete dočíst, že z veřejně prezentovaných bezpečnostních chyb, tj. takových chyb, kdy objevitel chybu místo korektního nahlášení rovnou prezentuje, vychází Firefox k Internet Exploreru lépe v poměru 3:6. Samotný poměr je nic neříkající, v závažnosti i rychlosti oprav je na tom však Firefox podstatně lépe. Tři méně závažné chyby dokonce Microsoft neopravil ani po více jak 250 dnech. Velkým problémem pak zůstávají ActiveX komponenty.
Již tradičně jsou ve zprávě zmíněny problémy související se zásuvnými moduly (pluginy) jako jsou Flash, Java či Adobe Reader. Velká část uživatelů totiž má nainstalovány verze, u nichž je znám vážný bezpečnostní problém. Osobně si myslím, že chyby v zásuvných modulech jsou dnes větším rizikem než chyby ve webových prohlížečích. Užitečným nástrojem na kontrolu nainstalovaných aplikací, které jsou často zneužívány, je ve zprávě zmíněný Secunia Online Software Inspector. Bez nutnosti cokoliv instalovat snadno zjistíte, zda máte prohlížeč, Flash, Javu a další často používané aplikace aktuální.
Přečtěte si také:
Komentáře
1. v6ak
(www)
Ještě by mě zajímalo, kolik by Firefox měl chyb podle měření pro jiné prohlížeče. To by IMHO šlo zjistit. Nebo je tu nějaký zádrhel?
A ohledně zásuvných modulů: to není problém Firefoxu, ale Firefox by to mohl řešit a stát se pro BFU s Windows bezpečnějším. Může použít podobný systém jako u rozšíření. To by toho samo o sobě moc neřešilo, protože by pro automatické aktualizace bylo prvně potřeba ručně aktualizovat, což by, upřímně řečeno, udělal asi málokdo.
Ale většina populárních plug-inů je v repozitáři od Mozilly a první aktualizace může nabídnout tudy.
Nemám na to sepsat bug? Během příštího týdne bych si na to snad našel čas.
2. JasnaPaka [openID]
(www)
[1] Spočítat by to podle mě šlo. Jinak nevím o tom, že by v repository Mozilly byly populární zásuvné moduly (pluginy). Nástroj na dohledání chybějících zásuvných modulů umí doinstalovat Flash, u jiných zásuvných modulů většinou jen nabídne odkaz ke stažení.
Ale souhlasím, že by nebylo špatné, kdyby Firefox nabízel aktualizace aktualizace zásuvných modulů. Jen by to muselo být pro uživatele nenáročné jako automatické aktualizace, a i tak si nejsem jist, jak by se skrze Firefox distribuovala třeba aktualizace Adobe Readeru.
Podobné věci by se měly spíš řešit systémově na úrovní OS. Zde by Windows pomohl ekvivalent balíčkovacích systémů Linuxu, který by nabízel aktualizace k jednotlivým aplikacím. Takové Windows Update pro třeti strany.
3. v6ak
(www)
[3] Zcela souhlasím. Srovnání s Linuxem mě taky napadlo. Ale pokud to neudělá Microsoft, může to udělat Mozilla. Tím tě Windows získá i konkurenční výhodu.
Vyřešit to chce hlavně plug-iny, kde Firefox nabízí pouze link. Přinejhorším se dá říct uživateli něco jako "máš starou děravou Javu, tady máš novější, stáhni si to, významně zvýšíš svoji bezpečnost", ale dovedu si představit i lepší cestu. Navíc tento krok může způsobit i reakce výrobců plug-inů, které to IMHO posunou spíše k lepšímu.
4. JasnaPaka [openID]
(www)
[3] Nějaké úpravy dohledávání chybějících zásuvných modulů by se měly objevit brzy ve vývojové verzi "Firefoxu 3.6". Zatím jsem ale nikde nečetl, oč by se mělo konkrétně jednat.
Blokovat či upozorňovat na nebezpečné zásuvné moduly umí Firefox již dnes. Jen se to zatím využívá spíše na zabránění funkčnosti modulů, které způsobují pád Firefoxu či jej nějakým způsobem znefunkčňují.
Seznam blokovaných zásuvných modulů:
http://www.mozilla.com...blocklist/
5. v6ak
(www)
To číslo by to opravdu chtělo zvlášť. Podívejte se na http://www.zive.cz...6/default.aspx . Ano, tě článku je určité vysvětlení. Ale pak se podívejte na diskuzi! :-( Mozilla by měla tě vlastním zájmu toto číslo uvádět. Jednak by to působilo lépe a navíc by se možná mohly zmírnit některé titulky. ("Firefox měl tomto rok nejvíce chyb. Nebo nejméně?")
6. Jafi
Škoda, že FF nemá technologii sandboxů. - blokuje přístup prohlížeče k operačnímu systému.
Přidat komentář
K tomuto příspěvku není možné přidávat další komentáře.