Skocz do zawartości
Forum Kopalni Wiedzy
KopalniaWiedzy.pl

Internet Explorer bezpieczniejszy niż Firefox?

Rekomendowane odpowiedzi

Jeffrey R. Jones, dyrektor ds. strategii bezpieczeństwa w microsoftowej Trustworthy Computing Group, opublikował na swoim blogu analizę, z której wynika, że Internet Explorer jest bardziej bezpieczny od Firefoksa.

Jones zbadał okres od pojawienia się listopadzie 2004 Firefoksa 1.0. Porównywał następnie wszystkie błędy, które poprawiono od tamtej pory w przeglądarkach Mozilli z błędami poprawionymi w przeglądarkach Microsoftu.

Tak więc w okresie od listopada 2004 do października 2007 mieliśmy do czynienia z Firefoksem 1.0, 1.5 oraz 2.0. W tym samym czasie Microsoft udzielał wsparcia dla IE 5.01 SP3 i SP4, IE 6.0 Gold, SP1, SP2 i edycji dla Windows Server 2003, a także Internet Eksplorera 7.0.

Jones informuje, że w badanym okresie Mozilla poprawiła 199 dziur w swoich produktach. W tym 75 luk oceniono jako bardzo groźne, 100 jako średnio groźne, a 24 zostały uznane za mało groźne. W tym samym czasie Microosft poprawił 87 dziur, w tym 54 bardzo groźne, 28 średnio groźnych i 5 mało groźnych.

To jednak, zdaniem Jonesa, nie wszystkie powody, dla których IE ma być bezpieczniejszy od swojego głównego konkurenta. Zwraca on też uwagę na politykę wsparcia dla produktu. W analizie czytamy: Obecnie Mozilla publikuje poprawki bezpieczeństwa tylko dla Firefoksa 2.0, gdyż w ramach jej polityki wsparcie wygasa po 6 miesiącach od czasu opublikowania kolejnej wersji. Jako że początkowo Mozilla zapowiadała Firefoksa 3.0 na październik 2007, to wsparcie dla Firefoksa 2.0 wygasłoby w maju 2008. Jeśli podobnie działałby Microsoft, to wsparcie dla Internet Explorera 6 zakończyłoby się w maju 2007, a dla Internet Explorera 5.01 - w roku 2001.

Pracownik Microsoftu przypomina, że obecnie jego firma zapewnia 10-letnie wsparcie bezpieczeństwa dla produktów biznesowych. Do głównych edycji Microsoft publikuje Service Packi i wspiera poprzedni SP co najmniej przez rok po ukazaniu się kolejnego – pisze Jones.

Zwraca on uwagę na konsekwencje takiej polityki Mozilli. Gdy np. Red Hat udostępnił swój system operacyjny Red Hat Enterprise Linux Desktop 5 z Firefoksem 1.5, to dwa miesiące później Mozilla przestała zapewniać wsparcie dla tej wersji swojej przeglądarki. Zmusza to Red Hata i podobne mu firmy do takiego przerabiania poprawek Mozilli dla FF 2.0, by pasowały też do FF 1.5.

Jones wymienia jeszcze wiele argumentów, które mają świadczyć na korzyść Internet Explorera. Z pełną ich listą można zapoznać się w Internecie.

Krytycy twierdzą jednak, że jego analiza zawiera bardzo dużo błędów. Przypominają, że Microsoft zwykle w ramach jednej poprawki łata kilka błędów, więc liczenie poprawek nie odzwierciedla rzeczywistej liczby dziur załatanych w IE. Ponadto nie można też bezpośrednio porównywać ważności łatanych luk. Mozilla i Microsoft stosują różne sposoby oceniania luk, tak więc proste porównanie nie działa. To, co dla jednej firmy może być „bardzo niebezpieczną” dziurą, przez drugą może zostać uznane za „niebezpieczną” czy „średnio niebezpieczną”.

Dodatkowo, jak zauważył Jonathen Oxer, dyrektor firmy Internet Vision Technology i prezydent Linux Australia, samo porównanie liczby dziur załatanych w danym okresie nie mówi nam nic o tym, przez jaki czas użytkownicy byli narażeni na niebezpieczeństwo.

Oxer zwraca też uwagę na fakt, że w przypadku opensource’owego oprogramowania (a takim programem jest Firefox), zakończenie wsparcia przez jego twórcę nie oznacza, że użytkownicy nie otrzymają żadnych łatek. Te mogą bowiem zostać wydane przez inne firmy czy organizacje.

Z kolei jeden z przedstawicieli Mozilli, podsumowując raport Jonesa, stwierdził: Czy fakt, że w USA dentyści naprawiają więcej zębów niż w Afryce oznacza, że Amerykanie mają uzębienie w gorszym stanie?.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Jeśli podobnie działałby Microsoft, to wsparcie dla Internet Explorera 6 zakończyłoby się w maju 2007, a dla Internet Explorera 5.01 - w roku 2001.

I tak powinno się stać...

 

A nie mamy taki ciemnogród, że zamiast korzystać z nowoczesnych technologii i pełnej obsługi standardów, to się trzeba babrać z ograniczeniami ExploDera...

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Zawsze wydawało mi sie że lepszy jest ten program, w którym jest mniej błędów, niż taki w którym tych błędów naprawiono mniej. ::)

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

A co chłop miał powiedzieć, może o przepraszam, ale Nasz produkt jest niebezpieczny, nie polecam go, używajcie konkurencji...to śmieszne po prostu.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Podobna zawartość

    • przez KopalniaWiedzy.pl
      Cyberprzestępcy wykorzystują nowo odkrytą dziurę zero-day w Internet Explorerze. Luka pozwala napastnikowi na korzystanie z systemu na prawach aktualnie zalogowanego użytkownika. Błąd występuje w IE 9, 10 i 11 w wersjach na Windows 7, 8.1, RT 8.1, 10, Server 2008, 2008 R2, Server 2012, 2016 i 2019.
      US CERT (Computer Emergency Response Team) informuje, że atak może zostać przeprowadzony za pomocą odpowiednio spreparowanej witryny lub dokumentu HTML renderowanego przez przeglądarkę. Microsoft donosi, że dotychczas zanotowano ograniczoną liczbę ataków z wykorzystaniem tej dziury.
      Dziura pozwalająca na zdalne wykonanie kodu wykorzystuje błąd w przetwarzaniu obkektów przez silnik Internet Explorera. W wyniku błędu dochodzi do awarii podsystemu pamięci tak, że napastnik może wykonać dowolny kod na prawach zalogowanego użytkownika. [...] Jeśli zalogowany jest administrator, napastnik może przejąć kontrolę nad systemem. Ma wówczas możliwość instalowania programów, przeglądania, zmiany i usuwania danych czy też stworzenia nowego konta z pełnymi uprawnieniami użytkownika, czytamy na stronach Microsoftu.
      Koncern opublikował też porady dotyczące obejścia problemu i tymczasowego zabezpieczenia się przed atakiem. Proponuje ograniczenie dostępu do JScript.dll. Jednak, jako że technika ta wymaga uprawnień administracyjnych, korzystania z linii komend, a ograniczenia należy wyłączyć przed zainstalowaniem łatki, działania takie zalecane są tylko wówczas, jeśli jesteśmy narażeni na atak.
      Odpowiednia poprawka zostanie opublikowana w drugą środę przyszłego miesiąca, w ramach comiesięcznego zestawu łat.

      « powrót do artykułu
    • przez KopalniaWiedzy.pl
      Z informacji opublikowanych przez Net Applications rynkowy udział przeglądarek Microsoftu jest rekordowo niski. W sierpniu Internet Explorer i Edge straciły 1,8 punktu procentowego i obecnie należy do nich 12% rynku.
      Zapewne będziemy świadkami dalszych spadków. W bieżącym roku udziały przeglądarek z Redmond wahały się wcześniej w granicach 12,4–14 procent. Za większość wrześniowego spadku, niemal 1,4 pp, odpowiada Internet Explorer. Przeglądarka, która niegdyś dominowała w internecie ma obecnie zaledwie 6,1% udziałów. Udziały Edge'a spadły o 0,4% do poziomu 5,9%. Jeszcze w sierpniu Edge zanotował wzrost i miał najwyższe udziały w swojej historii.
      Przyszłość microsoftowych przeglądarek rysuje się w czarnych barwach. Internet Explorer jest utrzymywany przy życiu tylko dlatego, że domaga się tego część przedsiębiorstw potrzebujących tej przeglądarki ze względu na kompatybilność. Jednak zainteresowanie tą przeglądarką wyraźnie spada. Dość powiedzieć, że w ubiegłym miesiącu używało jej tylko 7% użytkowników Windows, a w ciągu ostatnich miesięcy udziały IE na komputerach z Windows spadły o 60%. Microsoft wolałby nie zajmować się IE i całkowicie poświęcić się rozwojowi Edge'a. Firma zapowiada wypuszczenie wersji Edge'a opartego na google'owskim Chromium. Pozostaje pytanie, czy wobec spadającego zainteresowania Edge'em tworzenie nowej wersji przeglądarki ma sens.
      Nie najlepiej radzi sobie też Firefox. We wrześniu jego rynkowe udziały zwiększyły się o 0,3% i wynoszą obecnie 8,7%. To już czwarty miesiąc z rzędu, gdy udziały tej przeglądarki są niższe niż 9%. W ciągu ostatniego roku Firefox stracił niemal 1 pp udziałów. Nic nie wskazuje na to, by przeglądarka Mozilli miała odzyskać rynek. Przed dwoma laty jej rynkowe udziały wynosiły 11,4%. Jedynie przez 3 z ostatnich 18 miesięcy do Firefoksa należało więcej niż 10% rynku.
      Obecnym zwycięzcą konkurencji na rynku przeglądarek jest Chrome do którego należy 68,5% rynku. To o 0,1% mniej niż w rekordowym dla tej przeglądarki lipcu bieżącego roku. W ciągu roku udziały Chrome'a wzrosły o 2,1 punktu procentowego, a obserwacja obecnych trendów pozwala wysnuć przypuszczenie, że do maja przyszłego roku udziały Chrome'a wyniosą ponad 70%.
      Media prześledziły dane firmy Net Applications od stycznia 2005 roku i stwierdziły, że jak dotąd na przestrzeni ostatnich 14 lat najlepszymi wynikami mógł pochwalić się Internet Explorer. W styczniu 2005 roku należało do niego aż 89,4% rynku. Firefox posiadał wówczas 5,6% udziałów, Netscape Navigator miał 2% rynku, a Safari 1,7%. Do grudnia 2008 roku udziały IE spadły do obecnego poziomu Chrome'a.
      Obecnie do Safari należy 4,4% rynku, a Opera posiada 1,4%.

      « powrót do artykułu
    • przez KopalniaWiedzy.pl
      Mozilla ujawniła swoje tegoroczne plany dotyczące rozwoju przeglądarki Firefox. Jeśli zapowiedzi zostaną zrealizowane, znikną główne powody do narzekań na przeglądarkę.
      Firma zapowiada, że skończą się problemy z kompatybilnością dodatków. Od kilku miesięcy wszystkie dodatki powinny być  domyślnie kompatybilne. Te, które działały w Firefoksie 4 i kolejnych, powinny bezproblemowo działać w Firefoksie 10 i kolejnych. Ponadto od Firefoksa 11 możliwa jest synchronizacja dodatków. Te zmiany już zostały wprowadzone.
      Najważniejszą ze zmian, z którymi jeszcze nie mieliśmy do czynienia jest system cichych poprawek. Trafią one do Firefoksa 12. Pierwotnie miały być one obecne już w Firefoksie 10, jednak prace się przeciągnęły.
      Mechanizm cichych poprawek sprawi, że przeglądarka będzie samodzielnie, bez informowania użytkownika, pobierała łaty i je instalowała. Taką technikę stosuje już Chrome. W Firefoksie jednak, w przeciwieństwie do Chrome’a, użytkownik będzie mógł wyłączyć ten mechanizm.
      Mozilla zapowiedziała też liczne zmiany w swoich narzędziach dla deweloperów.
    • przez KopalniaWiedzy.pl
      Każde oprogramowanie zawiera błędy, ale jak mogliśmy się dowiedzieć podczas konferencji Black Hat Europe, najwięcej błędów zawiera oprogramowanie tworzone przez instytucje państwowe lub na ich potrzeby.
      Chris Wysopal z firmy Veracode, która specjalizuje się w wyszukiwaniu dziur w programach, poinformował o wynikach badań przeprowadzonych pomiędzy drugą połową roku 2010 a końcem roku 2011.
      W tym czasie jego firma przeanalizowała 9910 różnych aplikacji. Eksperci stwierdzili, że 80% programów nie spełnia wymagań bezpieczeństwa firmy Veracode. Oprogramowanie tworzone dla instytucji państwowych wypadło znacznie gorzej, niż programy komercyjne. Okazało się bowiem, że jedynie 16% stworzonych przez rząd i dla rządu aplikacji sieciowych można było uznać za bezpieczne z punktu widzenia standardów OWASP (Open Web Application Security Project). Dla  sektora finansowego odsetek ten wynosił 24%, a dla innego komercyjnego oprogramowania - 28%.
      Z kolei do wyników badań innych programów niż programy sieciowe posłużono się kryteriami opracowanymi przez SANS Institute. Za bezpieczne uznano 18% oprogramowania rządowego, 28% oprogramowania finansowego i 34% innego oprogramowania komercyjnego.
      Rząd zachowuje się tak, jakby bezpieczeństwo było problemem sektora prywatnego i próbuje go ściśle regulować. Jeśli jednak bliżej się temu przyjrzymy to okazuje się, że sektor prywatny jest zdecydowanie bardziej bezpieczny niż sektor rządowy - mówi Wysopal.
      Aż 40% aplikacji sieciowych wytworzonych dla agend rządowych było podatnych na ataki SQL injection. Dla sektora finansowego odsetek ten wynosił 29%, a dla oprogramowania komercyjnego 30%. Na ataki typu XSS (cross-site scripting) narażonych było 75% rządowych aplikacji sieciowych, 67% aplikacji wytworzonych przez sektor finansowy oraz 55% aplikacji komercyjnych.
      Alan Paller, dyrektor ds. badań w SANS Institute mówi, że przyczyną takiego stanu rzeczy jest to, iż sektor prywatny karze firmy za błędy, a sektor rządowy je nagradza. Jeśli przedsiębiorstwo stworzy komercyjne oprogramowanie zawierające błędy, to ryzykuje utratę klientów oraz dobrego imienia, co wpłynie na jego wyniki finansowe w przyszłości. Jeśli zaś napisze wadliwe oprogramowanie dla sektora rządowego, to zostanie nagrodzone kolejnym kontraktem na poprawienie tego oprogramowania. Nie twierdzę, że nie próbują wykonać swojej pracy właściwie. Ale w ten sposób działa system nagród i zachęt - mówi Paller. To powoduje, że błędy w oprogramowaniu rządowym istnieją nawet wówczas, gdy zanikają w oprogramowaniu komercyjnym. Specjaliści od dwóch lat obserwują spadek odsetka dziur typu SQL injection i XSS w oprogramowaniu komercyjnym. W programach rządowych  nic się w tym zakresie nie zmieniło.
      Wszystkie powyższe dane dotyczą USA.
    • przez KopalniaWiedzy.pl
      Mozilla powoli kapituluje przed faktami. Firma najprawdopodobniej zastosuje w Firefoksie opatentowany kodek H.264. Dotychczas firma, wierząc w otwartość internetu, nie chciała stosować technologii chronionych płatnymi patentami. Dlatego też Mozilla zdecydowała się na używanie kodeka VP8, który jest częścią google’owskiego projektu WebM. Jednak WebM nie tylko nie zdobył popularności. ale nawet sam Google nie dotrzymał obietnicy usunięcia z Chrome’a H.264, by w ten sposób popularyzować WebM.
      Tymczasem H.264 stał się niezwykle popularny, szczególnie na rynku wideo. WebM była potrzebna promocja ze strony większego gracza niż Mozilla i była ona potrzebna rok temu. Teraz to może już nie wypalić, nawet jeśli zaangażowałby się Google - stwierdził Brendan Eich, dyrektor ds. technologicznych Mozilli.
      Google i Mozilla chciały, by wideo było rozpowszechnione w sieci tak bardzo i równie łatwe w użyciu co pliki JPG. Jednak zdominowanie rynku przez H.264 oznacza, że opatentowane technologie, za licencjonowanie których trzeba płacić, zdobyły silną pozycję na rynku.
      Już samo rozpoczęcie dyskusji na ten temat spotkało się z poważną krytyką ze strony zwolenników dotychczasowego podejścia Mozilli. Jednak przedstawiciele firmy wydają się przekonani do konieczności zmian.
  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...