Jump to content
Forum Kopalni Wiedzy
KopalniaWiedzy.pl

Firefox na czele listy wadliwych przeglądarek

Recommended Posts

Firma Cenzic, specjalizująca się w tworzeniu aplikacji bezpieczeństwa, opublikowała swój raport za pierwszą połowę 2009 roku. Czytamy w nim, że przeglądarką, w której znaleziono najwięcej luk, był Firefox.

Produkt Mozilli był odpowiedzialny za 44% wszystkich dziur znalezionych w przeglądarkach. Na drugim miejscu  uplasowało się Safari, którego luki stanowiły 35% wszystkich. Trzecie miejsce przypadło Internet Explorerowi (15%), a czwarte Operze (6%).

Warto przypomnieć, że w raporcie za II połowę 2008 roku pierwsze miejsce na niechlubnej liście przypadło IE (43% dziur), a Firefox był wówczas na drugiej pozycji (39%).

Lars Ewe, prezes ds. technicznych firmy Cenzic mówi, że duża liczba luk w Firefoksie jest efektem kilku zjawisk. Przeglądarka przyciąga coraz więcej uwagi, co jest dla niej dobre, ale z drugiej strony im jest bardziej popularna, tym więcej błędów się w niej znajduje. Ponadto dużo luk występowało we wtyczkach. To właśnie architektura wtyczek jest tym, co przyczynia się do popularności przeglądarki i są one jednym z powodów, dla których uwielbiam Firefoksa. Jednak [Mozilla - red.] nie jest w stanie kontrolować bezpieczeństwa wszystkich wtyczek i jest to uboczny efekt popularności - stwierdza Ewe.

Jednak fakt, że w Firefoksie znaleziono największą liczbę błędów nie oznacza, że jest to najmniej bezpieczna przeglądarka. Ewe informuje, że jego firma korzysta właśnie z technologii Mozilli w swoich produktach, co świadczy o tym, że można jej zaufać.

Wyjaśnia również, w jaki sposób liczono liczbę błędów. Przygotowując raport oparto się na wielu różnych statystykach i uśredniono ich wyniki. W zależności bowiem od źródła można znaleźć kilkuprocentowe różnice w liczbie raportowanych błędów. Można mówić, że błędów jest 40% lub 42%, w zależności od tego, jak się je liczy, ale na pewno różnice w różnych statystykach nie są duże.

Share this post


Link to post
Share on other sites

Takimi raportami można się podetrzeć, nie są miarodajne bo każda firma nakłada inny priorytet wykrywalności dziur.

Share this post


Link to post
Share on other sites

po pierwsze, i tak w przeglądarce największym błędem jest user który włazi na niebezpieczne strony i klika "tak" lub "ok" na wszystkie komunikaty ktore mu przeglądarka wyświetla...

 

po drugie, bezpieczeństwo polega również na aktualizacjach, jak znajdą dziurę to ją szybko załatają, i dziury nie ma, a w statystykach jest +1

 

po trzecie - wszystkie bardziej zaawansowane programy są dziurawe, jednak tylko w najpopularniejszych szuka się dziur. Przykladowo - napisze przeglądarke www, bedę używał jej tylko ja, to będzie potencjalnie najbezpieczniejszy soft na rynku, bo nikt nie będzie miał do niego dostępu i nikt nie będzie w stanie sprawdzić czy ma dziury czy nie...

Share this post


Link to post
Share on other sites

Szkoda, tylko że:

- liczy się nie tylko ilość dziur, ale powstające przez luki zagrożenie i PRAWDOPODOBIEŃSTWO WYKORZYSTANIA dziury

 

- już w niemieckim chipie pisali: owszem, mozilla chętnie przyznaje się do wykrytych dziur, jednak Microsoft przyznaje się do błędu dopiero, gdy luka już jest faktycznie wykorzystywana i zaprzeczanie nie ma sensu...

Share this post


Link to post
Share on other sites

Jeśli tak pisali w niemieckim Chipie to baaardzo się mylili. Zarówno co do postępowania MS jak i co do sensowności łatania.

Zapewne nie pierwszy i nie ostatni raz, szkoda tylko że polski chip to teraz tłumaczenie niemieckiego wydania...

Share this post


Link to post
Share on other sites

Jeśli tak pisali w niemieckim Chipie to baaardzo się mylili. Zarówno co do postępowania MS jak i co do sensowności łatania.

 

Parę miechów temu czytałem o błędzie, którego Microsoft nie załatał od prawie trzech lat. Nie raz zresztą było trzeba czekać na poprawki przez miesiąc od wykrycia.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Similar Content

    • By KopalniaWiedzy.pl
      Z informacji opublikowanych przez Net Applications rynkowy udział przeglądarek Microsoftu jest rekordowo niski. W sierpniu Internet Explorer i Edge straciły 1,8 punktu procentowego i obecnie należy do nich 12% rynku.
      Zapewne będziemy świadkami dalszych spadków. W bieżącym roku udziały przeglądarek z Redmond wahały się wcześniej w granicach 12,4–14 procent. Za większość wrześniowego spadku, niemal 1,4 pp, odpowiada Internet Explorer. Przeglądarka, która niegdyś dominowała w internecie ma obecnie zaledwie 6,1% udziałów. Udziały Edge'a spadły o 0,4% do poziomu 5,9%. Jeszcze w sierpniu Edge zanotował wzrost i miał najwyższe udziały w swojej historii.
      Przyszłość microsoftowych przeglądarek rysuje się w czarnych barwach. Internet Explorer jest utrzymywany przy życiu tylko dlatego, że domaga się tego część przedsiębiorstw potrzebujących tej przeglądarki ze względu na kompatybilność. Jednak zainteresowanie tą przeglądarką wyraźnie spada. Dość powiedzieć, że w ubiegłym miesiącu używało jej tylko 7% użytkowników Windows, a w ciągu ostatnich miesięcy udziały IE na komputerach z Windows spadły o 60%. Microsoft wolałby nie zajmować się IE i całkowicie poświęcić się rozwojowi Edge'a. Firma zapowiada wypuszczenie wersji Edge'a opartego na google'owskim Chromium. Pozostaje pytanie, czy wobec spadającego zainteresowania Edge'em tworzenie nowej wersji przeglądarki ma sens.
      Nie najlepiej radzi sobie też Firefox. We wrześniu jego rynkowe udziały zwiększyły się o 0,3% i wynoszą obecnie 8,7%. To już czwarty miesiąc z rzędu, gdy udziały tej przeglądarki są niższe niż 9%. W ciągu ostatniego roku Firefox stracił niemal 1 pp udziałów. Nic nie wskazuje na to, by przeglądarka Mozilli miała odzyskać rynek. Przed dwoma laty jej rynkowe udziały wynosiły 11,4%. Jedynie przez 3 z ostatnich 18 miesięcy do Firefoksa należało więcej niż 10% rynku.
      Obecnym zwycięzcą konkurencji na rynku przeglądarek jest Chrome do którego należy 68,5% rynku. To o 0,1% mniej niż w rekordowym dla tej przeglądarki lipcu bieżącego roku. W ciągu roku udziały Chrome'a wzrosły o 2,1 punktu procentowego, a obserwacja obecnych trendów pozwala wysnuć przypuszczenie, że do maja przyszłego roku udziały Chrome'a wyniosą ponad 70%.
      Media prześledziły dane firmy Net Applications od stycznia 2005 roku i stwierdziły, że jak dotąd na przestrzeni ostatnich 14 lat najlepszymi wynikami mógł pochwalić się Internet Explorer. W styczniu 2005 roku należało do niego aż 89,4% rynku. Firefox posiadał wówczas 5,6% udziałów, Netscape Navigator miał 2% rynku, a Safari 1,7%. Do grudnia 2008 roku udziały IE spadły do obecnego poziomu Chrome'a.
      Obecnie do Safari należy 4,4% rynku, a Opera posiada 1,4%.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Gavin Thomas, który w Microsofcie sprawuje funkcję Principal Security Engineering Manager, zasugerował, że ze względów bezpieczeństwa czas porzucić języki C i C++. Thomas argumentuje na blogu Microsoftu, że rezygnacja ze starszych języków na rzecz języków bardziej nowoczesnych pozwoli na wyeliminowanie całej klasy błędów bezpieczeństwa.
      Od 2004 roku każdy błąd naprawiony w oprogramowaniu Microsoftu jest przez nas przypisywany do jednej z kategorii. Matt Miller podczas konferencji Blue Hat w 2019 roku zauważył, że większość tych dziur powstaje wskutek działań programistów, którzy przypadkowo wprowadzają do kodu C i C++ błędy związane z zarządzeniem pamięcią. Problem narasta w miarę jak Microsoft tworzy coraz więcej kodu i coraz silniej zwraca się w stronę oprogramowania Open Source. A Microsoft nie jest jedyną firmą, która ma problemy z błędami związanymi  z zarządzaniem pamięcią, pisze Thomas.
      W dalszej części swojego wpisu menedżer wymienia liczne zalety C++, ale zauważa, że język ten ma już swoje lata i pod względem bezpieczeństwa czy metod odstaje od nowszych języków. Zamiast wydawać kolejne zalecenia i tworzyć narzędzia do walki z błędami, powinniśmy skupić się przede wszystkim na tym, by programiści nie wprowadzali błędów do kodu, czytamy.
      Dlatego też Thomas proponuje porzucenie C++. Jednym z najbardziej obiecujących nowych języków programistycznych zapewniających bezpieczeństwo jest Rust, opracowany oryginalnie przez Mozillę. Jeśli przemysł programistyczny chce dbać o bezpieczeństwo, powinien skupić się na rozwijaniu narzędzi dla developerów, a nie zajmować się tymi wszystkimi pobocznymi sprawami, ideologią czy przestarzałymi metodami i sposobami rozwiązywania problemów.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Niedawno donosiliśmy o wynikach badań, z których wynika, że oceany ogrzały się bardziej niż dotychczas sądziliśmy. Teraz ich autorzy informują, że popełnili błąd w obliczeniach. Podkreślają przy tym, że pomyłka nie falsyfikuje użytej metodologii czy nowego spojrzenia na biochemię oceanów, na których metodologię tę oparto. Oznacza jednak, że konieczne jest ponowne przeprowadzenie obliczeń.
      Jak mówi współautor badań, Ralph Keeling, od czasu publikacji wyników badań w Nature, ich autorzy zauważyli dwa problemy. Jeden z nich związany jest z nieprawidłowym podejściem do błędów pomiarowych podczas mierzenia poziomu tlenu. Sądzimy, że łączy efekt tych błędów będzie miał niewielki wpływ na ostateczny wynik dotyczący ilości ciepła pochłoniętego przez oceany, ale wynik ten będzie obarczony większym marginesem błędu. Właśnie prowadzimy ponowne obliczenia i przygotowujemy się do opublikowania autorskiej poprawki na łamach Nature, stwierdza Keeling.
      Redakcja Nature również postanowiła pochylić się nad problemem. Dla nas, wydawców, dokładność publikowanych danych naukowych ma zasadnicze znaczenie. Jesteśmy odpowiedzialni za skorygowanie błędów w artykułach, które opublikowaliśmy, oświadczyli przedstawiciele pisma.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Microsoft prowadzi śledztwo mające wyjaśnić, jak prototypowy kod atakujący niebezpieczną dziurę w Windows trafił do rąk cyberprzestępców. Microsoft przed tygodniem wydał kolejny comiesięczny zestaw poprawek w ramach Patch Tueday. Znalazła się w nim łata na poważną dziurę w Remote Desktop Protocol, która pozwala przestępcom na przejęcie kontroli nad systemem. Wcześniej w ramach Microsoft Active Protection Program (MAPP) koncern z Redmond dostarczył firmom antywirusowym prototypowy kod atakujący dziurę. Microsoft standardowo przekazuje 79 wybranym firmom antywirusowym szczegóły techniczne dziur jeszcze zanim je załata. Dzięki temu firmy mogą szybko przygotować oprogramowanie zabezpieczające. Pojawienie się łat jest bowiem dla cyberprzestępców okazją do wykonania na nich inżynierii wstecznej i poznanie dzięki temu szczegółów załatanych dziur. Czasami potrafią oni przygotować szkodliwy kod w ciągu kilku godzin od opublikowania przez Microsoft poprawek.
      Tym razem jednak przygotowany kod przygotowany w Redmond na potrzeby firm antywirusowych wyciekł do internetu. Co więcej, trafił tam nie tylko kod Microsftu. Znany specjalista ds. bezpieczeństwa, Luigi Auriemma, który w maju 2011 roku odkrył wspomnianą dziurę, poinformował o niej Zero Day Initiative (ZDI) i dostarczył prototypowy kod, poinformował, że tego samego dnia, gdy wyciekł kod Microsoftu, on znalazł swój prototypowy kod na jednej z chińskich witryn.
      Auriemma twierdzi, że odkryty przezeń program zawierał znaki „MSRC11678„ co wskazuje, że do wycieku doszło w Microsofcie, a nie w ZDI. Kod Auriemmy został przekazany Microsoftowi przez ZDI w sierpniu 2011 roku w celu wykonania szczegółowych analiz.
      Na szczęście prototypy, które przedostały się do internetu, nie pozwalają na zdalne przejęcie kontroli nad komputerem. Umożliwiają jednak spowodowanie awarii systemu.
      Jak mówią przedstawiciele ZDI, Microsoft zgadza się z wnioskiem, że to nie ZDI jest źródłem przecieku. Na razie nie wiadomo, czy kod upublicznił ktoś z Microsoft czy też z firm antywirusowych.
    • By KopalniaWiedzy.pl
      Sędzia Judith Potter orzekła, że sądowy nakaz zajęcia pieniędzy, pojazdów i posiadłości Kima Dotcoma jest nieważny,i nie powinien zostać wydany i nie niesie ze sobą skutków prawnych.
      Właściciel Megaupload może zatem spodziewać się, że jego własność zostanie mu zwrócona, a konta odblokowane, gdyż policja i prawnicy z rządowego biura prawnego popełnili poważny błąd proceduralny.
      Sędzie Potter stwierdziła, że komisarz Peter Marshall złożył do sądu wniosek o taki typ nakazu zajęcia majątku, który nie dawał Dotcomowi możliwości przygotowania obrony. Już po policyjnej akcji i aresztowaniu Dotcoma Marshall zorientował się, że popełnił pomyłkę i wystąpił o właściwy nakaz. Został on wydany, ale tylko tymczasowo. Dlatego też sędzia Potter wkrótce będzie musiała orzec, czy błąd policji oznacza, iż Dotcomowi należy zwrócić majątek.
      Już 30 stycznia do sądu trafiła informacja z rządowego biura prawnego, które przygotowuje takie wnioski, iż popełniono błąd proceduralny.
      Jako, że sąd wydał wspomniany już właściwy nakaz, śledczy twierdzą, że dowodzi to, iż pierwotna pomyłka niczego nie zmienia. Innego zdania są obrońcy Dotcoma. Ich zdaniem majątek mężczyzny powinien zostać mu zwrócony, gdyż został zajęty bezprawnie.
      Profesor Ursula Cheer z Canterbury University mówi, że prawo dopuszcza pomyłki, a powyższa sprawa może stać się drugim poważnym zwycięstwem Dotcoma - pierwszym było jego zwolnienie z aresztu - pod warunkiem, iż jego prawnicy udowodnią policji złą wolę.
×
×
  • Create New...