Haszprus

Böngészőháború II.

©   Haszprus   |   hwsw

Szgkulton G@lántai megszondázta a tömeget (~250 fő) hogy tegye fel a kezét, aki IE-t használ: kezek szórványosan a magasban. Tegye fel a kezét, aki Firefoxot, vagy Operát használ: kezek erdeje, gyakorlatilag mindenki azt használ informatikához közeli körökben.

A blogomon 2005-ben (nyártól) a statisztika a következő: Firefox 32%, IE 58%, Opera 5%, Mozilla 3%, egyéb 1%.

Mindemellett egyébként G@lántai megemlítette nagy örömömre amit én is szoktam: ahogy elkezdett terjedni a Firefox, már nem lett közömbös a haxoroknak, és hopp lám-lám egyre másra kerülnek napvilágra a firefox bugok, sechole-ok. Minden szoftver addig biztonságos, amíg kevesen használják.

RSS: hozzászólások ehhez a bejegyzéshez 19 hozzászólás

Szólj hozzá Te is!

nekem most osszesitesben ffx 57%, ie 37%, mozilla es opera 2-2%.
de vannak olyan napok, amikor ie siman kenterbe veri a tobbit, legalabbis szazalekban

de a Mozilla team reagálási ideje a bugokra még mindig jobb

vegyük a következő példát: tfh 2 hét alatt javítják a bugokat, és mondjuk minden nap megjelenik egy bug.

mi következik ebből? hogy _mindig_ van 13-14 sechole ami támadható. pedig a két hét milyen rövid, nem igaz?

szóval nem ez az egyetlen tényező. (most csak azért írtam ilyen számokat mert ez könnyen számolható. ha havonta jelenik meg egy bug és 2 hétig javítják akkor is a hónap felében lyukas böngészővel netezel)

és akkor most egy olyan táblázatnak találnám értelmét ami valahogy így nézne ki:

                             ie     ffx
támadható napok száma/hónap  30     25


mondjuk…

4) Kami_ (nem regisztrált)
Szerintem az IE-ben már abban a hónapban nem is javítják, csak a következőben. Ráadásul havonta egyszer kerülnek a javítások kiadásra. Szóval IE mind 30, de méginkább 60... Pl. FF-ben meg kész már a javítás, csak tesztelik (1.0.7)...

Az kördiag.-al kapcsolatban meg az a kérdésem, hogy a maradék 1% az mi?
58+32+5+3+1=99 vagy nem?

Kami:
1. A kördiagról nem tudok nyilatkozni, kérdezd mr.a-t, de szerintem lekerekítésből előállhat ilyen, mégpedig korrektül
2. 60 nem lehet, max 31 lehet. "Támadható napok száma havonta"...

> Pl. FF-ben meg kész már a javítás, csak tesztelik (1.0.7)...
Szerintem senkit nem vígasztal hogy már tesztelik a javítást, amikor őt éppen meghackelik egy sechole-on keresztül.

Az IE-s javítási ciklussal kapcsolatban nem tudok mit mondani, nekem erről nincsenek tapasztalataim, nemrégiben viszont elég sok cikk látott napvilágot amiben a firefoxot kicsit sötétebbre festették az idealizált képhez képest.

6) Kami_ (nem regisztrált)
/hónap igen, igazad van, én egy hiba kijavítására gondoltam...
Szerintem a szemlélet egészen más. Hiba a programban lehet (sőt biztos hogy van), csak az FF esetén hamar szolgálnak megoldással is... Míg IE esetén csomó idő rámegy míg a MS beiosmeri hogy valóban sechole, és másik jóada idő amíg publikus lesz a javítás....
Nyilván az FF sem tökéletes, de gyorsabban reagálnak, adják a megoldást az egyszer biztos.

Igazán meglep, hogy ezt eddig senki nem mondta, pedig szerintem nagyon fontos lenne, hogy a tudatában legyünk: a firefox h4x0lása a forráskódban turkálást jelent, mivelhogy annak szabadon letölthető a forrása. A kekszplorer forrása, viszont, sajnos nem tölthető le szabadon (még a kikerült w2k forrásban sem volt benne).

júzer szempontból ennek nem látom jelentőségét
júzernek tökmindegy hogy azért támadják őt mert az ezernyi bugból néhány napvilágra kerül, vagy azért mert azt a néhány bugot ami van, egytől-egyig megtalálják a forráskódban

Igen, user szempontból ennek közvetlenül valóban semmi jelentősége nincs.
Strukturálisan viszont megítélésem szerint rosszabb, ha csak azért nem találnak bugokat, mert nem tudják megnézni a forrást, és nem pedig azért, mert nincsenek.

Firefox 45,65%
IE 42,72%
Netscape 7,36%
Egyéb 100-(45,65+42,72+7,36)%

Elégedett olvasó 100%

@3: jó, akkor nézzünk más tényezőket, mondjuk hogy pillanatnyilag mennyi javítatlan biztonsági hiányosság van pillanatnyilag a Secunia szerint (85 vs 22).

vagy:

"Microsoft Internet Explorer 6.x with all vendor patches installed and all vendor workarounds applied, is currently affected by one or more Secunia advisories rated Highly critical"

vs

"Mozilla Firefox 1.x with all vendor patches installed and all vendor workarounds applied, is currently affected by one or more Secunia advisories rated Less critical"

egyébként pedig azt el kell ismerni, hogy ebből a szempontból az Opera 8.x a májer (7 Secunia advisory, és mindegyikre van patch).

(ja, és sorry a lassú reagálásért, nem ennyi ideig gondolkoztam a reakción, csak Sonata Arctica koncert volt a Wigwamban

„Szerintem senkit nem vígasztal hogy már tesztelik a javítást, amikor őt éppen meghackelik egy sechole-on keresztül.” — van benne valami; szerencsére 1.5‐től (aka. Firefox: Deer Park) patch‐elhető lesz a róka, ennek megfelelően elég lesz csak egy patchet kiadni és nem egy új reviziót (amit 1 azaz egy darab sechole‐ért senki nem fog készíteni).

Az Operának is valszeg az a titka hogy senki se használja Pláne asszem nem is nyílt kódú.

Másrészt én egyáltalán nem állítottam hogy az ie-ben kevesebb sechole lenne mint a ffx-ban (márpedig szerintem te ezt az el nem hangzott állítást próbálod megdönteni), csak hogy ahogy a ffx elkezdett terjedni, biza kiderült hogy az is távol áll a bugmentességtől. Azt se mondom hogy annyi bug lenne benne mint az ie-ben, nyilván valamelyest biztonságosabb, egyelőre, aztán meglátjuk mi lesz ha tényleg többen használnak ffxot

Minden esetre az biztos hogy a ffx csapatnak igen nagy érdeke fűződik a bugok gyors javításához, hiszen a ffx hívek nagyrésze pont a biztonság miatt választja az ő böngészőjüket. Az IE-t nem a biztonságért választják, tehát ráérnek a javítgatással.

Az IE-t nem a biztonságért választják, tehát ráérnek a javítgatással.

Ez igaz, de félig emiatt a mentalitás miatt van tele a net zombi gépekkel. (Az ok másik fele meg persze a felhasználók, akik letöltögetnek minden szart és b@sznak felrakni a frissítéseket)

Az Opera "zárt" forrásáról annyit, hogy a kód jelentős részét Mozilláéktól lopták (vették/felhasználták kinek mi tetszik), elvileg nem is lehetne (teljesen) zárt forrású böngésző...

Ez az információ honnan van?

én nem tudom, de ha mondjuk ugyanazokat a bugokat produkálja akkor az egy jó alap lehet

[News.com] A Symantec biztonsági cég jelentése szerint a Mozilla és Firefox böngészők felhasználói potenciálisan nagyobb veszélynek vannak kitéve, mint azok, akik Microsoft Internet Explorerrel böngészik az internetet. A jelentés ugyanakkor rámutat, hogy a kiberbűnözők továbbra is az Internet Explorerre összpontosítják a támadásaikat.

Biztonsági rések: mennyi az annyi?

Noha általános elterjedt nézet, hogy a Mozilla és a Firefox biztonságosabb az Internet Explorernél, a Symantec most megjelent "Internet Security Threat Report Volume VIII" jelentése ellentmondani látszik ennek a tézisnek. Az idei év első hat hónapjában a Mozilla-alapú böngészőkben összesen 25, a fejlesztők által is elismert biztonsági résről látott napvilágot információ, ez több mint bármelyik másik böngészőben. A 25 biztonsági problémából 18-at "nagyon súlyos" kategóriába sorolt a Symantec. Ugyanezen idő alatt az Internet Explorerben csupán 13 hibát találtak, amelyek közül 8 volt nagyon súlyos.

A teljes képhez azonban hozzátartozik, hogy a Symantec jelentése csak azokat a biztonsági réseket veszi számban, amelyeknek létét a gyártók is elismerték. A dán Secunia szerint az Internet Explorerben a mai napig 19 olyan biztonsági rés létezik, amelyekről a Microsoft nem hajlandó tudomást venni. A Firefoxban ezzel szemben összesen 3 el nem ismert sérülékenység található.

Egyre gyorsabbak a hackerek

A Symantec mindazonáltal azt is állítja, hogy a jelentés kiadásának pillanatában a piacon levő böngészől közül egyedül az Internet Explorerben volt megtalálható olyan biztonsági rés, amelynek kihasználására széles körben elterjedt kód létezne. A biztonsági cég szerint azonban ahogy az alternatív böngészők teret nyernek, ez is meg fog változni és a bűnözők célba fogják venni azokat is.

A kiberbűnözők ma már jellemzően nem a szervereket, hanem a böngészők biztonsági réseit kihasználva közvetlenül a felhasználók számítógépeit célozzák meg tevékenységeikkel annak érdekében, hogy adatokat lopjanak vagy a átvegyék a gép feletti uralmat és például spamküldésre vagy más rendszerek feltörésére használják. A Symantec hozzáteszi, hogy a rosszakarókat egyre inkább üzleti érdekek vezérlik és nem a saját hírnevük fényezése érdekében cselekednek.

A crackerek erőfeszítéseire jellemző, hogy az első félév során a biztosági rések dokumentálása és a kihasználásukhoz szükséges rosszindulatú kódok megjelenése között átlagosan 6 nap telt el, bár a Symantec jelentése nem tér ki arra, hogy az egyes cégek milyen hamar foltozták be a sérülékenységeket. A Firefoxhoz a fejlesztők rendszerint pár napon, esetleg egy héten belül kiadják a javítást, a Microsoft ezzel szemben havi rendszerességgel tesz közzé patcheket.

Forrás: HWSW
Opera meg ingyenesen letölthető lett

Hozzászólásod:


Nem vagy bejelentkezve, de...

A)
hozzászólhatsz regisztrálatlanul...

B)
ha regisztrálva vagy, bejelentkezhetsz...