Mozilla Firefox 2.0.0.10

Mozilla

A Mozilla Corporation kiadta a Mozilla Firefox 2.0.0.10-es verzióját, amelyben - egyebek mellett - három biztonsággal kapcsolatos hibát javítottak a fejlesztők. A hibák besorolása "high", amely a második legsúlyosabb a négyes fokozatú skálán (critical, high, moderate, low). A részletek itt. Release notes itt. Letölthető innen.

( MetaMorfoziS | 2007. 11. 27., k – 18:47 )

jar: URI scheme XSS hazard
Na azért, ez nagyon gáz volt.

__________________________________________________________________
Egyeniseg-e vagy?

( bra | 2007. 11. 27., k – 19:31 )

Ha elindítom, kérés nélkül behoz egy weblapot, amin valami félretájékozott ezt írja:
"Firefox: The Safest Way to Surf"

Ezt nem lehet kikapcsolni?

Looking at the number of vulnerabilities is misleading. A good fifty percent of our security bugs are found by our own internal code audits, or someone just looking over some code they're working on and saying to themselves “that looks funny...” Whenever we find something like that we have to report it to the our vendor community and make a security announcement. It is painful doing this but as all our processes are open we don't have the luxury of silently fixing something and hoping no one will ever notice.

Elgondolkodtató. A hibabejelentések =! biztonsan kihasználható hibákkal. Érdemes lenne megnézni, hogy a bejelentett hibák közül mennyi az, ami valójában kihasználható biztonsági hiba.

Proprietary vendors do have that luxury, they would be insane not to take it, and I'm sure they do.

Volt rá példa, hogy kiderült, hogy rejtegették, egy patch-ben 10 hibát javítottak, stb.

Magyarul a szám, hogy te mit hányszor indítasz újra, nem sokat jelent önmagában.

--
trey @ gépház

Opera és Firefox.

Bárhányszor random ránézek az oldalra, az arányok ugyenezek.
Szóval a legbiztonságosabb egyáltalán nem igaz. Esetleg biztonságos, de a jelszó "visszafejtő" JavaScript után már
csak mosolygok, ha azt mondják, hogy a FF biztonságos.

Az pedig egyenesen hülyeség, hogy a FF 10 naponta megjavít minden hibát.

"Bárhányszor random ránézek az oldalra, az arányok ugyenezek."

Éppen fent linkeltem, hogy egyesek szerint teljesen felesleges advisory-k számára hivatkozni egy nyílt és egy zárt forrású program összehasonlítása esetén. Szerintem is. Teljesen máshogy állnak hozzá a dologhoz. Az sem elhagyagolható szerintem, hogy melyik alkalmazásnak mekkora piaci részesedése. Mennyit foglalkoznak vele biztonsági szakemberek, mennyi felhasználója van, érdemes-e ebből kifolyólag "foglalkozni" vele pl. biztonsági hibák keresésekor, érdemes-e hozzá exploit-okat írni, azokkal kereskedni. Összetettebb dolog ez. Ezzel együtt nem állítom, hogy a FF biztonságosabb, mint az Opera. De az ellenkezőjét sem.

"Az pedig egyenesen hülyeség, hogy a FF 10 naponta megjavít minden hibát."

Mi lenne a helyes? Patch kedd?

--
trey @ gépház

Igazad van, tényleg teljesen más a két böngésző, szóval az összehasonlítás nem állja meg teljesen a helyét.

Viszont más szempont szerint nem tudom összemérni őket a biztonság kérdésében, talán csak a hiba javításának gyorsaságának szemszögéből.

Operában az tetszik, hogy ha lesz egy hiba, akkor azt 1-2 napon belül javítják, sosincs fent Secunián nem javíott hiba.
Firefoxnál viszont csak elég sokára javítják a hibákat, és most olvastom, hogy javítanak ötöt, beleraknak hármat. Ez a magatartás nem tetszik.

Persze, más elterjedtség, nyílt forráskód, meg minden, de valahogy úgy érzem, hogy Opera jóval komolyabban veszi a biztonsági kérdést.
Pl. amikor kiderült, hogy Firefoxban létezik a jelszóvisszafejtési feature, akkor Opera is észrevehetett valamit, és változtatott a saját jelszókezelő formátumán.

( nucc | 2007. 11. 27., k – 21:11 )

Mostanaban egyre tobbszor fogad az Upgrade Firefox. Lassan minden heten frissitenem kell :( Persze fo a biztonsag, de megiscsak...

( hrgy84 | 2007. 11. 29., cs – 01:37 )

Van valaki, akinek a frissítés leürítette a címsáv history-ját?