A Firefox még mindig az IE felett áll biztonságban

Vélemény

A fenti címmel publikált egy véleményt Steven J. Vaughan-Nichols, az Eweek.com Linux és open source állandó cikkírója. Szerinte a biztonsági hibák száma nem mond el arról semmit, hogy hogyan kezelik azokat.

Nemrégiben a Symantec egy tanulmányt készített, amelyben leírták, hogy a Mozilla Firefox több hibát tartalmaz, mint az Internet Explorer. A cikk írója arra keresi választ, hogy valójában mit is mutat meg a Symantec tanulmánya.

A szerző Elias Levy-vel (ismertebb nevén Aleph One-nal), a Bugtraq korábbi moderátorával, a Symantec jelenlegi alkalmazottjával beszélgetett arról, hogy mit is jelenthetnek a tanulmány adatai.Aleph elmondta, hogy a Symantec jelentése semmi másról nem szólt, mint arról, hogy a gyártók (Microsoft és Mozilla) mennyi hibabejelentést igazolnak vissza. A szakember szerint a Mozilla készséges a hibabejelentésekkel kapcsolatban, míg a Microsoft-nál sokkal tovább tart egy hibabejelentés visszaigazolása.

Mennyivel tovább? Aleph szerint az elmúlt időszakban a Microsoft 13 biztonsági hibát ismert el, míg ők ezt 31-re javították ki.

A szakember egyetértett abban, hogy a bejelentett hibák száma nem mond el mindent arról, hogy egy böngésző mennyire biztonságos. Az is fontos, hogy a bejelentett hibákkal mit kezdenek az egyes gyártók. A Firefox, és a nyílt forrású programok sem tökéletesek. Mindegyikben van hiba. A nyílt forrású igehirdető szempontjából nem az különbözteti meg a nyílt forrású programokat a kereskedelmiektől, hogy azok hibátlanok lennének, hanem az, hogy mindenki láthatja, hogy mi folyik körülötte (átlátszó a fejlesztés folyamata), és ezért biztos, hogy a bejelentés után a hiba azonnal ki lesz javítva, ahogy az lehetséges.

Ezt támasztja alá Chris Beard is a Mozilla Alapítványtól, mikor azt mondja, hogy a Mozilla hisz abban, hogy a transzparens fejlesztési folyamatok, a bug vadászati jutalmak, a [fejlesztés] nyílt forrású természete - amely elméletileg lehetővé teszi, hogy végtelen számú szem nézze át a kódot - mind-mind hozzájárulnak ahhoz, hogy a hibák mielőbb kiderüljenek és meg is oldódjanak.

Valóban így van ez? Aleph szerint a nyílt forrású fejlesztők napok vagy hetek alatt fel tudják ismerni a problémákat és meg is tudják azokat oldani.

És mi a helyzet a Microsofttal? Ha egy hibát bejelentenek a Microsoftnak, akkor az nem hagyja jóvá egy vagy két hónapig. Bizonyos késedelem mindig van a részükről a hiba bejelentése és annak elismerése között. Van, amikor ez az idő hosszabb. Van olyan hiba, amelyet a Digital Eye fedezett fel, amely már most több, mint 6 hónapos. Emellett a Microsoftnak megvan az a ``jó'' szokása, hogy mindig kedden patch-el egyben. Erre az a magyarázat, hogy nem akarja túlterhelni a kis IT létszámmal dolgozó cégek embereit a folyamatos patch kiadással. Ezzel az a baj, hogy van aki inkább előbb patch-elne, mint később.



További problémának látja a szakember, hogy az Internet Explorer a hosszú évek alatt szerves része lett több Windows alrendszernek, és ezzel több lehetőséget teremt a támadók számára.



Természetesen semmi sem tökéletes biztonság szempontból. A Firefoxnak is vannak hibái...



Összefoglalva: a hibabejelentések számából messzemenő következtetést levonni nem lehet, mert azok száma gyártónként erősen eltérő. Vannak gyártók, akik a hibákat összevonják, és egyben jelentik. A Mozilla nem így tesz, hanem minden egyes hibáról elkülönítetten, teljes ``mélységen'' számol be, mert ez is része az nyílt fejlesztési modellnek (megjegyzés: ez szintén igaz a Debian-ra is, amely minden egyes hibához külön hibajegyet ad ki ugyanazon érintett csomag esetén, ezért összehasonlítva más vendorokkal, éves szinten akár két-háromszor annyi hibajegyet is kiadhat ugyanannyi valós hiba mellett, mint egy másik vendor, aki nem ezt a gyakorlatot követi).



A teljes cikk itt.

Erdei Zoltán írta:
> Nem tudom, miért aggódik a Microsoft a sok ki patch okozta
> "túlterheléssel", mikor ott a "csodálatos" Windows Update. Az nem
> intézhetné ezt el? Vagy ez eszükbe sem jut? Eh.
>
Nagy leterhelést jelentene a WUS/SUS -ban az approve elvégzése a
frissítéshez, amikor levlistán megkapja a figyelmeztetést. :D

( x-daemon | 2005. 10. 01., szo – 12:07 )

"Erre az a magyarázat, hogy nem akarja túlterhelni a kis IT létszámmal dolgozó cégek embereit a folyamatos patch kiadással. "

Hadd döntse már el mindenki maga hogy mikor akar frissíteni, nagy testvér...

( anr | 2005. 10. 01., szo – 13:33 )

A hibak szama alapjan kijelenti valamirol a biztonsagosabbsagat az pont olyan, mint a betegsegszam alapjan kijelenteni valakinek az egeszsegesebbseget.

pl: aki eltori 4 ujjat (4 db. betegseg), az sokkal betegebb, mint aki rakos (1 db. betegseg), vagy elveszti 2 labat (2 db. betegseg)

:)

( dikki | 2005. 10. 01., szo – 16:56 )

A cikk tulajdonképpen semmi újat nem mond, ez egy tízéves számára is egyértelmű kéne, hogy legyen. A gond ott van, hogy egy akkora cég minta Symantec, mégis baromságot beszél. Vaaajooon miért..

( Nagyapa | 2005. 10. 01., szo – 21:11 )

Hi Everybody!

Egy időben még számoltam az IE hibákat, aztán ráuntam...

Persze, most az ellenlábasaim azt írnák: "Persze, hogy ezt mondod, mert csak 10-ig tudsz számolni! :-)"

Node, egy örök életre a kedvencem az hírdetés marad amely a következő állítást kürtölte világgá egykoron vala:

"Az Internet Explorer 6 jelenti az új adatvédelmi,

megbízhatósági és rugalmassági szabványt. Győződjön

meg arról, hogy az Internet Explorer

miként vezeti a sort a weben!

Töltse le most"

A HWSW-n talán még fentvan az a .png fájl amint a fenti sorok olvashatóak.

:-)

Tetszik! Jók az érvek!

Egyébként ezen a "vonalon" indulva: az M$ DOS sokkalta biztonságosabb oprendszer mint a Windows, mert:

1.) Sokkal kevesebb biztonsági hiba van benne

2.) Manapság nem készül DOS-ra vírus

3.) Nem olvastam sehol sem olyat, hogy valakinek a DOS-os számítógépére behatoltak volna (a DoS támadás-t nem említeném, mert az más:)

4.) A DOS-ra nem jött ki semmilyen hibajavítás mostanában tehát ebből arra lehet következtetni, hogy nincs benne már számottevő biztonsági hiba.

5.) Még csak hallani sem hallottam DOS-os spyware programról.

6.) DOS-os Worm-ok sincsenek tudtommal.

stb. stb.

Aki tudja folytassa :-D

No, megyek, sőt rohanok MS-DOS-t venni.

Lehet még kapni vlahol? Tud róla valaki?

( Nagyapa | 2005. 10. 01., szo – 21:40 )

Majdnem lemaradt, bár "Ez itt nem a hírdetés helye!"

FIGYELEM! Zwei hozzászólásokat vennék magas felárral!

Különösen amelyekben másokat minősít.

'Nagyobb tétel is érdekel' - jeligére"

:-)

Az ausztál cikkhez írt véleményemre tett reagálásában feltett kérdésre (?) a válasz. Nem, nem vagyok még 25éves, sőt! Még csak nagycsoportos vagyok és a bátyám aki elsős és írni, nomeg olvasni is tud már (merthogy harmadjára járja az első osztályt), szóval a bátyám írja le azokat amiket diktálok neki és ő is olvassa a híreket.

:-{)

Üdv. néked fényestekintetű idegen :-D

( itan | 2005. 10. 01., szo – 22:47 )

Nem tudom, miért aggódik a Microsoft a sok ki patch okozta "túlterheléssel", mikor ott a "csodálatos" Windows Update. Az nem intézhetné ezt el? Vagy ez eszükbe sem jut? Eh.

"Szerző: zsirfeka Ideje: Október 02, Vasárnap, 00:19:00

no. megse jott be a szamtech. szakertoi allas a kiskegyednel?"

Áhhh....

Meg sem próbálnám, (hisz mint írtam is) még csak nagycsoportos valék és nem hallani olyat régtől fogva, hogy bármely oskolában lett légyen egy számtech, tanuló aki még tsak 6 éves lőn.

Ezért hát az a "sorsom", hogy meg kell várjam míglen kikopnak innentről a szakmai elit elmebajnokai és megpróbálok ezen eseményt követően felvételezni az egyetemre, melyen remélhetőleg addíg beindul az ECDL szak.

Addíg is megprószálok nem összekadni azokkal a rendszergizdákkal akik mindent csak hálón..., izé... hálózaton keresztül látnak. És otthoni desktop-ban csak winben tudnak gondolkodni.

A prog.hu/pcforum.hu-n legalább olyan a nívó, értsd a szakmai elit "tengerész gyalogosai" akik OEM XP Home-ból akartak szervert építeni és (finoman, nőiesen) lehülyézték azt a Linuxost, akinek a véleménye nem egyezett velük abban, hogy így sokkal olcsóbb a Linuxnál a Win....

Node nem írnám tele az oldalt.....