Internet Explorer - najlepszy, bo rzadko łatany?

Internet Explorer - najlepszy, bo rzadko łatany?
04.12.2007 16:30
Internet Explorer - najlepszy, bo rzadko łatany?

Microsoft przygotowuje aktualizacje swojej przeglądarki internetowej rzadziej niż konkurencja i dłużej wspiera starsze wydania aplikacji, dlatego też użytkownicy IE są w mniejszym stopniu narażeni na luki w zabezpieczeniach, niż użytkownicy Firefoksa.

Do takich wniosków doszedł Jeff Jones, dyrektor ds. strategii zabezpieczeń w koncernie z Redmond w swoim ostatnim raporcie, zatytułowanym "Browser Vulnerability Analysis of Internet Explorer and Firefox". Zdaniem Tristana Nitota, przewodniczącego Fundacji Mozilla, liczenie luk nie jest właściwą metodą oceny bezpieczeństwa.

"Zacytuję tutaj mojego kolegę Mike'a Shavera, który mawia: 'To, że amerykańscy dentyści naprawiają więcej zębów, nie znaczy jeszcze, że mamy gorsze zęby niż Afrykanie'", uważa Nitot.
Dokument - http://blogs.technet.com/security/attachment/2594822.ashx, opublikowany przez Jeffa Jonesa w jego blogu, jest wynikiem analizy luk wykrytych w przeglądarce Microsoftu w ciągu ostatnich kilku lat ( od momentu udostępnienia Internet Explorera 6 dla Windows XP SP2 ) oraz dziur znalezionych w przeglądarce Firefox od chwili jej wprowadzenia przez Fundację Mozilla.

Jones szczegółowo zbadał luki z trzech ostatnich lat, dzieląc je pod względem stopnia zagrożenia dla bezpieczeństwa systemu, przyjrzał się także trendom w rozwoju obu przeglądarek oraz sprawdził, co dzieje się z niezałatanymi dziurami.

Przewodniczący Mozilla Europe, Tristan Nitot, tłumaczy jednak, iż liczenie luk nie jest właściwą metodą oceny bezpieczeństwa, a to z dwóch powodów. Po pierwsze - nie można porównywać liczby usterek poprawianych przez Microsoft i Mozillę, ponieważ wszystkie błędy Mozilli są ogłaszane publicznie, inaczej niż w przypadku Microsoftu ( gdzie usterki wykryte wewnętrznie są poprawiane po cichu, a zatem nie są liczone ). Po drugie - poprawianie błędów w oprogramowaniu to w rzeczywistości dobra rzecz.

Jones krytycznie wyraża się też o przyjętym przez Mozillę cyklu wprowadzania nowych wersji przeglądarki. Chociaż od chwili premiery Firefoksa 1.0 minęły trzy lata, w czasie których pojawiły się trzy duże wydania przeglądarki, tylko ostatnie z nich, oznaczone numerem 2.0 jest jeszcze wspierane przez producenta - użytkownicy mogą liczyć na patche i aktualizacje. Biorąc jednak pod uwagę cykl życiowy programu oraz fakt, że Firefox 3.0 wszedł już w fazę beta - http://www.pcworld.pl/news/131805.html, wsparcie to skończy się w okolicach maja 200. r., ( aktualizacje poprzednich wydań przygotowywane są pół roku po premierze najnowszej edycji ).
Jones uważa, że cykl przedsięwzięty przez Microsoft, czyli taki, w którym każde "duże" wydanie Internet Explorera jest związane z premierą nowej wersji Windows, jest bardziej optymalny. Obie ostatnie wersje IE są nadal wspierane przez producenta. Zdaniem Jonesa istnieją bowiem dwa podstawowe typy użytkowników przeglądarek - tacy, którzy instalują natychmiast nowe wersje aplikacji oraz ci, którzy "trzymają się" używanego wydania tak długo, jak tylko to możliwe. Ekspert Microsoftu dowodzi, że wspomniana druga grupa jest w przypadku krótszych cyklów życiowych programów bardziej poszkodowana - krótszy cykl życiowy produktu oznacza, iż większa liczba użytkowników może korzystać z nieaktualnego oprogramowania. Jones twierdzi, iż typowy domowy użytkownik-internauta oczekuje raczej cyklu życiowego przeglądarki trwającego dłużej niż sześć miesięcy.

_ "Trend wskazuje, że zarówno jakość zabezpieczeń Internet Explorera jak i Firefoksa w ich ostatnich wydaniach poprawiła się oraz - w przeciwieństwie do popularnych opinii - w Internet Explorerze wykryto mniej luk niż w Firefoksie. Rezultaty tego raportu dla jednych okażą się zaskakujące, dla innych zaś będą tylko potwierdzeniem, że poprawa bezpieczeństwa to trudne zadanie, nawet z najlepszymi intencjami" _ - czytamy w końcowych wnioskach analizy.

Warto jednak pamiętać, że użytkownicy domowi, o których wspomina Jones, przy wyborze przeglądarki internetowej kierują się w równym stopniu bezpieczeństwem, co funkcjonalnością. Wielu z nich, za najważniejszą zaletę aplikacji Mozilli uważa możliwość instalowania wtyczek i dodatków. Ponadto, użytkownik Firefoksa pobierając plik instalacyjny przeglądarki np. z witryny Mozilli zawsze otrzymuje najnowsze wydanie. W przypadku produktu Microsoftu najpierw pobierana jest podstawowa wersja Internet Explorera, a dopiero po jej zainstalowaniu - aktualizacje.

_ "Mozilla wydaje nowe wersje główne Firefoksa co 12 - 18 miesięcy. Zachęcamy użytkowników do przejścia na najnowszą wersję, ponieważ w ten sposób zyskują więcej funkcji, więcej użyteczności i lepszą obsługę standardów. Stara wersja jest wspierana przez 6 miesięcy od momentu ukazania się nowej. Microsoft postępuje inaczej, prawdopodobnie dlatego, że dołączył przeglądarkę do systemu operacyjnego, który ma bardzo długi czas życia. My wolimy oferować użytkownikom więcej innowacji i wprowadzać nowe wersje Firefoksa w szybszym tempie" _ - twierdzi z kolei szef Mozilli.

Można więc powiedzieć, że Jeff Jones za ważniejsze uważa systematyczne aktualizacje oprogramowania ( jak w przypadku Microsoftu - w każdy drugi wtorek miesiąca ) i dłuższe cykle życiowe produktów niż szybkie reagowanie na bieżące zagrożenia ( jak w przypadku Mozilli ) i łatanie wykrywanych luk. Bez wątpienia jednak to ostatnie pracownicy Mozilli stawiają sobie za punkt honoru. Podczas tegorocznej konferencji Black Hat przedstawiciel MF, Mike Schaver, przekonywał, że zespół pracujący nad przeglądarką jest w stanie usunąć z niej każdy krytyczny błąd w "10 p**ch dni" - http://www.pcworld.pl/news/119220.html ( chociaż trzeba zaznaczyć, że inni przedstawiciele MF dystansowali się później od tej wypowiedzi ).

W udzielonym nam niedawno wywiadzie - http://www.pcworld.pl/news/132153.html Nitot sam zresztą przyznał: _ "W tej chwili Microsoft jest monopolistą w coraz mniejszym stopniu. My musimy upewnić się, że będziemy tu przez dłuższy okres tak, by nie stał się monopolistą ponownie. Oni mają wielką przewagę w tym, że dostarczają swój produkt _ [Internet Explorer - red.] _ razem z systemem operacyjnym, ludzie nie potrzebują więc podejmować wysiłku pobrania i instalacji. To oznacza, że musimy być lepsi jako produkt - a myślę, że jesteśmy - oraz walczyć z lenistwem ludzi przyzwyczajonych do używania tego, co już jest zainstalowane w ich komputerach." _

"Zacytuję tutaj mojego kolegę Mike'a Shavera, który mawia: 'To, że amerykańscy dentyści naprawiają więcej zębów, nie znaczy jeszcze, że mamy gorsze zęby niż Afrykanie'", konkluduje przewodniczący Fundacji Mozilla.

Pełna wersja raportu "Browser Vulnerability Analysis of Internet Explorer and Firefox" dostępna jest w blogu Jeffa Jonesa - http://blogs.technet.com/security/attachment/2594822.ashx.

Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Udostępnij:
Wybrane dla Ciebie
Komentarze (0)