Przeglądarkowy wyścig zbrojeń
27 lutego 2007 13:12 Mariusz Błoński
Grzegorz MichałekOsoba czytająca w październiku 2004 roku doniesienia prasowe czy fora internetowe mogła odnieść wrażenie, że czeka nas prawdziwa rewolucja. Oto zbliżał się debiut Firefoksa 1.0, który w końcu miał zapewniać bezpieczne surfowanie po Internecie i pobić na głowę Internet Explorera pod względem bezpieczeństwa. Tymczasem Mozilla poprawiła już 168 błędów Firefoksie, z czego 76 krytycznych. Co się stało? To taka zła przeglądarka czy też tak niebezpieczny stał się Internet? A może jest jeszcze inna przyczyna?
To jest "naturalne" zjawisko. Przeglądarka internetowa to potężna maszyna, której zadaniem jest przekazywanie niezwykle bogatej treści i to nie tylko w warstwie informacyjnej ale również (a może i przede wszystkim) w warstwie technicznej. Współczesne przeglądarki, chcąc wytrzymywać konkurencję, muszą obsługiwać zdecydowaną większość mechanizmów wykorzystywanych przez twórców stron (skrypty etc.). Redukcja obsługiwanych mechanizmów sprowadzi przeglądarkę do poziomu tekstowego Lynxa, a przecież nie o to chodzi. I to jest właśnie poligon dla wszelkiej maści luk, błędów, czy podatności na ataki, który jest taki sam dla produktów z linii IE jak i dla Firefoxa czy Opery. Czynnikiem nasilającym wykrywanie luk w poszczególnych produktach jest oczywiście popularność danego rozwiązania. Szacujemy, że ok. 60% użytkowników korzysta z IE (w różnych wersjach), 30% to Firefox, 5% to Opera. Widzimy również wzrost popularności rozwiązań innych niż IE (czyli Firefox i Opera rośnie w siłę) co w oczywisty sposób pociąga za sobą zainteresowanie tymi produktami właśnie w świetle ich bezpieczeństwa.
Ostatnimi czasy znacznie mniej słychać o lukach w IE. Czy Microsoft, jak się chwali, rzeczywiście lepiej go zabezpieczył, czy też po prostu przyzwyczailiśmy się do błędów w tej przeglądarce i traktujemy je jako coś zwyczajnego?
Trzeba przyznać, że najnowsze przeglądarki Microsoftu są faktycznie lepiej zabezpieczone. Poza tym wyszukiwanie luk w IE przestało być już takie "modne" - teraz pora na konkurencyjne oprogramowanie.
Czy firmy takie jak ArcaBit, działające na rynku zabezpieczeń, biorą w swojej pracy pod uwagę popularność programów, które mają zabezpieczyć? Czy jest tak, że większy priorytet mają dla Państwa ataki na IE niż na Firefoksa, a z kolei te są "ważniejsze" niż ataki na Operę?
Nie stosujemy tutaj żadnych priorytetów i z taką samą wagą rozpatrujemy zagrożenia dla wszelkich platform i rozwiązań.
No właśnie, Opera. Bardzo rzadko pojawiają się informacje o znalezionych w niej lukach. To ze względu na jej małą popularność i wynikające stąd małe zainteresowanie cyberprzestępców? A może jest po prostu bezpieczeniejsza niż IE czy Firefox?
Naszym zdaniem jest to głównie kwestia popularności. Jak już wspomniałem wcześniej, według naszych szacunków ok. 5% użytkowników korzysta z Opery, co oznacza, że szukanie luk w Operze nie jest jeszcze "opłacalne".
Czy dla specjalisty, który ma stworzyć oprogramowanie zabezpieczające komputer przed agresją z Internetu ma w ogóle znacznie, jakiej przeglądarki używają klienci? Czy któraś z wymienionych powyżej przeglądarek jest łatwiejsza w zabezpieczeniu od pozostałych?
De facto nie ma to znaczenia, ponieważ nasi klienci korzystają ze wszystkich przeglądarek (oczywiście w różnych proporcjach), a wszystkich klientów musimy zabezpieczać. Mamy wypracowane mechanizmy ochronne, które pozwalają nam eliminować zagrożenia niezależnie od wykorzystywanej przeglądarki.
Co z zabezpieczeniami Visty? Technologia PatchGuard uniemożliwi programom zabezpieczających pracę bezpośrednio na jądrze tego systemu. A przecież cyberprzestępcy nie będą się przejmowali zapisami prawnymi i nic ich nie powstrzyma przed złamaniem PatchGuarda. Czy w takiej sytuacji możliwe będzie zabezpieczenie Visty?
Oczywiście, że możliwe - z jednej strony będzie łatwiej, gdyż Vista (a zwłaszcza Vista 64-bitowa) jest już sama z siebie mocno zabezpieczona, a z drugiej strony trudniej, gdyż potencjalne mechanizmy i drogi ataku będą zapewne bardziej złożone, co w oczywisty sposób pociąga za sobą komplikację mechanizmów zapobiegawczych.
Domyślam się, że w pracy używa pan największej możliwej liczby przeglądarek, by sprawdzić, w jaki sposób działają i współpracują z tworzonym przez ArcaBit oprogramowaniem. A na domowym komputerze? Za pomocą jakiego browsera wędruje pan po Internecie?
Na co dzień korzystam z Firefoxa, aczkolwiek nie wynika to z większego poczucia bezpieczeństwa lecz z aspektów czysto subiektywno-estetycznych. Oczywiście w szczególnych przypadkach korzystam również z innych przeglądarek.
Opracowano na podstawie materiału Matta Hinesa z magazynu InfoWorld.
Do artykułu dodany został komentarz Grzegorza Michałka, szefa Działu Programistów w firmie ArcaBit
- qwerty
- 2007-02-27 14:45:47
a świetna Opera, która stoi cicho na uboczu - nadal jest najbezpieczniejszą przeglądarką. Kiedy ostatni raz wykryto w niej jakąś lukę? :> heheh Opera jest najlepsza moim zdaniem- pod każdym względem. Polecam
- Ancestor
- 2007-02-27 14:46:29
Warto zauważyć, że choć Firefox ma ostatnio złą passę, to jest to bardziej sprawa wizerunku i nagłośnienia luk w związku z tym, że Zalewski podaje je do publicznej wiadomości. Jednak faktyczna ilość dziur w kolejnych wersjach Firefoksa wbrew pozorom nie rośnie - liczba ta jest stabilna od czasu wersji 1.0: http://www.mozilla.org/projects/security/known-vulnerabilities.html . Ostatnia wersja 2.0.0.2 plasuje się wręcz poniżej średniej, jeśli chodzi o powagę dziur. Warto o tym pamiętać w tym całym zgiełku informacji. Pokazuje to zresztą, jak bardzo się liczy czysta "publicity" w porównaniu z suchymi statystykami.
- Jarek
- 2007-02-27 14:49:41
nowoczesna przeglądarka powinna mieć wbudowany moduł auto aktualizacji np. jak jakiś użytkownik zainstaluje Opera, po czym nie ma zamiaru sprawdzać czy wyszły nowe wersję, to nic z szybko łatanych luk jak użytkownik nawet nie zainstaluje nowej wersji
- jja
- 2007-02-27 14:53:09
ILOŚĆ ZNAJDYWANYCH BŁĘDÓW I PRZEPROWADZANYCH ATAKÓW JEST WPROST PROPORCJONALNA DO POPULARNOŚCI PRZEGLĄDARKI ILOŚĆ ŹLE WYŚWIETLANYCH STRON JEST ODWROTNIE PROPORCJONALNA DO POPULARNOŚCI
- k
- 2007-02-27 15:20:29
" Statystyki dziur Interesująco wygląda zestawienie odkrytych i załatanych luk w poszczególnych wyszukiwarkach. " powinno być "przeglądarkach"
- Maciek
- 2007-02-27 15:35:37
Ja używam Opery w Windowsie, jak i w Linuxie, jeszcze nic mnie nie zaatakowało. Należy również pamiętać o Firewallu i antywirusie.
- kkriss
- 2007-02-27 15:58:25
Trochę mało info o operze, czyżby preglądarki to tylko IE i FF?? @Ancestor: Ostatnia wersja 2.0.0.2 plasuje się wręcz poniżej średniej, - średniej czego? przeglądarek? jest druka po IE w ilości dziur, więc gdzie tu średnia, chyba, że uważasz, iż MS wyznacza średnią. Opera od długiego czasu nie ma jakielkowiek nie załatanej dziury, wygrywa w rankingach kompatybilności, tylko Opera poraadzi sobie z testem ACID 2.
- max
- 2007-02-27 16:15:48
re kkriss: Opera jest najlepsza pod wzgledem zgodnosci ze standardami, a i tak jest masa polglowkow webmasterow jak z koziej d... traba, ktorzy potrafia zrobic strony nie wyswietlane poprawnie wlasnie w Operze. Jest ok w IE i FF, w Operze zle. To trzeba miec talent;)
- borowik96
- 2007-02-27 16:33:48
opera jest najbezpieczniejsza, najwydajniejsza, najwygodniejsza, po prostu najlepsza!!!
- poco
- 2007-02-27 16:37:34
@borowik96 ma tylko 1 feler ... 20% stron się pod nią nie otwiera.
- Ancestor
- 2007-02-27 16:42:06
@kkriss "średniej czego? przeglądarek? jest druka po IE w ilości dziur, więc gdzie tu średnia, chyba, że uważasz, iż MS wyznacza średnią." Odnoszę się do często ostatnio stwierdzenia, że bezpieczeństwo Firefoksa pogarsza się. Mam na myśli średnią ilość i "jakość" dziur wykrywanych w kolejnych wersja Firefoksa. "wygrywa w rankingach kompatybilności, tylko Opera poraadzi sobie z testem ACID 2." ACID 2 to nie żaden wyznacznik kompatybilności ze standardami. To test wybranych przez jego autora części specyfikacji CSS 2. Z pewnością prestiżowy, ale w żadnej mierze nie wyczerpujący i nie ma sensu ciągłe go wymienianie jak jakiejś mantry. Sensowniejsze są podsumowania w rodzaju: http://www.webdevout.net/browser-support-summary Firefox ma niewielką przewagę w obsłudze (X)HTML i CSS 3, a Opera CSS 2.1 i DOM. Różnice są minimalne - obie przeglądarki mają znakomity poziom zgodności i na tym poprzestańmy.
- moltke
- 2007-02-27 17:39:13
@kkriss Nie tylko Opera radzi sobie z ACID2. Od dawna radzą sobie z tym Konqueror i Safari. @max Sam jestem webmasterem i zgadzam się całkowicie. Jedyne co jest wkurzające to brak standardów w JavaScripcie i wynikające stąd różnice w różnych przeglądarkach.
- mag21
- 2007-02-27 18:27:54
Bardzo lubie komputery ale coś mi jest bardzo potrzebne. Czy w którymś numerze PC WORDL KOMPUTER może byc płyta z Adobe photoshop?? bardzo bym prosiła
- alojz
- 2007-02-27 19:41:15
"To taka zła przeglądarka" - M$ płaci za pytania?
- Adam
- 2007-02-27 19:51:29
@mag21 Na stronie www Adobe jest 30-dniowa wersja Photoshopa do ściągnięcia. Jak chcesz pełną to idż do sklepu i sobie kup. A jak nie masz na niego kasy to korzystaj z bezpłatnego GIMPa.
- Adam
- 2007-02-27 19:56:11
@Ancestor - Sensowniejsze są podsumowania w rodzaju: http://www.webdevout.net/browser-support-summary Jaki ma sens porównanie w którym brakuje Konquerora i Safari?
- Ancestor
- 2007-02-27 20:25:05
@Adam Jaki ma sens porównanie w którym brakuje Konquerora i Safari? Nie mówiłem przecież o podsumowywaniu wszystkich przeglądarek, a jedynie porównywałem konkretnie Operę i Firefoksa.
- teddy B
- 2007-02-27 20:46:53
Za popularność się płaci. Śmiać mi sie chce z tępaków, którzy niczym małe dzieci chwalą się, jakie to mają "bezpieczne" przeglądarki, ładują avatary z wielkim "O", mega sygnatury z "liskiem", a nawet skrypty na strony www, które uniemożliwiają wyświetlanie strony na innych przeglądarkach, niż np. firefox. Cóż, nawet w tych sprawach można spotkać śmiesznych fanatyków. Nie przekonasz takich osób, że bezpieczeństwo, lub jego brak jest ściśle związane z popularnością danego produktu, więc jeśli coś zajmuje mniejszy procent rynku (firefox w stosunku do IE) to wiadomo, że nikt nie bedzie się wysilał, aby wykorzystywać mało popularny produkt do jakichś ataków, tylko zajmuje się tym, z czego korzysta większość. Ale sytuacja zmienia się z każdym dniem, firefox zdobywa uznanie ludzi, wzrasta jego popularność - wiec nasilają sie ataki, i nieważne jak bardzo twórcy będą zachwalali swoj produkt - zawsze ktoś znajdzie lukę i zawsze będzie mógł za jej pomocą zrobić szkody. Tak więc, cieszcie się, że te wasze wynalazki typu firefox, opera, itp. są mniej popularne od tego wynalazku od M$. Bo być może kiedyś będziecie mówić "ja teraz korzystam z xxxxxx, a firefoxa to już boje sie odpalać, BO MI SIE KTOŚ WŁAMIE NA KOMPA", tak jak niektóre pajace teraz mówią o IE. Leże i kwicze ze śmiechu jak czytam takie coś. No ale cóż, pewnie gdy nie moga pobrać nowszej wersji, to nie włączają kompa, bo hakerzy im wszystko wykradną hehehehehe. Dobra, koniec żartów. Na koniec dodam, że używam kilku przeglądarek, aby testować, sprawdzać, itp. Więc nie jestem żadnym fanboyem IE jakby to mogło wynikać z w/w tekstu. Po prostu śmieszy mnie ludzka głupota i tok myślenia, że tylko i wyłacznie "bezpieczna" przegladarka zapobiegnie atakom na dany komputer. BTW, im więcej przeglądarek na rynku, tym lepiej!!
- Joszejk
- 2007-02-27 21:09:39
teddyB: a ja używam przeglądarki gdzie sam decyduję czy jakiekolwiek skrypty na danej witrynie mogą działać - ciekawym czy Twoja to "potrafi"; oczywiście i IExploder może być bezpieczny - jeśli się go używa z głową, ale do wygodnego korzystania z niego, to jeszcze daleko.
- WW
- 2007-02-27 22:28:28
@teddy B - to pośmiej się z siebie samego w takim razie. Uświadom sobie, że bezpieczeństwo lub jego brak wcale nie jest ściśle powiązane z popularnością danego software ALE Z SZYBKOŚCIĄ REAKCJI NA WYKRYTY BŁĄD !!! Jak nie wierzysz to wejdź na Secunię i porównaj ilość dziur Debiana i XPka oraz ilość załatanych dziur tych dwóch produktów (z czasem reakcji włącznie).
- marcin
- 2007-02-27 23:17:56
@Ancestor, ni, ff nie radzi sobie z dobrze z xhtmlem i z cssami ...;/ @teddy B, nie zgodze sie, takze uzywam kilku przegladarek by sprawdzic efekt mojej pracy. Owszem jestem za im wiecej rpzegladarek tym lepiej, ale prosze tylko o jedno, niech one k.... beda zgodne z w3c...;/ blagam... bo z dnia na dzien coraz bardziej mnei to irytuje... pozdrawiam
- Ancestor
- 2007-02-28 02:11:19
@teddy B Oczywiście, że logiczna jest tendencja, że popularniejszy program jest bardziej narażony na ataki. Ale ponieważ popularność jest tylko jednym z wielu czynników, nie jest to bynajmniej żelazna reguła. Jest ona spełniana raz w mniejszym, a raz w większym stopniu i istnieją wreszcie zupełnie niej przeczące wyjątki (Apache, anyone?). Więc zanim zaczniesz wyzywać ludzi od śmiesznych fanatyków skonfrontuj swoje teorie z faktami dla konkretnego przypadku: http://www.webdevout.net/firefox-myths#security_popularity Każdy potrafiący zinterpretować prosty wykres zauważy, że liczba łatanych w Firefoksie dziur jak dotąd wcale nie rośnie wraz ze wzrostem udziału w rynku!
- qqman
- 2007-02-28 09:49:59
@Ancestor: wyjątki, z racji bycia wyjątkami, potwierdzają regułę. A Apache nie jest żadnym wyjątkiem. Prosz: http://www.heise-security.co.uk/news/85959 Chciałeś, masz, dokładnie w tym samym dniu. Zależność jest prosta: przestępcy atakują obecnie w 90% (albo i więcej) użytkowników, nie firmy. Więc interesuje ich oprogramowanie przez nich używane. Im większy udział FF w rynku, tym więcej luk. Im więcej luk, tym więcej czasu potrzeba na ich załatanie. Proste jak drut.
- Operator
- 2007-03-01 19:35:31
nie wazne czy FF czy opera czy cos innego, wazne ze nie IE ;]
- sdaj
- 2007-03-08 07:37:54
W Interneet Explorerze, w Firefoksie, w Operze, wszędzie błędy. Nikt jednak nie wspomniał o Avant Browser, nie jest to może popularna przeglądarka, ale ma to, co IE7, Firefox i Opera. No i jeszcze wygląda ładniej...
- robson
- 2007-03-08 10:59:57
"sdaj" - Avant Browser to nie przeglądarka a nakładka na IE :)Aby dział Avant Browser wymagana jest obecność IE.
Popularne produkty
Pobierz bezpłatnego e-booka 
Kariera w IT 2012
