-
Mozilla Firefox: неужели он такой «дырявый», как пишут многие?
Интересная ситуация разворачивается в последнее время вокруг альтернативного браузера Firefox от корпорации Mozilla. Множество разнообразных ресурсов, в том числе и широко известные, публикуют различные «доклады» на тему незакрытых уязвимостей и дыр в системе безопасности программы.
Никто не спорит, что ошибки имеют место, и как заметно по официальному списку http://www.mozilla.org/projects/secu...abilities.html, присутствуют они в достаточно большом количестве. Из этого же списка видно, что устраняют негативные моменты достаточно оперативно, но в чем тут проблема? Неужели другие серьезные продукты, такие как Opera, а в первую очередь Internet Explorer, безгрешны в плане ошибок?
Не исключено, что даже совсем наоборот, но из-за закрытости кода последних, выявить это публично практически невозможно. Бывают отдельные случаи, когда удается найти ошибку и сделать эксплойт (случайно или специально), или же сама Microsoft официально выпускает заплатку раз в месяц, но особую шумиху на этом фоне никто не поднимает, все как обычно.
В тоже время любой желающий может скачать последний исходный код Firefox, запустить через специальный программный анализатор кода, например Klocwork K7 (как это было относительно недавно), и фактически заявлять о «кривых» руках разработчиков, что в свою очередь вводит в заблуждение конечных пользователей.
При создании любого программного проекта ошибки имеют место, без них просто не обходится сам процесс разработки и программирования. По возможности их устраняют, все конечно зависит от уровня и перспектив продукта, например, как в случае с Firefox, который позиционировался как будущий конкурент Internet Explorer, чему предшествовала большая рекламная компания. Но первый пока не имеет такого подавляющего преимущества, если когда-либо вообще его обретет. Странно, но на фоне шумихи вокруг последнего популярного решения от Mozilla как-то подзабыли и о родоначальнике, а именно Mozilla Suite (теперь SeaMonkey), который, кстати, использует такой же движок, и в нем устраняются практически те же уязвимости с ошибками, а Firefox, так сказать отдельно изъятый и отполированный для конечного пользователя кусочек пирога.
Можно сделать небольшой экскурс в историю. Когда-то, еще в начале, казалось бы, уже далекого 2004-го года в сеть через пиринговые сети просочился zip-архив с исходным кодом Windows 2000. Назвать те данные полноценным исходным кодом можно с натяжкой, так как это была сравнительно небольшая часть кода первого сервисного пакета для Windows 2000. На тот момент многие эксперты высказали мнение о том, что данный случай не приведет к массовому выявлению уязвимостей, и опасения на этот счет безосновательны. Однако несколько позднее обнаружилась «дырка» в коде обработки BMP-файлов браузера Internet Explorer, причем нашли ее, изучая все тот, казалось бы, никому ненужный и «безопасный» кусок данных.
Теперь ситуация уже другая, Firefox, как и все решения от Mozilla, распространяются с открытыми исходными кодами, последние версии которых можно свободно скачать с множества FTP-серверов. Возможность анализировать и помогать разработчикам имеет любой желающий, но почему-то упорно вместо содействия идет безостановочная критика в огромных масштабах. Причем в конце этого месяца должен выйти новый релиз Firefox версии 2.0, а примерно то же время появится и обновленный Internet Explorer версии 7.
Это не наводит ни на какие мысли?
Ссылки «по теме» на английском:
* Firefox security flaw impossible to patch? (zdnet.com)
* Symantec: Mozilla browsers more vulnerable than IE (news.com)
* Hackers claim zero-day flaw in Firefox (news.com)
* Alleged 'Unfixable' Exploit in Firefox (betanews.com)
* Firefox Flaw a Hoax, Admits Speaker (betanews.com)
http://www.overclockers.ru
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Ну критика идет только на пользу. А в отношении дырявости так Firefox и IE одинаково дырявые. Лично я пользуюсь Firefox потому что он удобней, а не безопасней.
-
-
Дырявый, очень дырявый > Опера решает=))
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
-
-
Junior Member
- Вес репутации
- 69
Плагины NoScript, CookieSafe, AdBlock вот они точно решают. Степень безопасности мозиллы довольно сильно возрастет.
-
Имхо:
1. То, что Mozilla идет с открытым исходником не повлияло на дырявость. Вернее, повлияло, только в обратную сторону. Независимые разработчики могли бы найти баг, потихоньку сообщить разработчикам и дыра была ба закрыты. Между тем наблюдается обратная тенденция - "кто громче прокричит об очередной дырке"
2. "Дырявость" является функцией от "используемости". Т.е. чем популярнее продукт, тем более активно в нем будут искать уязвимости и тем активнее будет писать под него эксплоиты.
-
-
Олег по второму пункту совершенно прав. Сравним открытый файрфокс и закрытый ИЕ. Последний как только не нагибали раком (я с ходу могу назвать десяток уязвимостей, использовать которые мог бы любой школьник не прибегая к написанию шелл-кода)...
Что касается ФФ, то хрен знает, кто его только и использует... совершенно неюзабельная вещь без кучи плагинов (все имхо, я привык к удобствам Оперы).
Ну и напоследок...
Назвать те данные полноценным исходным кодом можно с натяжкой, так как это была сравнительно небольшая часть кода первого сервисного пакета для Windows 2000.
Все было не совсем так, в том числе и в плане последствий )
-
Я считал, что такие заявления направлены скорее на развенчивание мифа, что ФФ, мол, менее дыряв, чем ие, который имел хождение в начале запуска ФФ.
-
-
Тем мне менее, не было ни одного случая (на нашем форуме точно), что какой либо зверек попал через ФФ. Как то зараза к нему не липнет, как к ИЕ, в крайнем случае при зависании перезагрузил и все. Кроме того, большой плюс ФФ, что он не интегрирован с Виндой, а этот плюс все перевешывает. Сейчас начал юзать Internet Explorer версии 7 (работает неплохо, до первого нового эксплойта, тьфу, тьфу..), надо будет сравнить с релизом Firefox версии 2.0, когда выйдет.
-
-
Сообщение от
SDA
(работает неплохо, до первого нового эксплойта, тьфу, тьфу..), н
приватники уже скорее всего есть, а дырка через пару часов наеденная после релиза вообще шикарно=))
The only way to get smarter is by playing a smarter opponent.. © fundamentals of Chess 1883
"Dream as if you'll live forever, live as if you'll die today." (с) James Dean.
Менеджер по проектам(без опыта работы менеджером) или ассистент для начала , никому не нужен?=)
-