Danilka

"Дутая" безопасность Firefox

В этой теме 20 сообщений

Уходящий ноябрь оказался крайне богатым на события для сообщества Mozilla. Пятилетний юбилей Рыжего Лиса, обнародование некоторых планов на ближайшее будущее, выпуск бета-версии Firefox 3.6 и предварительной редакции программы с индексом 3.7, использующей для прорисовки нагруженных графическими элементами сайтов мощности современных графических ускорителей, - все эти и некоторые другие события омрачились опубликованным специалистами американской компании Cenzic отчетом Web Application Security Trends Report, описывающем уровень безопасности веб-приложений. Согласно последнему, Firefox занял лидирующие позиции по числу уязвимостей среди всех остальных популярных браузеров.

По данным экспертов Cenzic, 44% всех обнаруженных в интернет-обозревателях дыр, пришлось на Firefox. Второе место досталось браузеру Apple Safari с 35%; далее следуют Internet Explorer и Opera с 15 и 6% соответственно. При этом аналитики отметили, что во второй половине прошлого года наблюдалась совершенно иная картина: по количеству брешей в защите лидировал майкрософтовский IE с долей в 43%, а на всенародно любимый Firefox приходилось 39% новых уязвимостей.

Дальше http://www.computerra.ru/terralab/softerra/482242/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Думаю с ФФ так оно было и так оно будет поскольку ФФ продукт бесплатный и открытый как "Елка", которую пока не обвесишь - новогодней не станет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Более безопасен не тот браузер, в котором обнаруживают меньше уязвимостей, а в котором быстрее их закрывают.

Количество же обнаруживаемых уязвимостей указывает больше на популярность браузера, на интерес к нему злоумышленников.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Количество же обнаруживаемых уязвимостей указывает больше на популярность браузера, на интерес к нему злоумышленников.

Как раз популярность браузера пробуждает интерес злоумышленников.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Как раз популярность браузера пробуждает интерес злоумышленников.

Да, и как следствие находят больше уязвимостей. Но если уязвимости быстро закрываются, это браузеру только плюс. Наверное, нет браузера более быстро обновляющегося при обнаружении критических уязвимостей, чем Mozilla Firefox. А если не закрывать долгое время, то достаточно и одной уязвимости. Так что "дутые" выводы в статье. Или "раздутые".

Хотя в источнике говорится буквально следующее:

Что же в итоге получается? А получается, что мы вновь столкнулись отсутствием единых общепринятых средств и стандартов для оценки параметров конкурирующих продуктов (см. наши недавние материалы "Dr.Web и устойчивость к взлому" и "Google Chrome 4.0 beta: покорение скорости"), и до тех пор, пока не будут выработаны конкретные правила, чёткой картины того, какой из представленных на рынке браузеров наиболее безопасен, мы не увидим, и в Интернете будут с завидным постоянством появляться исследовательские отчёты, подобные рассмотренному в этой заметке.

Единственное замечание авторам - этот вывод не согласуется с заголовком статьи.

Да, и в очередной раз указываю, что подобный абзац должен присутствовать при публикации результатов любого тестирования. О том, что эти результаты... подлежат обжалованию и могут не соответствовать действительности. А также не отражают качество тестируемых продуктов в целом. Это придаёт материалу серьёзности и объективности.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Наверное, нет браузера более быстро обновляющегося при обнаружении критических уязвимостей, чем Mozilla Firefox.

хром, например.. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пропатченность снижает риск вздрючивания, а популярность увеличивает + разрывы в сроках.

Одно дело, когда "Неуловимый Джо" забудет взять с собой кольт на прогулку (Chromium, Opera), а совсем другое - уронить зэку в душевой мыло (IE, Firefox). :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
хром, например.. smile.gif

Засекали? Хром не считаю хорошим браузером - слишком большой дистрибутив и ограниченные возможности. Да, для обычного пользователя хватит, но тогда дистриб должен быть на порядок меньше.

Пропатченность снижает риск вздрючивания, а популярность увеличивает + разрывы в сроках.

Одно дело, когда "Неуловимый Джо" забудет взять с собой кольт на прогулку (Chromium, Opera), а совсем другое - уронить зэку в душевой мыло (IE, Firefox).

Слишком образно. Не понятно, что имелось в виду. Возможно, не такой богатый жизненный опыт.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Слишком образно. Не понятно, что имелось в виду. Возможно, не такой богатый жизненный опыт.

Да, я заметил. Ваш опыт "магическим образом" исчезает, когда играет против вас или нужно кого-то поддеть. ;)

А если разжевать и в ротик положить, то суть - дырявость и безопасность пользователя не имеют прямой зависимости т.к. существует много других факторов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Засекали?

Фиксы в нём делаются непрерывно. За сутки выходит около 10-20 билдов хромиума.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Фиксы в нём делаются непрерывно. За сутки выходит около 10-20 билдов хромиума.

Не думаю, что все эти сборки попадают в релиз. "Ночные" сборки Firefox тоже собираются постоянно. Возможно, не десятки в сутки, но несколько точно. Зачем собирать что-то так часто, не вполне понятно.

Да, я заметил. Ваш опыт "магическим образом" исчезает, когда играет против вас или нужно кого-то поддеть. wink.gif

А если разжевать и в ротик положить, то суть - дырявость и безопасность пользователя не имеют прямой зависимости т.к. существует много других факторов.

Спасибо за то, что пояснили, что Вы имели в виду то же, что и я. Т.е. что полученное исследование не является показательным по выявлению наиболее безопасного/небезопасного браузера. Ибо за основы взяты не показательные факторы. Вернее, факторы, которые понятны среднему пользователю, но не являются показательными при определении степени защищённости браузеров в течение сколь-нибудь длительного времени. Тестировать защищённость нужно как-то не количеством каких-то неопределённых сущностей. Не вполне понятно, что в данном случае подразумевается под уязвимостью. Одной уязвимостью легко воспользоваться, другой - практически не реально или неудобно. Одну и ту же ситуацию один производитель браузера посчитает уязвимостью, другой - нет. Один посчитает ситуацию за одну уязвимость, другой - за несколько небольших уязвимостей. Один закрывает уязвимости сразу, другой тестирует заплатку на протяжении месяцев. Всё относительно. И сравниваются на самом деле несравнимые вещи. Общее только слово "уязвимость", понятие которой для каждого производителя браузеров разное. Примерно так же, как в антивирусах понятие "вирусная запись" или "сигнатура". Как тебе удобнее - так и интерпретируй. Но на объективность похоже мало.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
полученное исследование не является показательным по выявлению наиболее безопасного/небезопасного браузера.

Я бы отметил практически прямую зависимость: популярность - опасность. Остальными факторами можно пренебречь (в разумных пределах показателей).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Не вполне понятно, что в данном случае подразумевается под уязвимостью. Одной уязвимостью легко воспользоваться, другой - практически не реально или неудобно.

Верно.

На мой взгляд наиболее опасными являются уязвимости проявляющиеся при неявном использовании браузера, например, при просмотре пришедшего html текста в окне почтового клиента. (интересна связка outlook и ie)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

у меня GPRS, и потому "часторелизный" Firefox не может быть популярным на моём компе. Всем остальным браузерам предпочитаю Оперу (не сочтите за рекламу). Уязвимостей не так много и исправляют их быстро.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
у меня GPRS, и потому "часторелизный" Firefox не может быть популярным на моём компе.

Не думаю, что это проблема. При обновлении Firefox скачивается не полностью дистрибутив (кстати, размер его около 8МБ), а патч, который производит обновление. Обычно это не более пары МБ. Плюс в релизе обновления происходят не чаще нескольких раз в месяц. Как раз самое то для GPRS.

Всем остальным браузерам предпочитаю Оперу (не сочтите за рекламу). Уязвимостей не так много и исправляют их быстро.

И что, когда исправляют, обновления качать не нужно? Или уязвимостей так мало, что раз в полгода быстро исправить не проблема? :)

Т.е. не вполне прочувствовал разницу между О и ФФ в этом плане.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

c Noscript и Ad Block лиса обходит и IE и Opera,а хром я удалил на вечер того дня как поставил-очень глючная вещь для меня оказалась.

простой тест проведите-без антивируса и файервола зайдите на любой ресурс для пионеров "заработок" типа серфинга по сайтам и походите по таким помойкам без защиты(словите массу новых впечатлений и пополните коллекцию новых вирусов),а только с лисой с плагинами и остальными браузерами и вечером поставьте антивирус любой и сравните после какого браузера на пк больше осталось вирусов.

лиса не проиграет его.(c noscript+ad block) чистой лисой уже давно не пользуюсь-это как xp без заплаток почти.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Не думаю, что это проблема. При обновлении Firefox скачивается не полностью дистрибутив (кстати, размер его около 8МБ), а патч, который производит обновление. Обычно это не более пары МБ. ...

Не всем так везет. Несколько обновлений подряд мне предлагалось скачать дистрибутив полностью, по причине невозможности обновить установленный Firefox. Или я слишком хорошо в настройках поработал или еще какая другая причина была.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
мне предлагалось скачать дистрибутив полностью, по причине невозможности обновить установленный Firefox. Или я слишком хорошо в настройках поработал или еще какая другая причина была.

Да, такие проблемы бывают. Сам сталкивался. Но в целом меня задумка устраивает. В системе установлены все 3 браузера "большой тройки", поэтому следить за тем, что реализуется в каждом из этих браузеров, слежу. Но удобнее (для моих целей) оказался Firefox. Конечно, это субъективно. На самом деле с браузером любого производителя можно обеспечить при желании безопасную работу.

Google Chrome пока что не считаю достойным включения в этот круг, ибо пока что на позиции ещё одной операционной системы/языка программирования и пр. от Google, ибо для текущих задач этой компании всеприсутствие необходимо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
c Noscript и Ad Block лиса обходит и IE и Opera

Опера + Handycache с черным списком + его расширениеContent Master = тоже не хилая связка.

Не совсем NoScript - но всё же.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • PR55.RP55
      + DOTPITCH.INC
      Huai'an Qianfeng Network Technology Co., Ltd.
      Suzhou Xingchen Network Technology Co., Ltd.
      Kunshan Kuaila Information Technology Co., Ltd.
      RuiQing Software Technology Beijing Inc.
    • Lexluthor87
       Из своего личного опыта  могу поделиться следующей информацией. Кто-нибудь знаком с порядком получения микрокредитов в интернете? Я сам множество раз встречал в сети рекламу, типа, мгновенно любую сумму на ваш счет, без поручителей и залога, нужен только паспорт и ИНН...На днях срочно понадобились 3300 дол США  на 5-6 дней, и я начал искать варианты, типа быстроденьги и т.д. Я долго искал именно такой вариант, чтобы минимально переплачивать на процентах. Как я понял, в среднем процентные ставки микрокредитов в 2018 году составляют около 1-3% в день, это в основном зависит от суммы кредита. Но есть и варианты кредитов со ставкой менее 1%!!! Ставки 0,5-0,17% в день!!! Я нашел сам когда залез на https://fin32.com/ua , там куча предложений, пришлось перечитать массу вариантов, но оно того стоило. кому надо - пробуйте)
    • seomasterpro
      Если Ваш сайт работает на WordPress, то рекомендую установить плагин "Anti-Malware Security and Brute-Force Firewall".  Данный плагин является одним из немногих, что способны не только обнаруживать вредоносный код, но и умеют  удалять его. Функции и возможности. Автоматическое устранение известных угроз. Возможность загрузки определений новых угроз по мере их обнаружения. Автоматическое обновление версий TimThumb для устранения уязвимостей. Автоматическая установка обновления WP-login.php, чтобы блокировать атаку brute force. Возможность настроек сканирования. Запуск быстрого сканирования из админ. панели или полное сканирование из настроек плагина. Если Вам нужны рекомендации как пользоваться данным плагином для выявления вредоносных кодов на Вашем сайте, то можете обратиться к спецам от веб-студии на https://seo-master.pro Без регистрации плагин работает только в режиме сканирования. Регистрация плагина позволяет получить доступ к новым определениям «известных угроз» и другим функциям таким, как автоматическое удаление, а также патчи для конкретных уязвимостей , таких как старые версии TimThumb. Обновленные файлы определения могут быть загружены автоматически после того, как только Ваш ключ зарегистрирован. В противном случае, этот плагин просто сканирует на наличие потенциальных угроз и предоставляет Вам самостоятельно определять и удалять вредоносный код.
    • PR55.RP55
      Я с какой целью вам дал ссылку ? Откройте. И, если уж пишите про PC то стоит привести его характеристики. Asus k50c 2008 год; Windows 7; Одноядерный - Celeron 220 с тактовой частотой 1200 МГц; Память: DDR2 - 2ГБ. встроенная видеокарта: SiS Mirage 3+; HDD на 250 ГБ  
    • kostepanych
      А комодо без проблем работает без инета? Можно ли обновлять базы без инета, скачав обновления с официального сайта на другом компе?
      И не будет ли он сильно грузить старый ноут Asus k50c?