Перейти к содержанию

Recommended Posts

Danilka

Уходящий ноябрь оказался крайне богатым на события для сообщества Mozilla. Пятилетний юбилей Рыжего Лиса, обнародование некоторых планов на ближайшее будущее, выпуск бета-версии Firefox 3.6 и предварительной редакции программы с индексом 3.7, использующей для прорисовки нагруженных графическими элементами сайтов мощности современных графических ускорителей, - все эти и некоторые другие события омрачились опубликованным специалистами американской компании Cenzic отчетом Web Application Security Trends Report, описывающем уровень безопасности веб-приложений. Согласно последнему, Firefox занял лидирующие позиции по числу уязвимостей среди всех остальных популярных браузеров.

По данным экспертов Cenzic, 44% всех обнаруженных в интернет-обозревателях дыр, пришлось на Firefox. Второе место досталось браузеру Apple Safari с 35%; далее следуют Internet Explorer и Opera с 15 и 6% соответственно. При этом аналитики отметили, что во второй половине прошлого года наблюдалась совершенно иная картина: по количеству брешей в защите лидировал майкрософтовский IE с долей в 43%, а на всенародно любимый Firefox приходилось 39% новых уязвимостей.

Дальше http://www.computerra.ru/terralab/softerra/482242/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DWState

Думаю с ФФ так оно было и так оно будет поскольку ФФ продукт бесплатный и открытый как "Елка", которую пока не обвесишь - новогодней не станет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Более безопасен не тот браузер, в котором обнаруживают меньше уязвимостей, а в котором быстрее их закрывают.

Количество же обнаруживаемых уязвимостей указывает больше на популярность браузера, на интерес к нему злоумышленников.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Александр Шабанов
Количество же обнаруживаемых уязвимостей указывает больше на популярность браузера, на интерес к нему злоумышленников.

Как раз популярность браузера пробуждает интерес злоумышленников.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Как раз популярность браузера пробуждает интерес злоумышленников.

Да, и как следствие находят больше уязвимостей. Но если уязвимости быстро закрываются, это браузеру только плюс. Наверное, нет браузера более быстро обновляющегося при обнаружении критических уязвимостей, чем Mozilla Firefox. А если не закрывать долгое время, то достаточно и одной уязвимости. Так что "дутые" выводы в статье. Или "раздутые".

Хотя в источнике говорится буквально следующее:

Что же в итоге получается? А получается, что мы вновь столкнулись отсутствием единых общепринятых средств и стандартов для оценки параметров конкурирующих продуктов (см. наши недавние материалы "Dr.Web и устойчивость к взлому" и "Google Chrome 4.0 beta: покорение скорости"), и до тех пор, пока не будут выработаны конкретные правила, чёткой картины того, какой из представленных на рынке браузеров наиболее безопасен, мы не увидим, и в Интернете будут с завидным постоянством появляться исследовательские отчёты, подобные рассмотренному в этой заметке.

Единственное замечание авторам - этот вывод не согласуется с заголовком статьи.

Да, и в очередной раз указываю, что подобный абзац должен присутствовать при публикации результатов любого тестирования. О том, что эти результаты... подлежат обжалованию и могут не соответствовать действительности. А также не отражают качество тестируемых продуктов в целом. Это придаёт материалу серьёзности и объективности.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zilla
Наверное, нет браузера более быстро обновляющегося при обнаружении критических уязвимостей, чем Mozilla Firefox.

хром, например.. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel

Пропатченность снижает риск вздрючивания, а популярность увеличивает + разрывы в сроках.

Одно дело, когда "Неуловимый Джо" забудет взять с собой кольт на прогулку (Chromium, Opera), а совсем другое - уронить зэку в душевой мыло (IE, Firefox). :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
хром, например.. smile.gif

Засекали? Хром не считаю хорошим браузером - слишком большой дистрибутив и ограниченные возможности. Да, для обычного пользователя хватит, но тогда дистриб должен быть на порядок меньше.

Пропатченность снижает риск вздрючивания, а популярность увеличивает + разрывы в сроках.

Одно дело, когда "Неуловимый Джо" забудет взять с собой кольт на прогулку (Chromium, Opera), а совсем другое - уронить зэку в душевой мыло (IE, Firefox).

Слишком образно. Не понятно, что имелось в виду. Возможно, не такой богатый жизненный опыт.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Слишком образно. Не понятно, что имелось в виду. Возможно, не такой богатый жизненный опыт.

Да, я заметил. Ваш опыт "магическим образом" исчезает, когда играет против вас или нужно кого-то поддеть. ;)

А если разжевать и в ротик положить, то суть - дырявость и безопасность пользователя не имеют прямой зависимости т.к. существует много других факторов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zilla
Засекали?

Фиксы в нём делаются непрерывно. За сутки выходит около 10-20 билдов хромиума.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Фиксы в нём делаются непрерывно. За сутки выходит около 10-20 билдов хромиума.

Не думаю, что все эти сборки попадают в релиз. "Ночные" сборки Firefox тоже собираются постоянно. Возможно, не десятки в сутки, но несколько точно. Зачем собирать что-то так часто, не вполне понятно.

Да, я заметил. Ваш опыт "магическим образом" исчезает, когда играет против вас или нужно кого-то поддеть. wink.gif

А если разжевать и в ротик положить, то суть - дырявость и безопасность пользователя не имеют прямой зависимости т.к. существует много других факторов.

Спасибо за то, что пояснили, что Вы имели в виду то же, что и я. Т.е. что полученное исследование не является показательным по выявлению наиболее безопасного/небезопасного браузера. Ибо за основы взяты не показательные факторы. Вернее, факторы, которые понятны среднему пользователю, но не являются показательными при определении степени защищённости браузеров в течение сколь-нибудь длительного времени. Тестировать защищённость нужно как-то не количеством каких-то неопределённых сущностей. Не вполне понятно, что в данном случае подразумевается под уязвимостью. Одной уязвимостью легко воспользоваться, другой - практически не реально или неудобно. Одну и ту же ситуацию один производитель браузера посчитает уязвимостью, другой - нет. Один посчитает ситуацию за одну уязвимость, другой - за несколько небольших уязвимостей. Один закрывает уязвимости сразу, другой тестирует заплатку на протяжении месяцев. Всё относительно. И сравниваются на самом деле несравнимые вещи. Общее только слово "уязвимость", понятие которой для каждого производителя браузеров разное. Примерно так же, как в антивирусах понятие "вирусная запись" или "сигнатура". Как тебе удобнее - так и интерпретируй. Но на объективность похоже мало.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
полученное исследование не является показательным по выявлению наиболее безопасного/небезопасного браузера.

Я бы отметил практически прямую зависимость: популярность - опасность. Остальными факторами можно пренебречь (в разумных пределах показателей).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
Не вполне понятно, что в данном случае подразумевается под уязвимостью. Одной уязвимостью легко воспользоваться, другой - практически не реально или неудобно.

Верно.

На мой взгляд наиболее опасными являются уязвимости проявляющиеся при неявном использовании браузера, например, при просмотре пришедшего html текста в окне почтового клиента. (интересна связка outlook и ie)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Snejoker

у меня GPRS, и потому "часторелизный" Firefox не может быть популярным на моём компе. Всем остальным браузерам предпочитаю Оперу (не сочтите за рекламу). Уязвимостей не так много и исправляют их быстро.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
у меня GPRS, и потому "часторелизный" Firefox не может быть популярным на моём компе.

Не думаю, что это проблема. При обновлении Firefox скачивается не полностью дистрибутив (кстати, размер его около 8МБ), а патч, который производит обновление. Обычно это не более пары МБ. Плюс в релизе обновления происходят не чаще нескольких раз в месяц. Как раз самое то для GPRS.

Всем остальным браузерам предпочитаю Оперу (не сочтите за рекламу). Уязвимостей не так много и исправляют их быстро.

И что, когда исправляют, обновления качать не нужно? Или уязвимостей так мало, что раз в полгода быстро исправить не проблема? :)

Т.е. не вполне прочувствовал разницу между О и ФФ в этом плане.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vovan7777

c Noscript и Ad Block лиса обходит и IE и Opera,а хром я удалил на вечер того дня как поставил-очень глючная вещь для меня оказалась.

простой тест проведите-без антивируса и файервола зайдите на любой ресурс для пионеров "заработок" типа серфинга по сайтам и походите по таким помойкам без защиты(словите массу новых впечатлений и пополните коллекцию новых вирусов),а только с лисой с плагинами и остальными браузерами и вечером поставьте антивирус любой и сравните после какого браузера на пк больше осталось вирусов.

лиса не проиграет его.(c noscript+ad block) чистой лисой уже давно не пользуюсь-это как xp без заплаток почти.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
UIT
Не думаю, что это проблема. При обновлении Firefox скачивается не полностью дистрибутив (кстати, размер его около 8МБ), а патч, который производит обновление. Обычно это не более пары МБ. ...

Не всем так везет. Несколько обновлений подряд мне предлагалось скачать дистрибутив полностью, по причине невозможности обновить установленный Firefox. Или я слишком хорошо в настройках поработал или еще какая другая причина была.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
мне предлагалось скачать дистрибутив полностью, по причине невозможности обновить установленный Firefox. Или я слишком хорошо в настройках поработал или еще какая другая причина была.

Да, такие проблемы бывают. Сам сталкивался. Но в целом меня задумка устраивает. В системе установлены все 3 браузера "большой тройки", поэтому следить за тем, что реализуется в каждом из этих браузеров, слежу. Но удобнее (для моих целей) оказался Firefox. Конечно, это субъективно. На самом деле с браузером любого производителя можно обеспечить при желании безопасную работу.

Google Chrome пока что не считаю достойным включения в этот круг, ибо пока что на позиции ещё одной операционной системы/языка программирования и пр. от Google, ибо для текущих задач этой компании всеприсутствие необходимо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Snejoker
c Noscript и Ad Block лиса обходит и IE и Opera

Опера + Handycache с черным списком + его расширениеContent Master = тоже не хилая связка.

Не совсем NoScript - но всё же.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • alamor
      @demkd, вот неудобно, что посмотришь подробную инфу о файле по дабл-клику - примешь решение удалять его. И нельзя сразу из того же окна удалить его (или ссылки на него). Надо выходить из того окна и так. 

       
    • Александр57
      На вкладке "защита" не активен на вкл. ползунки "защита от программ вымогателей" и "проверка на наличие рукитов". Как включить? Программам Malwarebytes premium лицензионная.
    • PR55.RP55
      т.е.  в settings.ini можно прописать так: ; Включить поддержку белого списка ЭЦП. (по умолчанию 0)
      ; Список хранится в файле wdsl, который представляет собой обычный текстовый файл в unicode ; ;  ; ; кодировке.
      ; Одна строка - одно имя, регистр важен.
      bUseWDSList = 1
      ; Скрывать проверенные файлы со статусом "ВИРУС" если активен белый список.
      ; (файлы скрываются при запуске функции автоскрипт)
      ; Функция применима при работе с сигнатурами.
      ImgAutoHideVerified = 1
    • PR55.RP55
      WDLS Параметр в settings.ini
         [Settings]
         ; Включить поддержку белого списка ЭЦП.
           bUseWDSList (по умолчанию 0) ------------    ; Скрывать проверенные файлы со статусом "ВИРУС" если активен белый список.
         ; (файлы скрываются при запуске функции автоскрипт)
           ImgAutoHideVerified (по умолчанию 0) ---------- Это файл который вы сами составляете\дополняете из Инфо. файла. Это список белых Электронно Цифровых Подписей. Настройка позволяет считать проверенными не все ЭЦП, а только те которые были добавлены вами. Например:  Действительна, подписано """Ask-Integrator"", Ltd." Имеет легальную подпись - однако данной ЭЦП нет в списке  WDLS  файлы подписанные """Ask-Integrator"", Ltd." не будут считаться проверенными. -------- Сам файл в теме. wdsl.7z * Если в категории:  " Белый список ЭЦП"  вы видите список - значит всё настроено верно. Файл в приложении, расценивайте как образец. Что-то можно убавит, что-то добавить. ( с соблюдением кодировки )
    • Dragokas
      Объясните тёмному человеку, что такое WDLS ?
×