Вчера един приятел ми изпрати тази статия в PCWorld, в която се говори за новата версия на Firefox и за това как новата версия закърпвала 17 сериозни, бих казал някои даже критични, дупки в този браузър.
Отначало седнах да му пиша отговор по мейл, след това реших да напиша отговорът направо тук (запазвайки естествено самоличността му между нас си).
Каква е реалността:
* От версия 0.6 аз съм фен на този браузър. Той продължава да е изборът ми, когато условията (най-често на работодателя) не изискват друго. Вкъщи ползвам основно него.
* Светът разбра за браузъра след немалка рекламна кампания. И взе, че го хареса
* Грознописачите на spyware обаче вече му обръщат внимание. Все повече чета за идващата опасност от Spyware за Firefox.
Мисълта ми е, че може най-накрая да се окажат верни няколко неща:
1. Няма такова нещо като сигурност. Сигурността за единичния потребтиел зависи не толкова от това какво използва, а от това как го използва и най-важното – как го ъпдейтва (освежава, закърпва, сложете каквато ви харесва българска дума тук).
2. Колко вреден софтуер ще съществува за даден продукт (бил той ОС и/или браузър) зависи само и единствено от нивото му на популярност.
3. Без съмнение, когато кодът на даден продукт е достъпен за всеки, тогава и вероятността да се открият и унищожат възможно най-голям брой проблеми е най-голяма. Но ако даден софтуер е достатъчно популярен, то наравно с популярността му ще дойдат и проблемите – със сигурността, със spyware и т.н. Всичко, което го наблюдаваме при IE, и което го наблюдавахме при Опера (Спомняте ли си, че и там имаше сериозни дупки в сигурността? Когато беше популярна… сега някой да пише за нея?)
Firefox върви по правилния път. И ще остане изборът за хората, които избират свободен софтуер за повечето (или всички) техни дейности. А и за много от хората, които продължават да пишат и използват комерсиален (и съответно затворен) софтуер. На мен лично ми е интересно какво ще стане, след като една очаквана версия на един популярен браузър излезе това лято. Отсега мога да предвидя негативните отзиви (които, разбира се, няма да отчитат бета версията на продукта). Отсега мога да предвидя и превъзнасянията, в които ще се хвърлят почитателите на този браузър. Чакат ни интересни времена, и интересни статии за четене :).
Мисълта ми тук (доколкото я има) е най-вече относно това, че сляпото вярване и следване на която и да е идея “не е добра идея” :). Хубаво е човек да си задава въпроси, и е хубаво да намира отговорите им, поне да намира тези отговори, които може и които го удовлетворяват. Аз например не мога да кажа за себе си какво ще стане след 3 години – това е толкова огромен срок за IT индустрията като цяло. Каква ОС ще използвам, на какъв компютър ще работя – това е толкова далече в бъдещето.
Мисълта ми също така е и за това, че ако spyware се нарои и за Firefox, това ще е краят на идеята, че може да имаме 100% сигурен и освободен от Spyware браузър. Защото ако хората зад Firefox (кодът и идеята) не могат да го направят, тогава никоя друга корпорация няма да може да го направи. И пак всичко ще зависи само и единствено от потребителя и от неговите умения да се защитава и пази сам.
Знам, че този текст ще прозвучи еретично на някои от приятелите, четящи тук. Надявам се да се опитат да разберат моята позиция… И да не ме бъркат с РМС, който ужасно съжалявам, че няма да мога да видя в България наживо 🙁 !
Security is process not state.
Демек, това че *излизат поправки* в сигурността е добро нещо. Какво да кажем за онзи другият много популярен браузър за който поправки НЕ ИЗЛИЗАТ, заради фирмена политика? Предпочитам да знам че има проблем за да мога да взема интелигентно решение, отколкото да си стоя с пръст в уста, мислейки си че съм сигурен като заключен в бункер под земята.
Отделен е въпроса, че повече от тези поправки за доста теоретични проблеми.
@Георги:
“Security through obscurity” – и аз го мразя много този израз, но определено има мениджмънт, за които това е един от начините за “правене на нещата”. Дали някога ще се научат… това не знам! Трябва да си тесен специалист, за да разбереш защо е лошо, уви!
Сигурен ли си, може ли да ми дадеш пример за това? Аз сега го чувам, от тебе…
Абсолютно – спомни си за договорите по 180 дни за пазене на открити проблеми в тайна с някои компании като EEye…
http://www.theinquirer.net/?article=21086
или
http://lists.netsys.com/pipermail/full-disclosure/2004-February/017057.html
или
http://msmvps.com/donna/archive/2004/06/17/8318.aspx
Поправки за “другият много популярен браузър” излизат непрекъснато в Windows Update, просто не се виждат и обявяват. (Което не му е качило сигурността особено, поне по мои впечатления.)
Аз не съм фен на принципа “многото очи правят кода по-сигурен”: смятам, че той е само отчасти верен. Но и не смятам, че принципът “повече популярност – повече spyware” също е верен. Ако беше така, Apache щеше да е едноличен шампион по експлойти при уеб сървърите (67%), а BIND щеше да е целта на 100% от експлойтите, атаките и всичко подобно при DNS софтуера (98%). Смятам, че нещата, правени “като за себе си”, са като цяло по-свестни по неизброим куп начини – и че Firefox влиза в техния списък.
Убеден съм, че с нарастването на популярността му ще проима експлойти и за него. Доколкото ми е известно, някои “фирми” в Русия, специализирани в писане на malware, правят списък на слабите му места, и скорошният ъпдейт не ги зарадва особено (макар и да не ги обезкуражи напълно). Но мисля, че слабите му места, и експлойтите за тях, ще са в порядъци по-малко от тези на ИЕ.
А също и като познавам характера на обществото, което стои зад Firefox, и отношението към този браузър на всички писачи на свободен софтуер, предполагам, че активно експлойтнати дупки в него ще бъдат запушвани по-скоро за часове, отколкото за дни! Нещо, което конкуренцията определено не би могла да демонстрира… (Да не говорим пък какво би се очертало за нещастника, който вгради в експлойта си свой уеб адрес или каквито и да са координати – или за клиентите му!) Така че една сериозна атака срещу Firefox вероятно би демонстрирала единствено колко добра всъщност е поддръжката му.