Comments on: (Анти)Реклама или реалност?

By: Григор

Григор — Wed, 02 Mar 2005 16:34:13 +0000

Поправки за “другият много популярен браузър” излизат непрекъснато в Windows Update, просто не се виждат и обявяват. (Което не му е качило сигурността особено, поне по мои впечатления.)

Аз не съм фен на принципа “многото очи правят кода по-сигурен”: смятам, че той е само отчасти верен. Но и не смятам, че принципът “повече популярност – повече spyware” също е верен. Ако беше така, Apache щеше да е едноличен шампион по експлойти при уеб сървърите (67%), а BIND щеше да е целта на 100% от експлойтите, атаките и всичко подобно при DNS софтуера (98%). Смятам, че нещата, правени “като за себе си”, са като цяло по-свестни по неизброим куп начини – и че Firefox влиза в техния списък.

Убеден съм, че с нарастването на популярността му ще проима експлойти и за него. Доколкото ми е известно, някои “фирми” в Русия, специализирани в писане на malware, правят списък на слабите му места, и скорошният ъпдейт не ги зарадва особено (макар и да не ги обезкуражи напълно). Но мисля, че слабите му места, и експлойтите за тях, ще са в порядъци по-малко от тези на ИЕ.

А също и като познавам характера на обществото, което стои зад Firefox, и отношението към този браузър на всички писачи на свободен софтуер, предполагам, че активно експлойтнати дупки в него ще бъдат запушвани по-скоро за часове, отколкото за дни! Нещо, което конкуренцията определено не би могла да демонстрира… (Да не говорим пък какво би се очертало за нещастника, който вгради в експлойта си свой уеб адрес или каквито и да са координати – или за клиентите му!) Така че една сериозна атака срещу Firefox вероятно би демонстрирала единствено колко добра всъщност е поддръжката му.

By: yovko

yovko — Wed, 02 Mar 2005 14:15:31 +0000

Абсолютно – спомни си за договорите по 180 дни за пазене на открити проблеми в тайна с някои компании като EEye…

http://www.theinquirer.net/?article=21086

или

http://lists.netsys.com/pipermail/full-disclosure/2004-February/017057.html

или

http://msmvps.com/donna/archive/2004/06/17/8318.aspx

By: donangel

donangel — Wed, 02 Mar 2005 10:02:30 +0000

@Георги:
“Security through obscurity” – и аз го мразя много този израз, но определено има мениджмънт, за които това е един от начините за “правене на нещата”. Дали някога ще се научат… това не знам! Трябва да си тесен специалист, за да разбереш защо е лошо, уви!

поправки НЕ ИЗЛИЗАТ, заради фирмена политика

Сигурен ли си, може ли да ми дадеш пример за това? Аз сега го чувам, от тебе…

By: Георги Чорбаджийски

Георги Чорбаджийски — Wed, 02 Mar 2005 09:59:13 +0000

Security is process not state.

Демек, това че *излизат поправки* в сигурността е добро нещо. Какво да кажем за онзи другият много популярен браузър за който поправки НЕ ИЗЛИЗАТ, заради фирмена политика? Предпочитам да знам че има проблем за да мога да взема интелигентно решение, отколкото да си стоя с пръст в уста, мислейки си че съм сигурен като заключен в бункер под земята.

Отделен е въпроса, че повече от тези поправки за доста теоретични проблеми.