Symantec-rapport kritiserer Firefox

[kilogram]

Symantecs Internet Security Threat-rapport for første halvdel av 2006 ble nylig publisert. Den er ikke bare koselig lesing for Firefox-tilhengere.

Les mer

[ShadowMaster]

Personlig synes jeg det er hyggelig lesing. Sikkerhets hull i komplisert software er så og si umulig å unngå. Det er derimot veldig viktig hvordan sikkerhetshull blir behandlet av programvare utgiverne da dette innvirker direkte på om sikkerhetshullet blir utnyttet eller ikke.

[Blib]

Stilige data. Noen som kan sjekke opp andre vesentlige fakta som hvor *farlige* disse feilene var og hvor mange urettede feil som finnes i de forskjellige nettleserene enda? Media generelt pleier å bare ta frem det som gjør nyheten mest dramatisk...

Endret 26. september 2006 av Blib

[ShadowMaster]

Stilige data. Noen som kan sjekke opp andre vesentlige fakta som hvor *farlige* disse feilene var og hvor mange urettede feil som finnes i de forskjellige nettleserene enda? Media generelt pleier å bare ta frem det som gjør nyheten mest dramatisk...

6942933[/snapback]

 

Her har du for hele 2006 så langt

Firefox 1.x

Opera 8.x

IE6.x

 

Der kan du også se den ganske viktige posten på hvor stor prosentandel av rapporterte sikkerhets problem som faktisk er fikset.

[OnetroM]

Stilige data. Noen som kan sjekke opp andre vesentlige fakta som hvor *farlige* disse feilene var og hvor mange urettede feil som finnes i de forskjellige nettleserene enda? Media generelt pleier å bare ta frem det som gjør nyheten mest dramatisk...

6942933[/snapback]

Helt enig. Hver uke oppdages det "kritiske sikkerhetshull" og det ropes ulv, ulv hele tida. Jeg har ikke merket noen 'innbrudd' hos meg og det virker nesten rart så mye kritiske feil som oppdages hele tida..

[VikinGz]

Firefox kommer litt oftere med oppdateringer når sikkerhetshullet er funnet enn ie... vi venter vell ennda på oppdatering mot det nye store sikkerhetshullet i ie....

[asbjornu]

Det er etter min mening mer interessant og viktigere hvor lang tid utviklerne bruker på å rette feilen enn hvor mange feil som blir funnet. Og der er Firefox såpass kjappe på avtrekkeren at det ikke finnes noen grunn til bekymring. Når oppdateringsfunksjonen er innebygget i nettleseren er det også så enkelt å alltid ha siste versjon at de fleste burde ha det.

 

For Internet Explorer sine sikkerhetshull må man først vente i noen uker på at utviklerne skal tette hullet og slippe en patch, og deretter må man gjerne vente en stund til på at patchen skal legges ut i Microsoft Update før den blir halv-automatisk rullet ut.

 

Det er nok fortsatt mye tryggere å bruke Firefox (eller Opera, Safari, osv) enn Internet Explorer, selv om denne undersøkelsen fra Symantec tilsynelatende sier noe helt annet.

[N_B]

Det er nok fortsatt mye tryggere å bruke Firefox (eller Opera, Safari, osv) enn Internet Explorer, selv om denne undersøkelsen fra Symantec tilsynelatende sier noe helt annet.

6943201[/snapback]

 

Jeg oppfatter ikke at undersøkelsen "sier noe helt annet", men den poengterer derimot at man ikke skal sitte med en falsk trygghetsfølelse kun fordi man har byttet ut IE med Firefox, noe som ganske mange (kanskje ikke av brukerne av dette forumet, men generelt) nok gjør.

[fattony2]

problemet er vel heller at "hullene" til firefox som regel gjør at det krasjer eller noe sånt, mens "hullene" i internett explorer gjør at det blir lastet ned å instalert virus/trojaner/ormer og sånn på pc'en uten at de for vite det eller enda verre, at hackere for tilgang til command linje på pc'en din.

 

det er i hvertfall min erfaring, dessuten så blir hullene til firefox rettet med en gang så det er nesten ikke vits å dele det med andre hackere på internett (packetstorm eller securityfocus). mens IE bruker 10dager eller kanskje en måned

[Fangs78]

Står det noe i rapporten om hvor dårlig Symantec's sine egne produkter er? For eksempel det "hullet" som ødela hele windows hvis du avinstallerte Norton Internet Security?

 

Herregud...snakk om kaste stein i glasshus her...woooo

Endret 26. september 2006 av Fangs78

[Simen1]

Jeg synes ikke dette var særlig nedslående lesing for firefox sin del. En responstid på bare én dag er jo best av alle. Ganger man hvert sikkerhetshull med tiden hvert av dem har vært åpent så ser det nok langt lysere ut for Firefox og langt dystrere ut for I.E. Tar man med i betraktning at sjansen for at et hull utnyttes blir større for hver dag det står åpent blir forskjellene ennå større.

 

En annen ting er at microsoft fortsatt finner hauger med hull i en nettleser som er 5 år gammel, mens Firefox lanserte en ny nettleser (v1.5) i november 2005. Det er naturlig å oppdage mange hull i perioden etter en lansering mens antallet oppdaget per måned og synker etter hvert som koden blir saumfart og mer testet av folk med både ærlige og uærlige hensikter.

[Zethyr]

Teller antallet feil oppregnet som summen av feil i f.eks. FF 1.5.0.x i tillegg til 2.0 beta x ?

 

Hvor farlige er feilene for de forskjellige broweserene?

[Crowly]

Er en fornøyd bruker av Opera og har ingen planer om å bytte. Og denne rapporten gir meg heller ingen grunn til å gjøre det

 

Kan se ut som antall oppdagede hull har en viss sammenheng med markedsandel. IE er fortsatt størst og FF er vel en klar nr 2. Da vil jeg tro at fokuset vil være størst mot IE og FF, for hvis man ønsker utnytte feil så er det jo liten vits i å utnytte hull i programmer som "nesten ingen" bruker. Så med økt fokus så øker muligheten for å oppdage eventuelle feil.

Kan jo være så enkelt som det ser ut som, at det er flere feil i IE og FF enn Opera og Safari. Men som andre har påpekt så er det viktig hva slags type feil som blir oppdaget og hvor raskt de blir tettet.

[sbstn]

.

Endret 3. februar 2009 av sbstn

[qualbeen]

Her har du for hele 2006 så langt

Firefox 1.x

Opera 8.x

IE6.x

6943021[/snapback]

Husk å ta med Opera 9.x også da, siden den har ligget ute en stund nå: http://secunia.com/product/10615/

 

 

Står det noe i rapporten om hvor dårlig Symantec's sine egne produkter er? For eksempel det "hullet" som ødela hele windows hvis du avinstallerte Norton Internet Security?

6943397[/snapback]

Jeg ønsker på ingen måte å forsvare Symantecs programmer, da endel av de suger møkk! Blandt annet Symantec Internet Security har jeg hatt mye trøbbel med. Men hvis det er slik at en avinstallasjon ødelegger windows, er jeg mer bekymret over hvor dårlig windows er, enn symantec sitt produkt...

 

For de som ønsker det, kan man titte på antall feil i micrsofts sine operativsystemer her: http://secunia.com/product/OS_M/#list

[Simen1]

Teller antallet feil oppregnet som summen av feil i f.eks. FF 1.5.0.x i tillegg til 2.0 beta x ?

6943472[/snapback]

Jeg kan ikke tenke meg til at alle mulige alfa og beta-versjoner skal telle på statistikken. De feilene som oppdages i disse må vel telle som en del av utviklingsprosessen.

[mandela]

Denne "artikkelen" er ikke annet enn oppgulp fra andre tabloide it nettsider, med fullstendig mangel på kritisk gjennomgang

 

Jeg poster en liten oppsummering fra slashdot

http://it.slashdot.org/article.pl?sid=06/09/25/177226

 

Totally. Pointless. Comparison.

 

First, as the Slashdot posting correctly points out, the window of vulnerability is much larger with IE. Microsoft is known for taking months to fix some vulns, and is taking longer and longer [washingtonpost.com] over the years.

 

Second, what about the importance of these vulns ? Was it 47 minor DoS for Firefox and 38 critical arbitrary code execution vulns for IE ?

 

Third, what about the methodology used to gather the vuln counts ? The report always says "Source: Symantec Corporation", with no more information. Did they count Firefox security related bugs or security advisories ? Did they count 1 Microsoft patch fixing N vulns as 1 or N vulns (too many studies make this mistake) ?

 

Fourth, what about silently fixed vulns in IE ? Microsoft is known for secretly fixing vulns that are discovered internally [eweek.com], and of course they never talk about them in public. Symantec certainly did not count these.

 

There are just too many reasons making virtually all studies comparing the number of security patches between 2 products useless. This one is no exception.

Opera has a low user base and is closed source. Therefore, few vulnurabilities. In short, no one cares.

 

Firefox, on the other hand, has a moderate user base but the source code is right there, the vulnurabilities are ripe for the picking. Hence why the vulnurabilities are high but the turnaround time to fix them, also quick.

 

IE on the other hand, high user base closed source. High vulnurabilities because of the high user base but potential hackers have to work harder.

 

Those are vulnerabilities that we know of. They're pretty easy to find (oh, and fix) when people can pore over your source code. How many vulnerabilities are in Internet Explorer/Opera/Safari that we don't know of, that aren't getting fixed, and just waiting for someone to figure out to blow up?

[Ernie]

Jeg synes ikke dette var særlig nedslående lesing for firefox sin del. En responstid på bare én dag er jo best av alle. Ganger man hvert sikkerhetshull med tiden hvert av dem har vært åpent så ser det nok langt lysere ut for Firefox og langt dystrere ut for I.E. Tar man med i betraktning at sjansen for at et hull utnyttes blir større for hver dag det står åpent blir forskjellene ennå større.

 

En annen ting er at microsoft fortsatt finner hauger med hull i en nettleser som er 5 år gammel, mens Firefox lanserte en ny nettleser (v1.5) i november 2005. Det er naturlig å oppdage mange hull i perioden etter en lansering mens antallet oppdaget per måned og synker etter hvert som koden blir saumfart og mer testet av folk med både ærlige og uærlige hensikter.

6943409[/snapback]

Helt enig med deg her. Dette er ikke mye nedslående lesning. Nå er det også slik at firefox er under konstant utvikling, og da er det egentlig overraskende få feil som blir funnet kontra IE som er, som du sier, hele 5 år nå. Hadde vært interessant å sammenlignet antall feil i Firefox 1.0.x eller 1.5.x kontra IE6. Det hadde nok sett særdeles stygt ut for IE. Endret 26. september 2006 av Ernie

[Bolson]

mandela: Takk for quoten, den stiller gode spørsmål. Ellers er jeg enig i deg at det er mye oppgulp.

 

Nå gir Symantec sin rapport (120 sider) et helt annet inntrykk enn hva tittelen på artikkelen gir (uten at jeg har lest hvert ord). Antall feil i FF er bare et av 38 hovedpunkt rapporten peker på. Og etter min mening er følgende utsagn vel så viktige som hva som er brukt som tittel.

• Hjemmebrukere er utsatt for 86 % av alle angrep
  
• De siste 6 mnd har hatt det høyeste tall av sårbarheter noensinne
  
• IE er den mest utsatte nettleseren for angrep
  
• Tidsperioden som sårbarheter kan utnyttes er redusert
  
• Og langt mere
  

Ønsker hardware.no fremdeles å være seriøse som it-nettsted, så slutt med å følge i sporene til itavisen og andre oppgulpsmedier. Begynn med å drive litt skikkelig jounalistikk med å sjekke kilder/rapporter grundigere, og slå opp det som virkelig er trusler/viktig innhold i slike rapporter.

 

Med unntak av forumet, som har glimrende kvalitet, så er resten av hardware nettverket sine nettsider på full vei til å bli fylt opp av kopieringsjounalistikk.

[ⅵdar]

En slik sikkerhets-sammenligning er ikke så enkel at man kan putte den inn i et kakediagram og et søylediagram. Det er mange faktorer som teller. Det jeg synes er mest interresant er hvor mange personer som faktisk blir utsatt for angrep gjennom nettleseren, men det sier selvfølgelig saken ingenting om.