Gå til innhold

Firefox mest sårbar

abene

Av abene
i Diskuter dataartikler (Tek.no)

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
Langbein

Langbein

Skrevet
Skrevet (endret)
Microsofts oppdateringstjeneste oppdaterer kun Microsofts egen programvare. Det er ikke som i Linux der programmer fra alle leverandører kan oppdateres gjennom den samme tjenesten.

Klarer ikke helt å se hvordan MS kunne gjort noe sånt uten bråk. Dette er nok en tjeneste som bør utføres av tredjepart.

Å overlate jobben til tredjepart er jo nettopp sånn det er i dag, og vi ser jo hvordan det har gått: Et kaos av ulike oppdateringsrutiner. Og på typiske windows-maskiner i dag er det ikke uvanlig at det durer og går en rekke bakgrunnsprosesser som kun tar av seg oppdatering av ett enkelt program hver :thumbdown:

 

Skulle vi hatt noe apt-get liknende system på windows måtte Microsoft også bidratt med å utvikle en bedre infrastruktur for felles oppdateringer. Windows Update / Microsoft Update måtte isåfall kraftig forbedre, for de er altfor ressurskrevende idag, og skalerer ikke godt nok til å kunne brukes for å oppdatere alle programmer på et system. Mine egne erfaringer med dette er at en urgammel Pentium 1 er vesentlig kjappere på å oppdatere et HELT linux-system med apt-get enn en Pentium 3/4 bruker på å legge inn et par Microsoft-oppdateringer :thumbdown:

 

 

 

Og angående årets AGURKNYTT har jeg følgende å si:

 

På sedvanlig vis har HWs artikkelforfatter greid å pervertere denne "undersøkelsen" til en tabloidoverskrift som ikke er nyttig til stort annet enn flamebait.

 

Nå tror noen fanboys at: "Hhøhø, MSIE pwns Firefox LOL", men Internet Explorer er ikke engang med i "undersøkelsen". Og artikkelen er altfor upresis når man i samme åndedrag nevner "populær blant hjemmebrukere" og SMS/WSUS/sentral administrasjon. Når begynte tante Olga å bruke disse på Elkjøp-PCen sin?

 

Cluet er: Firefox er ikke et problem for hjemmebrukere, men bare et potensielt problem i bedrifter hvis det ikke sørges for å holde programmet oppdatert. For hjemmebrukere er Firefox veldig enkel å holde oppdatert.

 

Og bruker man operativsystem med skikkelig pakkebehandler (privat eller i bedrift) blir Firefox selvfølgelig automatisk oppdatert uten noe mikkmakk;)

Endret av Langbein
Lenke til kommentar
haalo

haalo

Skrevet
Skrevet

Hmm, agurknyhet med den verste misbruken av sammenbindingsord jeg har sett på en stund.

 

For øvrig synes jeg nesten synd på Windows-brukere som må oppdatere alle programmer programmer manuelt, hadde aldri klart å holde orden på det. Videre er det egentlig latterlig at Windows ikke har en skikkelig pakkebehandler.

 

Haha, Norton er ironsik nok sårbart.
Det er nok umulig å lage et så bloata program uten sårbarheter, sjøl for et sikkerhetsselskap :p.
Lenke til kommentar
tom waits for alice

tom waits for alice

Skrevet
Skrevet (endret)
Var selvfølgelig bare tall jeg tok ut av luften. Alle vet at IE er mildt sagt en hullete ost. Eller mener du faktisk at IE er mersikker enn FF? :cry:

 

Men igjen er vi inne på dette med rapporterte sårbarheter/hull da.

Jeg mener egentlig ingenting om den saken, bare at det er uheldig å ta slike tall ut av luften. Om man gjentar noe ofte nok, så tror folk det er sant. Men NISTs NVD (altså de offisielle tallene fra det statlige amerikanske sikkerhetsinstituttet) sier altså noe helt annet.

 

Ellers er jeg enig med de som sier at det er positivt at såbarheter rapporteres. Alle produkter vil ha slike feil, de er rett og slett umulig å unngå i praksis. Det viktige er at de rapporteres - og fikses - før de utnyttes. Hvem som er flinkest til det skal jeg ikke ha sagt noe om.

 

Jeg bruker for ordens skyld både IE og FF. (Og Chrome, Safari og Opera også, til testing.) Både FF og IE oppdateres jevnlig og automatisk på min maskin, og for meg som frittstående bruker er den ene metoden like god som den andre.

 

Geir :)

Endret av tom waits for alice
Lenke til kommentar
Bolson

Bolson

Skrevet
Skrevet
Jeg mener egentlig ingenting om den saken, bare at det er uheldig å ta slike tall ut av luften. Om man gjentar noe ofte nok, så tror folk det er sant. Men NISTs NVD (altså de offisielle tallene fra det statlige amerikanske sikkerhetsinstituttet) sier altså noe helt annet.

 

NISTs NVD forteller heller ikke alt. F.eks at IE7 fremdeles har 30 % av "advisories" fra Secunia uten fiks, mens Fx 3 har langt mindre ikke fikset sårbarheter, og den ene er til og med ikke særlig alvorlig. IE7 sin siste sårbarhet er en av de mest kritiske vi har hatt på lang tid.

 

Så statistikk er statistikk, antall oppdagede sårbarheter er faktisk ikke heller så interessant. Mest interessant er er hvor fort de oppdages og fikses. Hjelper jo ikke med fine automatiske systemer for oppdatering dersom sentrale sårbarheter ikke fikses eller fikses først etter det har gått uker og til og med år.

Lenke til kommentar
DarkSlayer

DarkSlayer

Skrevet
Skrevet

Virker mer som en påminnelse til alle administratorene i bedriftene selve undersøkelsen, enn typisk hw nytt.

 

"I tillegg skal ikke programmet kunne oppdateres sentralt via Microsoft SMS eller WSUS"

 

Greia handler om sentral administrasjon av bedriftens maskiner.

Det hele er ganske stress, for man har ikke kontroll over hva som er installert, hva versjoner det er, og sist oppdatert.

 

Om man styrer med ørten maskiner, og i disse laptop tider, så er maskinene KANSKJE ikke på bedriftens nett 24/7.

 

I disse tider hvor alle maskiner har software firewall som garantert føkker for 15% +/- så er det heller ikke gitt at applikasjonene får oppdatert seg selv.

 

Mye kan sies om SMS - men uansett - Det er ikke bra å la x antall maskiner seile sin egen sjø med pop-programvare. Firefox er såpass utbredt at man kan forvente at noen vil forsøke å utnytte hull i den. Om en (mis)bruker på toppen av det hele ikke oppdaterer, ja da er kaoset i gang må vite. Har man jobbet i bedrift av visse størelser, så kan jeg garantere at x% er totalt idiot når det kommer til data.

 

Idag så gidder ikke administratorer å installere FF på maskiner. Ikke fordi de elsker IE, men fordi FF er i deres øyner "enda et koselig program og ha", og er kanskje ikke så veldig godt tilpasset hverdagen til administratoren. Med IE har en administrator god mulighet til å regulere hvilke oppdateringer som skal rulles ut, og sjekke hvem som har hva.

Samtidig så gidder ikke administratorer å passe på mer programvare enn høyst nødvendig. Ikke fordi de er late, men fordi det koster penger. Penger spart er penger tjent.

 

Poenget er at FF er en frittstående applikasjon med de fordeler og ulemper det har. Så istedet for å rakke ned på undersøkelsen og mene den er ugyldig, så er det et par poeng å hente her og som uten tvil kan forbedres for å gjøre FF enda bedre. For målet er vel at FF skal være nummer 1 i alle tilfeller, og ikke bare på nørdsa sine linuxmaskiner?

 

http://www.insidetech.com/news/articles/36...siness-app-list

Dette er vel en BEDRE skrevet artikkel.

Lenke til kommentar
tom waits for alice

tom waits for alice

Skrevet
Skrevet (endret)
Så statistikk er statistikk, antall oppdagede sårbarheter er faktisk ikke heller så interessant. Mest interessant er er hvor fort de oppdages og fikses.

Som jeg også sa, i det avsnittet du ikke siterte. Ingen uenighet der.

 

Jeg kommenterte bare et utsagn som posteren selv innrømmet var tatt ut av luften. Nemlig at FF har mye mindre hull enn IE. Det stemmer ikke.

 

Om vi ser på Secunia:

IE 7 har 33 advisories, hvorav 10 er unpatched, som dekker 70 vulnerabilities.

FF 3.x har 7 advisories, hvorav 1 unpatched, som dekker 28 vulnerabilities.

FF 2.x har 28 advisories, hvorav 3 unpatched, som dekker 144 vulnerabilities.

 

FF 3.x ser it til å være "best" her, men det kan være fordi den er så ny, folk har bare hatt 6 måneder å finne dem, mot 26 for IE 7.

 

Så det oppdages langt flere sårbarheter i FF. Man kan anta at ut fra antallet patcher at det er færre som ikke er rettet i FF. Men det er ikke helt enkelt å si. Siden IEs 33 advisories dekker 70 sårbarheter er det i snitt 2 slike pr. advisory. FF har 35 advisories som dekker 174 sårbarheter, altså 5 pr. advisory. Så avhengig av hvilke hvilke advisories det gjelder kan det være like mange (10x2 og 4x5) sårbarheter som ikke har vært rettet. Nå ser det ut som om en del FF 2 sårbarheter ble rettet med versjon 3. Akkurat som en del IE 7 sårbarheter antagelig er rettet i IE 8 når den kommer.

 

Kanskje mer bekynringsverdig: Både IE og FF har om vi skal tro Secunia sårbarheter som ennå ikke er rettet fra alle de kalenderårene de har vært på markedet. Både IE 7 og FF 2 har/hadde urettede sårbarheter som ble rapportert i 2006. Om det betyr at de ikke er sårbarheter i utviklernes øyne, at de ikke lar seg rette, eller hva det nå må være, vet jeg ikke.

 

Edit: Og ja, IEs mest kritiske ikke patchede sårbarhet er extremely critical. Men den er også bare noen dager gammel...

 

Geir :)

Endret av tom waits for alice
Lenke til kommentar
BlackkoZ

BlackkoZ

Skrevet
Skrevet

Dette var da bare 'lol'....

 

Nr 2 og 4 på listen kjøres jo som oftest via nettleseren.. Og er den letteste veien inn på en pc.

 

Så, på en måte så blir jo nettleseren det mest utrygge. Noe som igrunn er en selvfølge. (Da man må ha en nettleser for å rote rundt på nettet - Der det farlige er) Men samtidig, hadde man fjernet java og flash, hadde nok en god del av det farlige gått bort.

 

Det ENESTE skadelige jeg har hatt på min pc, har kommet via flash inn, uten at jeg har vist om det i det heletatt. Men da også via firefox.

 

Nr 5 på listen er også en lett vei inn, men da må man jo fysisk laste ned de tvilsome pornofilmene som eksisterer. Og da er det jo brukeren som er årsaken.

 

Ellers så vil jeg nå si at listen er litt stokket om på, sånn iforhold til min egen erfaring når det gjelder mange års bruk av internett. Tho så er jeg ikke en aktiv bruker av nr 11 på listen (Men det er jo mer pop i usa enn msn) men vil nok si at msn står for en god god del av det unge folk (og voksne) får inn på pc'n av dritt. Men da også brukeren sin feil, da h*n fysisk må godta innhold som blir sendt for å bli smittet.

 

Men men.

For min del så virket nå hele listen litt ugjennomtenkt og de har egentlig bare satt opp en liste med 10 produkter som blir mest brukt (Selv om noen punkter var totalt ukjent for meg)

Lenke til kommentar
Theo343

Theo343

Skrevet
Skrevet (endret)
Det som ytterligere bidrar til at et program fortjener å være på denne tvilsomme listen, ifølge Bit9, er at det er enkeltbrukeren som er ansvarlig for oppdatering av programmet og ikke en sentral administrator. I tillegg skal ikke programmet kunne oppdateres sentralt via Microsoft SMS eller WSUS.
... "stooort tankekors"

 

Jøssenavn, er det MS som står bak denne?

 

Ellers er jeg enig med andre i tråden ift. bedriftsbruk at det er en uting å tillate for mye div. programvare som ikke tillater sentral styring, når maskinen benyttes relatert til arbeidet og/eller arbeidsplassen din.

 

Desverre er det nå slik i realiteten at det ofte er brukerne i oposisjon som til slutt bestemmer i mange bedrifter, om de har stor nok kraft gjennom ledermøtene.

Konsekvensen av dette er at driftsavdelinger ikke lenger orker å ta drift seriøst når de ikke kan implementere gode rutiner og blir overstyrt av "bedrevitere" som ikke bryr seg om konsekvenser av deres sjefsavgjørelser.

 

Jeg tror også dette er mye av årsaken til at gode driftsmennesker søker arbeid hos profesjonelle ASPer hvor god driftsetikk fortsatt er gjeldende.

 

Så fra akkurat det standpunktet liker jeg testen meget godt! Det uheldige med den er at den eksluderer programvare som oppdateres sentralt men som kan være like usikre.

Endret av Theo343
Lenke til kommentar
MMDE

MMDE

Skrevet
Skrevet
Dette var da bare 'lol'....

 

Nr 2 og 4 på listen kjøres jo som oftest via nettleseren.. Og er den letteste veien inn på en pc.

 

Så, på en måte så blir jo nettleseren det mest utrygge. Noe som igrunn er en selvfølge. (Da man må ha en nettleser for å rote rundt på nettet - Der det farlige er) Men samtidig, hadde man fjernet java og flash, hadde nok en god del av det farlige gått bort.

 

Det ENESTE skadelige jeg har hatt på min pc, har kommet via flash inn, uten at jeg har vist om det i det heletatt. Men da også via firefox.

 

Nr 5 på listen er også en lett vei inn, men da må man jo fysisk laste ned de tvilsome pornofilmene som eksisterer. Og da er det jo brukeren som er årsaken.

 

Ellers så vil jeg nå si at listen er litt stokket om på, sånn iforhold til min egen erfaring når det gjelder mange års bruk av internett. Tho så er jeg ikke en aktiv bruker av nr 11 på listen (Men det er jo mer pop i usa enn msn) men vil nok si at msn står for en god god del av det unge folk (og voksne) får inn på pc'n av dritt. Men da også brukeren sin feil, da h*n fysisk må godta innhold som blir sendt for å bli smittet.

 

Men men.

For min del så virket nå hele listen litt ugjennomtenkt og de har egentlig bare satt opp en liste med 10 produkter som blir mest brukt (Selv om noen punkter var totalt ukjent for meg)

 

Du snakker om at det meste er brukerens feil, men nevner ikke dette når det kommer til nettleseren... så klart er det brukerens feil. Og om man ikke installerer java eller flash på PC-en eller har flashblock og noscript så er det veldig vanskelig å ende opp med virus om du ikke godtar i å laste ned en fil og så kjøre den. Med et relativt greit "aktivt" anti-virus så er ikke dette noe problem.

Lenke til kommentar
hernil

hernil

Skrevet
Skrevet

Har lest innleggene og ikke minst "testkravene" og kort sagt: Dette sier ingenting om Firefoxs sårbarhet.

 

I en bedrift er det alltid et problem når folk installerer programvarepå eget initiativ. En helt annen sak er om bedriften standardiserer på for eksempel FF. Forutsatt at de kan ha sentrale rutiner på når programvaren skal oppdateres, så ikke folk sitter på forskjellige versjoner med ulike sårbarheter. FFs oppdateringsrutiner er relativt solide, men det gikk måneder fra de første brukerne gikk over fra FF 2 til 3 (gjerne i betaversjon) og til de siste ble auto-oppdatert. Det er ikke greit.

 

Geir :)

Det er normalt at en sånn overgang tar noe tid, tviler på at den gjennomsnittlige sikkerhetsoppdateringen til Firefox bruker like lang tid på å komme inn på brukernes maskiner. Man får i hvert fall beskjed og nå er det bare noen (som sannsynligvis vet hva de gjør) som ikke har oppdatert. I tillegg må det sies at det ikke helt riktig å kalle det en sikkerhetstrussel ennå siden Mozilla fortsatt ruller ut oppdateringer til Fx 2 (ut Januar hvis jeg husker rett).

 

Overgangen IE 6 til IE 7 derimot er en annen historie, det har tatt år og det er langt fra like mange som har gått over til IE 7 som til Firefox 3 (kvalifisert gjetning fra min side) og aller verst er kanskje nettopp bedriftene.

Lenke til kommentar
moft

moft

Skrevet
Skrevet

"I tillegg skal ikke programmet kunne oppdateres sentralt via Microsoft SMS eller WSUS."

 

altså , ingen microsoft produkter skal taes med.

 

Hvordan får hardware.no seg til å gjenta slik useriøs kjøpt, propaganda fra microsoft ??

 

håper dere er betalt godt for dette !, for den alternative forklaringer er "dumhet"

 

denne artikkelen er skrevet av en microsoft-certifisert slave. - se bare på forfatteren.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...