Kritisk IE7-hull utnyttes

[Bolson]

Ah du mente nyeste versjone, tenket du mente opera i helhet. Jaja gi det et par uker så kommer det nok

Opera 9.24 ble lansert for 2 uker siden, og statistisk så oppdages det et sikkerhetshull i Opera hver 6 - 8 uke, så vi kan ikke forvente noe før om en måneds tid . I IE7 oppdages det er statistisk et hver 10 dag, .

 

Å diskutere sikkerhet i nettlesere uten å se på nyeste versjoner tåpelig. Uansett hva slags programvare og OS man sysler med, er ikke oppdaterte versjoner av OS og nettlesere det samme som å fjerne enhver lås på sine dører.

 

Selv om vi skulle ta alle kjente sikkerhetshull i ulike Operaversjoner er det uansett en brøkdel av kjente sikkerhetshull i ulike versjoner av IE. IE7 har mer enn 40 kjente sikkerhetshull (rettede og urettede, hvorav 8 stk ikke er patchet. Ingen av disse urettede er yngre enn 2 mnd), Opera 9 har 10 (alle rettet). Brukstid er omtrent den samme (ca 1 år). IE6 har mer enn 121 kjente sikkerhetshull, hvorav 21 ikke er patchet (grunnen til at det angis åpne hull som i realiteten er fikset med IE7, er at mange organisasjoner må bruke IE6 grunnet store endringer i IE7, som medfører at interne webapplikasjoner ikke virker). Opera 8 har 16 kjente sikkerhetshull. For å få omtrent samme tidshorisont (dvs fra 2003), kan vi også ta med Opera 7 med 40 kjente hull.

 

Altså har IE tilsammen mer enn 161 kjente sikkerhetshull og Opera 66 i samme tidsperiode. For artighetens skyld har Fx (og da må jeg ta med 0.x versjonene, som var betaversjoner) ca 80 kjente hull (hvorav 10 (for alle versjoner) ikke er rettet).

 

Bruker man statistikk for hvor lang tid det tar fra et hull er kjent til det rettes ligger vel Opera på ca 1 - 2 dager, Firefox på omtrent det samme, mens for IE er det jevnt over snakk om uker.

 

Så selv om alle nettlesere vil ha sikkerhetshull, vi enhver vurdering (beregning av risiko) knyttet til de ulike nettlesere, gi IE7 en risiko som er i alle fall 10 ganger høyere enn f.eks ved bruk av nyeste Opera (trolig langt høyere, men jeg har ikke tid til å sette opp forutsetningene for å beregne risikokvotienter).

 

Kilde er Secunia, andre sikkerhetsfirmaer kan gi noe andre svar, men Secunia er kjent for å være meget seriøse.

Endret 1. november 2007 av Bolson

[Unreal_]

Joda er rett så du skriver at IE har flere sikkerhetshull, men så er det også en del av windows opprinnelig og brukes av for å si det mildt "flere" en opera noe så medfører til at den blir et større og mer attraktiv mål å finne sikkerhetshull i.

[Bolson]

Joda er rett så du skriver at IE har flere sikkerhetshull, men så er det også en del av windows opprinnelig og brukes av for å si det mildt "flere" en opera noe så medfører til at den blir et større og mer attraktiv mål å finne sikkerhetshull i.

 

Å gjenta myten om at utbredelse er hovedårsaken til flere sikkerhetshull i IE er bortkastet. Antall brukere både når det gjelder Opera og Firefox er så store at det økonomiske incitamentet for å finne sikkerhetshull er stort nok, samt at alle kjente sikkerhetshull er funnet av personer som sjekker sikkerhet som profesjon eller har interesse av dette på annen måte. Det vil si at å påstå IE er mer attraktiv er bare tull, for disse gir det høy kreditt uansett hvorhen de finner et hull, og det gir samme økonomiske effekten også. Kriminelle aktører leter klart etter sikkerhetshull, og her er IE klart mest attraktiv, men samtidig ønsker mange av disse aktørene faktisk i stor grad å skjule at det finnes sikkerhetshull. Så faktisk er det sannsynlig at IE har langt flere ikke kjente hull enn alternativene.

 

Og Fx er pga at koden er helt åpen den nettleseren som det kreves minst arbeid/ressurser å finne eventuelle hull/feil i.

 

Det er også helt feil at IE var en del av windows opprinnelig. De først IE versjonene var svært frittstående, og først ved senere versjoner den har blitt så sterkt integrert i selve OS-et. Og det er faktisk den sterke integrasjonen til et OS som mangler fundamentet for sikkerhet som gjør IE konsekvent mer usikker enn alternativene.

[Unreal_]

Det stemmer ikke helt det du sier, var jo søksmål mot MS angeåndes internet explorer i 2000 versjonen hvis jeg ikke husker feil? Årker ikke å google det. De vant uansett med å si at det var en del av operativ systemet.

 

Og det med volum vs antall hull er jo seff en teori noe som du og har en annen versjon av men ingen av de kan påvises å ver rett.

Endret 1. november 2007 av Unreal_

[Bolson]

Det stemmer ikke helt det du sier, var jo søksmål mot MS angeåndes internet explorer i 2000 versjonen hvis jeg ikke husker feil? Årker ikke å google det. De vant uansett med å si at det var en del av operativ systemet.

 

Og det med volum vs antall hull er jo seff en teori noe som du og har en annen versjon av men ingen av de kan påvises å ver rett.

 

Første versjon IE kom 1995 (og var langt fra integrert). Først med versjon 4 kan man si at integrasjonen ble reell. Saken du henviser til har ingenting med IE etc egentlig å gjøre, det er en rein sak om monopolistisk oppførsel, se United States versus Microsoft. Men "bundlinga" av IE var en del av saken. MS vant ikke denne i det hele, men partene kom fram til en avtale, som er kritisert av svært mange. En konsekvens av avtalen var i alle fall at AOL (som hadde kjøpt Netscape), saksøkte MS pga "bundlinga" av IE, og fikk en erstatning på 750 mill $, samt avtale i å bruke spesialversjon av IE i 10 år framover uten kostnad. Da er det vanskelig å påstå at MS vant.

 

En artig sak i denne sammenheng, fra 1995 - 2001 laget MS 6 versjoner inklusive underversjoner. Fra 2001 har de laget 1 ny versjon. Dette forteller i klartekst hva "monopol" medfører.

 

Det er ingen statistisk sammenheng mellom hull/feil i et program og antall brukere, greit at de er noen som har det som teori, men i realiteten er det "bullshit", som strider mot all reell programmeringskunnskap. Hva det er sammenheng i er antall kodelinjer og mulige feil.

[asbjornu]

Det er ingen statistisk sammenheng mellom hull/feil i et program og antall brukere, greit at de er noen som har det som teori, men i realiteten er det "bullshit", som strider mot all reell programmeringskunnskap. Hva det er sammenheng i er antall kodelinjer og mulige feil.

Nemlig. Med tanke på at siste versjoner av Opera, Firefox og Internet Explorer er på henholdsvis (nedlastet, lokalt på min harddisk) 4.117 KiB, 3.689 KiB og 15.091 KiB sier det seg selv hvilken kodebase det er størst sjanse å finne feil i. Legger man til at Internet Explorer er ekstremt tett integrert i operativsystemet og derfor har tilgang til langt med enn Opera og Firefox noen gang kommer til å få, samt hvor mange kjente sikkerhetshull det finnes i hver av nettleserne og hvor lang tid det tar fra de blir kjent til de er rettet, så synes jeg det er så opplagt at det er meningsløst å diskutere hvilken nettleser som har størst angrepsflate og flest sikkerhetshull.

 

Veldig bra det du skriver, Bolson; jeg er enig i alt du skriver. Det skulle kanskje bare mangle, da alt du skriver stemmer og er beviselig fakta.

[Unreal_]

Meget bra argument asbjorn.