URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 50348
[ Назад ]

Исходное сообщение
"Анализ уязвимостей за 2008 год: в Firefox ошибок больше, но исправляют их быстрее"

Отправлено opennews , 07-Мрт-09 03:09 
Компания Secunia опубликовала (http://secunia.com/gfx/Secunia2008Report.pdf) отчет с анализом тенденции обнаружения проблем безопасности  в 2008 году.


По числу проблем безопасности среди браузеров лидирует Firefox, за прошлый год в нем было зафиксировано 115 уязвимостей, в Internet Explorer - 31, в Safari - 32, в Opera - 30. Тем не менее разработчики Mozilla сумели компенсировать объем проблем - качеством из исправления, выпуская патчи значительно быстрее, чем Microsoft успевала реагировать на проблемы в своем браузере. Например, в Internet Explorer до сих пор остаются неисправленными 6 из 31 найденных в прошлом году уязвимостей, из которых 2 имеют высокую степень опасности и остаются неисправленными уже 110 дней.

В отчете также приводится список 10 самых часто устанавливаемых пользователями программ и процент установленных версий, содержащих неисправленные уязвимости:

<table border="1" cellpadding="5" cellspacing="1">
<tr>
            <td style="background-color: #c7cb...

URL: http://news.cnet.com/8301-1009_3-10190206-83.html
Новость: http://www.opennet.me/opennews/art.shtml?num=20645


Содержание

Сообщения в этом обсуждении
"Анализ уязвимостей за 2008 год: в Firefox ошибок больше, но исправляют их быстрее"
Отправлено А , 07-Мрт-09 03:09 
Отсюда видно, что большинство пользователей JRE 1.5 и Flash Player 6.x не переходят на новые ветки (1.6 и 9) просто потому, что вообще забили устанавливать обновления.

"Анализ уязвимостей за 2008 год: в Firefox ошибок больше, но ..."
Отправлено Аноним , 07-Мрт-09 03:31 
> Отсюда видно, что большинство пользователей JRE 1.5 и Flash Player 6.x не переходят на новые ветки (1.6 и 9) просто потому, что вообще забили устанавливать обновления.

пользователей => виндузятников, "просто потому, что вообще забили устанавливать обновления" => потому что не знают что это такое и зачем нудно обновляться если все и так работает. Они, видите ли, простые пользователи, им подавай чтобы все было просто.


"Анализ уязвимостей за 2008 год: в Firefox ошибок больше, но ..."
Отправлено А , 07-Мрт-09 05:32 
>пользователей => виндузятников, "просто потому, что вообще забили устанавливать обновления" => потому что не знают что это такое и зачем нудно обновляться если все и так работает. Они, видите ли, простые пользователи, им подавай чтобы все было просто.

Так и есть. А просто как-раз в Линуксе: все само обновляется.


"Анализ уязвимостей за 2008 год: в Firefox ошибок больше, но ..."
Отправлено dRiZd , 07-Мрт-09 10:56 
Вы за убунту не говорите. Попробуйте обновить сначала HLFS/BLFS, а я на Вас посмотрю :)

"Анализ уязвимостей за 2008 год: в Firefox ошибок больше, но ..."
Отправлено Touch , 07-Мрт-09 11:09 
А вы по бубунте не равняйте, там как раз "всё просто", Linux for humanoids итить его )))

"Анализ уязвимостей за 2008 год: в Firefox ошибок больше, но ..."
Отправлено User294 , 07-Мрт-09 23:19 
>А вы по бубунте не равняйте, там как раз "всё просто", Linux
>for humanoids итить его )))

Конечно, правильные красн^W дроч^W парни привыкли прошибать все стенки своим лбешником.


"Анализ уязвимостей за 2008 год: в Firefox ошибок больше, но ..."
Отправлено none , 08-Мрт-09 17:10 
ой ё... максимализма бы вам поменьше все же...

"Анализ уязвимостей за 2008 год: в Firefox ошибок больше, но ..."
Отправлено User294 , 07-Мрт-09 23:25 
>Вы за убунту не говорите. Попробуйте обновить сначала HLFS/BLFS,

Если старательно искать геморрой на свою задницу, его натурально можно найти!Сюрприз :).В случае такой системы вы по сути сам себе майнтайнер.Ну вот и вкусите их долю.Если вам не нравится - есть выбор.Можно конем %#аться.А можно предоставить все апдейтеру в приличных дистрах ориентированых на работу в системе а не на секас с системой.В общем то не вижу почему кому-то должно быть нельзя потрахаться с системой.Если кому хочется геморроя - пусть получают наздоровье :)


"Анализ уязвимостей за 2008 год: в Firefox ошибок больше, но ..."
Отправлено none , 08-Мрт-09 17:11 
>>Вы за убунту не говорите. Попробуйте обновить сначала HLFS/BLFS,
>
>Если старательно искать геморрой на свою задницу, его натурально можно найти!Сюрприз :).В
>случае такой системы вы по сути сам себе майнтайнер.Ну вот и
>вкусите их долю.Если вам не нравится - есть выбор.Можно конем %#аться.А
>можно предоставить все апдейтеру в приличных дистрах ориентированых на работу в
>системе а не на секас с системой.В общем то не вижу
>почему кому-то должно быть нельзя потрахаться с системой.Если кому хочется геморроя
>- пусть получают наздоровье :)

поздравляю ваши сервера с сервер-убунтой и вас с этим.


"Анализ уязвимостей за 2008 год: в Firefox ошибок больше, но ..."
Отправлено Анонимус , 09-Мрт-09 13:42 
> поздравляю ваши сервера с сервер-убунтой и вас с этим.

Лучше уж сервер с бубунтой, чем сервер с виндой, что обычно в мелких и средних организациях и случается. У таких контор нет денег на нормального админа, так что бубунта там самое то что нужно.


"Анализ уязвимостей за 2008 год: в Firefox ошибок больше, но ..."
Отправлено sda , 10-Мрт-09 14:29 
>Лучше уж сервер с бубунтой, чем сервер с виндой, что обычно в
>мелких и средних организациях и случается. У таких контор нет денег
>на нормального админа, так что бубунта там самое то что нужно.
>

Думаете bind'ом и apache'м заканчиваются предприятия? :) Да нафиг там убунта ваша не сперлась :) Попробуйте поднять всю функциональность Microsoft Exchange, к примеру на псевдо-аналогах openсурс :)


"Анализ уязвимостей за 2008 год: в Firefox ошибок больше, но ..."
Отправлено User294 , 10-Мрт-09 14:50 
>Попробуйте поднять всю функциональность Microsoft Exchange, к примеру

Я думаю что ключевая ошибка тут в слове ВСЮ.Вся функциональность, что мсофиса, что Exchange реально нужна считанным процентам.Ну вот они пусть и распираются и платят раз уж подсели.Да, продукты микрософт может и не плохие но во первых они дорогие, обладают тонной пререквизитов и в последнее время регресс на лицо. Exchange 2007 феноменальная софтина.Проще, чесслово, поставить в юниксах что угодно, чем победить один несчастный сетап 2007 с его массой пререквизитов.При том до 2007 все это говно в системе почему-то было не нужно и все работало.И уж конечно делать как линухи - подкачнуть пререквизиты, не судьба, млять.Удивительный софт.Еще он стал куда тормознее, прожорливее до ресурсов, консоль управления - вообще стала дрянью, теперь не умеет половину того что умела консоль 2003, найти что-то - проще застрелиться, логика по которой там управление раскидано - инопланетная.Зато, мля, консоль управления стартует минуту, тормозит и неудобная до ужаса.Ограничилова ессно прибавили - теперь только х64 и никак иначе.Ну и мало того что чудо-консоль разок просто %#нулась при попытке порулить базой данных мылбоксов (что недвусмысленно говорит о качестве кода), так еще и в самих сервисах теперь баги есть.При каких-то действиях юзеров сервис базы мылбоксов успешно наворачивается, после чего супер-дупер серваку разумеется настает пиндык.При том потом он может взлететь а может и нет.Это уж как повезет.При том в 2003 такого и близко не было.Ну и рестарты... с ТАКИМ софтом аптайм 99.99% - фантастика.Надо апдейты накатить?Фигня вопрос.Час на ребут и у вас теперь свежие заплатки.И пусть весь мир подождет.Подумаешь, час без почты, эка невидаль.Правда с ребутами раз в месяц и таким даунтаймом 99.99% доступностью сервисов наврядли получится покозырять :).

В общем - если кому вдруг позарез надо Exchange, так ему дураку и надо!Пусть сношается с ним наздоровье, учитывая что у микрософт в последнее время софт становится все хреновее а вот аппетиты все крупнее.Итого - надо всего-то купить х64 сервант, сам Exchange, серверную винду, ... - бабла на это надо ВАГОН.


"Анализ уязвимостей за 2008 год: в Firefox ошибок больше, но ..."
Отправлено sda , 10-Мрт-09 15:01 
А вам бы все на первом пеньке поставить? :)

"Анализ уязвимостей за 2008 год: в Firefox ошибок больше, но ..."
Отправлено sda , 10-Мрт-09 15:05 
>В общем - если кому вдруг позарез надо Exchange, так ему дураку
>и надо!Пусть сношается с ним наздоровье, учитывая что у микрософт в
>последнее время софт становится все хреновее а вот аппетиты все крупнее.Итого
>- надо всего-то купить х64 сервант, сам Exchange, серверную винду, ...
>- бабла на это надо ВАГОН.

не спорю, все для своих целей. не тянет функционал открытых систем на продакшне выше-средних и крупных предприятий, не тянет.


"Анализ уязвимостей за 2008 год: в Firefox ошибок больше, но ..."
Отправлено Sergey , 10-Мрт-09 18:14 
>
>не спорю, все для своих целей. не тянет функционал открытых систем на
>продакшне выше-средних и крупных предприятий, не тянет.

А пояснить свою мысль смогёте? Почему на одном и том же железе (ну к примеру старенький Xeon 3Gz/2Gb RAM/SCSI U320 RAID1) в роли почтовика Exchange еле тянет 50-70 юзеров, а постфикс или exim легко и непринужденно пережевывают пару сотен, со спамассасином впридачу? Чего вам так еще от Exch нужно, чего не может потянуть открытый проект? Общие календари, общие папки? Единственный плюс Exch - это все в куче есть в одном продукте и интеграция с АД (если используется другой IDM, то вещь вообще сомнительная)


"Анализ уязвимостей за 2008 год: в Firefox ошибок больше, но ..."
Отправлено User294 , 10-Мрт-09 00:33 
>поздравляю ваши сервера с сервер-убунтой и вас с этим.

Ну, собственно, убунты - работают.Может и не идеально но все-таки (если уж при%#ываться к глюкам - я и к редхату, дебиану и т.п. придраться могу: идеального софта не бывает).А что от них еще надо?На серверах у меня не стоит задача поиметь гемора с системой, да еще к тому же в позе "стоя, в гамаке".Там другая задача - чтобы все работало.Убунта с этой задачей в общем то справляется.И чем менее геморроен администреж сервера - тем это лучше.Особенно если серверов более одного.Да, если у вас всего один сервер - пыльный писюк в чулане, от даунтайма которого расстраиваетесь только вы сами - можно там и с гентами потрахаться неделями и даже LFS вкорячить.А вот если надо сервак и чтобы он просто работал и делал свое дело - тут уже генты и LFSы будут далеко не лучший выбор.

И кстати можно поздравить не только меня как бы :).Ну вот например:
> # Ubuntu используется в качестве основной операционной системы на серверах проекта «Википедия»[42].

(цитата из википедии :D)


"Анализ уязвимостей за 2008 год: в Firefox ошибок больше, но ..."
Отправлено ffirefox , 07-Мрт-09 14:38 
>> Отсюда видно, что большинство пользователей JRE 1.5 и Flash Player 6.x не переходят на новые ветки (1.6 и 9) просто потому, что вообще забили устанавливать обновления.

Не знаю как Flash, а с JRE всё просто: 1.5 - последняя работающая на Win9x Java (не помню, но по-моему и на Linux 2.4). А Sun, в свете новых модных течений по гонке за новыми компьютерами, просто не фиксит ошибки в "устаревшей" версии.


"Анализ уязвимостей за 2008 год: в Firefox ошибок больше, но ..."
Отправлено Sampan , 07-Мрт-09 15:31 
>>> Отсюда видно, что большинство пользователей JRE 1.5 и Flash Player 6.x не переходят на новые ветки (1.6 и 9) просто потому, что вообще забили устанавливать обновления.
>
>Не знаю как Flash, а с JRE всё просто: 1.5 - последняя
>работающая на Win9x Java (не помню, но по-моему и на Linux
>2.4). А Sun, в свете новых модных течений по гонке за
>новыми компьютерами, просто не фиксит ошибки в "устаревшей" версии.

JRE 1.6_12 замечательно работает на linux 2.4.x

>разработчики Mozilla сумели компенсировать объем проблем - качеством их исправления: выпуская патчи значительно быстрее

Разве обновления для Firefox выходят в виде патчей? А не в виде новой версии, которую надо скачивать целиком, в отличие от IE?


"Анализ уязвимостей за 2008 год: в Firefox ошибок больше, но ..."
Отправлено angelsaint , 07-Мрт-09 20:19 
стоял firefox 3.0.6, выбрал в меню "справка" пункт "проверить наличие обновлений", браузер скачал 548Кб, перезапустился, и вуаля - версия 3.0.7. так что обновления в виде патчей. хотя возможно для винды обновления и требуют закачки полного установочного файла

"Анализ уязвимостей за 2008 год: в Firefox ошибок больше, но ..."
Отправлено Анонимускун , 07-Мрт-09 20:47 
>стоял firefox 3.0.6, выбрал в меню "справка" пункт "проверить наличие обновлений", браузер
>скачал 548Кб, перезапустился, и вуаля - версия 3.0.7. так что обновления
>в виде патчей. хотя возможно для винды обновления и требуют закачки
>полного установочного файла

В винде также. Только как FF обновляется из под обычного пользователя? SUID? У меня пункт "Проверить наличие обновлений..." не активен.


"Анализ уязвимостей за 2008 год: в Firefox ошибок больше, но ..."
Отправлено Frank , 07-Мрт-09 23:53 
Обновляется обычным для линуксовых программ способом - через апт/рпм/что_там_у_вас, потому и пункт недоступен - не имеет смысла для линукса.

"Анализ уязвимостей за 2008 год: в Firefox ошибок больше, но ..."
Отправлено Аноним , 08-Мрт-09 08:12 
>Обновляется обычным для линуксовых программ способом - через апт/рпм/что_там_у_вас, потому и пункт
>недоступен - не имеет смысла для линукса.

Всё намного проще вощемта - пункт активен если пользователь может писать в папку с установленным фаерфоксом.


"Анализ уязвимостей за 2008 год: в Firefox ошибок больше, но ..."
Отправлено User294 , 10-Мрт-09 14:56 
>Всё намного проще вощемта - пункт активен если пользователь может писать в
>папку с установленным фаерфоксом.

Нафиг-нефиг юзеру в папку с бинарями писать.Пусть апдейтами занимается апдейтер :).Один.Это удел виндузятников трахаться с дюжиной разномастных апдейтеров, все-равно профукивать половину обновлений софта, т.к. на все программы на нагуглишься и в итоге отхватывать вирусню через незапатченые дыры.


"Анализ уязвимостей за 2008 год: в Firefox ошибок больше, но ..."
Отправлено none , 08-Мрт-09 17:15 
>стоял firefox 3.0.6, выбрал в меню "справка" пункт "проверить наличие обновлений", браузер
>скачал 548Кб, перезапустился, и вуаля - версия 3.0.7. так что обновления
>в виде патчей. хотя возможно для винды обновления и требуют закачки
>полного установочного файла

все автообновления в контесте самих программ - на свалку, придумади, блин, гемморой.


"Анализ уязвимостей за 2008 год: в Firefox ошибок больше, но ..."
Отправлено User294 , 07-Мрт-09 23:48 
>>новыми компьютерами, просто не фиксит ошибки в "устаревшей" версии.
>JRE 1.6_12 замечательно работает на linux 2.4.x

Пришла весна и некрофилы достали заступы и вилы... =)


"Анализ уязвимостей за 2008 год: в Firefox ошибок больше, но ..."
Отправлено А , 10-Мрт-09 00:19 
> Не знаю как Flash, а с JRE всё просто: 1.5 - последняя работающая на Win9x Java

И что? Для ветки JRE 1.5 тоже выходят обновления безопасности.


"Анализ уязвимостей за 2008 год: в Firefox ошибок больше, но ..."
Отправлено аноним , 09-Мрт-09 16:39 
Отсюда видно, что якобы безопасность опенсорс - миф.

"Анализ уязвимостей за 2008 год: в Firefox ошибок больше, но ..."
Отправлено KBAKEP , 09-Мрт-09 22:02 
Это не факт. Совершенно непонятно, как искали все эти уязвимости: анализом кода или исполняемого файла.

"Анализ уязвимостей за 2008 год: в Firefox ошибок больше, но ..."
Отправлено ABC , 09-Мрт-09 22:11 
>Отсюда видно, что якобы безопасность опенсорс - миф.

Наоборот, это потверждает, что opensource безопасней.

Потому что, его главное преимущество - скорость обнаружения и исправления проблем. Количество же ошибок и недоработок статистически одинаково для всех типов софта.


"Анализ уязвимостей за 2008 год: в Firefox ошибок больше, но ..."
Отправлено NW , 10-Мрт-09 07:30 
Отсюда видно что все вменяемые программисты забили на поиск багов в IE и переключились на Firefox =)

"Анализ уязвимостей за 2008 год: в Firefox ошибок больше, но ..."
Отправлено User294 , 10-Мрт-09 09:54 
>Отсюда видно что все вменяемые программисты забили на поиск багов в IE
>и переключились на Firefox =)

В IE их все-равно не чинят.Хакерам которые ищут баги ради процесса так попросту неинтересно - смысл то искать баги если их никто не чинит? :) А тем которые ради результата - того что есть из незапатченного хватает видимо 8)


"Анализ уязвимостей за 2008 год: в Firefox ошибок больше, но ..."
Отправлено charon , 10-Мрт-09 12:36 
вот не люблю слепых фанатов. Тут многие твердят, что в Линуксе всё обновляется очень хорошо само. Это же ложь! Обновления действительно выходят и обновляется само, но поскольку разрабам обычно наплевать, то с ОЧЕНЬ большой задержкой.
Например, несколько недель назад выпустили критические обновления для Flash-плеера: на Винду я его давно накатил (вручную), а в адобовском репозитории для Федоры его нет до сих пор. Пиджин 2.5.5 вышел неделю назад, а в Федоре нет обновления. Фаерфокс под Виндой обновляется день-в-день или на следующий день (сам!), а в Федоре мне надо ждать минимум неделю, пока доедет до репозиториев.
Разработчики программ, как правило, выпускают обновления одновременно и для Винды, и для остальных ОС. А вот хозяева дистрибутивов не торопятся обновлять свои репозитории. Так что не вижу повода для гордости пингвинщиков.

"Анализ уязвимостей за 2008 год: в Firefox ошибок больше, но ..."
Отправлено Sergey , 10-Мрт-09 18:41 
>Разработчики программ, как правило, выпускают обновления одновременно и для Винды, и для
>остальных ОС. А вот хозяева дистрибутивов не торопятся обновлять свои репозитории.
>Так что не вижу повода для гордости пингвинщиков.

Странно у меня под сузей ФФ обновляется также часто, как и под вин, ЧЯДН?
А вообще кто поддерживает проги в репозитариях дистрибов, если команда дистра не ее разработчик? Особенно всякий левый софт типа того же флешь-плеера, который положить в репо никакой дистростроитель не может никак, пока адоб не почешется.. Так что не нужно горячих эмоций!
>Пиджин 2.5.5 вышел неделю назад, а в Федоре нет обновления.

Возьметесь быть ментейнером пакета к федоре 10? Будете отслеживать все новшества, тестировать стабильность, и своей волей помещать или не свежак в репо?


"Анализ уязвимостей за 2008 год: в Firefox ошибок больше, но ..."
Отправлено charon , 10-Мрт-09 19:07 
>>Разработчики программ, как правило, выпускают обновления одновременно и для Винды, и для
>>остальных ОС. А вот хозяева дистрибутивов не торопятся обновлять свои репозитории.
>>Так что не вижу повода для гордости пингвинщиков.
>
>Странно у меня под сузей ФФ обновляется также часто, как и под
>вин, ЧЯДН?
>А вообще кто поддерживает проги в репозитариях дистрибов, если команда дистра не
>ее разработчик? Особенно всякий левый софт типа того же флешь-плеера, который
>положить в репо никакой дистростроитель не может никак, пока адоб не
>почешется.. Так что не нужно горячих эмоций!

Очень похоже на фанатов-Линуксоидов. Если что не так - то виноваты, конечно, проприетарщики. Даже если они всё делают правильно и вовремя.
Ладно, пропустим Флэш. Пусть тут виновата Адоб. Я понимаю, что сам по себе этот аргумент несерьёзен, именно поэтому привёл еще 2, который до сих пор не побиты.
Кто поддерживает проги - я не знаю. Я лишь утверждаю, что обновляется менее регулярно! Должен ли каждый пользователь знать, кто обновляет проги? Под Виндой тоже не знают.

>>Пиджин 2.5.5 вышел неделю назад, а в Федоре нет обновления.
>
>Возьметесь быть ментейнером пакета к федоре 10? Будете отслеживать все новшества, тестировать
>стабильность, и своей волей помещать или не свежак в репо?

нет, не возьмусь. У меня много других дел и мало времени. Мне нравится Федора, и я терплю её недоработки и хвалю преимущества. Но я не считаю возможным умалчивать о недостатках и при этом опускать Винду, как это любят делать тут. Очень однобоко на мир смотрите.