Компания Cenzic, специализирующаяся в области повышения безопасности web-технологий, представила (http://www.cenzic.com/pr_200911091/) аналитический отчет (http://www.cenzic.com/downloads/Cenzic_AppSecTrends_Q1-Q2-20...) (PDF, 900 Кб), в котором обобщены данные об обнаруженных в первой половине 2009 года уязвимостях и зафиксированных атаках злоумышленников. В качестве источников данных использовались сообщения об уязвимостях, публикуемые какими службами, как Mitre, OWASP, SANS, Secunia, Security Tracker, ClickToSecure, Symantec и US-CERT.
Один из основных тезисов отчета - преобладание числа обнаруженных уязвимостей в Firefox, по сравнению с другими web-браузерами: на Firefox приходится 44% всех найденных в web-браузерах за первое полугодие уязвимостей, Safari - 35%, Internet Explorer - 15% и Opera - 6%. Следует заметить, что при этом учтено лишь общее число уязвимостей, без их разделения по степени опасности. Кроме того, открытые исходные тексты Firefox способствуют проведению ...
URL: http://www.cenzic.com/pr_200911091/
Новость: http://www.opennet.me/opennews/art.shtml?num=24208
Круто. Только firefox открытый и багтрекер у него открытый.
>Круто. Только firefox открытый и багтрекер у него открытый.Ну, кому-то это конечно согреет душу... :)
Скорее, согреет ее тот факт что дыры патчат достаточно оперативно - до того как начнется массовое поимение через известные дыры.
И что? В ядре Linux ежедневно отыскивают мелкие дыры, ежемесячно критические, тем не менее массового поимения серверов никто еще не видел и сомневаюсь что увидят, а условия существования абсолютно те же.Да однажды хакнули сервера Apache, тем не менее они сами признались, что все произошло по причине банального раздолбайства и неаккуратной политики безопасности.
Главная уязвимость все еще сидит не в железе и софте, а в полуметре от него, это факт.
Дак критиковать то все могут... Ты хотя бы простейший парсер HTML напиши, потом уже комменть чужие дыры
>Дак критиковать то все могут... Ты хотя бы простейший парсер HTML напиши,
>потом уже комменть чужие дырыПисали, тяжко блин :) стоит что-то одно поменять и посыпались костыли к чертям собачьим )))
Отчет явно заказной...
Я в реалии вижу другое, чем более популярнее продукт, тем больше дыр в нем которые можно реально использовать. и это даже не зависит от производителя софта.
Так что клеймо дырявости Microsoft может смыть только перестав быть монополистом.
А Firefox респект (ну должен же быть распространенный браузер, чтобы тетушки не переспрашивали о назначении кнопкам).
>Я в реалии вижу другое, чем более популярнее продукт, тем больше дыр в нем которые можно реально использовать.Да? В таком случае ИЕ должен был быть в этом отчете на первом месте. Я вообще-то думал, что количество дыр зависит не от популярности, а от _качества_ продукта.
Не надо забывать что ишак уже прошел свой бум уязвимостей в 2003-2007 годах. Сколько народу ботов и дайлеров наставили, потом еще и тулбарами завалили :) Там миллиардные прибыли крутились на эксплуатации уязвимостей ИЕ.А ФФ мало того что опенсорсный, так еще и растет популярность. Так что я такой новости не удивляюсь.
>Я вообще-то думал, что количество дыр зависит не от популярности, а от _качества_
>продукта.А ты сперва сам огроменные блобы дизасмом поколупай, а потом будешь трындеть на форумах, умник. Если кто тупой, намекаю: найти в огроменном блобе в горе дизасмнутого хлама без коментов что-либо - на пару порядков труднее чем в сорсе. И ведь все-равно невзирая на это находят. О каком тогда качестве речь? Это прикол такой? Или просто стандартные сказки пиар-бота?
в принципе, тенденция должна быть пропорциональной. чем больше популярность, тем больше будут искать злоумышленники. второй фактор: чем больше разных конфигураций систем, тем больше вероятность нахождения ошибок.
причем, первый фактор - тут уж на опережение. хакеры найдут быстрее, или сообщество. нужно применять утилиты для нахождения меморилик и других ошибок.
например, если кроме трухина никто не работает с его шедеврами в дотнет, кроме него, то и находиться ошибки будут только им самим.с нетерпением жду браузера, наваянного на дотнет. :)
количество уязвимостей зависит от качаства, а количества _найденных_ уязвимостей зависит от популярности
> Да? В таком случае ИЕ должен был быть в этом отчете на первом месте.чтото тебе больно много в голову наsRали заказные-пиар-новости об популярности IE..
обычно в таких новостях говориться о том что "популярность IE чуть-чуть-падает и якобы сейчас она 67% " .
ХРЕN-ТАМ! отрой любой щётчик! популярность IE -- _УЖЕ_ ниже плинтуса
>ХРЕN-ТАМ! отрой любой щётчик! популярность IE -- _УЖЕ_ ниже плинтусапо моим данным все-таки на 3% выше чем у FF. и с каждым месяцем падает на 1.2-1.5% а у FF, соответственно прибавляется.
конечно, это данные, где не учтена только одна веселая страна - Россия.
с Россией у IE на 10% больше. :)
это как с фрибизиди. в рашке его намного больше.
не плинтус, но тенденции ясны.
покажут сорцы - и ишак вообще исчезнет как класс.
не передергивайте
>Отчет явно заказной...Конечно-конечно :D Был бы в этом отчете фаерфокс самым безопасным - этому отчету бы дифирамбы пели ;)
>Я в реалии вижу другое, чем более популярнее продукт, тем больше дыр в нем которые можно реально использовать. и это даже не зависит от производителя софта.
Ну вот, фаерфокс вышел на второе место по популярности. Правда по уязвимостям уже перевыполняет план))
>Так что клеймо дырявости Microsoft может смыть только перестав быть монополистом.
Компании майкрософт безусловно есть большое дело до Вашего мнения. Пусть для начала кто-нибудь еще начнет делать самые популярные в мире программные продукты, потом мы посмотрим на количество уязвимостей в них. Вот файерфокс уже начал расхлебывать.
>А Firefox респект (ну должен же быть распространенный браузер, чтобы тетушки не переспрашивали о назначении кнопкам).
Это Вы про Оперу? ;)
популярность растет - начинают трояны затачивать под фаерфокс,
в общем.. надо валить! (с)
))
>в общем.. надо валить!не промахнитесь
Промахнуться сложно: встал спиной к FF, прицелился в сторону от IE и попал в нормальный браузер.
Internet Explorer - это такая программа, с помощью которой можно выйти в интернет и скачать себе броузер. (с) bash.org.ru
лишний мессидж, извините
>лишний мессидж, извинитеВидимо, у "нормального браузера" имеются какие-то проблемы с постингом сообщений :D.
ms для вас специально отчёт делает )), завтра бабло попросит )
О скорости заделывания найденных дырок отчёт наверняка умалчивает. Да и если дырку не нашли это ещё не значит что её нет.
вот-вот
написали бы, сколько суммарно по времени браузеры были уязвимы, не имея заплаток.
количество заплаток значения не имеет, мозилла даже приплачивает за нахождение уязвимостей
>О скорости заделывания найденных дырок отчёт наверняка умалчивает. Да и если дырку
>не нашли это ещё не значит что её нет.Просто считать можно по разному. И в одних и тех же фактах можно увидеть разные вещи.
Если считать будет Трухиноподобный бот - дайте ему любые факты, а output будет:
- MS rocks!
- MS competitor(s) <name> suxx.
- MS product <name> rocks!
- Competing product(s) <name> suxx.
- Proprietary code rocks!
- OpenSource code suxx (*)(*) Хоть опенсорс и всасывает, но накрайняк BSDL нас в микрософте устроит т.к. из него можно тырить код, засунув упоминание автора куда-нибудь подальше.
Мельком просмотрел исходный отчет в pdf. На половине страницы расположен пайчарт количества уязвимостей и то же написано словами. Ни одной ссылки на список уязвимостей. Вот такой вот "отчет".
Важно не то сколько нашли а сколько исправили и сколько осталось еще не исправленных.
Важно в конечном итоге - насколько юзеров имеют, какие шансы что вас поимеют и какие времена в течение которых есть известные незапатченные дыры (как отражение шансов на поимение).
"Уровень преступности в стране определяется не количеством воров, а способностью правоохранительных органов их обезвреживать" (c) Жеглов Г.Е.
Почемуто мне кажется, что данная статистика также применима и в контексте того, кто и сколько работает над своим браузером. Посему все же лисиным девелоперам плюсеГ.