Jak to jest z dziurami w Firefoksie?

Zadaniem raportu "Web Application Security Trends Report" było zbiorcze przedstawienie informacji o błędach w oprogramowaniu wykorzystywanym w Internecie - od aplikacji webowych, po przeglądarki. Ale to właśnie informacje o tych ostatnich wywołały najwięcej kontrowersji - bowiem z raportu wynika, że aż 44% wszystkich wykrytych w dwóch pierwszych kwartałach tego roku luk znajdowała się w zabezpieczeniach Firefoksa. Na drugim miejscu - z wynikiem 35% - znalazł się program Safari, na trzecim Internet Explorer (15%), zaś na czwartym Opera (6%).

Zaraz po opublikowaniu raportu pojawiły się głosy, że firma manipuluje danymi - że liczbę błędów zawyżono, że nie uwzględniono faktu, że Mozilla łata je najszybciej, że konkurencja nie ujawnia wszystkich błędów itp. itd. Wszystkie te zarzuty wydają nam się z gruntu chybione. Dlaczego?

Liczba luk nijak ma się do bezpieczeństwa

Przede wszystkim dlatego, że sami autorzy raportu podkreślają, że w swoim opracowaniu nawet nie podjęli próby interpretowania wyników - dokument zawiera jedynie suche zestawienie liczby błędów w różnych produktach (przygotowane na podstawie danych udostępnionych przez autorów aplikacji). Co więcej - przedstawiciele Cenzic mówią wprost, że liczba luk wykrywanych w danym programie nie może być traktowana jako wskaźnik jego bezpieczeństwa. Na to wpływa wiele innych czynników - czas łatania, waga problemu, liczba potencjalnie narażonych użytkowników, to czy przestępcy zainteresują się danym błędem itp.

Dlatego też opatrywanie tekstów nt. raportu Cenzic tytułami w stylu "Firefox najbardziej dziurawą przeglądarką" jest sporą przesadą i nic dziwnego, że w komentarzach do takich tekstów pojawiają się krytyczne opinie. Tyle, że złośliwe uwagi powinny być kierowane raczej pod adresem autorów takich tytułów, niż autorów raportu...

Dziury są wszędzie

Fakty są takie, że Firefox ma błędy i dziury w zabezpieczeniach - jak większość aplikacji. Program zrobił się ostatnio bardzo popularny (w wielu krajach - w tym m.in. w Polsce - przegonił już IE Microsoftu) - nic więc dziwnego, że coraz więcej osób szuka tych błędów. Faktem jest też, że błędy te Mozilla łata wyjątkowo sprawnie (chyba najsprawniej w branży) - organizacji zajmuje to zwykle maksymalnie kilka dni.

Dodajmy, że dobry wynik Microsoftu też nie jest specjalnym zaskoczeniem - koncernu z Redmond można nie lubić, ale obiektywnie trzeba przyznać, że w ostatnich latach znacząco poprawił bezpieczeństwo swoich produktów (a ostatnie wersje IE - 7 i 8 - są naprawdę nieźle zabezpieczone). I to widać w statystyce Cenzic. Inna sprawa, że Microsoft w przeszłości usunął już tak dużo błędów w IE, że może po prostu już się kończą problemy do rozwiązania...

Mozilla - ostatni sprawiedliwy?

Nie bardzo podobał nam się też zarzut, w myśl którego Mozilla jako jedyna uczciwie informuje o wszystkich załatanych lukach - a inni producenci łatają je po cichu, dzięki temu zaniżając liczbę swoich błędów. Takie plotki słyszymy od lat - ale tak naprawdę jakoś nigdy nikt nie zdołał tego potwierdzić (zdaje się, że tylko Apple'a przyłapano kiedyś na tym, że poprawkę ograniczającą funkcjonalność iTunes opisał jako patcha usuwającego lukę w zabezpieczeniach - ale to w sumie była odwrotność ukrywania luki).

Taki zarzut zwykle wysuwany jest przeciwko Microsoftowi - nawet przedstawiciele Mozilli mówili swego czasu, że koncern ujawnia tylko te błędy, które musi (bo zgłosiły je niezależne firmy i specjaliści). Ale jakoś nie wydaje nam się, żeby to była prawda - przejrzeliśmy właśnie ostatnie biuletyny bezpieczeństwa koncernu. I choć w większości znajdowały się podziękowania dla zewnętrznych ekspertów (którzy zgłosili dany problem firmie), to w wielu żadnych podziękowań nie było (a to znaczy, że błędy wykryli testerzy Microsoftu)...

Dziurawe Safari

Tym, co w raporcie zaskoczyło nas najbardziej, jest stosunkowo duża liczba błędów w Safari. To przeglądarka praktycznie niszowa, wydawałoby się, że mało kto szuka w niej dziur - a mimo to aż 35% wszystkich luk wykryto właśnie w niej. Ale cóż, eksperci od bezpieczeństwa produktów Apple od dawna mówią, że błędów jest tam sporo (aczkolwiek od razu zastrzegają, że z uwagi na niewielką popularność tych aplikacji użytkownicy wciąż są względnie bezpieczni)...