Lucas Adamski, a Mozilla biztonságért felelős igazgatója blogjában, Óvakodj a biztonság mérésétől címmel válaszolt a Secunia biztonsági jelentésére.
Óvakodj a biztonság mérésétől
A biztonság mérését nagyon nehéz jól végezni, de nagyon könnyű rosszul csinálni. Ennek egyik példája a Secunia 2008 jelentés, amely a bejelentett sérülékenységeket megpróbálja böngészőkre lebontani, és konkrét megállapításokat is tesz:
Az Internet Explorer verzióihoz (5.x, 6.x és 7) 31 sérülékenységi bejelentés érkezett, beleértve azokat, amelyek nyilvánosságra kerültek, mielőtt azokhoz javítások készültek volna, valamint azokat is, amelyek megjelentek a Microsoft Security Bulletinben.
A Safari 32, az Opera pedig 31 sebezhetőséget tudhat magáénak, míg a Firefox böngészővel kapcsolatban 115 sérülékenységi bejelentés érkezett 2008-ban.
Első olvasásra úgy tűnik, hogy a Firefox majdnem négyszer annyi biztonsági hibát rejt, mint az IE vagy a Safari. Ez a következtetés azonban fájdalmasan pontatlan. A Mozilla közzétesz miden biztonsági hibát függetlenül attól, hogy azokat hogyan fedezték fel. Eltérően más gyártóktól, akik csak akkor hoznak nyilvánosságra egy biztonsági problémát, ha azokat független külső fél fedezi fel, de nem számolnak be olyan problémákról, amelyeket a belső fejlesztők, a minőségbiztosítás vagy szerződéses biztonsági szakértők fednek fel.
Ezért ezen számok összehasonlítása több, mint haszontalan és rendkívül félrevezető. Pont olyan, mintha összehasonlítanánk két azonos lakosságú város közlekedési baleseteinek számát, de az egyiknél csak azokat számolnánk, amelyek az újságban megjelennek, míg a másik városnál minden baleset számítana. Ezen számok közvetlen összehasonlítása értelmetlen.
Néhány gyártó azt mondja, hogy a belső fejlesztők által fedezett hibák száma elenyésző. Ez sajnos azt jelenti, hogy a belső minőség-ellenőrzés és a biztonsági folyamatok nem képesek feltárni a biztonsági hibákat, és a fejlesztés teljes egészében a véletlenszerű bejelentők (biztonsági kutatók) jóhiszeműségére támaszkodik. Ezt elég félelmetesnek találom.
Szerencsére pár nagy szoftverfejlesztő cégnél már dolgoztam belső munkatársként vagy külső konzulensként, és azt kell, hogy mondjam, hogy nem így van. Valójában rendkívül jól működő biztonsági csoportok és minőségbiztosítási eljárások vannak, amelyek sokkal több biztonsági problémát tárnak fel házon belül, mint amit nyilvánosságra hoznak.
A Secunia jelentése számos ponton okozott csalódást. Őszintén szólva csalódást okoz, hogy a biztonsági kutatók nem végezték el a feladat kutatás részét, ahogy azt korábban már egyszer megtették. Ugyancsak kiábrándító, hogy a Secunia közzétesz egy ilyen tanulmányt, mikor ennél sokkal jobbra lenne képes. Az ilyen típusú jelentések arra ösztönzik a fejlesztőket, hogy eltitkolják a biztonsági hibákat és azokat, amennyiben lehetséges, titokban javítsák. Ez visszalépést jelent a biztonsági kérdésekben, és talán ez a legnagyobb csalódás mind között.
Lucas Adamski
Director of Security Engineering
Ez igaz, valamint más szemszögből nézve:
A Firefox lett napjaink legközkedveltebb böngészője, mint ilyen kerül a központba (a konkurencia nagy bánatára). Nem csoda, hogy a sok ember aki használja, teszteli, esetleg fejleszt hozzá különböző plugineket, kiegészítőket vagy szándékosan támadja talál benne hibát. Így ezek a hibákra fény derül és javítva lesznek azelőtt, hogy ezeket a hibákat szépen csöndben valaki felhasználná önös érdekeire.
Szemben a konkurencia termékeivel amik hemzsegnek a különböző hibáktól, és amiket csak azok ismernek akik csöndben kihasználják 0day exploitként.
Akárki akármit mond, a Firefox a legbiztonságosabb böngésző. És még ha tartalmaz is hibákat, egyszerűen telepítem a NoScript nevű kiegészítőt, és a probléma máris megoldódott. A különféle vírusok és egyéb kártékony programok a különféle scriptek lefuttatása révén települnek a gépekre, így ezek letiltása a problémák nagy többségét megoldja. Ezen felül azok a kiegészítők, melyek pl. az IE biztonságosságát volnának hivatottak növelni, vagy egyáltalán nem működnek (nem blokkolnak semmit), vagy azt is blokkolják, amit nem kéne. A secunia jelentése egy szempontból jó: a Firefox esetleges hibáit a lehető leghamarabb javítják a fejlesztők, az IE hibái pedig hosszú hónapokig javítás nélkül maradnak. Ennyit erről …