Mądrości ludowe mają to do siebie, że często rozmijają się z rzeczywistością. Jedna z takich mądrości, która wraca przy każdym błędzie w Internet Explorer jest "zalecenie", by nie używać tej przeglądarki. Ja do korzystania z Internet Explorer nikogo zachęcać nie zamierzam, sam korzystam z Firefox. Nie podoba mi się natomiast przeświadczenie, że używanie innej niż Internet Explorer przeglądarki zapewnia bezpieczeństwo.
Nie używasz Internet Explorer? No i co z tego...
Nie zapewnia, bo na razie nie ma bezbłędnej przeglądarki. Proponuję przeglądnąć na przykład Security Advisories for Firefox 3.5 i zwrócić uwagę na ilość krytycznych podatności, których definicja jest następująca:
Vulnerability can be used to run attacker code and install software, requiring no user interaction beyond normal browsing.
Brzmi znajomo? Tak, przynajmniej za pomocą części tych podatności można skonstruować exploit podobny do osławionej już Aurory. Można również skorzystać z informacji o podatnościach znalezionych w różnych produktach zgromadzonej w National Vulnerability Database, nagle może się okazać, że aktualne wersje Internet Explorer wcale nie dzierżą palmy pierwszeństwa jeśli chodzi o ilość podatności, a także jakość, którą tu należy rozumieć jako potencjalne skutki wykorzystania podatności.
Na podstawie statystyki wykrytych błędów nie zamierzam wysnuwać wniosków, która przeglądarka jest "najbezpieczniejsza". Informacja ta jest jednak istotnym wskaźnikiem dotyczącym skuteczności zastosowanych w procesie tworzenia aplikacji technik, które mają zwiększyć bezpieczeństwo końcowego produktu, czyli ogólnie mówiąc pokazują jak sprawdza się w praktyce Systems Development Life Cycle. By obraz był pełniejszy, należałoby porównać statystyki w czasie i popatrzeć na trendy, ale to zupełnie inny temat.
Ze statystyk błędów wystarczy zapamiętać tylko jedno - we wszystkich przeglądarkach może wystąpić błąd bezpieczeństwa pozwalający na zdalne wykonanie kodu bez udziału użytkownika. W tym kontekście budowanie przeświadczenia, że rozwiązaniem wszelkich problemów z bezpieczeństwem jest używanie innej przeglądarki niż Internet Explorer jest szkodliwe. Użytkownicy alternatywnych przeglądarek żyją w błędnym przeświadczeniu, że są całkowicie bezpieczni, bo przecież nie należą do "grupy ryzyka".
Trzeba również zwrócić uwagę, że różnice w czasie usuwania wykrytych podatności niewiele zmieniają w przypadku wykorzystania nowych, jeszcze nieznanych błędów. Co przyjdzie użytkownikowi z tego, że błąd w jego przeglądarce został szybciej usunięty, jeśli ktoś już wcześniej zdążył go wykorzystać? Oczywiście, można się spodziewać, że udostępnienie szczegółowych informacji o Aurorze spowoduje, że będzie on powszechnie(j) wykorzystywany przez malware. Tylko ten exploit musi jeszcze zadziałać... A z tym to już bywa różnie, w zależności od zastosowanych dodatkowych mechanizmów obrony.
Podsumowując: to, że nie korzystasz z Internet Explorer nie znaczy, że jesteś całkowicie bezpieczny, więc zamiast ślepo słuchać rady "(...) używaj Firefoxa/Opery/Chrome (...)" pomyśl lepiej co będzie, gdy ktoś weźmie właśnie te przeglądarki na celownik. One też nie są bezbłędne.
...z tych trzech wymienionych przeglądarek pod względem bezpieczeństwa przemawia do mnie najbardziej Chrome ze względu na sandbox. Inna sprawa, że na jednym moim komputerze zaparł się i z sandboxem nie wystartuje, na innych - a i owszem.
Doradzasz więc wstrzemięźliwość?! ;D
http://secunia.com/advisories/product/21625/
http://secunia.com/advisories/product/25800/
Co oczywiście w niczym nie przeczy ogólnej wymowie tego tekstu. Uściślam tylko.
Druga kwestia to sensowność usuwania każdej podatności, na przykład takiej: http://secunia.com/advisories/37362/
rzeczywistością. Jedna z takich mądrości, która wraca przy każdym
błędzie w Internet Explorer jest "zalecenie", by nie używać tej
przeglądarki."
Akurat tutaj mądrość ludowa może być prawdą:
http://preview.tinyurl.com/yb2utxl