Bezpieczeństwo przeglądarek internetowych - raport CERT

w dziale Opera
jedrzej napisał(a):

CERT opublikował raport dot. bezpieczeństwa przeglądarek. Do przeczytania tu:

http://www.cert.pl/index2.html?action=show_news_more&nid=650

Zapraszam do komentowania.

adas napisał(a):

http://www.cert.pl/PDF/Raport_CP_przegladarki.pdf - tutaj plik pdf z tym raportem.

Nasty napisał(a):

Powiem tak. Raport jest solidnie i rzeczowo napisany - świetnie, że odróżnili błędy krytyczne od pozostałych - dzięki temu widać wyraźnie jak IE odstaje - bo nie tylko liczba ale i "jakość" dziur się liczy. bigsmile

Ale... na opublikowanie raportu wybrali niestety moment najgorszy z możliwych, który nie odzwierciedla typowej sytuacji (Opera i FF: 100% załatanych), poza IE, który zawsze ma ok. 20 niezałatanych, w tym krytyczne, więc dla niego akurat sytucja jest typowa.
Jeszcze do grudnia FF miał 0 niezałatanych luk i zapewne niedługo go połatają i wrócą do regularnych update'ów, podobnie z Operą - obecnie jesteśmy na bardzo szczególnym, nietypowym etapie kończenia i wyczekiwania Finala wersji 8, przez co wersja 7.5x została już nieco zapomniana, ma parę mało istotnych dziurek, które zostaną załatane za jakieś circa 3 tygodnie przy wyjściu O8 i sytuacja znów będzie unormowana - 100% bezpieczeństwa. A w tej chwili czerwone miejsca w wykresie Opery i FF nakreślają ich wizerunek, jako co prawda łatanych, ale niezbyt szybko i kompletnie - czyli niezbyt korzystna sytuacja bardzo chwilowa zostanie uznana za typową, stałą. down

No ale jednak raport pokazuje, że IE wyraźnie odstaje, więc generalnie należy się cieszyć i oby został nagłośniony, aby wielu ludzi zdało sobie z tego sprawę.

Aha, zauważyłem dwa błędy (póki co ogólnie przeglądałem ten raport, nie czytałem każdego zdania):
"Mozilla i Opera posiadają największy odsetek załatanych luk - odpowiednio 90% i 88%" - powinno być na odwrót, jak wskazuje tabelka
I źle jest podany link do raportu Secunii na temat Opery - http://secunia.com/advisories/12713/ zamiast http://secunia.com/product/761

Pafun napisał(a):

Raport n/t bezpieczeństwa przeglądarek www

Raport jest pod adresem http://www.cert.pl/index2.html?action=show_news_more&nid=650
Wcale tak różowo Opera nie wygląda na tle FF.
A tak od siebie to miała być nowa Opera, są tylko jakieś bety, nic sie nie dzieje, szaro, smutno i nudno. Coś Norwegowie zlewają sprawę. Oczywiście fanatycy Opery powiedzą, Norwegowie siedzą i ciężko pracują nad udoskonaleniem swojego produktu, ale jakos efektów nie widać. Jak za jedyną przegląarkę za którą trzeba płacić to cos cieńko się starają.
A teraz z chęcią poczytam bluzgów fanatycznych operowców którzy wywalą kubeł pomyj na FF, Mozillę i na mnie (choć sam używam Opery).

michmaj napisał(a):

Była już na ten temat mowa http://my.opera.com/forums/showthread.php?s=&threadid=79376

adas napisał(a):

Jak nic się nie dzieje jak się dzieje:
http://www.opera.com/download/index.dml?opsys=Windows&platform=Windows&lng=en&ver=8.0b1 - możesz sprawdzić co jest nowego w nowej Operze.
Niby beta ale ładnie działa... wypróbuj (chociaż w innym katalogu).
A bluzgów tu chyba nie będzie... wink

Nasty napisał(a):

Re: Raport n/t bezpieczeństwa przeglądarek www

Originally posted by Pafun
Raport jest pod adresem http://www.cert.pl/index2.html?action=show_news_more&nid=650
Wcale tak różowo Opera nie wygląda na tle FF.


Raport rzeczywiście pominął jedną ważną rzecz, która ma wpływ na odbiór wyników.
Otóż błędy w Operze są zebrane z pełnych dwóch lat 2003-2004.
Natomiast pierwszy błąd w Firefoksie został odkryty w... maju 2004 - jest on młodziutką przeglądarką ze skrajnie marginalnym w owym czasie udziałem w rynku i dopiero wtedy zaczęła wzbudzać jakiekolwiek zainteresowanie.

Czyli uwzględniając czas realnej obecności na rynku, zakładając równomierne wykrywanie błędów przez pozostały okres, wyniki wyglądają tak:
Opera: 31 błędów, w tym 4 krytyczne
Firefox: 54 błędy, w tym 6 krytycznych
(był na rynku tylko 8 z 24 miesięcy czasu Opery - czyli mnożone przez 3)

Przy okazji - nie wiem skąd takie liczby skoro Secunia wskazuje, że minimalna (bo chyba niektóre raporty mówią o wielu błędach - "multiple vulnerability") liczba luk to:
http://secunia.com/product/761/ - Opera 33 przez 2 lata
http://secunia.com/product/3256/ - Firefox 0.x - min. 19 luk
http://secunia.com/product/4227/ - Firefox 1.x - min. 4 luki
co po przeliczeniu daje 33 dla Opery i 69 luk dla Firefoksa!

Originally posted by Pafun
A tak od siebie to miała być nowa Opera, są tylko jakieś bety, nic sie nie dzieje, szaro, smutno i nudno. Coś Norwegowie zlewają sprawę. Oczywiście fanatycy Opery powiedzą, Norwegowie siedzą i ciężko pracują nad udoskonaleniem swojego produktu, ale jakos efektów nie widać. Jak za jedyną przegląarkę za którą trzeba płacić to cos cieńko się starają.
A teraz z chęcią poczytam bluzgów fanatycznych operowców którzy wywalą kubeł pomyj na FF, Mozillę i na mnie (choć sam używam Opery).


Jak pretensjonalnie i protekcjonalnie... rolleyes
Dlaczego stawiasz siebie na pozycji tego, kto ma rację, a od razu z miejsca wszystkich, którzy się z tobą nie zgodzą wyzywasz od "fanatycznych operowców", którzy nie mają prawa powiedzieć, że pracownicy Opery ciężko pracują? rolleyes Tak, z pewnością masz rację - pracownicy Opery od paru miesięcy nic tylko piją piwo, jeżdżą na nartach i opalają się całymi dniami, do kodu ostatnio zaglądają rzadko, co najwyżej z łaski coś czasem poprawią wieczorem jak im się zachce. lol jester

Dodam tylko, że już ktoś niedawno podniósł podobny zarzut (ah, ta niecierpliwość i ciągłe nienasycenie nowościami Opery p) - przeczytaj poniższy post i 5 następnych:
http://my.opera.com/forums/showthread.php?s=&postid=811333#post811333

Nie jesteś w stanie powiedzieć co robią - to, że przez parę tygodni nie zmieniło się wizualnie zbyt dużo, nie znaczy, że np. za parę chwil, a może za dłuższy czas pojawi się ciekawa funkcjonalność, która wymagała sporo pracy, albo też dużo wysiłku włożyli w udoskonalenie silnika Opery (a przez ostatni czas to ponoć robili - w PR'rze napisali, że Opera ma już nowy rdzeń - jej silnik przeszedł rygorystyczne zmiany mające na celu poprawę bezpieczeństwa, wydajności i jakości wyświetlania stron [1]) - czego zupełnie nie widać w interfejsie. A może coś jeszcze innego. Możemy sobie gdybać nad czym obecnie pracują, w każdym razie zarzut, że nic nie robią jest przekomiczny. jester up

[1] Źródło: http://www.opera.com/pressreleases/en/2004/12/23/
"A browser is much more than what meets the eye, and to maximize speed, security, and page handling, Opera's Core and supporting code has undergone dramatic improvements based on the strict efficiency requirements brought in from the mobile phone market where Opera is a leading player," says Christen Krogh,"

quiris napisał(a):

Opera: 31 błędów, w tym 4 krytyczne
Firefox: 54 błędy, w tym 6 krytycznych (był na rynku tylko 8 z 24 miesięcy czasu Opery - czyli mnożone przez 3)


Przepraszam, ale co ma piernik do wiatraka. Takich przeliczeń nie wolno robić. To jest niedozwolone naginanie faktów do własnych subiektywnych celów. Coś podobnego dziś przeczytałem na http://infojama.pl/:

IE został też przeglądarką, w której najwięcej luk pozostało niezałatanych (33% w stosunku do 10-17% u konkurencji) i jedyną przeglądarką, która posiada niezałatane luki krytyczne. Wnioski wydają sie oczywiste... dopóki nie podzieli się ilości wykrytych luk przez popularność przeglądarki. Jeśli przyjąć, że ilość wykrytych błędów zależy od popularności produktu, okazuje się, że ilość wykrytych błędów "na użytkownika" jest prawie 7-17 razy mniejsza niż u konkurencji, i odpowiednio 2-5 razy licząc same błędy krytyczne.


Przepraszam za wyrażenie, ale o mało d... mi nie odpadła ze śmiechu bigsmile

Nixer napisał(a):

Re: Re: Raport n/t bezpieczeństwa przeglądarek www

Originally posted by Nasty
Opera: 31 błędów, w tym 4 krytyczne
Firefox: 54 błędy, w tym 6 krytycznych(był na rynku tylko 8 z 24 miesięcy czasu Opery - czyli mnożone przez 3)


Hehe, świetne hasło. Demagogia pełną gębą. Szkoda tylko, że z faktami nie ma to nic wspólnego.

Nasty napisał(a):

Originally posted by quiris
Przepraszam, ale co ma piernik do wiatraka. Takich przeliczeń nie wolno robić. To jest niedozwolone naginanie faktów do własnych subiektywnych celów.


Po pierwsze, wypraszam sobie "własne, subiektywne cele". Nie było takiej kolejności:
- Sprawdzam, jak podejść do tego, żeby Firefoksowi wyszło gorzej
- Znalazłem, że należy to policzyć w ten sposób i z radością publikuję tę kalkulację

tylko starałem się w jakiś sposób uczynić porównanie bardziej miarodajnym - w ten sposób:
- Ile krócej jest FF na rynku/przez jaki współczynnik przemnożyć? Jeśli wyjdzie mniej, to OK - uznaję, że FF górą, jeśli więcej, to ciekawe jak bardzo odstaje

Jeśli masz pomysł na lepszy sposób (nie twierdzę, że nie ma, ja zrobiłem to z biegu na pierwszy (nienaj)lepszy, jaki mi przyszedł do głowy), jak zbalansować różnicę w długości życia produktów - bo chyba nie twierdzisz, że porównanie ilości wykrytych błędów w produkcie, który jest na rynku 8 miesięcy i który był już dobrze znany dwa lata temu w stosunku 1:1 jest w porządku - żeby oddawało to miarodajniej porównanie ilości odnajdywanych błędów, to przedstaw proszę.

Drugi pomysł, który mi przychodzi do głowy, to zbadać np. ostatnie 5 miesięcy (8-3, bo dając np. jakieś 3 miesiące FF na rozgrzewkę), ale to okres dosyć krótki z kolei. Ale OK, i tak myślę, że będzie to bardziej miarodajne, niż mój poprzedni algorytm. smile Jak komuś się chce, to niech policzy.

Originally posted by Nixer
Hehe, świetne hasło. Demagogia pełną gębą. Szkoda tylko, że z faktami nie ma to nic wspólnego.


jw. mad irked
I jeśli chodzi o "gębę", to mów za siebie.

Originally posted by quiris
Coś podobnego dziś przeczytałem na http://infojama.pl/:
Jeśli przyjąć, że ilość wykrytych błędów zależy od popularności produktu,
Przepraszam za wyrażenie, ale o mało d... mi nie odpadła ze śmiechu bigsmile


"Jeśli przyjąć, że ilość wykrytych błędów zależy od popularności produktu," - liniowa zależność?
Zakładanie zależności liniowej/proporcjonalnej jest oczywiście dużym nadużyciem. Już produkt z 4-ma procentami jest widoczny na rynku przeglądarek i jest wdzięcznym obiektem wynajdywania luk. Luki w IE już nikogo nie podniecają - ah, kolejna... smile
Ale szerzenie FUDu i uspokajanie IEżytkowników poprzez tezę, że Opera i Firefox są tak samo, albo jeszcze bardziej dziurawe jak IE, tylko jeszcze nie ujawniono tej masy dziur, to już jedyna obrona Internet Explorera (a, poza nagłaśnianiem i wyolbrzymianiem dziur w O i FF) jaka została "Niech-żyje-MS Infojamie". Tyle że krytyczne znaczenie dla użytkownika ma aktualna ilość niezałatanych luk, a nie że "inne przeglądarki teoretycznie kiedyś może będą miały gorzej" - Infojama jak zwykle odwróciła kota ogonem.. Zdziwiłbym się gdyby nie.. Bo przecież im od dawna nie chodzi o to, żeby informować czytelników, a żeby wyszło na to, że ich luby MS górą. rolleyes

Nasty napisał(a):

Zaraz, przecież najdokładniejsza miara to średnia ilość błędów na miesiąc. No więc wygląda to tak:
Opera: 31 błędów / 24 miesiące = 1.29 błędu na miesiąc
Firefox: 18 błędów / 9 miesiący = 2.0 błędu na miesiąc

Tak więc FF ma odkrywanych aż o 55% więcej błędów, niż Opera! Czyli różnica w ilości odkrywanych błędów jest ko-lo-sal-na.
To zresztą daje taką samą procentowo różnicę pomiędzy Operą i FF, co przy wymnożeniu we wcześniejszym poscie. I po co były te złośliwe gadki o demagogii i przyrównywanie moich rachunków do tych bzdur z infojamy. rolleyes irked

Krytycznych błędów nie przeliczam osobno, bo 2-4 to granica błędu statystycznego (ale i tak zakładając realny czas życia FF na poniżej roku, wypada on gorzej od Opery).

(co do edita - kosmetyczne, niemerytoryczne poprawki)