"IE sicuro quanto Firefox? Su, non scherziamo...
a cura di The King of GnG pubblicato il 22/01/2007
L'autore di Adblock Plus risponde ai tentativi di equiparare i due browser sul piano della sicurezza: la politica Microsoft di gestione delle segnalazioni fa acqua, e il browser proprietario "conserva" vulnerabilità che risalgono al 2002, definite "feature" dalla società.
Qualche giorno fa, navigando tra i feed di Google Reader mi sono imbattuto in questo intrigante post pubblicato sul blog di Adblock Plus: Wladimir Palant, autore di una delle estensioni fondamentali per ogni utente di Firefox che si rispetti, interviene sulla questione sicurezza dei browser web, corroborando con alcune interessanti considerazioni le sue idee a riguardo. Il messaggio di Palant è netto: mettere sullo stesso piano Internet Explorer e Mozilla Firefox è semplicemente ridicolo.
Un anno pericoloso
Il post cita prima di tutto il blog del Washington Post on-line, che osserva impietosamente come, per tutta la durata del 2006, Internet Explorer sia stato insicuro per 284 giorni all'anno: durante questo arco di tempo il browser più usato del pianeta ha esposto vulnerabilità di sicurezza di livello critico, e in 98 di questi giorni le suddette falle sono state attivamente sfruttate dai cracker e dai siti web malintenzionati.
Al confronto, Firefox ha messo in mostra una sola falla, pubblicamente annunciata, prima che i programmatori di Mozilla ci mettessero una pezza: in totale, fanno 9 giorni di esposizione al crimine telematico, e ad oggi non si hanno notizie di exploit progettati per sfruttarla in maniera concreta.
Non che Firefox sia esente da bachi, tutt'altro: la differenza, dice Wladimir Palant, è che Mozilla mette le pezze al codice prima che le falle vengano rese pubbliche, eliminando alla radice il pericolo che qualcuno possa sfruttarle per i propri loschi scopi. Mozilla poi pubblica e aggiorna una lista di tutti i bug con relativi fix per ognuno dei suoi prodotti.
Le vulnerabilità di IE invece, una volta scoperte, divengono subito di pubblico dominio. Le società di sicurezza, dice sempre Palant, sono costrette ad agire in questo modo per via della politica di Microsoft, che tende a sottostimare i rischi reali delle falle, producendo fix dopo anni dalla scoperta o addirittura definendole delle "feature aggiuntive", come dimostra il caso del bug del tasto Ctrl, scoperto nel 2002 e rimasto tale e quale fino ad ora. E' una continua caccia al bug, possibilmente con la pubblicazione di un exploit funzionante, in modo da stanare Microsoft e costringere i suoi pachidermici ritmi di gestione dei software a reagire.
Mozilla, al contrario, ragiona in modo opposto: ogni falla che gli viene comunicata viene considerata critica fino a prova contraria, e i tempi di risposta non superano la settimana.
I bug non muoiono mai... in IE
Certo, si potrebbe obiettare che in fondo sono considerazioni pre-IE 7, e la sicurezza del nuovo browser Microsoft è tutta un'altra cosa: a tal proposito, Wladimir Palant ritorna sull'argomento dopo qualche giorno, riportando l'esempio di una vulnerabilità potenzialmente pericolosa per la privacy e i dati dell'utente presente anche nella nuova main release del browser.
Definita, inspiegabilmente secondo il coder, less critical da Secunia, la vulnerabilità elimina alcuni controlli di origine, permettendo ad ogni sito web di leggere i contenuti di un altro sito. Palant ha realizzato un esempio di codice che sfrutta la falla per controllare se l'utente è loggato su Google o Yahoo!, leggendo in tal caso il nome utente - a patto ovviamente di usare IE.
Potenzialmente, il codice sarebbe in grado di leggere le mail nella inbox e modificare la password di accesso, o peggio ancora penetrare nell'account della banca dell'ignaro utente qualora si fosse loggiati in esso. Le informazioni su questa gravissima falla sono state pubblicate ad aprile, e a tutt'oggi questa risulta non patchata. Sia in Internet Explorer 6 che nella nuova versione 7.0.
Se a queste considerazioni si aggiunge il fatto che già cominciano a fare capolino le prime patch anche per IE 7, e la summenzionata politica di trattare superficialmente la gravità delle falle in quel di Redmond, il quadro completo è abbastanza chiaro: Firefox è indiscutibilmente più sicuro di Interne Explorer."
da: http://www.megalab.it/news.php?id=1482
:D :)
Questa é solo la conferma del duro lavoro di Mozilla che a differenza di Microsoft non si adagia sugli allori :)
Questo messaggio è stato aggiornato da Ninfea il 22/01/2007 alle ore 15:12:08
Forza firefox :duo
Bye ;)
cmq quelli che reagiscono più rapidamente son quelli di opera...;)
Citazionecmq quelli che reagiscono più rapidamente son quelli di opera...;)
quoto ;););) anche se alla fine lavorando in java mi rendo sempre più conto di quanto IE sia indispensabile, nonostante la portability delle applicazioni.:cool:
CitazioneCitazionecmq quelli che reagiscono più rapidamente son quelli di opera...;)
quoto ;););) anche se alla fine lavorando in java mi rendo sempre più conto di quanto IE sia indispensabile, nonostante la portability delle applicazioni.:cool:
perchè dici questo? che applicazioni danno noia?
non si tratta di noia, alla fine è solo una questione di portability, per esempio nn so se ricordi la segnalazione sulle faccine, quela che ha fatto un pò di scalpore, alla fine io ho creato il JS ma funziona solo su IE, ancora nn riesco a farlo funzionare su altri browser.
non si tratta di noia, alla fine è solo una questione di portability, per esempio nn so se ricordi la segnalazione sulle faccine, quela che ha fatto un pò di scalpore, alla fine io ho creato il JS ma funziona solo su IE, ancora nn riesco a farlo funzionare su altri browser.
Citazionenon si tratta di noia, alla fine è solo una questione di portability, per esempio nn so se ricordi la segnalazione sulle faccine, quela che ha fatto un pò di scalpore, alla fine io ho creato il JS ma funziona solo su IE, ancora nn riesco a farlo funzionare su altri browser.
ah io pensavo ti riferissi a java, nn ai javascript...
anche se devo dire che molti browser a differenza di IE anche con le applicazioni java sono più lenti...:D
bè ma richiamandola direttamente la colpa nn è loro, ma della virtual machine ;)
vabbè la VM è forse l'unica, ma di sicuro la più grande pecca di java.:D
Citazionevabbè la VM è forse l'unica, ma di sicuro la più grande pecca di java.:D
bè è anche il suo unico grande pregio ;)
Af non dobbiamo soffermarci sul fatto che la VM rende il software java indipendente dall'architettura, forse quest da java una portability assurda, ma lo rende anche molto lento in alcuni ambiti.:D :D
Cmq in ogni caso concordo cn te da alcuni punti di vista.:)
Questo messaggio è stato aggiornato da marcoff il 30/01/2007 alle ore 20:25:23
chissà se ora, con le nuove CPU che supportano in hw la virtualizzazione, le future versioni della java VM miglioreranno in velocità
eh eh chissà davvero, sai avevo deciso di aprire un nuovo tread ma mi hi anticipato.;)
le prestazioni secondo me nn sono poi così malvagie... se confrontiamo le prestazioni del .NET di microsoft che è una specie di evoluzione microsoftiana dei concetti di java vince java sicuro...
vabbè se mi parli di un prodtto microsoft allora si può anche chiudere il thread :D :D :D :):):)
anche perchè penso che siamo OT.:):):) :D :D :D
ho letto adesso qst discussione e mi interessa un po'..visto k sn stufo di usare ie xo' vado spesso in chat k browser esiste oltre a ie k fa andare anke java?io x ora ho opera cm secondo browser
Citazioneho letto adesso qst discussione e mi interessa un po'..visto k sn stufo di usare ie xo' vado spesso in chat k browser esiste oltre a ie k fa andare anke java?io x ora ho opera cm secondo browser
opera è 1 ottima scelta ;)
chat java dici? opera nn funza? provato firefox?
firefox nn ankora..versione?cmq l ho scaricato e funziona bene nelle chat
:h
Questo messaggio è stato aggiornato da cekkiz il 11/04/2007 alle ore 18:20:56
firefox l'ultima disponibile ufficiale