Bezpieczna przeglądarka
Dyskusjom nad bezpieczeństwem przeglądarek niemal zawsze towarzyszy próba odpowiedzi na pytanie: która z nich jest najbardziej bezpieczna, a która najmniej? CERT Polska zanalizował ilość wykrytych i załatanych luk w czterech najpopularniejszych przeglądarkach: Internet Explorerze, Mozilli, Mozilli Firefox oraz Operze. Raport uwzględnia luki wykryte od stycznia 2003 roku do grudnia 2004 roku, wszystkie zostały szczegółowo omówione na stronach firmy Secunia. Do oceny bezpieczeństwa przeglądarek CERT posłużył się dwoma wskaźnikami: liczbą bezwzględną luk wraz z procentem luk krytycznych oraz poziomem załatania przeglądarki.
Z pierwszego wskaźnika wynika, że najwięcej luk dotyczy przeglądarki Internet Explorer, mniej związanych jest z Operą i Mozillą, zaś najmniej z Firefox. 41% wszystkich luk w Internet Explorerze to luki krytyczne, których wykorzystanie pozwala na zdalne i anonimowe przejęcie kontroli nad systemem, nie wymagające określonych działań użytkownika.
W przypadku pozostałych przeglądarek wartość ta wynosi od 11% do 13%. Niestety producenci żadnej z przeglądarek nie załatali wszystkich znanych luk.
Po trzy niezałatane dziury mają Firefox, Mozilla i Opera, 20 takich błędów ma Internet Explorer. Zdaniem CERT luki krytyczne powinny być w 100% załatane przez producenta. Jedyna przeglądarka, która nie spełnia tego założenia, to Internet Explorer. Mozilla i Opera posiadają największy odsetek załatanych luk - odpowiednio 90% i 88%.
Bezwzględna liczba luk, w tym luk krytycznych:
Internet Explorer: 58 luk (24 krytyczne, 41 proc.)
Opera: 31 luk (4 krytyczne, 13 proc.)
Mozilla: 25 luk (3 krytyczne, 12 proc.)
Firefox: 18 luk (2 krytyczne, 11 proc.)
Tak duża liczba luk w Explorerze w połączeniu z tym, że jest to wciąż najpopularniejsza przegladarka stron WWW powoduje poważne zagrozenia w sieci. Jednocześnie jednak, ze względu na zastosowane w IE algorytmy luki te są zazwyczaj trudne do usunięcia
Poziom załatania przeglądarki to procent wykrytych luk, które można usunąć za pomocą udostępnionych przez producenta łatek. Przedstawia się on następująco:
Opera - 90 proc. (pozostały niezałatane 3 luki
Mozilla - 88 proc. (pozostały 3 luki)
Firefox - 83 proc. (pozostały 3 luki)
Internet Explorer: 66 proc. (pozostało 20 luk)
Luki krytyczne załatano w całości w: Firefoksie, Mozilli i Operze. W Internet Explorerze pod koniec rozpatrywanego okresu pozostały 4 niezałatane luki krytyczne (co stanowi 17 proc. wszystkich luk krytycznych).
Ciekawym, uzupełniającym wskaźnikiem poziomu bezpieczeństwa związanego z używaniem danej przeglądarki mógłby być wskaźnik opisujący, jak dużo czasu potrzebował producent na załatanie luki. Ze względu na trudności związane z dotarciem do szczegółowych dat wykrycia i załatania luki, CERT nie przygotował takiego zestawienia.
Równie interesująca mogłaby okazać się próba odpowiedzi na pytanie, jak popularność danej przeglądarki wpływa na ilość odkrytych w jej kodzie luk.
Przy obecnej dominacji Internet Explorera (korzysta z niego ponad 75% Internautów), postawienie tezy, że jest taka zależność i że jest ona wprost proporcjonalna, ustawia IE w rankingu bezpieczeństwa zdecydowanie wyżej od pozostałych przeglądarek.
CERT zaleca jednak podobne przypuszczenia traktować z ostrożnością, przynajmniej do czasu, aż zostanie zebrana większa ilość danych na ten temat. Na razie lepiej jest ograniczyć swój wybór do Firefox, Mozilli i Opery, których bezpieczeństwo układa się na podobnym poziomie. Zainteresowani znajdą opisywany raport CERT Polska tutaj
(źródło: Web Express: di.com.pl, opr. A Wasilewska-Śpioch)
