информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Атака на InternetSpanning Tree Protocol: недокументированное применение
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Простое пробивание рабочего/провайдерского... 
 400 уязвимостей в процессорах Snapdragon 
 Яндекс неуклюже оправдался за установку... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / RSN / архив / 2005 / сентябрь
2005
главная
январь
февраль
март
апрель
май
июнь
июль
август
сентябрь
октябрь
ноябрь
декабрь
предложить новость





IE оказался безопасней Mozilla, но атакуют его чаще
dl // 19.09.05 18:04
Как регулярно заявляет президент Mozilla Foundation Митчелл Бейкер (Mitchell Baker), броузеры семейства Mozilla принципиально более безопасны, чем IE, и не будут ощущать существенного роста проблем с расширением своей доли рынка.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2005/09/09.html]

Это согревает душу, однако не очень стыкуется с практикой - согласно отчету Symantec, за первое полугодие 2005 года в Mozilla было обнаружено 25 уязвимостей, подтвержденных производителем, 18 из которых получили статус крайне опасных. Аналогичные показатели для IE - 13 и 8 соответственно. Интервал между публикацией уязвимости и появлением использующего ее кода сократился в среднем до шести дней.

Впрочем, Symantec признала, что IE остается единственным броузером, на который осуществляются массовые атаки, отметив, что ожидает изменения картины по мере распространения альтернативных броузеров.

Источник: ZDNet      
теги: symantec, mozilla, уязвимости  |  предложить новость  |  обсудить  |  все отзывы (12) [7046]
назад «  » вперед

аналогичные материалы
400 уязвимостей в процессорах Snapdragon // 08.08.20 08:08
Число обнародованных уязвимостей упало на 20% // 30.05.20 02:21
Microsoft предупредила о двух незакрытых уязвимостях // 24.03.20 00:44
Множественные уязвимости в VNC // 24.11.19 17:15
Типовые уязвимости в драйверах уровня ядра ряда производителей // 11.08.19 03:16
Logitech готовится закрыть очередную уязвимость в Unifying Receiver // 16.07.19 03:38
Неприятная уязвимость в SQLite затрагивает тысячи приложений // 16.12.18 21:08
 
последние новости
Простое пробивание рабочего/провайдерского NAT с помощью Tailscale // 20.08.20 03:02
400 уязвимостей в процессорах Snapdragon // 08.08.20 08:08
Яндекс неуклюже оправдался за установку Теледиска // 29.07.20 17:09
Infosec-сообщество не поддержало отказ от термина black hat // 04.07.20 18:50
Расово верная чистка IT-терминологии // 16.06.20 18:03
ГПБ vs TV // 06.06.20 21:47
Число обнародованных уязвимостей упало на 20% // 30.05.20 02:21

Комментарии:

идиоты атакуют! 20.09.05 01:48  
Автор: elide Статус: Незарегистрированный пользователь
<"чистая" ссылка>
кому какая разница, сколько где нашли ошибок, а?
дело ведь совсем не в этом.
если в огнелисе вечером находят уязвимость, то уже утром выходит патч.
а если ошибку обнаруживают в IE, то исправления можно ждать сколько угодно. от нескольких дней, до месяцев.

имхо, лучше 20 исправленных ошибок огнелиса, чем одна неисправленная в ie.
Недобросовестная реклама 20.09.05 10:59  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> кому какая разница, сколько где нашли ошибок, а?
> дело ведь совсем не в этом.

Правильно, дело совсем не в этом. FF позиционируется как "принципиально более безопасный" на него переходят юзера, которые жаждут безопасности (но все равно остающиеся юзерами).

> если в огнелисе вечером находят уязвимость, то уже утром
> выходит патч.
> а если ошибку обнаруживают в IE, то исправления можно ждать
> сколько угодно. от нескольких дней, до месяцев.

Обычные сказки из разряда microsoft must die

> имхо, лучше 20 исправленных ошибок огнелиса, чем одна
> неисправленная в ie.

Если своевременно качать все обновления, то уровень безопасности примерно одинаковый, просто из очень редко качают (эпидемия msblast-а через год после закрытия дыры, которую он использовал тому подтверждение). По мне, так лучше 13 обновлений, чем 25 (пока у меня не будет безлимитного широкополосного инета за сущие копейки я не изменю своего мнения).
Недобросовестная реклама - ага. вот только кто заплатил петьке? 22.09.05 11:44  
Автор: jammer <alex naumov> Статус: Elderman
<"чистая" ссылка>
> Правильно, дело совсем не в этом. FF позиционируется как
> "принципиально более безопасный" на него переходят юзера,
> которые жаждут безопасности (но все равно остающиеся
> юзерами).

обычные юзера, далекие от админской квалификации, переходят на него не только по этой причине. лис банально красивше, быстрее и удобнее. хотя я сам в 95% случаев предпочитаю оперу. я не удивлюсь если через лет несколько я останусь в предпочитающем ее крайнемалочисленном меньшинстве.

если "взять интеграл" по количеству уязвимостей, их популярности и длительности их актуальности, то лис по-любому останется безопаснее IE. проблема передачи URL в линуксе для большинства пользователей лиса пока неактуальна, а вот вросший своими половыми яйцами в операционку IE - вечный геморрой, сколько ты макстонов, проксимитронов и прочих костылей к нему не прикладывай.


> > а если ошибку обнаруживают в IE, то исправления можно ждать
> > сколько угодно. от нескольких дней, до месяцев.
> Обычные сказки из разряда microsoft must die

ага. но ведь microsoft ДЕЙСТВИТЕЛЬНО must die. i mean it :)


> Если своевременно качать все обновления, то уровень

да там скоро прикроют эту фишку, насколько я в курсе. а сколько они весят у мелкософта? мне нужно исправить 1 файлик в %windir%\system32 - я вынужден качать сервиспак в пару сотен мег. да, у меня конечно интернет неограниченный, но ковыряться с такими файликами и систему грузит, и время занимает, и вынуждает перезагружаться. очень неприятный процесс "своевременно качать все обновления" с майкрософта, особенно в сочетании с подсознательной уверенностью, что ничего хорошего тебе оттуда скачать никогда не дадут, либо потому что в принципе не способны на хорошее (более вероятно), либо оно будет не бесплатно (менее вероятно).


> безопасности примерно одинаковый

:)
не может быть такого. а чуть прожарят потщательнее лису - если это случится конечно - никто в подметки ей не будет годиться, разве что оперу откроют.

> По мне, так
> лучше 13 обновлений, чем 25 (пока у меня не будет
> безлимитного широкополосного инета за сущие копейки я не
> изменю своего мнения).

дело не только в количестве, а и в размере и в побочных эффектах. качая с мелкософта, ты никогда не знаешь, чем тебе аукнется это обновление. в качестве общеизвестного примера можно взять SP2 для XP.

значит, симантек начинает зарабатывать деньги такими "исследованиями"? наверное у них упали продажи их "супербыстрого" антивируса. :)

все вышеизложенное прошу считать за сугубое имхо.
Насчет красивше ничего не могу сказать. По мне так и опера... 22.09.05 13:02  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> обычные юзера, далекие от админской квалификации, переходят
> на него не только по этой причине. лис банально красивше,
> быстрее и удобнее. хотя я сам в 95% случаев предпочитаю

Насчет красивше ничего не могу сказать. По мне так и опера ничего (мы же сейчас не с ИЕ сравниваем), а вот насчет быстрее и удобнее - НИ ФИГА. Я периодически ставил лиса начиная с незапамятных версий. То что там все скручено скриптами да и сами плагины в половине случаев - скрипты уж никак не добавляет ей скорости работы, ну а удобство для ценителей скачать фреймворк, а потом долго и нудно подбирать к нему плагины, половина из которых становится нестабильными (или вообще перестает работать) чуть ли не с каждым новым билдом лисы, а другая половина конфликтует друг с другом это конечно да. Я не из таких ценителей.

> оперу. я не удивлюсь если через лет несколько я останусь в
> предпочитающем ее крайнемалочисленном меньшинстве.

Очень вряд ли.

> если "взять интеграл" по количеству уязвимостей, их
> популярности и длительности их актуальности, то лис
> по-любому останется безопаснее IE. проблема передачи URL в

В принципе соглашусь. Да мне и все равно кто из них круче.

> ага. но ведь microsoft ДЕЙСТВИТЕЛЬНО must die. i mean it :)

Не согласен :-)
Я ЛИЧНО не заинтересован в смерти как микрософта, так и винды (я этим на хлебушек с маслицом зарабатываю), да и само ядро винды очень хорошо написано. Раньше можно было только догадываться, после лика это стало очевидно

> > Если своевременно качать все обновления, то уровень
>
> да там скоро прикроют эту фишку, насколько я в курсе. а

По поводу всего остального, поживем - будем посмотреть
я как раз с IE и сравнивал :) 22.09.05 22:58  
Автор: jammer <alex naumov> Статус: Elderman
<"чистая" ссылка>
> Насчет красивше ничего не могу сказать. По мне так и опера
> ничего (мы же сейчас не с ИЕ сравниваем), а вот насчет

я как раз с IE и сравнивал :)

> быстрее и удобнее - НИ ФИГА. Я периодически ставил лиса
> начиная с незапамятных версий. То что там все скручено
> скриптами да и сами плагины в половине случаев - скрипты уж

тут особо не с чем спорить. я вообще технологию навешивания кучки плагинов не вижу оптимальной, хотя я и не отрицаю ее плюсы. но искать плагины для включения режима полкартинок и автосохранения сессии - это извините черезчур. имхо это должно быть встроено в движок/ядро броузера, это не дополнительные фичи, как проигрывание флеша или показ pdf. и должно это быть имхо реализовано в дефолтной поставке, аналогично тому как в дефолтной поставке реализовано масштабирование, работа через прокси-сервер и выход по alt-f4.


> никак не добавляет ей скорости работы, ну а удобство для

про скорость я имел в виду по сравнению с IE и такие операции, как например рождение окна по ctrl-n (тьфу... ctrl-t блин - с перепутанными хоткеями я просто не могу смириться и не хочу искать возможностей их перемапить).

по сравнению с оперой (сравниваю ff-1.0 vs o-7.23) лис ощутимо быстрее запускается (ну ясное дело, с тремя-то окнами), но от 30 открытых вкладок ползает уже заметно горизонтальнее оперы. поскольку я человек жадный и испытываю страсть к безболезненному масштабированию, выбор очевиден.

получается, для нетребовательных юзеров, коих большинство, и кои перезапускают броузер ежедневно и чаще и открывают в нем мало, лис лучше. скорость оперы заметна глазом на большой нагрузке.

> ценителей скачать фреймворк, а потом долго и нудно
> подбирать к нему плагины, половина из которых становится
> нестабильными (или вообще перестает работать) чуть ли не с
> каждым новым билдом лисы, а другая половина конфликтует
> друг с другом это конечно да. Я не из таких ценителей.

полностью аналогично. я понимаю, что есть масса поводов юзать плагинную технологию, но: ряд необходимых вещей, даже если их нет в IE :) - должен быть уже встроен.

> > оперу. я не удивлюсь если через лет несколько я
> останусь в
> > предпочитающем ее крайнемалочисленном меньшинстве.
>
> Очень вряд ли.

обоснуй, плиз. это как-то связано с тем, что опера стала бесплатна?


> > ага. но ведь microsoft ДЕЙСТВИТЕЛЬНО must die. i mean it :)
>
> Не согласен :-)
> Я ЛИЧНО не заинтересован в смерти как микрософта, так и
> винды (я этим на хлебушек с маслицом зарабатываю), да и
> само ядро винды очень хорошо написано. Раньше можно было
> только догадываться, после лика это стало очевидно

ядро - это смотря с чем сравнивать. я сейчас опять приведу пример про скорость рождения - только не окна, а процесса. начиная с NT4, меня не оставляет ощущение, что и ядро и неоткусываемый обвес ядра сделан неэффективно и по месту на диске, и по расходу памяти, и по банальной тупости алгоритмов. вообще, когда пробуешь писать свои программы, ощущение тупости винды сильно обостряется. я тут систематически/иногда имею дело с freebsd, там это ощущение напрочь отсутствует. возможно из-за отсутствия GUI? ;)

а помереть оно все равно не помрет, сколько бы мы об этом не говорили.
А-а-а. Ну тада ладно :-) 23.09.05 11:45  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
По opera vs ff разногласий вроде бы нет

> > > оперу. я не удивлюсь если через лет несколько я
> > останусь в
> > > предпочитающем ее крайнемалочисленном
> меньшинстве.
> >
> > Очень вряд ли.
>
> обоснуй, плиз. это как-то связано с тем, что опера стала
> бесплатна?

Ну да. Доля рынка даже при платности оперы такая же как у ff. При бесплатности на мой взгляд она может только увеличиваться. И в конце концов, если у Opera Software все станет так плохо, как ты предсказал, то у них остается такой же финт ушами, как сделал Netscape (уж до чего тормозной бровсер) - открытие исходников по собственной лицензии с сохранением за собой права торговать тем, чего напишут другие. Вот тут то firefox-у и каюк.

> ядро - это смотря с чем сравнивать. я сейчас опять приведу
> пример про скорость рождения - только не окна, а процесса.
> начиная с NT4, меня не оставляет ощущение, что и ядро и
> неоткусываемый обвес ядра сделан неэффективно и по месту на

Не согласен. Кстати, необкусываемый обвес (в смысле кроме самого ntoskrnl.exe) это только hal.dll - все остальное откусывается при желании. Вот только желающий сделать свой win32k.sys и компоненты пользовательского режима не очень много.

> диске, и по расходу памяти, и по банальной тупости
> алгоритмов. вообще, когда пробуешь писать свои программы,
> ощущение тупости винды сильно обостряется. я тут

У меня периодически обостряется ощущение тупости программистов, пишущих под винду (это да, BG их специально подкармливает всякими визуальными васиками и прочим фуфлом), но само ядро можно использовать в качестве примера "как нужно писать программы".

> систематически/иногда имею дело с freebsd, там это ощущение
> напрочь отсутствует. возможно из-за отсутствия GUI? ;)

Ага. Как поставишь X-у так и начинаешь прозревать :-)
Тормоза безбожные и никакое ядро не спасает. Вынь в консоли (та же Recovery Console) - разве что от земли не отрывается - летает как угорелая.

> а помереть оно все равно не помрет, сколько бы мы об этом
> не говорили.

Ну ничто не вечно под луной. Даже солце когда нибудь погаснет. Если в этом смысле - то полностью согласен
поэтому я и назвал его неоткусываемым. вот пример: винамп... 23.09.05 19:20  
Автор: jammer <alex naumov> Статус: Elderman
<"чистая" ссылка>
> > ядро - это смотря с чем сравнивать. я сейчас опять
> приведу
> > пример про скорость рождения - только не окна, а
> процесса.
> > начиная с NT4, меня не оставляет ощущение, что и ядро
> и
> > неоткусываемый обвес ядра сделан неэффективно и по
> месту на
>
> Не согласен. Кстати, необкусываемый обвес (в смысле кроме
> самого ntoskrnl.exe) это только hal.dll - все остальное
> откусывается при желании. Вот только желающий сделать свой
> win32k.sys и компоненты пользовательского режима не очень
> много.

поэтому я и назвал его неоткусываемым. вот пример: винамп 2.7 - хорошая программа, не использует MFC. но ведь остальные-то используют. как с этим бороться? учитывая что еще офис надо юзать на этой же машине :)

> > диске, и по расходу памяти, и по банальной тупости
> > алгоритмов. вообще, когда пробуешь писать свои
> программы,
> > ощущение тупости винды сильно обостряется. я тут
>
> У меня периодически обостряется ощущение тупости
> программистов, пишущих под винду (это да, BG их специально

о! может быть и так. наверное я был неточен. но тогда в число программеров обязательно надо включить и самих мелкософтовцев, пишущих всяческих тормозных монстров (от SQL и ISA до офиса и визио), да и аську туда, и еще много чего.

> подкармливает всякими визуальными васиками и прочим
> фуфлом), но само ядро можно использовать в качестве примера
> "как нужно писать программы".

так значит ты меня не до конца понял. на само ядро-то мало кто лепится. все цепляются свисающими половыми яичками за "неоткусываемый обвес" :)

> > систематически/иногда имею дело с freebsd, там это
> ощущение
> > напрочь отсутствует. возможно из-за отсутствия GUI? ;)
>
> Ага. Как поставишь X-у так и начинаешь прозревать :-)

а зачем оно мне? мне оно не нужно. виндов хватает для этого.

> Тормоза безбожные и никакое ядро не спасает. Вынь в консоли
> (та же Recovery Console) - разве что от земли не отрывается
> - летает как угорелая.

с этим согласен, однако в этих режимах не будет ни сети, ни дискового кеша, короче не будет ТОЙ скорости, умноженной на те возможности, о которых я говорил.

гуй на никсах - не быстрый, но субъективно кажется, что он сделан джля людей, а не для дебилов, как у виндов. так что за это ему прощаются и подтормаживания и пожирание памяти.


> > а помереть оно все равно не помрет, сколько бы мы об
> этом не говорили.
>
> Ну ничто не вечно под луной. Даже солце когда нибудь
> погаснет. Если в этом смысле - то полностью согласен

в том смысле, что это не зависит от нашего обсуждения. и вообще must die уже давно не желает смерти, просто скорее выражение отношения. вот вирусы реально мастдай - я их за это порой душу руками без антивирусов, потому что приятно, и на форумах об этом не пишу - да о чем тут писать? :)
Чего-то не помню я, чтобы исправлений IE приходилось ждать... 20.09.05 09:05  
Автор: Heller <Heller> Статус: Elderman
<"чистая" ссылка>
Чего-то не помню я, чтобы исправлений IE приходилось ждать несколько месяцев. И кстати это большая редкость, когда апдейты огнелиса пишутся за одну ночь (на моей памяти вообще такого нет). Не надо всё подряд валить на IE - 90% обвинений, которые я слышу в его адрес, - это чистой воды выдумка. Может быть сказать проще: "нам не нравится майкрософт"? ;)
Я скажу: "мне нравится FF". %-) 20.09.05 11:02  
Автор: ncux Статус: Незарегистрированный пользователь
<"чистая" ссылка>
FireFox 20.09.05 10:48  
Автор: :-) <:-)> Статус: Elderman
<"чистая" ссылка>
> И кстати это большая редкость, когда
> апдейты огнелиса пишутся за одну ночь (на моей памяти
> вообще такого нет).
Было-было. Например вот этот баг:
//bugtraq.ru/rsn/archive/2005/04/01.html
http://bugzilla.mozilla.org/show_bug.cgi?id=288688
Опубликовали 01.04.2005, а на следующий день уже появился патч и сборка FF 1.0.3.
И это в выходный-то день! (2 апреля была суббота).
Может именно потому, что выходной :-) 20.09.05 11:02  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> И это в выходный-то день! (2 апреля была суббота).

Над ff-ом то работают в свободное от работы время.
"Неуловимого Джо" вот-вот заметят... ;-) 19.09.05 21:17  
Автор: Deviator <n/a> Статус: Member
<"чистая" ссылка>
<добавить комментарий>


анонимность клоуны конференции спам уязвимости .net acrobat activex adobe android apple beta bgp bitcoin blaster borland botnet chrome cisco crypto ctf ddos dmca dnet dns dos dropbox eclipse ecurrency eeye elcomsoft excel facebook firefox flash freebsd gnome google gpl hp https ibm icq ie intel ios iphone java javascript l0pht leak linux livejournal mac mcafee meltdown microsoft mozilla mysql netware nginx novell ny open source opera oracle os/2 outlook password patch php powerpoint pwn2own quicktime rc5 redhat retro rip router rsa safari sco secunia server service pack shopping skype smb solaris sony spyware sql injection ssl stuff sun symantec torrents unix virus vista vmware vpn wikipedia windows word xp xss yahoo yandex youtube



Rambler's Top100
Рейтинг@Mail.ru



  Copyright © 2001-2020 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach