BugTraq.Ru
Русский BugTraq
https://bugtraq.ru/rsn/archive/2005/09/09.html

IE оказался безопасней Mozilla, но атакуют его чаще
dl // 19.09.05 18:04
Как регулярно заявляет президент Mozilla Foundation Митчелл Бейкер (Mitchell Baker), броузеры семейства Mozilla принципиально более безопасны, чем IE, и не будут ощущать существенного роста проблем с расширением своей доли рынка.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2005/09/09.html]

Это согревает душу, однако не очень стыкуется с практикой - согласно отчету Symantec, за первое полугодие 2005 года в Mozilla было обнаружено 25 уязвимостей, подтвержденных производителем, 18 из которых получили статус крайне опасных. Аналогичные показатели для IE - 13 и 8 соответственно. Интервал между публикацией уязвимости и появлением использующего ее кода сократился в среднем до шести дней.

Впрочем, Symantec признала, что IE остается единственным броузером, на который осуществляются массовые атаки, отметив, что ожидает изменения картины по мере распространения альтернативных броузеров.

Источник: ZDNet    
теги: symantec, mozilla, уязвимости  |  предложить новость  |  обсудить  |  все отзывы (12) [7682]
назад «  » вперед

аналогичные материалы
Три миллиона электронных замков готовы открыть свои двери // 22.03.24 20:22
Четверть приложений, использующих Log4j, до сих пор уязвима // 11.12.23 18:29
Атака в стиле Meltdown на iOS/macOS-браузеры // 25.10.23 22:40
Массовое внедрение вредоносного кода в драйверы Windows // 17.07.23 01:42
Переполнение буфера остается самой опасной уязвимостью // 30.06.23 23:32
Уязвимость в KeePass // 21.05.23 19:20
Рекордное число уязвимостей в 2021 // 28.05.22 21:06
 
последние новости
Microsoft обещает радикально усилить безопасность Windows в следующем году // 19.11.24 17:09
Ядро Linux избавляется от российских мейнтейнеров // 23.10.24 23:10
20 лет Ubuntu // 20.10.24 19:11
Tailscale окончательно забанила российские адреса // 02.10.24 18:54
Прекращение работы антивируса Касперского в США // 30.09.24 17:30
Microsoft Authenticator теряет пользовательские аккаунты // 05.08.24 22:21
Облачнолазурное // 31.07.24 17:34

Комментарии:

идиоты атакуют! 20.09.05 01:48  
Автор: elide Статус: Незарегистрированный пользователь
<"чистая" ссылка>
кому какая разница, сколько где нашли ошибок, а?
дело ведь совсем не в этом.
если в огнелисе вечером находят уязвимость, то уже утром выходит патч.
а если ошибку обнаруживают в IE, то исправления можно ждать сколько угодно. от нескольких дней, до месяцев.

имхо, лучше 20 исправленных ошибок огнелиса, чем одна неисправленная в ie.
Недобросовестная реклама 20.09.05 10:59  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> кому какая разница, сколько где нашли ошибок, а?
> дело ведь совсем не в этом.

Правильно, дело совсем не в этом. FF позиционируется как "принципиально более безопасный" на него переходят юзера, которые жаждут безопасности (но все равно остающиеся юзерами).

> если в огнелисе вечером находят уязвимость, то уже утром
> выходит патч.
> а если ошибку обнаруживают в IE, то исправления можно ждать
> сколько угодно. от нескольких дней, до месяцев.

Обычные сказки из разряда microsoft must die

> имхо, лучше 20 исправленных ошибок огнелиса, чем одна
> неисправленная в ie.

Если своевременно качать все обновления, то уровень безопасности примерно одинаковый, просто из очень редко качают (эпидемия msblast-а через год после закрытия дыры, которую он использовал тому подтверждение). По мне, так лучше 13 обновлений, чем 25 (пока у меня не будет безлимитного широкополосного инета за сущие копейки я не изменю своего мнения).
Недобросовестная реклама - ага. вот только кто заплатил петьке? 22.09.05 11:44  
Автор: jammer <alex naumov> Статус: Elderman
<"чистая" ссылка>
> Правильно, дело совсем не в этом. FF позиционируется как
> "принципиально более безопасный" на него переходят юзера,
> которые жаждут безопасности (но все равно остающиеся
> юзерами).

обычные юзера, далекие от админской квалификации, переходят на него не только по этой причине. лис банально красивше, быстрее и удобнее. хотя я сам в 95% случаев предпочитаю оперу. я не удивлюсь если через лет несколько я останусь в предпочитающем ее крайнемалочисленном меньшинстве.

если "взять интеграл" по количеству уязвимостей, их популярности и длительности их актуальности, то лис по-любому останется безопаснее IE. проблема передачи URL в линуксе для большинства пользователей лиса пока неактуальна, а вот вросший своими половыми яйцами в операционку IE - вечный геморрой, сколько ты макстонов, проксимитронов и прочих костылей к нему не прикладывай.


> > а если ошибку обнаруживают в IE, то исправления можно ждать
> > сколько угодно. от нескольких дней, до месяцев.
> Обычные сказки из разряда microsoft must die

ага. но ведь microsoft ДЕЙСТВИТЕЛЬНО must die. i mean it :)


> Если своевременно качать все обновления, то уровень

да там скоро прикроют эту фишку, насколько я в курсе. а сколько они весят у мелкософта? мне нужно исправить 1 файлик в %windir%\system32 - я вынужден качать сервиспак в пару сотен мег. да, у меня конечно интернет неограниченный, но ковыряться с такими файликами и систему грузит, и время занимает, и вынуждает перезагружаться. очень неприятный процесс "своевременно качать все обновления" с майкрософта, особенно в сочетании с подсознательной уверенностью, что ничего хорошего тебе оттуда скачать никогда не дадут, либо потому что в принципе не способны на хорошее (более вероятно), либо оно будет не бесплатно (менее вероятно).


> безопасности примерно одинаковый

:)
не может быть такого. а чуть прожарят потщательнее лису - если это случится конечно - никто в подметки ей не будет годиться, разве что оперу откроют.

> По мне, так
> лучше 13 обновлений, чем 25 (пока у меня не будет
> безлимитного широкополосного инета за сущие копейки я не
> изменю своего мнения).

дело не только в количестве, а и в размере и в побочных эффектах. качая с мелкософта, ты никогда не знаешь, чем тебе аукнется это обновление. в качестве общеизвестного примера можно взять SP2 для XP.

значит, симантек начинает зарабатывать деньги такими "исследованиями"? наверное у них упали продажи их "супербыстрого" антивируса. :)

все вышеизложенное прошу считать за сугубое имхо.
Насчет красивше ничего не могу сказать. По мне так и опера... 22.09.05 13:02  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> обычные юзера, далекие от админской квалификации, переходят
> на него не только по этой причине. лис банально красивше,
> быстрее и удобнее. хотя я сам в 95% случаев предпочитаю

Насчет красивше ничего не могу сказать. По мне так и опера ничего (мы же сейчас не с ИЕ сравниваем), а вот насчет быстрее и удобнее - НИ ФИГА. Я периодически ставил лиса начиная с незапамятных версий. То что там все скручено скриптами да и сами плагины в половине случаев - скрипты уж никак не добавляет ей скорости работы, ну а удобство для ценителей скачать фреймворк, а потом долго и нудно подбирать к нему плагины, половина из которых становится нестабильными (или вообще перестает работать) чуть ли не с каждым новым билдом лисы, а другая половина конфликтует друг с другом это конечно да. Я не из таких ценителей.

> оперу. я не удивлюсь если через лет несколько я останусь в
> предпочитающем ее крайнемалочисленном меньшинстве.

Очень вряд ли.

> если "взять интеграл" по количеству уязвимостей, их
> популярности и длительности их актуальности, то лис
> по-любому останется безопаснее IE. проблема передачи URL в

В принципе соглашусь. Да мне и все равно кто из них круче.

> ага. но ведь microsoft ДЕЙСТВИТЕЛЬНО must die. i mean it :)

Не согласен :-)
Я ЛИЧНО не заинтересован в смерти как микрософта, так и винды (я этим на хлебушек с маслицом зарабатываю), да и само ядро винды очень хорошо написано. Раньше можно было только догадываться, после лика это стало очевидно

> > Если своевременно качать все обновления, то уровень
>
> да там скоро прикроют эту фишку, насколько я в курсе. а

По поводу всего остального, поживем - будем посмотреть
я как раз с IE и сравнивал :) 22.09.05 22:58  
Автор: jammer <alex naumov> Статус: Elderman
<"чистая" ссылка>
> Насчет красивше ничего не могу сказать. По мне так и опера
> ничего (мы же сейчас не с ИЕ сравниваем), а вот насчет

я как раз с IE и сравнивал :)

> быстрее и удобнее - НИ ФИГА. Я периодически ставил лиса
> начиная с незапамятных версий. То что там все скручено
> скриптами да и сами плагины в половине случаев - скрипты уж

тут особо не с чем спорить. я вообще технологию навешивания кучки плагинов не вижу оптимальной, хотя я и не отрицаю ее плюсы. но искать плагины для включения режима полкартинок и автосохранения сессии - это извините черезчур. имхо это должно быть встроено в движок/ядро броузера, это не дополнительные фичи, как проигрывание флеша или показ pdf. и должно это быть имхо реализовано в дефолтной поставке, аналогично тому как в дефолтной поставке реализовано масштабирование, работа через прокси-сервер и выход по alt-f4.


> никак не добавляет ей скорости работы, ну а удобство для

про скорость я имел в виду по сравнению с IE и такие операции, как например рождение окна по ctrl-n (тьфу... ctrl-t блин - с перепутанными хоткеями я просто не могу смириться и не хочу искать возможностей их перемапить).

по сравнению с оперой (сравниваю ff-1.0 vs o-7.23) лис ощутимо быстрее запускается (ну ясное дело, с тремя-то окнами), но от 30 открытых вкладок ползает уже заметно горизонтальнее оперы. поскольку я человек жадный и испытываю страсть к безболезненному масштабированию, выбор очевиден.

получается, для нетребовательных юзеров, коих большинство, и кои перезапускают броузер ежедневно и чаще и открывают в нем мало, лис лучше. скорость оперы заметна глазом на большой нагрузке.

> ценителей скачать фреймворк, а потом долго и нудно
> подбирать к нему плагины, половина из которых становится
> нестабильными (или вообще перестает работать) чуть ли не с
> каждым новым билдом лисы, а другая половина конфликтует
> друг с другом это конечно да. Я не из таких ценителей.

полностью аналогично. я понимаю, что есть масса поводов юзать плагинную технологию, но: ряд необходимых вещей, даже если их нет в IE :) - должен быть уже встроен.

> > оперу. я не удивлюсь если через лет несколько я
> останусь в
> > предпочитающем ее крайнемалочисленном меньшинстве.
>
> Очень вряд ли.

обоснуй, плиз. это как-то связано с тем, что опера стала бесплатна?


> > ага. но ведь microsoft ДЕЙСТВИТЕЛЬНО must die. i mean it :)
>
> Не согласен :-)
> Я ЛИЧНО не заинтересован в смерти как микрософта, так и
> винды (я этим на хлебушек с маслицом зарабатываю), да и
> само ядро винды очень хорошо написано. Раньше можно было
> только догадываться, после лика это стало очевидно

ядро - это смотря с чем сравнивать. я сейчас опять приведу пример про скорость рождения - только не окна, а процесса. начиная с NT4, меня не оставляет ощущение, что и ядро и неоткусываемый обвес ядра сделан неэффективно и по месту на диске, и по расходу памяти, и по банальной тупости алгоритмов. вообще, когда пробуешь писать свои программы, ощущение тупости винды сильно обостряется. я тут систематически/иногда имею дело с freebsd, там это ощущение напрочь отсутствует. возможно из-за отсутствия GUI? ;)

а помереть оно все равно не помрет, сколько бы мы об этом не говорили.
А-а-а. Ну тада ладно :-) 23.09.05 11:45  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
По opera vs ff разногласий вроде бы нет

> > > оперу. я не удивлюсь если через лет несколько я
> > останусь в
> > > предпочитающем ее крайнемалочисленном
> меньшинстве.
> >
> > Очень вряд ли.
>
> обоснуй, плиз. это как-то связано с тем, что опера стала
> бесплатна?

Ну да. Доля рынка даже при платности оперы такая же как у ff. При бесплатности на мой взгляд она может только увеличиваться. И в конце концов, если у Opera Software все станет так плохо, как ты предсказал, то у них остается такой же финт ушами, как сделал Netscape (уж до чего тормозной бровсер) - открытие исходников по собственной лицензии с сохранением за собой права торговать тем, чего напишут другие. Вот тут то firefox-у и каюк.

> ядро - это смотря с чем сравнивать. я сейчас опять приведу
> пример про скорость рождения - только не окна, а процесса.
> начиная с NT4, меня не оставляет ощущение, что и ядро и
> неоткусываемый обвес ядра сделан неэффективно и по месту на

Не согласен. Кстати, необкусываемый обвес (в смысле кроме самого ntoskrnl.exe) это только hal.dll - все остальное откусывается при желании. Вот только желающий сделать свой win32k.sys и компоненты пользовательского режима не очень много.

> диске, и по расходу памяти, и по банальной тупости
> алгоритмов. вообще, когда пробуешь писать свои программы,
> ощущение тупости винды сильно обостряется. я тут

У меня периодически обостряется ощущение тупости программистов, пишущих под винду (это да, BG их специально подкармливает всякими визуальными васиками и прочим фуфлом), но само ядро можно использовать в качестве примера "как нужно писать программы".

> систематически/иногда имею дело с freebsd, там это ощущение
> напрочь отсутствует. возможно из-за отсутствия GUI? ;)

Ага. Как поставишь X-у так и начинаешь прозревать :-)
Тормоза безбожные и никакое ядро не спасает. Вынь в консоли (та же Recovery Console) - разве что от земли не отрывается - летает как угорелая.

> а помереть оно все равно не помрет, сколько бы мы об этом
> не говорили.

Ну ничто не вечно под луной. Даже солце когда нибудь погаснет. Если в этом смысле - то полностью согласен
поэтому я и назвал его неоткусываемым. вот пример: винамп... 23.09.05 19:20  
Автор: jammer <alex naumov> Статус: Elderman
<"чистая" ссылка>
> > ядро - это смотря с чем сравнивать. я сейчас опять
> приведу
> > пример про скорость рождения - только не окна, а
> процесса.
> > начиная с NT4, меня не оставляет ощущение, что и ядро
> и
> > неоткусываемый обвес ядра сделан неэффективно и по
> месту на
>
> Не согласен. Кстати, необкусываемый обвес (в смысле кроме
> самого ntoskrnl.exe) это только hal.dll - все остальное
> откусывается при желании. Вот только желающий сделать свой
> win32k.sys и компоненты пользовательского режима не очень
> много.

поэтому я и назвал его неоткусываемым. вот пример: винамп 2.7 - хорошая программа, не использует MFC. но ведь остальные-то используют. как с этим бороться? учитывая что еще офис надо юзать на этой же машине :)

> > диске, и по расходу памяти, и по банальной тупости
> > алгоритмов. вообще, когда пробуешь писать свои
> программы,
> > ощущение тупости винды сильно обостряется. я тут
>
> У меня периодически обостряется ощущение тупости
> программистов, пишущих под винду (это да, BG их специально

о! может быть и так. наверное я был неточен. но тогда в число программеров обязательно надо включить и самих мелкософтовцев, пишущих всяческих тормозных монстров (от SQL и ISA до офиса и визио), да и аську туда, и еще много чего.

> подкармливает всякими визуальными васиками и прочим
> фуфлом), но само ядро можно использовать в качестве примера
> "как нужно писать программы".

так значит ты меня не до конца понял. на само ядро-то мало кто лепится. все цепляются свисающими половыми яичками за "неоткусываемый обвес" :)

> > систематически/иногда имею дело с freebsd, там это
> ощущение
> > напрочь отсутствует. возможно из-за отсутствия GUI? ;)
>
> Ага. Как поставишь X-у так и начинаешь прозревать :-)

а зачем оно мне? мне оно не нужно. виндов хватает для этого.

> Тормоза безбожные и никакое ядро не спасает. Вынь в консоли
> (та же Recovery Console) - разве что от земли не отрывается
> - летает как угорелая.

с этим согласен, однако в этих режимах не будет ни сети, ни дискового кеша, короче не будет ТОЙ скорости, умноженной на те возможности, о которых я говорил.

гуй на никсах - не быстрый, но субъективно кажется, что он сделан джля людей, а не для дебилов, как у виндов. так что за это ему прощаются и подтормаживания и пожирание памяти.


> > а помереть оно все равно не помрет, сколько бы мы об
> этом не говорили.
>
> Ну ничто не вечно под луной. Даже солце когда нибудь
> погаснет. Если в этом смысле - то полностью согласен

в том смысле, что это не зависит от нашего обсуждения. и вообще must die уже давно не желает смерти, просто скорее выражение отношения. вот вирусы реально мастдай - я их за это порой душу руками без антивирусов, потому что приятно, и на форумах об этом не пишу - да о чем тут писать? :)
Чего-то не помню я, чтобы исправлений IE приходилось ждать... 20.09.05 09:05  
Автор: Heller <Heller> Статус: Elderman
<"чистая" ссылка>
Чего-то не помню я, чтобы исправлений IE приходилось ждать несколько месяцев. И кстати это большая редкость, когда апдейты огнелиса пишутся за одну ночь (на моей памяти вообще такого нет). Не надо всё подряд валить на IE - 90% обвинений, которые я слышу в его адрес, - это чистой воды выдумка. Может быть сказать проще: "нам не нравится майкрософт"? ;)
Я скажу: "мне нравится FF". %-) 20.09.05 11:02  
Автор: ncux Статус: Незарегистрированный пользователь
<"чистая" ссылка>
FireFox 20.09.05 10:48  
Автор: :-) <:-)> Статус: Elderman
<"чистая" ссылка>
> И кстати это большая редкость, когда
> апдейты огнелиса пишутся за одну ночь (на моей памяти
> вообще такого нет).
Было-было. Например вот этот баг:
//bugtraq.ru/rsn/archive/2005/04/01.html
http://bugzilla.mozilla.org/show_bug.cgi?id=288688
Опубликовали 01.04.2005, а на следующий день уже появился патч и сборка FF 1.0.3.
И это в выходный-то день! (2 апреля была суббота).
Может именно потому, что выходной :-) 20.09.05 11:02  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> И это в выходный-то день! (2 апреля была суббота).

Над ff-ом то работают в свободное от работы время.
"Неуловимого Джо" вот-вот заметят... ;-) 19.09.05 21:17  
Автор: Deviator <n/a> Статус: Member
<"чистая" ссылка>
<добавить комментарий>





  Copyright © 2001-2024 Dmitry Leonov Design: Vadim Derkach