Le vulnerabilities dei browser

O i dati sono sbagliati, oppure come mai (ovvio che adesso faccio arrabbiare qualcuno) il browser open source è quello che ha più vulnerabilità? Il fatto di essere open non dovrebbe permettere di averne meno (“tanti occhi che guardano il codice …”)? Oppure dipende dal fatto che gli altri non dicono tutto quello che sanno?

Oppure … che ne dite? Ci sono altri dati da contrapporre?

Remains of the Day: XP is Officially Old Now Edition [For What It’s Worth]: “

Yelp lets users gripe or glorify on the go, Firefox defends its open security policy, and XP (Home Edition) hits the end of the support road in today’s day-ender.

11 Comments

  1. Carlo said:

    Prima di tutto spero ti renda conto che il tuo è un post ad alto rischio di flame… 🙂

    Penso che ogni software abbia i suoi bachi, e questo non dipende (in linea di principio) da quale compagnia lo scrive.
    Ci sono tre considerazioni da fare a mio avviso:
    1. firefox è open-source: il maggior numero di “occhi” che ha addosso portano a una miglior sicurezza proprio perchè vengono trovate più vulnerabilità (l’importante è sistemarle, non occultarle);
    2. gli sviluppatori di firefox riportano sul loro sito tutte le vulnerabilità (comprese quelle che trovano loro stessi), anche quelle di rischio bassissimo. Altre compagnie è già tanto se riconoscono le vulnerabilità scoperte da ricercatori indipendenti;
    3. il problema della sicurezza non è tanto il numero delle vulnerabilità trovate in un anno (che se vogliamo è pura statistica), semmai è quanto tempo io utente del browser X sono rimasto esposto alla vulnerabilità Y. E anche questo è nel report di Secunia [http://i.i.com.com/cnwk.1d/i/bto/20090305/firefox3-5-09_610x278.bmp] (spero si veda, pagina 12 del report altrimenti).

    19/04/2009
    Reply
  2. Riccardo said:

    Perchè altri non dicono quello che sanno.
    Dipende anche dal tipo di vulnerabilità. Magari opera ha 30 vulnerabilità di cui 15 gravi, firefox 115 di cui 3 gravi, non lo so, faccio un esempio.
    Il fatto che sia open rende più semplice trovare vulnerabilità, ma attenzione, questo non significa che explorer sia più sicuro, solo che per ora ci sono delle vulnerabilità latenti. Il primo cracker che la trova fa macelli.

    19/04/2009
    Reply
  3. Luigi Sammartino said:

    Non saprei dire. Posso solo parlare in base alla mia esperienza.

    Io ho IE7. E tra i problemi che ho avuto c’è questo: se apro una nuova scheda nessun problema fino a 5. La sesta che apro il browser è automaticamente “killed” senza neanche avere un messaggio di errore.

    In questo momento sto usando Google Chrome. Sono due giorni che lo uso. A parte la velocità (il doppio di IE, e non sto scherzando), posso aprire tutte le schede che voglio senza avere alcun problema.

    Non voglio nemmeno parlare dei problemi che ho avuto con IE su Vista. Se facevo il download di un file mi andava in crash l’intero sistema operativo, che mi veniva automaticamente riavviato.

    19/04/2009
    Reply
  4. maurizio said:

    Leggendo il report da cui è stato preso il grafico ( http://secunia.com/gfx/Secunia2008Report.pdf ) nella stessa pagina a sinistra sono riportate le vulnerabilità rispetto ai plugin; in questo caso IE “vince”.
    Sembra che con queste statistiche si riesca sempre a fare tornare il risultato di comodo 🙂

    19/04/2009
    Reply
  5. maurizio said:

    Scusate nel post precedente mi riferivo al grafico di destra a pagina 11

    19/04/2009
    Reply
  6. Eugenio said:

    Ci vorrebbe un altro grafico. Quello con il tempo medio in cui una “falla” viene tappata. Scommetto che l’OSS vince.
    Come dice bene Carlo, l’importante è sistemarle. In fretta, aggiungo io.

    19/04/2009
    Reply
  7. Davide said:

    Leggo spesso il blog e, prima di leggere commento #4, avevo già intuito 🙂

    Per riassumere o esprimere con altre parole la generalità dei commenti già presenti, linko un post che ho letto un paio di giorni fa e con il quale mi trovo completamente d’accordo 🙂

    19/04/2009
    Reply
  8. Marcello Semboli said:

    Evviva! Un flame finalmente! 😀

    20/04/2009
    Reply
  9. alphakappa said:

    Può essere anche che di un sw open source, proprio perché molti programmatori possono accedere ai suoi sorgenti, sia più facile scovare i bug. Ovviamente sai meglio di tutti, o almeno meglio di me :), che non esiste sw senza bug come non esiste rosa senza spine. un conto è che i bug o le criticità ci siano, un conto è che qualcuno le scovi.

    20/04/2009
    Reply

Rispondi