Crypto-Gram - Kot v svojem članku z naslovom Internet Explorer Sucks piše eden najbolj znanih ameriških varnostnih strokovnjakov Bruce Schneier, se brskalnik Internet Explorer na varnostnem področju spet ni najbolje izkazal.
Schneier namreč poroča o raziskavi Browser Security Test, ki je skušala ugotoviti koliko časa je bil posamezni brskalnik (testirali so MSIE, Opero in Firefox) "znano ranljiv". Obdobje znane ranljivosti so definirali kot obdobje med javno objavo odkritja varnostne pomankljivosti in izdajo popravka zanjo. Dejstva, da si veliko posameznikov varnostnih popravkov ne naloži takoj in da je mogoče varnostne ranljivosti izkoriščati še pred javno objavo raziskava ni upoštevala.
Rezultati? V testnem obdobju je bil MSIE znano ranljiv 98% časa. V letu 2004 je bil MSIE brez znane ranljivosti le 7 dni. Na drugem mestu je pristala Opera s 17% oz. 65 dnevi, ko je bila znano ranljiva, najbolje pa se je odrezal Firefox, ki je bil znano ranljiv kar 56 dni (15% znana ranljivost), pri čemer je večina dni z znano ranljivostjo prizadelo le uporabnike Mac-a. Firefox za Windows je bil znano ranljiv 7% dni.
Kljub temu, da raziskava ni upoštevala dejstva, da so nekatere varnostne ranljivosti izkoriščne še pred javno objavo, so rezultati dovolj zgovorni.
Število dni brez varnstne luknje je precej zavajujoč podatek, oziroma bi morali biti dnevi kjer je bila več kot ena luknja ustrezno obteženi. Secunia kaže precej drugačno sliko (vsaj kar se tiče FF in Opere) tako za testno obdobje kot za zdaj.
Potem takem je firefox preluknjano varnostno rešeto v primerjavi z nekim home made brskaljnikom, oz. kar praviš je to, da je veliko bolj varno uživati nek no-name produkt, kot pa uveljavljen produkt, pa naj bo to firefox, IE, prebranec od Kolinske ali golaž stare mame.
Me prav zanima, kaj bo porekel uporabnik Microsoft na tole novico? Zanima me, kakšen brskalnik pa uporablja uporabnik Microsoft za večurno dnevno deskanje?
Analiza je bila narejena za 2004. Za 2005 pa bo treba še počakati.
Ampak če bi bile razlike par odstotnih točk, bi rekli "ajde". Razlike pa so ogromne. Osebno dvomim, da so se na varnostnem področju zgodile kakšne silne spremembe. A pustimo se presenetiti...
Meni osebno je zanimiv predvsem sam test - oziroma metodološki pristop.
Če zanemarimo dejstvo, da je novica popolnoma outdated (raziskava se nanaša na leto 2004 - danes teče leto 2006, dve leti pa sta v računalništvu veliko) lahko takoj ugotovimo, da so takšne novice na Slo-techu postale standard. Očitno tukaj ne gre za to, da bi imela novica (kot že ime pove, naj bi šlo za neko novost) neko informativno in poučno vrednost, marveč gre zgolj za golo udrihanje po Microsoftu in po njegovih izdelkih, brez kakšne realne podlage (oziroma na podlagi neke zelo stare raziskave). Skrb vzbuja (oziroma naj bi vzbujal) tudi podatek, da so ponavadi tovrstne lažne in neutemeljene novice spisane na dolgo in široko, pomembni računalniški dogodki in izdelki pa imajo med novicami precej bolj skromno mesto.
Zato že dlje časa slo-techa ne obiskujem zaradi novic ampak izključno samo še zaradi forma, kjer se (sicer redko) lahko še vedno prebere kakšna pametna debata. Ta komentar sem vpisal, ker so me preveč zasrbeli prsti, da bi lahko kot ponavadi takoj iz novic preklopil na forum. Upam sicer, da se bo to s prenovo strani spremenilo.
Bolj, ko je neka stvar razširjena, več ljudi ima dostop do nje in posledično je tudi manj varna. Karikirajmo, da bi imelio enako število ljudi za osebno vozilo renault 5, kot jih uporablja IE. V katero vozilo bi se najpogosteje vlamljalo?
dve leti pa sta v računalništvu veliko Ti hočeš, da potem naredijo statistiko za 2006, namesto za 2004? Kot je bilo nekaj dni nazaj: slovenski avto leta 2006 je...
Stepni, tvoja primerjava je popolnoma zgrešena. Merilo za oceno ranljivosti je bil tu čas odprave luknje in ne procent zaradi luknje prizadetih uporabnikov. In to je alarmantno za firmo, ki zadnjih nekaj let veselo propagira kako svojo pozornost obrača k varnosti. Kar pa itak večina ve - vsaj tisti ki si to upajo priznati.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Poldi problem, ki je tukaj je ta, da to vozilo niti ni še speljalo iz garaže oz. bilo je na testni vožnji "bogu za leđima". Ob progi je bilo samo par fenov. Real world je bil pa še daleč. Naj se reče bobu bob.!
..ma folk misli da vsi samo za njih živijo pa delajo.. skritizirajo ama vsako novico, da bi sami kaj napisal to pa ne, ker oni pa preveč vejo o tem, tak da raje samo "opozarajo" .. a idite pa si naredte svojo stran ffs
Poldi112, glede varnosti. VS2005 in .NET 2.0 sta prva produkta, ki sta sla cez nove zahteve in nacine dela, da so zadevo naredili bolj varno. Nisem pa preprican za SQL 2005. Tko da, pocakte do konca leta, ko pridejo se vsaj tri stvari: Vista, Office 12 in IE 7.0, pa bomo potem vidli, ce so naredili kak napredek na podrocju varnosti.
Omeniti bi veljalo tudi, da ta test pokriva samo "script execution" napade.
Dejstva, da si veliko posameznikov varnostnih popravkov ne naloži takoj
Če prav razumem originalern članek, to ni res, saj pravijo:
Once a patch is available a sizeable portion of the users applies it immediately, while the rest proceed to patch in what looks approximately like a logarithmic curve.
Vsak malo pamaten nepridiprav si bo izbral cilj, ki je najbolj pogost. Jaz lahko napišem browser, ki bo 100% varen pa ne zato da bi bil dober ampak zato ker bo ga uporabljalo 10 ljudi in kdo bo se potem mučil in skušal "vdreti" v moj browser? Podobno je tudi pri OS. Zakaj bi jaz skušal vdreti v nek sistem, ki ga uporablaj 3% ljudi. Če se lahko spravim na sistem, ki ga uporablja 80% ljudi.
Ce je tistole res... Market Share.... Linux 0.30%... Sori, ampak mi je totalno na smeh udarlo, ko take podatke vidim. Ceprav je moznost nepristranskosti, ker vse skupaj tece na MSju... Sam vseeno. Se kar zamislis, ko kle razne paranoike poslusas, da kako bo MS propadu pa to.
jah ... je fajn dobit market share ko ti vecina prodajalcev racunalnika zraven vturi windowse ... MS pa ma pri tem izgovor, da je drugace vec piratstva ce se to ne naredi(to so na srečanje partnerjev MS povedali na enem predvanju sredi leta 2005 v koloseju ) ...
Microsoft še dolgo ne bo propadel (zal;)), se bo pa vsekakor moral prilagoditi novim smernicam. Zmerjanje s komunisti pač ni zaleglo.
Delež linux-a na desktopu je pa da cca 3% (po spominu iz ene novice, ko smo prehiteli število osx userjev). Čeprav je veliko vprašanje kaj je dejanska številka. Kako jo boš sploh izmeril. Na strani moje firme je statistika dostopa 10% linux, 80 win, 10 ostalo. Not bad.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Vsak malo pamaten nepridiprav si bo izbral cilj, ki je najbolj pogost. Jaz lahko napišem browser, ki bo 100% varen pa ne zato da bi bil dober ampak zato ker bo ga uporabljalo 10 ljudi in kdo bo se potem mučil in skušal "vdreti" v moj browser? Podobno je tudi pri OS. Zakaj bi jaz skušal vdreti v nek sistem, ki ga uporablaj 3% ljudi. Če se lahko spravim na sistem, ki ga uporablja 80% ljudi.
Glede OS: Kot je znano precej web serverjev teče na Linuxu ali kakšnem drugem POSIX sistemu. Torej se bi hekerjem kar splačalo odkrivati luknje v kernelu, ker bi lahko z veliko napako v jedru ohromili vsaj pol serverjev. Ampak izgleda, da še ni uspelo.
Bolj, ko je neka stvar razširjena, več ljudi ima dostop do nje in posledično je tudi manj varna. Karikirajmo, da bi imelio enako število ljudi za osebno vozilo renault 5, kot jih uporablja IE. V katero vozilo bi se najpogosteje vlamljalo?
Najpogosteje bi se "vlamljalo" v odklenjeno vozilo parkirano v najbolj temnem delu Tivolija. Točno tko kot se najpogosteje vlamlja v jajca ki tečejo brez vsakega firewalla in updejta.
Težava je, kot je bilo v tej temi že rečeno, v tem kakšen debil uporablja računalnik, ne v tem kateri browser se uporablja. Čeprav iz slednjega lahko z logičnim sklepanjem tudi ugotovimo kakšnega kova folk uporablja IE...
Poldi112 mislim, da je pri desktopui še en pomemben faktor več, tisti med stolom in tipkovnico. Strežnike ne postavlja nekdo, ki ima 5 minut časa odveč, pri desktopu pa ni malo uporabnikov, ki o stvari praktično nimajo pojma, taki skuhajo največje kozlarije in jasno so Windows uporabniki.
Ni tako daleč nazaj, ko sem se z enim takim kregal in dokazoval, da Precision Time, Precision Date in Spy Sheriff (vse spyware) nimajo kaj iskati na računalniku in mu samo bremzajo in je to vzrok, da lahko igre igra s precej zatikanja na 640x400.
Temu da za prve dve stvari poskrbi WinXP sam, za spyware pa obstajajo rešitve, ki delujejo, jasno ni verjel, ker kolegi že vedo , ampak ko sem mu odstranil naštete in še dobrih 100 drugih smeti, je računalnik igro lepo poganjal na 1024x800.
Koliko časa bo šlo ne vem, ker pravi, da mu poganjanje in posodabljanje antispyware programov odvzema preveč časa pri igranju iger... Žalost.
Jas sem pa videl en drugi graf, kjer je mel windows 10%, ker se je štelo vsako napravo na akteri lahko teče računalnik, od superačunalnikov do serverjev. Linux je mel pa 80%.
Everyone started out as a newbie.
Sadly only a handful ever progress past that point.
Kot je znano precej web serverjev teče na Linuxu ali kakšnem drugem POSIX sistemu. Torej se bi hekerjem kar splačalo odkrivati luknje v kernelu, ker bi lahko z veliko napako v jedru ohromili vsaj pol serverjev. Ampak izgleda, da še ni uspelo.
are you kidding?
razlika med "hackerji",ki napadajo winse in "hackerji" ki napadajo unix sisteme je tale: ko napadajo windows sisteme je vecinoma cilj sesut omenjen OS ker gor do zdej glih niso mogl laufat stvari ne da bi se jih vidl(hvala sonyju,ki jim je dal zdej se to moznost) pri unix sistemih,ki so kot si ze omenu vecinoma SERVERJI je bil cilj dobit dostop si odpret backdoor in gor instalirat magar kksn DDOS pripomocek...nasledn korak je dupliciranje postopka na par 100 masinah in whala...DOS net...in pol je nasledn cilj kksn ISP al pa se bols microsoft.com. tko da kar se teh ranljivosti tice je to vse tko iz riti potegnen da res ni.Dokaz:to da vsako leto primejo enga-2 geeka,ki sta mela pod svojo kontrolo par tisoc al pa 10 in clo par 100.000 masin. Kar se tice nekih besnih napak v browserjih...gonna call BS on that one.Pr browserjih je za 90% napak in takoimenovaniexploitov kriv butec...khm user,ki ma takoimenovani klik sindrom...se pravi klika kot budala ne da bi prebral kaj klika.Najbl cudezno zna pa kliknt tisto kar mu ugasne avtomatic updejte.In kot je blo ze napisan.Vec uporabnikov vecji razlog za odkrivanje exploitov.In ko pride vn ie7,ki bo seveda lepo zaliman na vsakem novem OSu...like Windows Vista bo microsoftov delez lepo zagotovljen.Whyyy ker bo clo delez tistih,ki so zdej na firefoxu pogledu nov browser...in ce majo analitiki saj 50% prou pri svoji izjavi da se bodo naslednje generacije browserjev firefox , ie in opera razlikovali samo po malenkostih(barve in kksn dodatek pri vsakem gor al pa dol),bo ie verjetno clo pridobil par procentov userjev nazaj. in zdej bi rad da nekdo,ki je clo z uporabo internet explorerja fasu kksn exploit v teh letih...dvigne roko.Cist tko da slikam nesposobnega geeka =)
Res je da se da exploitom izogniti z znanjem, ampak to so pač izgovori bednih programerjev in njihovih zagovornikov. Kot da bi od voznikov zahtevali, da so avtomehaniki. Če je avto defekten in ga vseeno znam varno voziti, bravo jaz in sramota za proizvajalca. Ne pa da me bodo mehaniki zmerjali z debilom, če ne znam drugega kot voziti.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Hehe. Zato pa nimam avta. Hodim peš, ne rabim bencina, pa še kalorij imam manj, kot tisti sosed, ki se še 100 metrov ne more prehoditi brez avta. Hudo Off-Topic, ampak res.
Loooka in ostali imajo čisto prav. Uporabnik bi moral vsaj osnove vedeti. Z avtom pa res ne morem ven na cesto brez vozniškega. OK. Mogoče lahko, ampak če te zgrabi policija, potem pa ojoj! Seveda to ne velja za alternativne ljudi (c), saj se jih še modri angelčki bojijo.
Glede računalništva pa bi bilo dobro, če bi malce prelistali knjigo/priročnik kar pride zraven opreme. Ali je pa že dandanes sindrom "nimamčasa" vsepovsod navzoč? Kupim digitalni fotoaparat, začnem klikati, pa vseprek fotografirati, po tistem pa sem jezen, da fotografije niso uspele? Sem sploh pogledal v priročnik? Hopa, še priročnik je zravn?
Hrabri mišek (od 2015 nova serija!) -> http://tinyurl.com/na7r54l
18. november 2011 - Umrl je Mark Hall, "oče" Hrabrega miška
RTVSLO: http://tinyurl.com/74r9n7j
Zakaj zaboga bi se uporabnik moral sam braniti vse možne nesnage. Računalnik je orodje. Če pride zraven 100 stranski manual, je to orodje precej neprijazno/neuporabno za vsakodnevnega uporabnika. Koliko ljudi bi uporabljalo mikrovalovko, če bi morali prej na polletni tečaj uporabe? In to da se mora uporabnik izobraževati je poleg vseka še v popolnem v nasprotju z trditvami iz redmonda o enostavnosti uporabe). Vse kar mora uporabnik vedeti je kako priti do informacij ki ga zanimajo. Sploh ker je utopično pričakovati, da bomo izobrazili uporabnike do te mere, da bodo varni. To se ne bo nikoli zgodilo. Sistem je tisti, ki mora zagotavljati varnost.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Ampak v mislih sem imel priročnik, ki ima max. 20 strani!
Poglej priročnik ki pride zraven MacOS-a. Enostaven, pregleden in to je to. Tipično (boste nekateri rekli) za američane. Mogoče. Ampak roko dam v ogenj, da večina evropejcev je s tega vidika popolnoma ista. Klasični uporabnik (kot je Poldi112 napisal) želi sledeče: odpelje kišto domov, vzame iz škatle, priklopi na elektriko (mogoče na mrežo/ADSL/itn.) vklopi in zadeva se lepo zaneže (in deluje). On pa je breskrben napiše svoje članke, popravlja fotke, mogoče pogleda kakšen film, zaigra kašno igro (ali igrico) in na koncu izklopi računalnik.
Kot v srečnih 50. v ZDA, ali ne? Precej idilično.
Kdaj bodo začeli tržiti ultra-hitre magnetne pomnilnike, da se bo sistem postavil v eni sekundi? Turn on and go?
Ne ampak res. Današnji računalniki še vedno niso taprave prijazne naprave za slehernega človečka (mogoče edino iPOD je na dobri poti, da postane vzor enostavnosti uporabe - ko ga že G.W Bush zna uporabljati, potem pa je res nekaj "posebnega").
Tema novice pa je/so luknje v IE. Iz leta 2004? Ali niso morda večino teh lukenj že zakrpali?
Drugače pa, mislite, da bi se lahko prodajali programi (in ostalo), kar bi se reklamiralo nekako takole: Kupite je zelo poceni, samo ne pozabite si zraven dokupit še antivirus, pa antispyware, pa pripravite se, da se bo zadeva včasih obesila, aja pa vsako leta treba menjat grafično, pa procesor. Aja pa še članarino treba plačat. Zdaj si 100% mislite, kaj pa ta bluzi... ampak sam imamo že kar nekaj področij ki so podobne zgoraj naštetemu. Avto-industrija! Benzin, članarina na servisu, tehnični pregled, registracija, obezno plačilo cestnine in parkirnine... o počenih gumah in podobni nevšečnosti pa ne bom pisal. Ampak res ne razumem. Le zakaj vedno primerjamo avte in računalnike? Ali je res v avtih po novem toliko eletronike?
Hrabri mišek (od 2015 nova serija!) -> http://tinyurl.com/na7r54l
18. november 2011 - Umrl je Mark Hall, "oče" Hrabrega miška
RTVSLO: http://tinyurl.com/74r9n7j
Poldi112, morda je računalnik orodje, ampak vseeno. Še vedno je razmeroma drago orodje.
Podobno, kot ne greš v mikrovalovko metat vsega po vrsti, sploh pa ne kovin, da je ne uničiš, tako na računalniku ne klikaš vsega po vrsti. Ali pa nabaviš tak operacijski sistem, ki te manj sprašuje. Če pa pač ne boš bral navodil, potem pa pač pričakuj, da te bodo ljudje besno gledali, ker širiš viruse, in da boš prijatelju, ki ga vedno prosiš, da ti formatira windows, nekoliko na živce, kar eventuelno pomeni, da je to tako, kot bi računalnik nesel na servis.
Koliko časa bo na servisu, je pa precej odvisno od tebe.
Mikrovalovka se pa tudi ne zna sama branit kovine.
Ok, saj osnovno znanje seveda morajo imeti. Samo če si kdaj izobraževal ljudi veš kako so nekateri trdi za računalnike. Že sam koncept strukture diska jih popolnoma zmede. Pa copy/paste je že višek znanosti. Te stvari jih je treba učiti, ne pa boja z x-ware, ki zanje dejansko predstavlja raketno znanost.
Ampak bistvo, ki ga hočem izraziti je, da krivda primarno ne more biti na strani uporabnika, kar se tiče virusov, trojancev, spyware-a,... Krivda je na strani software-a. Zakaj mora biti uporabnik kriv, če programerji izdajajo zanič programje?
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Zato ker v kuhinji čeprav ne obvladaš "raketne znanosti mikrovalovke" le-ta še vedno ne spušča toliko škodljivih valov iz sebe da bi te skuhala vred s tvojo malico, ker obstajajo pravila kakšen piece-of-shit nima nobenih pogojev da bi zapustil tovarno.
Sori, ampak mi je totalno na smeh udarlo, ko take podatke vidim. Ceprav je moznost nepristranskosti, ker vse skupaj tece na MSju... Sam vseeno. Se kar zamislis, ko kle razne paranoike poslusas, da kako bo MS propadu pa to.
Precej idilično.