» »

Varnost aplikacij v letu 2009

Varnost aplikacij v letu 2009

CNet - Veliko se govori o varnosti operacijski sistemov, malo manj pa o varnosti programske opreme, ki na na njih teče. Ameriški nacionalni inštitut standardov in tehnologij (NVD) je v okviru podatkovne zbirke ranljivosti objavil študijo, ki kot najbolj ranljivo aplikacijo z odkritima 102 različnima varnostnima luknjama označi Mozillin Firefox (in njegove vtičnike), sledi Adobeov Reader s 45 ranljivostmi in Microsoft Office z 41. Slednji je tudi edini, ki mu je število odkritih varnostnih lukenj uspelo zmanjšati (skoraj za 10%) v primerjavi z letom 2008.

27 komentarjev

BaToCarx ::

Heh, predvidljivo. :D

boolie ::

Nekaj o tem so spisali tudi v Delu:

Najbolj luknjast je Firefox, najbolj nevarni pa vtičniki (vir: Delo, 12. jan 2010)

Zgodovina sprememb…

  • zavarovalo slike: gzibret ()

HardFu ::

Nocem zaceti flame wara, ampak ravno najboljsa stran je obenem tudi najvecji problem open sourcea - user contribution (ce govorim o Firefoxu, ostalo dvoje je nedopustljivo).
http://codeable.io

PNG ::

Nič od tega ne uporabljam.

r0ker ::

kje je pa IE6? IE8?

KrCbelca ::

No ja.. Ce preberes original novico lepo pise, da je firefoxovih lukenj vec, ker se javno objavijo vse odkrite luknje, ostali proizvajalci pa objavijo le luknje, ki jih odkrijejo zunanji sodelavci.. Glede na to, da se tudi sam ukvarjam s programiranjem, lahko z zagotovostjo recem, da sam program obicajno med razvojem in posodabljanjem aplikacije odkrije veliko vec lukenj, kot pa potem koncni uporabnik ali zunanji tester..
C2Q Q6600, P5W DH Deluxe,6GB 800MHz Rama
GF 8600gt, 2xSataII WD 250GB, LC Power 550W Green Power
----watter in my vains----

boolie ::

r0ker: IE6 ne vem, zakaj bi testiral (ker je pač prestar in neaktualen), IE8 je pa po zadnjih testiranjih najvarnejši brskalnik med klasičinimi najbolj uporabljanimi (IE, FF, Chrome, Opera, Safari ...).
KrCbelca: Res je, da so varnostne luknje bile javno objavljene, vendar to pomeni, da so pri Mozilli med odkrito in zakrpano varnostno luknjo izdali vsaj eno novo različico brskalnika. Testiranja varnostnih ranljivosti se opravljajo na vseh brskalnikih in Firefoxu odprtost kode ne bi smela biti izgovor (najdenih varnostnih ranljivosti je namreč več kot jih imata drugo in tretje uvrščeni skupaj). Ali pa bi moral biti Firefox označen kot beta produkt? ;)

Nekaj o tem so pisali tudi na http://www.prnewswire.com/news-releases....

gti_ ::

Nevem v čem je smisel da bi sami objavljali luknje, testira se zato da se napake odpravijo in ne objavijo.
KrCbelca: če pa sam delaš kot programer pa verjetno veš, da če želiš neko kvalitetno aplikacijo oz. varnost, aplikacije z tolikšnim številom napak oz. lukenj ne moreš izdat na tržišče ;)

MrStein ::

boolie :
r0ker: IE6 ne vem, zakaj bi testiral

Ker se uporablja več kot IE7? Toliko kot IE8?

Je pa seveda možno, da je imel zadnja leta manj odkritih napak.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

techfreak :) ::

In kako se lahko na takšno študijo zanašamo? Open source aplikacije imajo na spletu objavljene vse buge, closed source aplikacije pa imajo samo tiste, ki jih sami HOČEJO objavijo.

ABX ::

Število lukenj ne predstavlja varnost ali ne-varnost. Predstavlja samo to, število napak.

MS in Adobe pa sta zgodovinsko že pokazala koliko jih zanima varnost.
Vaša inštalacija je uspešno spodletela!

boolie ::

Število varnostnih lukenj predstavlja nevarnost. Govora je o varnostnih luknjah. Vsaj pri Microsoftu se stvari spreminjajo in je v IE8 naredil ogromno za varnost. Trenutno je po raziskavah najvarnejši brskalnik med najpogostejšo peterico.
Varnostne luknje se ponavadi najdejo s testiranji zunanjih izvajalcev in bi morale biti kar primerljive, četudi je Firefox odprtokoden brskalnik.

Zgodovina sprememb…

  • spremenil: boolie ()

ABX ::

Število varnostnih lukenj predstavlja nevarnost. Govora je o varnostnih luknjah. Vsaj pri Microsoftu se stvari spreminjajo in je v IE8 naredil ogromno za varnost. Trenutno je po raziskavah najvarnejši brskalnik med najpogostejšo peterico.
Varnostne luknje se ponavadi najdejo s testiranji zunanjih izvajalcev in bi morale biti kar primerljive, četudi je Firefox odprtokoden brskalnik.


Link prosim.


Pwn2Own 2009: Safari, IE 8 and Firefox exploited
http://www.h-online.com/security/news/i...
Chrome baje da je preživel day 1.
Vaša inštalacija je uspešno spodletela!

Zgodovina sprememb…

  • spremenilo: ABX ()

jan01 ::

Spletko1 ::

Zadnjič sem našen en link, ki opisuje varnost med brskalniki.
http://nsslabs.com/test-reports/Q309_Br...

ali kdo ve koliko dodatki za IE8 vplivajo na varnost IE8? Zadnje čase si jih pridno dodajam - sem zadovoljen vendar nimam pojma kaj to pomeni za varnost. Veliko je bilo napisanega, da so dodatki za FF razlog za nevarnost.

Zgodovina sprememb…

  • spremenil: Spletko1 ()

ABX ::

Make IE8 the safest webbrowser



Včerajšnji IE6-8 napad.
http://www.theregister.co.uk/2010/01/14...

IE ima več virusov od lokalne kurbe.
Vaša inštalacija je uspešno spodletela!

mspiller ::

Število varnostnih lukenj predstavlja nevarnost. Govora je o varnostnih luknjah. Vsaj pri Microsoftu se stvari spreminjajo in je v IE8 naredil ogromno za varnost. Trenutno je po raziskavah najvarnejši brskalnik med najpogostejšo peterico. Varnostne luknje se ponavadi najdejo s testiranji zunanjih izvajalcev in bi morale biti kar primerljive, četudi je Firefox odprtokoden brskalnik.


Evo po Secunia:
V tem trenutki ima IE8 nepopravljenih 50% varnostnih tezav: (4 of 8 Secunia advisories) 23 Vulnerabilities
FireFox 3.5 ima nepopravljenih varnostnih tezav: 0% (0 of 6 Secunia advisories) 48 Vulnerabilities

V IEju je bila prva napaka iz leta 2007 (to je se pred samim releasom IE8, odkrita sicer v starem IEju). Kar pomeni da IE8 dejansko do danasnjega dne NITI 1 DAN od IZIDA ni bil VAREN brez javno odkrite napake!!! Vse kar ima je to, da ima skupaj manj odkritih lukenj. Da bi pa bil bolj varen pa zal do tega trenutka pac se NE.

mavrica_ ::

Osebno mi je bolj všeč IE8, saj pri firefoxu zelo pogosto dobivam update, kar zelo veliko pove o varnosti oz. ne-varnosti.

ABX ::

Osebno mi je bolj všeč IE8, saj pri firefoxu zelo pogosto dobivam update, kar zelo veliko pove o varnosti oz. ne-varnosti.


Izjava tedna. :)
Vaša inštalacija je uspešno spodletela!

boolie ::

Make IE8 the safest webbrowser



Včerajšnji IE6-8 napad.
http://www.theregister.co.uk/2010/01/14...

IE ima več virusov od lokalne kurbe.


Izjava meseca. Zdej bi vi odprtokodni pristaši še viruse pointegriral v namestitev IE. ;)

MrStein ::

mavrica:
Osebno mi je bolj všeč IE8, saj pri firefoxu zelo pogosto dobivam update, kar zelo veliko pove o varnosti oz. ne-varnosti.

Hehe, me je spomnilo na to anekdoto (in pove veliko o psihologiji...):
V kongresu je bil en poslanec, za katerega se je vedelo, da je bil psihiatrično zdravljen. Ostali so nekaj se nekaj zmrdovali nad tem, dokler en pameten (predsednik kongresa ali podobno) ni rekel: Oprostite gospodje, ampak kot jaz vidim je on izmed vas edini, ki lahko predloži uradno potrdilo, da je duševno zdrav. (ko končaš zdravljenje se dobi en papir kjer piše, da so ozdravili to-pa-to duševno bolezen).

Hja, ni kaj za dodat.
Avto ima defekt? Ne ga peljati na servis! Bodo sosedje govorili, kako pogosto je na servisu. Raje se z defektnim okoli vozimo...
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

mavrica_ ::

Osebno mi to pove, da je v osnovi IE narejen manj luknjasto oz. pomankljivo kot pa FF, vsak pa si naj to razlaga po svoje.

@MrStein: Točno tako kot praviš, na servis greš z defektnim avtom in ne z delujočim ;)

techfreak :) ::

@MrStein: Točno tako kot praviš, na servis greš z defektnim avtom in ne z delujočim ;)

Vsak program je vedno in BO vedno defekten. Pomembno je samo to, kdo prej odkrije defekte - ali je to MS ali pa nekdo z zlobnimi nameni.

MrStein ::

mavrica_, dostopni podatki kažejo, da ima IE eno hudo napako, FF pa nič.
Zdaj če ti iz tega sklepaš, da je v resnici pokvarjen FF... ti naj bo. ;)
Le da si zadovoljen(a).
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

boolie ::

MrStein: o kateri eni hudi napaki govorimo? Ne vidim smisla gledat, kdo ma kdaj katero veliko napako. Vsak brskalnik je že doletelo, Firefox v prvem dnevu po izidu različice 3.5 z veliko JavaScript varnostno ranljivostjo.
Microsoft je včeraj popoldan objavil tudi dva posnetka na temo aktualnega napada: http://blogs.technet.com/msrc/archive/2...

MrStein ::

Ja, o tej napaki govorim.
Je precej realna, če MS vsak dan nekaj glede nje objavi*, se strinjaš?

* - razen popravka...
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

boolie ::

A ni prav, da Microsoft sproti obvešča uporabnike, ki pod vplivom panike, ki so jo zagnali Nemci? Microsoft popravek pripravlja, vendar ni tako nujen, da bi ga morali lansirati takoj, temveč še testirajo, da bo delalo tako, kot je treba. So že ocenili, da bi takojšnja splavitev popravka lahko naredila več škode kot koristi. Vprašanje je tudi sama smiselnost popravka - tisti, ki niso brskalnika posodobili iz IE6 na IE8 in tisti, ki ne uporabljajo vsaj SP3 na Windows Xp (oboje sta nujna popravka v Windows Update), kjer DEP preprečuje to ranljivost, najbrž tudi tokrat ne bodo posodobili svojih računalnikov.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Intel bo pobrisal stare gonilnike in BIOS

Oddelek: Novice / Procesorji
337708 (5622) bbf
»

Zlobne spletne strani so brskale po iPhonih

Oddelek: Novice / Varnost
356876 (4596) MrStein
»

Skrita spam mail skripta na spletni strani

Oddelek: Omrežja in internet
81343 (1055) hunter01
»

Varnost aplikacij v letu 2009

Oddelek: Novice / Varnost
273974 (3038) boolie
»

Resna ranljivost v Linuxu: Cheddar Bay

Oddelek: Novice / Varnost
305618 (4246) riba1122

Več podobnih tem