Выход броузера FireFox значительно изменил ситуацию на рынке броузеров. Однако так ли он безопасен по сравнению с тем же Internet Explorer? Самый вероятный ответ - "да", но все таки, вероятно, истина находится где-то рядом а не столь прямолинейна как кажется. На самом деле всеми любимая Лиса имеет ряд своих заморочек с безопасностью и их малая известность и нанесенный вред свидетельствует лишь о пока еще малой распространенности броузера. Давайте подробнее.
В конце Февраля Mozilla Organization выпустила первое обновление для Firefox, версию 1.0.1 (www.getfirefox.com). В нем не было никаких нововведения, однако обновление закрывало целых 17 уязвимостей, обнаруженных с момента выпуска первой официальной версии (www.mozilla.org/projects/security/known-vulnerabilities.html). Одной из самых известных уязвимостей стала подделка адреса URL с использованием Internationalized Domain Names. Если вкратце, атакующий мог сделать сайт с таким же адресом как у существующего (того же ebay.com или mybank.com), только в международном наборе символов, не английском. Броузер не распознает подмену и благополучно посетит поддельный сайт (на самом деле Mozilla не исправила ошибку в новом релизе, а лишь отключила поддержку IDN по умолчанию). Вся проблема однако даже не исправлении ошибок, а в том, каким образом это делается. На самом деле до последнего времени Mozilla не выпускала регулярно информационные бюллетени по безопасности (www.mozilla.org/security/announce/) и о такой уязвимости пользователи узнали лишь с появлением исправления, нового релиза. Несмотря на то, что Mozilla достаточно открытая организация, о багах информация не слишком доступна, сведения о дырках не раскрываются до момента разборки с ними и их исправления.
В отличии от Microsoft Mozilla выбрала и другую систему обновления. Ведь для Firefox не выпускается патчей. Единственный путь получить исправления для уязвимостей - дождаться нового релиза, сколько бы это времени не заняло. Например с момента выпуска версии 1.0 до появления версии 1.0.1 прошло целых 3.5 месяца. Конечно можно скачать промежуточный релиз (ftp.mozilla. org/pub/mozilla.org/firefox/nightly/latest-trunk/), однако ему никто не присвоит официальный статус и можно ожидать, что он содержит другие ошибки. Промежуточные релизы таким образом не решают главную проблему - отсутствие патчей и необходимость скачивать целиком всю программу для исправления нескольких ошибок. Причем если в Windows это еще можно сделать, то в Linux внутреннего обновления кода вообще нет.
А ведь уже и в версии 1.0.1 обнаружен ряд багов. Например работа в многопользовательской среде, когда пользователь может получить root-овские привилегии (bugzilla.mozilla.org/show_ bug.cgi?id=247412); или работа с сертификатами (bugzilla.mozilla.org/show_bug.cgi?id=278629); или ряд DoS атак (bugzilla.mozilla.org/show_ bug.cgi?id=263609). Когда они будут исправлены? Пока трудно сказать...
В общем говоря, чем больше будет распространяться Firefox, тем больше уязвимостей в нем будут искать и находить. Мораль этой статьи - не забывать о безопасности, какими бы надежными программы вам не казались - периодически обновлять их, использовать сторонние программы для защиты и т.д. Firefox, конечно же, отменный броузер, но он не идеальная машина для Интернета :).
Разделы:
Дополнительные разделы: