Machina libera

Tuesday, September 20, 2005

Avdelningen dåliga vinklade nyheter

IDG försöker sprida lite FUD (Fear, Uncertanity, Doubt - På svenska Rädsla, Osäkerhet, Tvivel) från Symantec. Poängen är att Mozilla Firefox är osäkrare än Internet Explorer. Argumenten som används är så lätta att genomskåda att man kan skjuta sönder korthuset till artikel med en oladdad vattenpistol.

Under den första halvan av 2005 finns 25 bekräftade sårbarheter i Mozilla-läsare, fler än i någon annan webbläsare. Vad som gör det hela än värre är att 18 av dem har klassats som mycket kritiska. Under samma period finns 13 bekräftade säkerhetshål i Internet Explorer. Av dem har 8 klassats som mycket kritiska.
Hur många hål det finns säger inte ett skit om säkerheten. Hur lång tid det tar innan hålet fixas är det som spelar någon roll. Sen ska man komma ihåg att Mozilla är open source. Vem som helst som vill kan ladda ner källkoden och leta säkerhetshål. Det är betydligt lättare att göra det än att titta på den färdiga produkten och tänka "Jaha, nu hände det här. Hur kan jag utnyttja det?"
The firm found that IE was wide open for a total of 200 days in 2004, or 54% of the year, to exploits that were "in the wild" on the Internet.

The Firefox browser and its older sibling Mozilla had no periods in 2004 when a security flaw went unpatched before exploits started circulating on the Net. With the latest 1.0.4 upgrade, Firefox has retained its "patch-before-hackers-can-strike" record so far in 2005, as well.

These statistics are so important to understanding the "attack surface" of the major browsers that we should break down this study into its individual findings:

• IE suffered from unpatched security holes for 359 days in 2004. According to Scanit, there were only 7 days out of 366 in 2004 during which IE had no unpatched security holes. This means IE had no official patch available against well-publicized vulnerabilities for 98% of the year.

Källa.

Sedan erkänner man att studien har fel i metoden:

När Symantec använder termen "bekräftade" innebär det att sårbarheten ska vara erkänd av företaget bakom webbläsaren, vilket bör tas med i bedömningen av säkerheten. Enligt en annan säkerhetsfirma, Secunia, har Internet Explorer 19 olika ännu inte åtgärdade fel, medan Firefox bara har tre, skriver Cnet. Dock framgår det inte hur många av de felen som är allvarliga.
Så Microsoft bestämmer själva om det är ett hål eller inte. Vad pålitligt! Ungefär som formulären man får vid resa till USA: "Har Du för avsikt med Ditt besök i USA att smuggla in tung narkotika?", "Har Du för avsikt med Ditt besök i USA att begå terrordåd?", "Är Du tidigare straffad för terrorism, narkotikasmuggling eller andra våldsbrott?"
Och vissa idioter brukar dra argument om att Firefox är buggigare än IE. När man konfronterar dem med fakta, till exempel att Firefox fixade mer än 250 buggar i ett släpp, då brukar det bli tyst! Hur många buggar har fixats i IE den senaste tiden?
Antalet buggar som fixas är ett adekvat mått, antalet som finns är det inte.
Antalet säkerhetshål som fixas och hur lång tid det tar är att adekvat mått, antalet som finns är det inte.
Antalet säkerhetshål som fixas innan en fungerande exploit börjar spridas är också ett adekvat mått.

I slutänden handlar det antagligen om att Symantec vill sälja mer. "Använd inte den säkra produkten, då säljer vi mindre." Ungefär som Telias reklam. Köp Telias bredband så får du antivirusskydd och brandvägg på köpet. Skaffa lite vanligt vett, så sparar du en massa pengar.

0 Comments:

Post a Comment

<< Home