Názory k článku Chyby v prohlížečích: některé přetrvávají celé roky

Je kde? Jediny ktory sa dal povazovat za prehliadac (az do v 12.x) a nie je uvedeny? Ako je to mozne?

Zvolil jsem prohlížeče, které měly v Evropě větší podíl než 10 -15 procent.

ja bych se zrovna u toho automobiloveho prumyslu zas tak moc neinspiroval, v nekterych ohledech jsou na tom hure nez ty browsery, viz. http://www.carscoops.com/2013/08/wireless-car-hacking-demonstrated-in.html
a pomerne zajimavy rozhovor s autory na http://twit.tv/show/security-now/497 o tristnim stavu zabezpeceni pristupu k pocitacovym systemum automobilu
cimz nechci rict, ze se mame smirit se stavem veci, jen bych to nevidel tak cernobile...

Vidíte a já se tam inspiruji. Podívejte se sám nebo se zeptejte táty jaké byla auta před 30-40 lety "popelnice".

Stačí si vzpomenout na spolehlivost a kolik aut zůstalo stát u krajnic při pátečním odjezdu na chalupy nebo na dovolenou. Ta spolehlivost a bezpečnost posádky se obrovským způsobem zlepšila.

Dnes jsou automobily kvalitativně na úplně jiné úrovni a výrobci, kteří to nedokázali měli problémy, zkrachovali nebo je někdo jiný koupil.

U aut je docela šance, že problémy které se objeví v nových verzích(scout, superb) ve starých nenajdete(š100, 130) :))

presne, ve š100 by se mi nestalo, ze mi nekdo vypne brzdy :)

No, nesdílím to nadšení. Zase tak překotný vývoj to není. Technologie stará +/- 70 let, možná víc co já vím, akorát vylepšená a vyšperkovaná spoustou čidel a senzorů a desítkami servomotorů, které se mohou pokazit a kazí se. Co se taky mohlo pokazit na Š1000 MB co by si řidič sám neopravil? Palec, svíčky, karburátor, filtry? A to nemluvím o dvoutaktech. Nepamatuju si, že bychom jako děcka někde zůstali stát a museli odejít pěšky.
Bezpečnější jsou určitě. Ale taky to auto neváží 600 kg ale 1,5 t. A tak se tady prohání 1,5 t popelnice, které převážejí 80 kilového člověka. Mě to přijde padlé na hlavu. Bezesporu větší komfort. Je to ale to nejdůležitější? Na jednu stranu výrobci mírně zvyšují účinnost a na druhé hmotnost auta, takže to +/- žere pořád stejně.

Aha, takze makas na teleportaci? Ja mel dycky ten pocit, ze lidi zabije ridic.

Zadny soudoby auto neprezije 10let provozu. A narozdil od tech starejch vraku, to soudoby auto neumi NIKDO opravit. Tak maximalne ti navrhnou, ze ti vymenej 1/2 auta, za 10tinasobek ceny toho auta, a ze to MOZNA pomuze.

Konkretne? Co myslis, o kolik by cenu auta navysil nerezovej vejfuk? O 2kKc? A kdovi jestli? Jenze to by ti nikdy nemohli navrhnout, ze ti ten shnilej (po 3ch letech) vymenej ... za bratru 80k (bych chtel videt toho magora, kterej by jim to dal).

O kolik by cenu auta navysily proudovy stabilizatory u zarovek? O 20Kc? nj, ale to bys nikdy nepotreboval rozebirat 1/2 auta kvuli vymene zarovek, protoze nijak jinak se tam nedostanes. A zkus si u libovolnyho "moderniho" auta zmerit napeti ... ona ta 12V baterka dava 14V, a kdyz bezi motor, nameris neco mezi 17-18V ... to tem 12V zarovkam jiste dela mooc dobre.

Nebo se muzes jit pokochat znalostma ... v servisu (autorizovanym) nevedi, ze auto ma topeni vzadu (ford galaxy), klidne ti daji pisemne, ze auto nema vzadu central (toyota yaris), pripadne ti vrati auto s centimetrovou vuli kol po celem dnu stim, ze je to OK (opel), alternativne ti za 2x8k Kc vymeni zapalovaci kabely, a auto stejne po 1km chcipne (skoda), nebo vymeni 1/2 motoru, vcetne ridici jednotky, a auto stejne nenastartuje (saab), nebo ti tvrdi, ze sjety disky brzd po 15k je prece normalni, pripadne mas 3 mesice stary auto, ktery stoji 2,5 mesice v sevisu, protoze nebrzdi(peugeot) atd atd ....

1 odstavec:
Troufnu si říct že přežije 10let. Viděl bych to opačně, jezdí (nebo táhnou nepojízdné) k nám lidi i přes 100 km se starými auty. Ty "soudobá" auta opravujeme taky ale podle Vašeho příměru by ty "soudobá" auta musela stát od 20Kč do 5000Kč max :) a pomůžeme téměř vždy napoprvé.
2 odstavec:
Netuším kolik by stál výfuk z "nerezu" ale jistá firma Vám udělá výfuk se zárukou 10 let(vydrží zhruba 20 vlastní zkušenost) a stojí to cca 30 000,- Výfuky na nových autech bez problému vydrží min 5 let.Těch 80 k asi myslíte ne přímo výfuk ale systém pro dodatečnou úpravu výfukových plynů, ano to je možné ale většinou je to tím že si koupí špatně zvolenou motorizaci u daného modelu.(češi chtějí "naftu" v kombíku která jezdí za 5 i po městě....)
3 odstavec:
Stabilizátory by asi pomohly ale když si přečtete návod který je k tomu vozu dodáván tak to zvládne skoro každý.Žádná "baterka" nedá víc jak 13 v a to jen krátkodobě pak se ustálí na nějakých 12,5 +- a ano dobíjí se vyšším napětím ale strop je cca 14,2 jestli naměříte 17-18v tak buďto máte nákladní automobil který nedobíjí nebo osobní automobil který přebíjí, v obou případech doporučuji svěřit to někomu kdo se v tom vyzná.
4 odstavec:
Jestli Vy osobně jste měl všechny tyto auta s těmito problémy tak máte neskutečnou smůlu a je mi vás líto víc k tomu nemám co dodat.
Možná se mýlím ale opravuji auta a vše co má motor teprve asi 30let a posledních 25 mě za to obstojně platí.

Ty ses tak naivni ... znam osobne cloveka, kterej na konstrukci aut dela. Cas od casu dostavaji primo zadani, ze tu ci onu soucastku maji zeslabit/vymenit za horsi, protoze moc douho vydrzi.

A muzem pokracovat. Vis kolik stoji spickova navigace pro kamionaky, ktera samo bere v potaz i nosnosti mostu, prujezdni sirky/vysky/... ?? Kolem 15-20k (HW + SW samo). Vis za kolik ti proda automobilka smecko do auta? Horsi nez lecjaka free appka? Za 60k ...

Koupil sis nekdy novy auto? Srat se zacne uz v zaruce. Samo, nekteri si auto kupujou proto, aby ho mohli parkovat pred barakem. Pokud si nekdo kupuje auto proto, aby s nim najezdil 10k/rok a min ... tak je dbil, protoze se mu vyplati jezdit taxikem.

U feldy se mi nestalo, ze by se auto preplo znicehoz nic do nouzaku, a ja musel zastavit, vypnout motor a nastartovat, abych to resetoval ... lol. ctrl+alt+del by meli zaintegrovat do palubky ...

Ono se vám to možná stalo, ale nevěděl jste o tom, protože felda nemá kontrolku řídicí jednotky na palubní desce. Jediná možnost jak zjistit, že felda spadla do nouzáku je připojit diagnostiku.

Ak si to nevsimol tak sa asi o nudzovy rezim nejednalo (ak take nieco tie stare riadiace systemy vobec maju). Snad len ignorant by si nevsimol zmenu jazdnych vlastnosti.

ani jeden z prohlizecu krome opery ktera zmenila engine nebyl prepsanej, to jako myslite ze ty chyby nejsou u ostatnich prohlizecu zpetne? bud tenhle clanek vubec nechapu nebo je to jen mirenej hate na ie

Právě proto jsem hledal shodu u aktuálních chyb v nových verzích se staršími verzemi.

Pokud například Mozilla kontroluje chyby v aktuální verzi a v ESR (verze s dlouhodobou podporou), tak je to alespoň nějaký kontrolní bod.

Nemůžu si pomoct ale tenhle článek srovnává hrušky a jablka.
Prohlásit že všechny chyby Chromu jsou jenom v jedné verzi je opravdu hodně silný kafe ;o(.
Chyba je v produktu tak dlouho jak dlouho je ve zdrojovém kódu. Doufám že mi autor nechce tvrdit, že celý kód Chromu se každý měsíc kompletně přepíše.
Srovnávat rozdíl mezi IE 6 až 11 s rozdíly Firefoxu v několika posledních ESR verzích je také naprosto zcestné.
Tento článek na mne bohužel působí velmi amatérsky. Jako by ho psal uražený uhrovitý linuxák, kterému někdo šlápnul na jeho nekonečné ego.
P.S.: Mám více než 15 let zkušeností s profesionálním vývojem software. Vím o čem mluvím.

Souhlasím, článek se snaží tvářit odborně, ale je to jenom hloupý hate na IE (a to prosím považuji IE za pouhý bootloader ke stažení skutečného prohlížeče).

Autoři se navíc sami usvědčují z účelové manipulace s fakty. Například náhodně vybrané CVE-2014-2794 (z PDF v článku) se týká jenom IE 6 a 7. Tuším, že to nebude ojedinělý případ

Tak si zkuste projít https://technet.microsoft.com/library/security/ms14-037

Bylo to detekováno v 6, 7 a opraveno ve všech.

I Microsoft na uvedeném odkazu píše, že CVE-2014-2794 se týká pouze IE 6.0 a IE 7.0. U ostatních verzí má uvedeno "Not applicable".

Já vím, je to těžké si přiznat, že člověk strávil tolik času nad prací, která je úplně špatně, manipulujete s fakty, jak se Vám to hodí, a ustřihl jste si z ostudy kabát.

Kdybyste v tom odkazu na TechNetu, který pojednává o Kumulativní opravě opravující celkem dvacet pět různých chyb, aspoň proklikl odkaz "Severity Ratings and Vulnerability Identifiers", tak by se Vám celá Vaše teorie složila jako domeček z karet.

Nehovoriac o tom, ze ten aktualizacii nie je problem zabranit.

Ty testy starších verzí nikdo neděla ani Google ani NIST.

Mozilla dělá testy k poslední dlouhodobé verzi.

Microsoft provádí kontrolu všech zatím podporovaných. Jasně IE vyšel nejhůř, ale v budoucnu bude (může být) větší problém klidně u Chrome, pokud se tvůrci spokojí s tím, že to nějak funguje a budou předělávat pouze interface a vydávat nové verze.

U popisu chyby CVE-2014-1531 ve firefoxu na https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1531 je uvedeno, že se chyba se týká např. i verze 1.0 z roku 2004, verze 2.0 z roku 2006 či verze 3.0 z roku 2008. Ale nejsem si jist, zda někdo opravdu udělal analýzu konkrétních verzí či zda je to výsledek uplatnění pravidla "všechny verze před verzí 29".
Je to ale dobrý podklad k tomu, aby autoři mohli do článku doplnit tučně větu "Firefox má též chyby Zero year attack".

Celý článek je dobrý pouze pro kurz demagogie.

Naprosto souhlasím. Tohle je totálně amatérský článek. Vypadá jako kdyby ho psal uražený linuxák, kterému někdo šlápnul na jeho ego.
Od tohoto serveru nemůžu čekat kladný vztah k produktům Microsoftu ale tohle je opravdu moc.

Snad použijeme nějaký balíčkovací systém, ne? Nebo to snad ve Win pořád ještě není? :)

Ale je, například https://chocolatey.org nebo https://npackd.appspot.com. ;)

k čemu? ninite.com

Chrome
Ano ze těch zdrojů co jsem čerpal není možné získat informace o starších verzích Chrome. Není tedy možné ověřit zda se verze týká skutečně pouze jedné verze nebo více verzí.
V budoucnu to může být větší problém než chyby v IE. To znamená vybudovat laboratoř, která bude shromažďovat vydané verze programů a skutečně nezávisle testovat chybu / exploit , atd. na více verzích.

Dnes je situace taková, že například skončila podpora XP a všechny laborky (pokud vím jsou všechny z USA) přestaly informovat o tom, že se konkrétní chyby týká i Windows XP, i když se týkala W2003 a Vista, .... Takže program se stále používá, ale nemluví se o tom, že sjou tam díry.

Firefox
Mozilla testuje chyby k nejbližší ESR verzi (s dlouhodobou podporou). Starší verze se netestují.

Jednou napsaný a nemodernizovaný zdroják je velký problém a velká výzva.

Vy se dokážete skvěle střelit do nohy. Firefox má verze s podporou nejdéle jeden rok. Ve článku se dozvíme "Žádná z 65 chyb, které se týkaly více verzí prohlížeče Mozilla Firefox, nebyla v programu déle než 400 dnů". Celkem pochopitelně, když pak sám napíšete, že Mozilla nové bugy na již nepodporovaných verzích netestuje. Ve skutečnosti chyba popsaná v konkrétním CVE může zasahovat do všech verzí Firefoxu. Na MSIE pak dštíte síru... protože MS podporuje MSIE daleko delší dobu.

Navíc počet CVE může být dost zavádějící metrika, protože pod jedním CVE může být (a bývá) více zranitelností. Společnost Secunia ve svém Vulnerability Review 2014 napočítala za rok 2013 cekem 270 zranitelností ve Firefoxu, 245 v Google Chrome, a 126 v MSIE. Za rok 2014 jsem data ještě neviděl, ale minimálně v roce 2013 byly prohlížeče Firefox i Google Chrome opravdu hrozivě děravé.
https://secunia.com/?action=fetch&filename=secunia_vulnerability_review_2014.pdf

Jinými slovy veškeré závěry, které jste ve článku učinil, vycházejí ze špatné interpretace dat.

Aaaa zvanil lol dorazil ... a kolik % tech der v IE je, a nikdo o nich nevi, protoze se do zdrojaku nepodiva ... hmm ??? A kolik takovych (kritickych a vzdalene snadno vyuzitelnych) bugu se M$ milostive rozhodne resit, az kdyz dotycny, po nekolika mesicich upozoronovani, chybu zverejni, vcetne navodu?

To, ze si M$ sere do vlastniho a neumozni na starsi widle nainstalovat novsi exploder je jen a jen jejich problem. Nemuseli by udrzovat 8 verzi. jenze to by prozmenu useri mohli prijit na to, ze jim widle 9x bohate stacej, protoze v nich maji vse co potrebujou, spokojej se s par MB ram a frcej jak namidlenej blesk.

No jistě. Když je v nějakém open source nalezeno méně děr než v komerčním SW, tak je to proto, že open source je lepší. Když je jich v open source produktu nalezeno víc, tak je to proto, že open source je lepší. To má logiku :D

Pro vaši informaci, drahý Jeronýmku: k nalezení zranitelnosti v SW nepotřebujete zdrojáky. Například díry v produktech Adobe Flash a Adobe Reader byly nalezeny bez použití zdrojáků. Než o tom začnete psát, zkuste si (jednou pro změnu) o věci něco zjistit.

Ad si M$ sere do vlastniho a neumozni na starsi widle nainstalovat novsi exploder - souhlas, tohle je problém MS. Jenže MS má dobrou motivaci uživatele trošku postrčit k upgradu na novou verze Windows. 1. Jsou to peníze. 2. Kdyby velké procento uživatelů zůstávalo u starých verzí OS, autoři aplikací by nemohli psát aplikace pro nové API, a museli by vystačit s 10+ let starým. Například ty aplikace pro Win9x nikdy neuměly Unicode, a kdyby byly dodnes podporované, autoři by z komerčních důvodů museli psát SW bez podpory Unicode.

Ad namidlenej - prozradíte čtenářům, jakým trikem se vám podařilo dostudovat základní školu?

Pane Napravník, mohl byste se laskavě vrátit do školních lavic? A to myslím docela vážně? Chbějící čárky u volných vsuvek, shoda podmětu s přísudkem, používání synonym a v neposldení řadě opakování informací (4-tý až 9-tý odstavec by se dal shrnout v podhodě do jednoho, ale vy prostě musíte zopakovat "milionkrát", jak je IE horzné a podobně).

Pro redakci - bylo by vhodné lépe revidovat, to co bude zvěřejněné a co nikoliv, ano chápu to pojetí open source, ale mělo by to být i čitelné proboha.

Milý Withy14, když už jsi takový jazykový purista tak věz, že v češtině se nepíše 4-tý a 9-tý, ale 4. a 9.

Zdar

Tady jde o čitelnost obsahu (a ne nejsem purista, ale když v jednom odstavci zopakuji jedno slovo 5x nebo 10x, tak to jasně o něčem značí, a ano takový člověk by něměl psát články). A nemáš tak úplně pravdu: -tý se používá hojně (hlavně v matematice, takže to chyba není). Jinak mám v příspěvku nějaké překlepy (to, že sis vybral ten, který chybou zrovna není, tak to je tvůj problém).

To Withy14: To, že se něco používá hojně, není důkaz správnosti. Koncovky zejména -ti (do 14-ti dnů) se používají opravdu hojně, dokonce zvěrstva do 3-í dnů, ale když už chceš nějak zdůraznit skloňování, napiš číslovku slovy. V matematice se koncovka -tý používá, ale spíš v kombinaci n-tý prvek, i-tý člen, kde by se to jinak vyjadřovalo jen obtížně. A pro krát používáme znak × nikoli znak x.

Vážený pane, vážená paní s přeszdívkou Withy14
1) píše a říká se: pane Náprávníku, aneb oslovuje a voláme pátým pádem.
2) Jak se píší číslovky radí poradna Ústavu pro jazyk český http://prirucka.ujc.cas.cz/?id=785#nadpis5

Pamatuji si, že pár let zpět se v jedné verzi FireFoxu objevila chyba, která byla fixnutá o pár verzí dříve. Nikdo nedokázal spolehlivě vysvětlit, jak je to možné.

Co se článku týká: Relevantní jsou pouze informace o počtu chyb v daném období. Jinak je to klasický článek 'Musím si zanadávat na Microsoft'. Apropo, autore, co kdybys napsal pokračování vycházející ze statistik pro operační systémy, který byl s touto statistikou prohlížečů zveřejněn? ;) Tam totiž Microsoft vyšel celkem dobře a naopak propadli Apple s Linuxem ;)

Zkuste si nekdy pracovat s ruznyma verzema souboru nejakeho projektu a pochopite. I pres veskerou snahu se stane, ze se obcas pouzije spatna verze.

Ten článek je úplně mimo. Hlavně proto, že autor nechápe, že když se vyvíjí nová verze SW, tak se staví na předchozí verzi a ne na zelené louce. A je naprosto normální, že se znovu použije i kód s chybou o které se neví. Za to MS a její vývojáři opravdu nemohou (a to MS nemám rád).

Tragédie ovšem je, že je MS nucen opravovat i prehistorické verze IE, protože se ještě používají - to je chyba (za kterou si možná může sám), ne to že některé chyby byly objeveny po více než 10 letech. Důležité je, jak rychle vyjde oprava po jejich zjištění.

Uznávám, že při zjištění existence 10 let starých chyb zamrazí, ale takový je už svět.

Na druhou stranu alespoň ten článek ukazuje, že open-source má v bezpečnosti navrch. To mě těší. Je to podle mě dáno principem věci.

tragédia je že nenájdu vlastnú chybu 10 rokov !!!!!

Tak autor nezminuje dulezitost tech chyb. Pusobi to na mne tak, ze chyba na kterou se 10 let neprislo nebyla dost dulezita na to aby si ji nekdo vsimnul driv.

Jsou to právě chyby v prohlížečích, které mě motivovaly k vytvoření Web Designer's Productivity Toolu (floatovací layouty fungují bez chyby napříč prohlížeči a v průběhu času).

Mňa vytáča chyba ešte z FF 3.5, kde sa zmenili nastavenia a dá sa v nastaveniach súkromia prejsť na vlastné nastavenia. Tieto vlastné nastavenia ale dodnes nefungujú. Ak niekto dá vlastné nastavenia, aj tak sa to hneď prepne na pamätať si históriu. Mohol by to niekto nahlásiť?

mno, jeden můj kamarád kdysi v dřevních dobách tuším IE3 objevil bezpečnostní chybu. Poslal mail na mrkvosoft a tam u odpověděli, že o tom vědí ,ale nepovažují věc za chybu, neboť se projeví pouze tehd, je li hacker zlomyslný...