Špatná pověst Firefoxu
V diskusích pod některými našimi aktualitami se objevily pochybnosti ohledně bezpečnosti Firefoxu. Pod zprávičkou Mozilla chce zvýšit počet uživatelů Firefoxu se například objevil názor: „Po poslední smršti docela závažných bugů si FF pověst poněkud pošramotil, neočekávám výraznější růst…”
Pod jinou zprávou s názvem Firefox 2.0.0.6 opravuje vážnou bezpečnostní chybu projevil jeden ze čtenářů zájem o porovnání bezpečnosti Firefoxu a Internet Exploreru: „Zajímalo by mě docela porovnání bezpečnosti IE7 a FF 2.0. Zdá se mě totiž, že poslední dobou má FF více bezpečnostních chyb než IE.”
Protože se jedná o skutečně zajímavé téma, rozhodli jsme se zjistit, zda skutečně počet chyb Firefoxu výrazně vybočuje z průměru a jak si stojí v porovnání s konkurenčním Internet Explorerem.
Statistiky
Abychom mohli oba prohlížeče takto porovnat, potřebovali jsme získat údaje o počtu a hodnocení jednotlivých chyb. Využili jsme proto služeb uznávané dánské společnosti Secunia, která monitoruje podrobně bezpečnostní situaci u více než 12400 různých aplikací a operačních systémů.
K porovnání jsme si vybrali aktuální verze obou programů: Mozilla Firefox řady 2.0 (dále jen Firefox) a Microsoft Internet Explorer 7.0 (dále IE). Časovým obdobím, o které se budeme v případě objevených chyb zajímat, bude rok 2007, tedy měsíce leden až červenec. Oba zmíněné prohlížeče vyšly v říjnu 2006, a po celý rok 2007 tedy již byly sledovány a záplatovány.
Samozřejmě nás nebudou zajímat jen údaje o počtu chyb, ale také o jejich závažnosti a případné aplikaci oprav. Všechny tyto údaje dává Secunia k dispozici.
Počty bezpečnostních chyb
Hlavním údajem, od kterého budeme odvozovat další výsledky, je celkový počet chyb objevených ve zkoumaném období. Firefox od začátku roku zaznamenal deset bezpečnostních chyb, IE o jednu víc, tedy jedenáct. V tomto ohledu jsou tedy čísla srovnatelná.
Závažnost hlášených chyb
Secunia hodnotí závažnost chyb pěti stupni. Každá hlášená chyba je tedy nebezpečná: mimořádně, vysoce, středně, málo nebo vůbec. Anglicky extremely, highly, moderately, less a not.
Firefox od začátku roku nezaznamenal žádnou mimořádně nebezpečnou chybu. Čtyři chyby jsou označeny jako vysoce nebezpečné, dvě středně, jedna málo a tři dokonce vůbec.
Proti tomu IE má jednu mimořádně nebezpečnou chybu, čtyři vysoce nebezpečné, pět málo a jedna není podle Secunie nebezpečná.
V průměru jsou na tom tedy oba prohlížeče opět velmi podobně, ačkoliv je situace IE o jednu mimořádně vysokou chybu horší.
Záplatované a nezáplatované chyby
Kromě objevení samotných chyb je velmi podstatné, zda se je podaří dodavateli včas záplatovat. Zde se již čísla výrazně liší. Zatímco v případě IE zůstává v tuto chvíli nezáplatovaných 55 % hlášených problémů, v případě Firefoxu je to jen 30 % (a jedna částečná oprava).
Dalším důležitým údajem v tomto směru je nejvyšší hodnocení nezáplatovaného problému. Pokud se zaměříme na Firefox, je jeho nejzávažnější neopravená bezpečnostní chyba hodnocena jako málo kritická (tedy druhý stupeň). Proti tomu v případě IE je stále ještě otevřená vysoce kritická (čtvrtý stupeň) chyba.
Možnost zneužití chyby
Secunia dále u každé chyby uvádí, jak je možné ji zneužít. Děli proto problémy do tří různých kategorií: vzdáleně, z místní sítě, ze systému. V případě Firefoxu i IE jsou všechny objevené chyby zneužitelné vzdáleně. Oba prohlížeče jsou tedy shodně napadnutelné z internetu.
Dopad zneužití chyb
Velmi zajímavá je také statistika týkající se dopadu jednotlivých problémů na bezpečnost systému. Přímé ohrožení systému hrozí v případě Firefoxu u dvou objevených chyb.
IE však ohrožuje operační systém čtyřmi problémy. Firefox proti tomu dovoluje ve dvou případech získat citlivé informace.
Chyby objevené v červenci
Z výše uvedených čísel a grafů plyne, že jsou na tom co do počtu chyb oba programy velmi podobně. Otázka tedy zní, proč mají uživatelé pocit, že je na tom Firefox v poslední době velmi špatně.
Odpověď nám dají informace o počtu chyb v jednotlivých měsících. Pokud si prohlédneme graf IE, zjistíme, že je v podstatě poměrně vyrovnaný. V každém měsíci jsou objeveny průměrně dvě chyby, jen v dubnu není hlášen jediný problém.
Proti tomu graf Firefoxu je velmi proměnlivý: v únoru byly hlášeny tři chyby, v květnu a červnu po jedné a ve třech měsících nebyla objevena dokonce žádná chyba. Velký skok ve statistikách ale proběhl v červenci, kdy byla hlášena plná polovina všech chyb za letošní rok.
Co z toho plyne?
Už víme, že bezpečný prohlížeč neexistuje a chyby jsou vyhledávány všude. Pak nás samozřejmě nepřekvapí, že jsou počty hlášených problémů v podstatě srovnatelné.
Svou roli však hrají také další faktory, jako je závažnost problémů, jejich zneužitelnost a samozřejmě rychlost oprav. Že jsou vývojáři Microsoftu v opravách mnohem pomalejší než vývojáři Firefoxu, tvrdí nejen Symantec ve svých bezpečnostních zprávách, ale dokazují to i informace Secunie.
Firefox jistě inkasoval v červenci citelně zvýšený počet „zásahů” proti ostatním měsícům a počet jeho trestných bodů se tím zdvojnásobil. Zaznamenali to i uživatelé, kteří sledují bezpečnostní vývoj, případně zpozorovali zvýšený počet hlášení v médiích.
Podle mého názoru se však jedná o výjimečný měsíc, jehož výsledek navíc nijak výrazně neposunul Firefox mimo „průměrné problémy” běžných prohlížečů. Mimochodem Opera je na tom s bezpečností také velmi podobně.
Grafy a údaje byly získány ze serveru Secunia.com.