Je Firefox méně bezpečný než dřív?

Petr Krčmář 3. 8. 2007

V poslední době se objevují výtky směrem k počtu bezpečnostních chyb Firefoxu. Podle některých názorů je jich mnohem více než obvykle a vrhá to špatné světlo na celý projekt. Zažívá Firefox špatné období? Kolik chyb v porovnání s Internet Explorerem má na kontě? Jak jsou nebezpečné? Jsou včas opravovány?

Špatná pověst Firefoxu

V diskusích pod některými našimi aktualitami se objevily pochybnosti ohledně bezpečnosti Firefoxu. Pod zprávičkou Mozilla chce zvýšit počet uživatelů Firefoxu se například objevil názor: „Po poslední smršti docela závažných bugů si FF pověst poněkud pošramotil, neočekávám výraznější růst…”

Pod jinou zprávou s názvem Firefox 2.0.0.6 opravuje vážnou bezpečnostní chybu projevil jeden ze čtenářů zájem o porovnání bezpečnosti Firefoxu a Internet Exploreru: „Zajímalo by mě docela porovnání bezpečnosti IE7 a FF 2.0. Zdá se mě totiž, že poslední dobou má FF více bezpečnostních chyb než IE.”

Protože se jedná o skutečně zajímavé téma, rozhodli jsme se zjistit, zda skutečně počet chyb Firefoxu výrazně vybočuje z průměru a jak si stojí v porovnání s konkurenčním Internet Explorerem.

Statistiky

Abychom mohli oba prohlížeče takto porovnat, potřebovali jsme získat údaje o počtu a hodnocení jednotlivých chyb. Využili jsme proto služeb uznávané dánské společnosti Secunia, která monitoruje podrobně bezpečnostní situaci u více než 12400 různých aplikací a operačních systémů.

K porovnání jsme si vybrali aktuální verze obou programů: Mozilla Firefox řady 2.0 (dále jen Firefox) a Microsoft Internet Explorer 7.0 (dále IE). Časovým obdobím, o které se budeme v případě objevených chyb zajímat, bude rok 2007, tedy měsíce leden až červenec. Oba zmíněné prohlížeče vyšly v říjnu 2006, a po celý rok 2007 tedy již byly sledovány a záplatovány.

Samozřejmě nás nebudou zajímat jen údaje o počtu chyb, ale také o jejich závažnosti a případné aplikaci oprav. Všechny tyto údaje dává Secunia k dispozici.

Počty bezpečnostních chyb

Hlavním údajem, od kterého budeme odvozovat další výsledky, je celkový počet chyb objevených ve zkoumaném období. Firefox od začátku roku zaznamenal deset bezpečnostních chyb, IE o jednu víc, tedy jedenáct. V tomto ohledu jsou tedy čísla srovnatelná.

Závažnost hlášených chyb

Secunia hodnotí závažnost chyb pěti stupni. Každá hlášená chyba je tedy nebezpečná: mimořádně, vysoce, středně, málo nebo vůbec. Anglicky extremely, highly, moderately, less a not.

Firefox od začátku roku nezaznamenal žádnou mimořádně nebezpečnou chybu. Čtyři chyby jsou označeny jako vysoce nebezpečné, dvě středně, jedna málo a tři dokonce vůbec.

FF critical

Proti tomu IE má jednu mimořádně nebezpečnou chybu, čtyři vysoce nebezpečné, pět málo a jedna není podle Secunie nebezpečná.

IE critical

V průměru jsou na tom tedy oba prohlížeče opět velmi podobně, ačkoliv je situace IE o jednu mimořádně vysokou chybu horší.

Záplatované a nezáplatované chyby

Kromě objevení samotných chyb je velmi podstatné, zda se je podaří dodavateli včas záplatovat. Zde se již čísla výrazně liší. Zatímco v případě IE zůstává v tuto chvíli nezáplatovaných 55 % hlášených problémů, v případě Firefoxu je to jen 30 % (a jedna částečná oprava).

IE solution
FF solution

Dalším důležitým údajem v tomto směru je nejvyšší hodnocení nezáplatovaného problému. Pokud se zaměříme na Firefox, je jeho nejzávažnější neopravená bezpečnostní chyba hodnocena jako málo kritická (tedy druhý stupeň). Proti tomu v případě IE je stále ještě otevřená vysoce kritická (čtvrtý stupeň) chyba.

Možnost zneužití chyby

Secunia dále u každé chyby uvádí, jak je možné ji zneužít. Děli proto problémy do tří různých kategorií: vzdáleně, z místní sítě, ze systému. V případě Firefoxu i IE jsou všechny objevené chyby zneužitelné vzdáleně. Oba prohlížeče jsou tedy shodně napadnutelné z internetu.

IE where
FF where

Dopad zneužití chyb

Velmi zajímavá je také statistika týkající se dopadu jednotlivých problémů na bezpečnost systému. Přímé ohrožení systému hrozí v případě Firefoxu u dvou objevených chyb.

FF impact

IE však ohrožuje operační systém čtyřmi problémy. Firefox proti tomu dovoluje ve dvou případech získat citlivé informace.

IE Impact

Chyby objevené v červenci

Z výše uvedených čísel a grafů plyne, že jsou na tom co do počtu chyb oba programy velmi podobně. Otázka tedy zní, proč mají uživatelé pocit, že je na tom Firefox v poslední době velmi špatně.

Odpověď nám dají informace o počtu chyb v jednotlivých měsících. Pokud si prohlédneme graf IE, zjistíme, že je v podstatě poměrně vyrovnaný. V každém měsíci jsou objeveny průměrně dvě chyby, jen v dubnu není hlášen jediný problém.

IE advis

Proti tomu graf Firefoxu je velmi proměnlivý: v únoru byly hlášeny tři chyby, v květnu a červnu po jedné a ve třech měsících nebyla objevena dokonce žádná chyba. Velký skok ve statistikách ale proběhl v červenci, kdy byla hlášena plná polovina všech chyb za letošní rok.

FF advis

Co z toho plyne?

Už víme, že bezpečný prohlížeč neexistuje a chyby jsou vyhledávány všude. Pak nás samozřejmě nepřekvapí, že jsou počty hlášených problémů v podstatě srovnatelné.

Svou roli však hrají také další faktory, jako je závažnost problémů, jejich zneužitelnost a samozřejmě rychlost oprav. Že jsou vývojáři Microsoftu v opravách mnohem pomalejší než vývojáři Firefoxu, tvrdí nejen Symantec ve svých bezpečnostních zprávách, ale dokazují to i informace Secunie.

Firefox jistě inkasoval v červenci citelně zvýšený počet „zásahů” proti ostatním měsícům a počet jeho trestných bodů se tím zdvojnásobil. Zaznamenali to i uživatelé, kteří sledují bezpečnostní vývoj, případně zpozorovali zvýšený počet hlášení v médiích.

Podle mého názoru se však jedná o výjimečný měsíc, jehož výsledek navíc nijak výrazně neposunul Firefox mimo „průměrné problémy” běžných prohlížečů. Mimochodem Opera je na tom s bezpečností také velmi podobně.


Grafy a údaje byly získány ze serveru Secunia.com.

Anketa

Který z prohlížečů je méně bezpečný?

Našli jste v článku chybu?
Měšec.cz: Cestujte bez starostí, získejte výhodné pojištění

Cestujte bez starostí, získejte výhodné pojištění

DigiZone.cz: Slováci první, Češi třetí. Krásný...

Slováci první, Češi třetí. Krásný...

DigiZone.cz: Mobilní aplikace pro DVTV je tady

Mobilní aplikace pro DVTV je tady

Vitalia.cz: 5 porcí ovoce a zeleniny: no ale jak na to?

5 porcí ovoce a zeleniny: no ale jak na to?

Podnikatel.cz: Neuvěříte, ale EET má pro podnikatele i výhody
MarketVoice

Neuvěříte, ale EET má pro podnikatele i výhody

Měšec.cz: Od kdy musí studenti platit pojistné?

Od kdy musí studenti platit pojistné?

Vitalia.cz: Jíme přesolené potraviny. Zrovna tyhle

Jíme přesolené potraviny. Zrovna tyhle

Podnikatel.cz: Eseróčko vs. živnost. Co vyhrává?

Eseróčko vs. živnost. Co vyhrává?

Root.cz: Střílejte v obýváku, stačí kamera a projektor

Střílejte v obýváku, stačí kamera a projektor

Vitalia.cz: Máte chutě? Nejezděte do světa, ale do Dobřichovic

Máte chutě? Nejezděte do světa, ale do Dobřichovic

Měšec.cz: Ceny PHM v Evropě. Finty na úspory

Ceny PHM v Evropě. Finty na úspory

DigiZone.cz: ČT veze bronz z klání televizní grafiky

ČT veze bronz z klání televizní grafiky

Lupa.cz: Jaké IoT tarify nabízejí mobilní operátoři?

Jaké IoT tarify nabízejí mobilní operátoři?

Vitalia.cz: Epidemie: Klíšťová encefalitida po ovčím sýru

Epidemie: Klíšťová encefalitida po ovčím sýru

DigiZone.cz: Soud zakázal šíření TV Markíza v ČR

Soud zakázal šíření TV Markíza v ČR

Root.cz: Nejvýkonnější počítač mají v Číně, podívejte se

Nejvýkonnější počítač mají v Číně, podívejte se

DigiZone.cz: ČTÚ květen: rušení TV vysílání narůstá

ČTÚ květen: rušení TV vysílání narůstá

Měšec.cz: Udali ho na nelegální software a přišla Policie

Udali ho na nelegální software a přišla Policie

Root.cz: Špína v počítačích: mrtvé myši, prach a pavouci

Špína v počítačích: mrtvé myši, prach a pavouci

Podnikatel.cz: Oblíbené Babišovo reverse charge. Potopilo je?

Oblíbené Babišovo reverse charge. Potopilo je?