Je Firefox méně bezpečný než dřív?

Petr Krčmář 3. 8. 2007

V poslední době se objevují výtky směrem k počtu bezpečnostních chyb Firefoxu. Podle některých názorů je jich mnohem více než obvykle a vrhá to špatné světlo na celý projekt. Zažívá Firefox špatné období? Kolik chyb v porovnání s Internet Explorerem má na kontě? Jak jsou nebezpečné? Jsou včas opravovány?

Špatná pověst Firefoxu

V diskusích pod některými našimi aktualitami se objevily pochybnosti ohledně bezpečnosti Firefoxu. Pod zprávičkou Mozilla chce zvýšit počet uživatelů Firefoxu se například objevil názor: „Po poslední smršti docela závažných bugů si FF pověst poněkud pošramotil, neočekávám výraznější růst…”

Pod jinou zprávou s názvem Firefox 2.0.0.6 opravuje vážnou bezpečnostní chybu projevil jeden ze čtenářů zájem o porovnání bezpečnosti Firefoxu a Internet Exploreru: „Zajímalo by mě docela porovnání bezpečnosti IE7 a FF 2.0. Zdá se mě totiž, že poslední dobou má FF více bezpečnostních chyb než IE.”

Protože se jedná o skutečně zajímavé téma, rozhodli jsme se zjistit, zda skutečně počet chyb Firefoxu výrazně vybočuje z průměru a jak si stojí v porovnání s konkurenčním Internet Explorerem.

Statistiky

Abychom mohli oba prohlížeče takto porovnat, potřebovali jsme získat údaje o počtu a hodnocení jednotlivých chyb. Využili jsme proto služeb uznávané dánské společnosti Secunia, která monitoruje podrobně bezpečnostní situaci u více než 12400 různých aplikací a operačních systémů.

K porovnání jsme si vybrali aktuální verze obou programů: Mozilla Firefox řady 2.0 (dále jen Firefox) a Microsoft Internet Explorer 7.0 (dále IE). Časovým obdobím, o které se budeme v případě objevených chyb zajímat, bude rok 2007, tedy měsíce leden až červenec. Oba zmíněné prohlížeče vyšly v říjnu 2006, a po celý rok 2007 tedy již byly sledovány a záplatovány.

Samozřejmě nás nebudou zajímat jen údaje o počtu chyb, ale také o jejich závažnosti a případné aplikaci oprav. Všechny tyto údaje dává Secunia k dispozici.

Počty bezpečnostních chyb

Hlavním údajem, od kterého budeme odvozovat další výsledky, je celkový počet chyb objevených ve zkoumaném období. Firefox od začátku roku zaznamenal deset bezpečnostních chyb, IE o jednu víc, tedy jedenáct. V tomto ohledu jsou tedy čísla srovnatelná.

Závažnost hlášených chyb

Secunia hodnotí závažnost chyb pěti stupni. Každá hlášená chyba je tedy nebezpečná: mimořádně, vysoce, středně, málo nebo vůbec. Anglicky extremely, highly, moderately, less a not.

Firefox od začátku roku nezaznamenal žádnou mimořádně nebezpečnou chybu. Čtyři chyby jsou označeny jako vysoce nebezpečné, dvě středně, jedna málo a tři dokonce vůbec.

FF critical

Proti tomu IE má jednu mimořádně nebezpečnou chybu, čtyři vysoce nebezpečné, pět málo a jedna není podle Secunie nebezpečná.

IE critical

V průměru jsou na tom tedy oba prohlížeče opět velmi podobně, ačkoliv je situace IE o jednu mimořádně vysokou chybu horší.

Záplatované a nezáplatované chyby

Kromě objevení samotných chyb je velmi podstatné, zda se je podaří dodavateli včas záplatovat. Zde se již čísla výrazně liší. Zatímco v případě IE zůstává v tuto chvíli nezáplatovaných 55 % hlášených problémů, v případě Firefoxu je to jen 30 % (a jedna částečná oprava).

IE solution
FF solution

Dalším důležitým údajem v tomto směru je nejvyšší hodnocení nezáplatovaného problému. Pokud se zaměříme na Firefox, je jeho nejzávažnější neopravená bezpečnostní chyba hodnocena jako málo kritická (tedy druhý stupeň). Proti tomu v případě IE je stále ještě otevřená vysoce kritická (čtvrtý stupeň) chyba.

Možnost zneužití chyby

Secunia dále u každé chyby uvádí, jak je možné ji zneužít. Děli proto problémy do tří různých kategorií: vzdáleně, z místní sítě, ze systému. V případě Firefoxu i IE jsou všechny objevené chyby zneužitelné vzdáleně. Oba prohlížeče jsou tedy shodně napadnutelné z internetu.

IE where
FF where

Dopad zneužití chyb

Velmi zajímavá je také statistika týkající se dopadu jednotlivých problémů na bezpečnost systému. Přímé ohrožení systému hrozí v případě Firefoxu u dvou objevených chyb.

FF impact

IE však ohrožuje operační systém čtyřmi problémy. Firefox proti tomu dovoluje ve dvou případech získat citlivé informace.

IE Impact

Chyby objevené v červenci

Z výše uvedených čísel a grafů plyne, že jsou na tom co do počtu chyb oba programy velmi podobně. Otázka tedy zní, proč mají uživatelé pocit, že je na tom Firefox v poslední době velmi špatně.

Odpověď nám dají informace o počtu chyb v jednotlivých měsících. Pokud si prohlédneme graf IE, zjistíme, že je v podstatě poměrně vyrovnaný. V každém měsíci jsou objeveny průměrně dvě chyby, jen v dubnu není hlášen jediný problém.

IE advis

Proti tomu graf Firefoxu je velmi proměnlivý: v únoru byly hlášeny tři chyby, v květnu a červnu po jedné a ve třech měsících nebyla objevena dokonce žádná chyba. Velký skok ve statistikách ale proběhl v červenci, kdy byla hlášena plná polovina všech chyb za letošní rok.

FF advis

Co z toho plyne?

Už víme, že bezpečný prohlížeč neexistuje a chyby jsou vyhledávány všude. Pak nás samozřejmě nepřekvapí, že jsou počty hlášených problémů v podstatě srovnatelné.

Svou roli však hrají také další faktory, jako je závažnost problémů, jejich zneužitelnost a samozřejmě rychlost oprav. Že jsou vývojáři Microsoftu v opravách mnohem pomalejší než vývojáři Firefoxu, tvrdí nejen Symantec ve svých bezpečnostních zprávách, ale dokazují to i informace Secunie.

Firefox jistě inkasoval v červenci citelně zvýšený počet „zásahů” proti ostatním měsícům a počet jeho trestných bodů se tím zdvojnásobil. Zaznamenali to i uživatelé, kteří sledují bezpečnostní vývoj, případně zpozorovali zvýšený počet hlášení v médiích.

widgety

Podle mého názoru se však jedná o výjimečný měsíc, jehož výsledek navíc nijak výrazně neposunul Firefox mimo „průměrné problémy” běžných prohlížečů. Mimochodem Opera je na tom s bezpečností také velmi podobně.


Grafy a údaje byly získány ze serveru Secunia.com.

Anketa

Který z prohlížečů je méně bezpečný?

Našli jste v článku chybu?
Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

120na80.cz: Galerie: Čínští policisté testují českou minerálku

Galerie: Čínští policisté testují českou minerálku

Lupa.cz: Kde leží hardwarový pupek světa?

Kde leží hardwarový pupek světa?

Podnikatel.cz: ČSSZ posílá přehled o důchodovém kontě

ČSSZ posílá přehled o důchodovém kontě

Lupa.cz: Proč jsou firemní počítače pomalé?

Proč jsou firemní počítače pomalé?

Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

DigiZone.cz: Mordparta: trochu podchlazený 87. revír

Mordparta: trochu podchlazený 87. revír

Vitalia.cz: Jsou vegani a vyrábějí nemléko

Jsou vegani a vyrábějí nemléko

DigiZone.cz: Digi Slovakia zařazuje stanice SPI

Digi Slovakia zařazuje stanice SPI

DigiZone.cz: Wimbledon na Nova Sport až do 2019

Wimbledon na Nova Sport až do 2019

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

Root.cz: Hořící telefon Samsung Note 7 zapálil auto

Hořící telefon Samsung Note 7 zapálil auto

Vitalia.cz: Tradiční čínská medicína a rakovina

Tradiční čínská medicína a rakovina

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

DigiZone.cz: Ginx TV: pořad o počítačových hráčích

Ginx TV: pořad o počítačových hráčích