Je Firefox méně bezpečný než dřív?

Petr Krčmář 3. 8. 2007

V poslední době se objevují výtky směrem k počtu bezpečnostních chyb Firefoxu. Podle některých názorů je jich mnohem více než obvykle a vrhá to špatné světlo na celý projekt. Zažívá Firefox špatné období? Kolik chyb v porovnání s Internet Explorerem má na kontě? Jak jsou nebezpečné? Jsou včas opravovány?

Špatná pověst Firefoxu

V diskusích pod některými našimi aktualitami se objevily pochybnosti ohledně bezpečnosti Firefoxu. Pod zprávičkou Mozilla chce zvýšit počet uživatelů Firefoxu se například objevil názor: „Po poslední smršti docela závažných bugů si FF pověst poněkud pošramotil, neočekávám výraznější růst…”

Pod jinou zprávou s názvem Firefox 2.0.0.6 opravuje vážnou bezpečnostní chybu projevil jeden ze čtenářů zájem o porovnání bezpečnosti Firefoxu a Internet Exploreru: „Zajímalo by mě docela porovnání bezpečnosti IE7 a FF 2.0. Zdá se mě totiž, že poslední dobou má FF více bezpečnostních chyb než IE.”

Protože se jedná o skutečně zajímavé téma, rozhodli jsme se zjistit, zda skutečně počet chyb Firefoxu výrazně vybočuje z průměru a jak si stojí v porovnání s konkurenčním Internet Explorerem.

Statistiky

Abychom mohli oba prohlížeče takto porovnat, potřebovali jsme získat údaje o počtu a hodnocení jednotlivých chyb. Využili jsme proto služeb uznávané dánské společnosti Secunia, která monitoruje podrobně bezpečnostní situaci u více než 12400 různých aplikací a operačních systémů.

K porovnání jsme si vybrali aktuální verze obou programů: Mozilla Firefox řady 2.0 (dále jen Firefox) a Microsoft Internet Explorer 7.0 (dále IE). Časovým obdobím, o které se budeme v případě objevených chyb zajímat, bude rok 2007, tedy měsíce leden až červenec. Oba zmíněné prohlížeče vyšly v říjnu 2006, a po celý rok 2007 tedy již byly sledovány a záplatovány.

Samozřejmě nás nebudou zajímat jen údaje o počtu chyb, ale také o jejich závažnosti a případné aplikaci oprav. Všechny tyto údaje dává Secunia k dispozici.

Počty bezpečnostních chyb

Hlavním údajem, od kterého budeme odvozovat další výsledky, je celkový počet chyb objevených ve zkoumaném období. Firefox od začátku roku zaznamenal deset bezpečnostních chyb, IE o jednu víc, tedy jedenáct. V tomto ohledu jsou tedy čísla srovnatelná.

Závažnost hlášených chyb

Secunia hodnotí závažnost chyb pěti stupni. Každá hlášená chyba je tedy nebezpečná: mimořádně, vysoce, středně, málo nebo vůbec. Anglicky extremely, highly, moderately, less a not.

Firefox od začátku roku nezaznamenal žádnou mimořádně nebezpečnou chybu. Čtyři chyby jsou označeny jako vysoce nebezpečné, dvě středně, jedna málo a tři dokonce vůbec.

FF critical

Proti tomu IE má jednu mimořádně nebezpečnou chybu, čtyři vysoce nebezpečné, pět málo a jedna není podle Secunie nebezpečná.

IE critical

V průměru jsou na tom tedy oba prohlížeče opět velmi podobně, ačkoliv je situace IE o jednu mimořádně vysokou chybu horší.

Záplatované a nezáplatované chyby

Kromě objevení samotných chyb je velmi podstatné, zda se je podaří dodavateli včas záplatovat. Zde se již čísla výrazně liší. Zatímco v případě IE zůstává v tuto chvíli nezáplatovaných 55 % hlášených problémů, v případě Firefoxu je to jen 30 % (a jedna částečná oprava).

IE solution
FF solution

Dalším důležitým údajem v tomto směru je nejvyšší hodnocení nezáplatovaného problému. Pokud se zaměříme na Firefox, je jeho nejzávažnější neopravená bezpečnostní chyba hodnocena jako málo kritická (tedy druhý stupeň). Proti tomu v případě IE je stále ještě otevřená vysoce kritická (čtvrtý stupeň) chyba.

Možnost zneužití chyby

Secunia dále u každé chyby uvádí, jak je možné ji zneužít. Děli proto problémy do tří různých kategorií: vzdáleně, z místní sítě, ze systému. V případě Firefoxu i IE jsou všechny objevené chyby zneužitelné vzdáleně. Oba prohlížeče jsou tedy shodně napadnutelné z internetu.

IE where
FF where

Dopad zneužití chyb

Velmi zajímavá je také statistika týkající se dopadu jednotlivých problémů na bezpečnost systému. Přímé ohrožení systému hrozí v případě Firefoxu u dvou objevených chyb.

FF impact

IE však ohrožuje operační systém čtyřmi problémy. Firefox proti tomu dovoluje ve dvou případech získat citlivé informace.

IE Impact

Chyby objevené v červenci

Z výše uvedených čísel a grafů plyne, že jsou na tom co do počtu chyb oba programy velmi podobně. Otázka tedy zní, proč mají uživatelé pocit, že je na tom Firefox v poslední době velmi špatně.

Odpověď nám dají informace o počtu chyb v jednotlivých měsících. Pokud si prohlédneme graf IE, zjistíme, že je v podstatě poměrně vyrovnaný. V každém měsíci jsou objeveny průměrně dvě chyby, jen v dubnu není hlášen jediný problém.

IE advis

Proti tomu graf Firefoxu je velmi proměnlivý: v únoru byly hlášeny tři chyby, v květnu a červnu po jedné a ve třech měsících nebyla objevena dokonce žádná chyba. Velký skok ve statistikách ale proběhl v červenci, kdy byla hlášena plná polovina všech chyb za letošní rok.

FF advis

Co z toho plyne?

Už víme, že bezpečný prohlížeč neexistuje a chyby jsou vyhledávány všude. Pak nás samozřejmě nepřekvapí, že jsou počty hlášených problémů v podstatě srovnatelné.

Svou roli však hrají také další faktory, jako je závažnost problémů, jejich zneužitelnost a samozřejmě rychlost oprav. Že jsou vývojáři Microsoftu v opravách mnohem pomalejší než vývojáři Firefoxu, tvrdí nejen Symantec ve svých bezpečnostních zprávách, ale dokazují to i informace Secunie.

Firefox jistě inkasoval v červenci citelně zvýšený počet „zásahů” proti ostatním měsícům a počet jeho trestných bodů se tím zdvojnásobil. Zaznamenali to i uživatelé, kteří sledují bezpečnostní vývoj, případně zpozorovali zvýšený počet hlášení v médiích.

Podle mého názoru se však jedná o výjimečný měsíc, jehož výsledek navíc nijak výrazně neposunul Firefox mimo „průměrné problémy” běžných prohlížečů. Mimochodem Opera je na tom s bezpečností také velmi podobně.


Grafy a údaje byly získány ze serveru Secunia.com.

Anketa

Který z prohlížečů je méně bezpečný?

Ohodnoťte jako ve škole:

Průměrná známka 2,79

Našli jste v článku chybu?
Zasílat nově přidané názory e-mailem
Vitalia.cz: Dnešní patolog o mrtvolu téměř nezavadí

Dnešní patolog o mrtvolu téměř nezavadí

DigiZone.cz: Druhá anglická liga pro Digi TV

Druhá anglická liga pro Digi TV

Podnikatel.cz: Když už je sexy, tak ať taky funguje

Když už je sexy, tak ať taky funguje

120na80.cz: Tady se vaří padělané léky

Tady se vaří padělané léky

Vitalia.cz: Sója a rakovina

Sója a rakovina

Lupa.cz: Přenos hokeje padal kvůli útoku, tvrdí O2

Přenos hokeje padal kvůli útoku, tvrdí O2

Lupa.cz: Nová podoba Instagramu? Katastrofa

Nová podoba Instagramu? Katastrofa

DigiZone.cz: Konec geoblokace? Ani náhodou…

Konec geoblokace? Ani náhodou…

Root.cz: Zákon o hazardu je v rozporu s ústavou

Zákon o hazardu je v rozporu s ústavou

Podnikatel.cz: Rošáda v živnostech. Týká se vás?

Rošáda v živnostech. Týká se vás?

Vitalia.cz: Před, nebo po snídani? Kdy je lepší čistit si zuby

Před, nebo po snídani? Kdy je lepší čistit si zuby

Vitalia.cz: Syndrom počítačového vidění: stačí dvě hodiny denně

Syndrom počítačového vidění: stačí dvě hodiny denně

120na80.cz: 10 dezinfekcí: Vede „starý dobrý“ peroxid

10 dezinfekcí: Vede „starý dobrý“ peroxid

Vitalia.cz: 7 nemocí očí, které musíte léčit včas

7 nemocí očí, které musíte léčit včas

Podnikatel.cz: Šizený guláš na pultě. Jako Lidl to nedělejte

Šizený guláš na pultě. Jako Lidl to nedělejte

120na80.cz: Velký přehled: 7 očkování proti exotickým nemocem

Velký přehled: 7 očkování proti exotickým nemocem

Podnikatel.cz: Heureka pod Rockaway? Tohle musí splnit

Heureka pod Rockaway? Tohle musí splnit

DigiZone.cz: Změní se veřejnoprávní status ČT?

Změní se veřejnoprávní status ČT?

120na80.cz: Zjistěte, zda je vaše klíště infikované

Zjistěte, zda je vaše klíště infikované

Podnikatel.cz: Alza radí e-shopům, jak opustit Heureku

Alza radí e-shopům, jak opustit Heureku