Hlavní navigace

Vlákno názorů k článku Chyby v prohlížečích: některé přetrvávají celé roky od Filip Jirsák - Když jsou v článku vyjmenované verze Firefoxu, ve...

  • Článek je starý, nové názory již nelze přidávat.
  • 11. 3. 2015 8:46

    Filip Jirsák

    Když jsou v článku vyjmenované verze Firefoxu, ve kterých chyba je, znamená to, že autor ověřil, že v ostatních verzích (i starších) ta chyba není? Pokud by to tak bylo a chyby byly ve Firefoxu opravovány a pak se tam zase vracely, je to podle mne mnohem větší průšvih, než u MSIE. Chápu, že v kódu je nějaká chyba dlouho, protože ten kód jednou někdo napsal, má se za to, že je správně, takže už se po letech znovu neprověřuje. Ale to, že nějaká chyba zmizí a znovu se objeví, by znamenalo, že někdo vytvoří nový kód nebo vrátí starý s chybou, o které se už vědělo.

    A v případě Chrome je to tak, že autor ověřil, že daná chyba ve starších verzích Chrome není? Z článku to totiž vyznívá tak, že to autor u starších verzí zjistit nedokázal, takže prohlásil, že Chrome je lepší než MSIE, protože u Chrome o chybách ve starších verzích nevíme, zatímco Microsoft je přizná (protože musí, protože se ty starší verze používají).

  • 11. 3. 2015 9:04

    Nápravník Jiří (neregistrovaný)

    Chrome
    Ano ze těch zdrojů co jsem čerpal není možné získat informace o starších verzích Chrome. Není tedy možné ověřit zda se verze týká skutečně pouze jedné verze nebo více verzí.
    V budoucnu to může být větší problém než chyby v IE. To znamená vybudovat laboratoř, která bude shromažďovat vydané verze programů a skutečně nezávisle testovat chybu / exploit , atd. na více verzích.

    Dnes je situace taková, že například skončila podpora XP a všechny laborky (pokud vím jsou všechny z USA) přestaly informovat o tom, že se konkrétní chyby týká i Windows XP, i když se týkala W2003 a Vista, .... Takže program se stále používá, ale nemluví se o tom, že sjou tam díry.

    Firefox
    Mozilla testuje chyby k nejbližší ESR verzi (s dlouhodobou podporou). Starší verze se netestují.

    Jednou napsaný a nemodernizovaný zdroják je velký problém a velká výzva.

  • 11. 3. 2015 9:18

    Filip Jirsák

    Takže na tom vlastně Chrome i Firefox mohou být úplně stejně, jako MSIE, akorát o tom nevíme. Z toho mi ale vychází, že jsou na tom Chrome a Firefox z tohohle pohledu hůř, než MSIE.

  • 11. 3. 2015 11:52

    Filip Jirsák

    Já když jsem viděl autora článku na začátku stránky, tak jsem se zhrozil, co to zase bude – protože jeho předchozí články (i jinde) byly skutečně nezapomenutelný zážitek. Ale snažil jsem se být v komentáři mírný, protože jsem si říkal, že už jsem třeba proti autorovi zaujatej. Dokonce bych řekl, že je tenhle článek lepší, než autorovy předchozí články. Ale pořád je ten článek špatný, bohužel.

    Moc mi není jasné, proč se redakce nepoučila, a článek v téhle podobě vydává. Autor to třeba jinak neumí, snaží se, tak ať si píše na vlastní blog – ale redakce by snad měl mít dost soudnosti…

  • 12. 3. 2015 0:20

    Lael Ophir (neregistrovaný)

    Vy se dokážete skvěle střelit do nohy. Firefox má verze s podporou nejdéle jeden rok. Ve článku se dozvíme "Žádná z 65 chyb, které se týkaly více verzí prohlížeče Mozilla Firefox, nebyla v programu déle než 400 dnů". Celkem pochopitelně, když pak sám napíšete, že Mozilla nové bugy na již nepodporovaných verzích netestuje. Ve skutečnosti chyba popsaná v konkrétním CVE může zasahovat do všech verzí Firefoxu. Na MSIE pak dštíte síru... protože MS podporuje MSIE daleko delší dobu.

    Navíc počet CVE může být dost zavádějící metrika, protože pod jedním CVE může být (a bývá) více zranitelností. Společnost Secunia ve svém Vulnerability Review 2014 napočítala za rok 2013 cekem 270 zranitelností ve Firefoxu, 245 v Google Chrome, a 126 v MSIE. Za rok 2014 jsem data ještě neviděl, ale minimálně v roce 2013 byly prohlížeče Firefox i Google Chrome opravdu hrozivě děravé.
    https://secunia.com/?action=fetch&filename=secunia_vulnerability_review_2014.pdf

    Jinými slovy veškeré závěry, které jste ve článku učinil, vycházejí ze špatné interpretace dat.

  • 12. 3. 2015 0:32

    j (neregistrovaný)

    Aaaa zvanil lol dorazil ... a kolik % tech der v IE je, a nikdo o nich nevi, protoze se do zdrojaku nepodiva ... hmm ??? A kolik takovych (kritickych a vzdalene snadno vyuzitelnych) bugu se M$ milostive rozhodne resit, az kdyz dotycny, po nekolika mesicich upozoronovani, chybu zverejni, vcetne navodu?

    To, ze si M$ sere do vlastniho a neumozni na starsi widle nainstalovat novsi exploder je jen a jen jejich problem. Nemuseli by udrzovat 8 verzi. jenze to by prozmenu useri mohli prijit na to, ze jim widle 9x bohate stacej, protoze v nich maji vse co potrebujou, spokojej se s par MB ram a frcej jak namidlenej blesk.

  • 12. 3. 2015 2:37

    Lael Ophir (neregistrovaný)

    No jistě. Když je v nějakém open source nalezeno méně děr než v komerčním SW, tak je to proto, že open source je lepší. Když je jich v open source produktu nalezeno víc, tak je to proto, že open source je lepší. To má logiku :D

    Pro vaši informaci, drahý Jeronýmku: k nalezení zranitelnosti v SW nepotřebujete zdrojáky. Například díry v produktech Adobe Flash a Adobe Reader byly nalezeny bez použití zdrojáků. Než o tom začnete psát, zkuste si (jednou pro změnu) o věci něco zjistit.

    Ad si M$ sere do vlastniho a neumozni na starsi widle nainstalovat novsi exploder - souhlas, tohle je problém MS. Jenže MS má dobrou motivaci uživatele trošku postrčit k upgradu na novou verze Windows. 1. Jsou to peníze. 2. Kdyby velké procento uživatelů zůstávalo u starých verzí OS, autoři aplikací by nemohli psát aplikace pro nové API, a museli by vystačit s 10+ let starým. Například ty aplikace pro Win9x nikdy neuměly Unicode, a kdyby byly dodnes podporované, autoři by z komerčních důvodů museli psát SW bez podpory Unicode.

    Ad namidlenej - prozradíte čtenářům, jakým trikem se vám podařilo dostudovat základní školu?

  • 12. 3. 2015 9:37

    j (neregistrovaný)

    Aplikace pro win9x vpohode unicode zvladaji loliku, a 80% nahlasenych OS bugu je nahlasenych prave na zaklade pristupu ke zdrojakum.

  • 12. 3. 2015 19:25

    Lael Ophir (neregistrovaný)

    Ad aplikace pro win9x vpohode unicode zvladaji - Jeronýmku, to je samozřejmě nesmysl. API Windows 9x (na rozdíl od řady NT) používají stringy v ANSI code page. Unicodovou verzi API implementuje jen cca 18 funkcí API, které slouží pro rastrování textu, natáhnoutí string resource, zobrazení message boxu a pár dalších operací. API pro práci se soubory, vstup z klávesnice ani nic jiného Unicode neumí. To vedlo k tomu, že někteří tupější autoři psali ještě aplikace pro Windows XP bez podpory Unicode. A přesně o tom to je.
    http://support.microsoft.com/kb/210341

    Ad 80% nahlasenych OS bugu je nahlasenych prave na zaklade pristupu ke zdrojakum - zdroj? A proč zrovna bugy v OS? Ty v aplikacích se nepočítají, nebo jak?

  • 12. 3. 2015 11:37

    Jarda_P

    Na MSIE pak dštíte síru... protože MS podporuje MSIE daleko delší dobu.

    Siru prece nikdo nedsti. IE maji vsichni radi, protoze nikde jinde neni zarucena tak dlouha podpora chyb. ;-)