Hlavní navigace

Je Firefox méně bezpečný než dřív?

Petr Krčmář

V poslední době se objevují výtky směrem k počtu bezpečnostních chyb Firefoxu. Podle některých názorů je jich mnohem více než obvykle a vrhá to špatné světlo na celý projekt. Zažívá Firefox špatné období? Kolik chyb v porovnání s Internet Explorerem má na kontě? Jak jsou nebezpečné? Jsou včas opravovány?

Špatná pověst Firefoxu

V diskusích pod některými našimi aktualitami se objevily pochybnosti ohledně bezpečnosti Firefoxu. Pod zprávičkou Mozilla chce zvýšit počet uživatelů Firefoxu se například objevil názor: „Po poslední smršti docela závažných bugů si FF pověst poněkud pošramotil, neočekávám výraznější růst…”

Pod jinou zprávou s názvem Firefox 2.0.0.6 opravuje vážnou bezpečnostní chybu projevil jeden ze čtenářů zájem o porovnání bezpečnosti Firefoxu a Internet Exploreru: „Zajímalo by mě docela porovnání bezpečnosti IE7 a FF 2.0. Zdá se mě totiž, že poslední dobou má FF více bezpečnostních chyb než IE.”

Protože se jedná o skutečně zajímavé téma, rozhodli jsme se zjistit, zda skutečně počet chyb Firefoxu výrazně vybočuje z průměru a jak si stojí v porovnání s konkurenčním Internet Explorerem.

Statistiky

Abychom mohli oba prohlížeče takto porovnat, potřebovali jsme získat údaje o počtu a hodnocení jednotlivých chyb. Využili jsme proto služeb uznávané dánské společnosti Secunia, která monitoruje podrobně bezpečnostní situaci u více než 12400 různých aplikací a operačních systémů.

K porovnání jsme si vybrali aktuální verze obou programů: Mozilla Firefox řady 2.0 (dále jen Firefox) a Microsoft Internet Explorer 7.0 (dále IE). Časovým obdobím, o které se budeme v případě objevených chyb zajímat, bude rok 2007, tedy měsíce leden až červenec. Oba zmíněné prohlížeče vyšly v říjnu 2006, a po celý rok 2007 tedy již byly sledovány a záplatovány.

Samozřejmě nás nebudou zajímat jen údaje o počtu chyb, ale také o jejich závažnosti a případné aplikaci oprav. Všechny tyto údaje dává Secunia k dispozici.

Počty bezpečnostních chyb

Hlavním údajem, od kterého budeme odvozovat další výsledky, je celkový počet chyb objevených ve zkoumaném období. Firefox od začátku roku zaznamenal deset bezpečnostních chyb, IE o jednu víc, tedy jedenáct. V tomto ohledu jsou tedy čísla srovnatelná.

Závažnost hlášených chyb

Secunia hodnotí závažnost chyb pěti stupni. Každá hlášená chyba je tedy nebezpečná: mimořádně, vysoce, středně, málo nebo vůbec. Anglicky extremely, highly, moderately, less a not.

Firefox od začátku roku nezaznamenal žádnou mimořádně nebezpečnou chybu. Čtyři chyby jsou označeny jako vysoce nebezpečné, dvě středně, jedna málo a tři dokonce vůbec.

FF critical

Proti tomu IE má jednu mimořádně nebezpečnou chybu, čtyři vysoce nebezpečné, pět málo a jedna není podle Secunie nebezpečná.

IE critical

V průměru jsou na tom tedy oba prohlížeče opět velmi podobně, ačkoliv je situace IE o jednu mimořádně vysokou chybu horší.

Záplatované a nezáplatované chyby

Kromě objevení samotných chyb je velmi podstatné, zda se je podaří dodavateli včas záplatovat. Zde se již čísla výrazně liší. Zatímco v případě IE zůstává v tuto chvíli nezáplatovaných 55 % hlášených problémů, v případě Firefoxu je to jen 30 % (a jedna částečná oprava).

IE solution
FF solution

Dalším důležitým údajem v tomto směru je nejvyšší hodnocení nezáplatovaného problému. Pokud se zaměříme na Firefox, je jeho nejzávažnější neopravená bezpečnostní chyba hodnocena jako málo kritická (tedy druhý stupeň). Proti tomu v případě IE je stále ještě otevřená vysoce kritická (čtvrtý stupeň) chyba.

Možnost zneužití chyby

Secunia dále u každé chyby uvádí, jak je možné ji zneužít. Děli proto problémy do tří různých kategorií: vzdáleně, z místní sítě, ze systému. V případě Firefoxu i IE jsou všechny objevené chyby zneužitelné vzdáleně. Oba prohlížeče jsou tedy shodně napadnutelné z internetu.

IE where
FF where

Dopad zneužití chyb

Velmi zajímavá je také statistika týkající se dopadu jednotlivých problémů na bezpečnost systému. Přímé ohrožení systému hrozí v případě Firefoxu u dvou objevených chyb.

FF impact

IE však ohrožuje operační systém čtyřmi problémy. Firefox proti tomu dovoluje ve dvou případech získat citlivé informace.

IE Impact

Chyby objevené v červenci

Z výše uvedených čísel a grafů plyne, že jsou na tom co do počtu chyb oba programy velmi podobně. Otázka tedy zní, proč mají uživatelé pocit, že je na tom Firefox v poslední době velmi špatně.

Odpověď nám dají informace o počtu chyb v jednotlivých měsících. Pokud si prohlédneme graf IE, zjistíme, že je v podstatě poměrně vyrovnaný. V každém měsíci jsou objeveny průměrně dvě chyby, jen v dubnu není hlášen jediný problém.

IE advis

Proti tomu graf Firefoxu je velmi proměnlivý: v únoru byly hlášeny tři chyby, v květnu a červnu po jedné a ve třech měsících nebyla objevena dokonce žádná chyba. Velký skok ve statistikách ale proběhl v červenci, kdy byla hlášena plná polovina všech chyb za letošní rok.

FF advis

Co z toho plyne?

Už víme, že bezpečný prohlížeč neexistuje a chyby jsou vyhledávány všude. Pak nás samozřejmě nepřekvapí, že jsou počty hlášených problémů v podstatě srovnatelné.

Svou roli však hrají také další faktory, jako je závažnost problémů, jejich zneužitelnost a samozřejmě rychlost oprav. Že jsou vývojáři Microsoftu v opravách mnohem pomalejší než vývojáři Firefoxu, tvrdí nejen Symantec ve svých bezpečnostních zprávách, ale dokazují to i informace Secunie.

Firefox jistě inkasoval v červenci citelně zvýšený počet „zásahů” proti ostatním měsícům a počet jeho trestných bodů se tím zdvojnásobil. Zaznamenali to i uživatelé, kteří sledují bezpečnostní vývoj, případně zpozorovali zvýšený počet hlášení v médiích.

Podle mého názoru se však jedná o výjimečný měsíc, jehož výsledek navíc nijak výrazně neposunul Firefox mimo „průměrné problémy” běžných prohlížečů. Mimochodem Opera je na tom s bezpečností také velmi podobně.


Grafy a údaje byly získány ze serveru Secunia.com.

Anketa

Který z prohlížečů je méně bezpečný?

Našli jste v článku chybu?

21. 8. 2007 10:13

Pan Neznámý (neregistrovaný)
Nečetl sem si všechny zprávy protože to bych musel být superman, možná to tady už někdo řekl, ale nechápu co všichni proti firefoxu máte? Fire Fox je jednoznačně lepší než IE a to skoro ve všem. Když mluvíte o kritických bezpečnostních chybách, firefox ji určitě zpoustu má, ale co si asi myslíte že IE? A tady je ten rozdíl, firefox záplatuje chyby okamžitě po jejich nalezení, jenže microsoft vydává záplaty jednou za měsíc. A pak se naskýtá otázka internetových stránek: Když sem psal web, musel s…
Lupa.cz: Kdo pochopí vtip, může jít do ČT vyvíjet weby

Kdo pochopí vtip, může jít do ČT vyvíjet weby

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

120na80.cz: 5 nejčastějších mýtů o kondomech

5 nejčastějších mýtů o kondomech

Vitalia.cz: Vychytané vály a válečky na vánoční cukroví

Vychytané vály a válečky na vánoční cukroví

120na80.cz: Horní cesty dýchací. Zkuste fytofarmaka

Horní cesty dýchací. Zkuste fytofarmaka

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

Root.cz: Certifikáty zadarmo jsou horší než za peníze?

Certifikáty zadarmo jsou horší než za peníze?

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Podnikatel.cz: Snížení DPH na 15 % se netýká všech

Snížení DPH na 15 % se netýká všech

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Podnikatel.cz: Podnikatelům dorazí varování od BSA

Podnikatelům dorazí varování od BSA

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Vitalia.cz: Potvrzeno: Pobyt v lese je skvělý na imunitu

Potvrzeno: Pobyt v lese je skvělý na imunitu

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Měšec.cz: mBank cenzuruje, zrušila mFórum

mBank cenzuruje, zrušila mFórum