Vlákno názorů k článku
Proč má Edge jen 70 rozšíření?
od Marek - Jasne, to bude ten pravy dovod. Denne im...
-
To je mimochodem dost zajímavé, zřejmě někdo vyvine rozšíření, vydá verze pro Chrome a Firefox, pak tam přidá nějakou bezpečnostní díru a nabídne Microsoftu verzi pro Edge, tak tomu máme rozumět? A nebo snad tak, že Edge a jeho API na rozšíření jsou takové sr*čky, že to, co je v ostatních prohlížečích normálka, se v Edge nedá udělat bez bezpečnostních děr?
-
Rozšíření jsou jedna velká bezpečnostní díra. MS je prostě kontroluje před tím, než dovolí jejich umístění do Windows Store. Má to bránit přesně těm incidentům, které popisuje článek tady na rootu.
https://www.root.cz/clanky/rozsireni-prohlizecu-jsou-hrozbou-pro-soukromi-uzivatelu/ -
Aha. To bude asi důvod, proč celkový počet vulnerabilities pro Edge je 309, pro MSIE 631, pro Firefox 1438, a pro Chrome 1453 ;)
https://www.cvedetails.com/top-50-products.php?year=0 -
null null (neregistrovaný)
Jo? Zase ses nepoučil. Se statistikou musíš znát i souvislost. Číslíčka přečte i osel. To se ti povedlo, ale má Edge stejný počet aktivních uživatelů (schopných a ochotných hlásit chyby)?
Jinými slovy kdybych zítra napsal svůj OS a nikdo si ho nenainstaloval, tak bude podle tebe nejbezpečnější. To je debilní, že? -
Nejde o chyby, ale o bezpečnostní zranitelnosti, a ty koncoví uživatelé objeví jen dost vzácně. Ale souhlasím, že rozšířenější SW je zajímavější cíl pro malware.
Jenže tahle výmluva může platit u MS Edge, ale ne u ostatních browserů. MSIE byl uvedený na trh před 22 lety (1995), a dlouhou dobu byl standardem pro browser (jak si mohou bolestně pamatovat uživatelé Firefoxu po prvních pár let). Firefox je tu 15 let (2002), a Chrome 9 let (2008). Přitom celkový počet bezpečnostních zranitelností pro MSIE je výrazně menší, než u Firefoxu a Chrome. A to byl MSIE považovaný (bohužel právem) za bezpečnostní katastrofu. Faktem ale je, že bezpečnostní katastrofy dneska vypadají úplně jinak: Android, Linux kernel, Firefox, Chrome. Data mluví jasně.
-
Zero (neregistrovaný)
MSIE byl uvedený na trh před 22 lety (1995), a dlouhou dobu byl standardem pro browser...
Akosi ti vypadol Netscape Navigator (1994)
a platena Opera (prva public verzia v roku 96 a vyvoj siaha do roku 95)
Takze ziaden standard pre browser sa nekonal a navyse MSIE zvysoka sr*l na standardy...
Jo a este v tych rokoch robili WWW prehliadace to na co boli urcene... zobrazovali WWW stranky a neimplementovali kazdu 3.14covinu a tym zvysovali deravost prehliadacov (napr. battery api, social api atd...) -
Netscape Navigator mi nevypadl. Ten byl svého času standardem, ale pak se jím na dlouhou dobu stal MSIE. Mimochodem ohledně standardů bych nevinil MS, ale W3C. Ve W3C rozbourali zpětnou kompatibilitu webu tím, že do Recommendation dali box model který byl v rozporu s implementací od MS i Netscape, a navíc naprosto úchylně nelogický. To se pak nelze divit, že MS šel vlastní cestou.
Ano, prohlížeče dneska implementují spoustu blbostí, a nepochybně to zvyšuje attack surface. Jenže za to můžou autoři browserů, kteří s těmi blbostmi přicházejí. Mimochodem svého času všichni kritizovali MS za implementaci věcí, které nejsou standardem (resp. doporučením) W3C. Dneska je to zjevně běžný postup autorů browserů :/
-
null null (neregistrovaný)
Troška historie, proč ne? Je to tvůj čas kterým plýtváš. Do prezentace pro třeba družstevníky dobré, k tématu nic. Takže
řeč nebyla o koncových uživatelích, ale o "(schopných a ochotných hlásit chyby)" a pochybuju že Edge má aspoň 1/4 co Chrome nebo Firefox. A i kdyby to bylo jinak, ve statistice o tom není ani prd a Ty to ani nejsi schopný diskutovat, ne tak připutit nebo si to uvědomit evidentně.
"Faktem ale je, že bezpečnostní katastrofy dneska vypadají úplně jinak: Android, Linux kernel, Firefox, Chrome. Data mluví jasně."
To ano. Je to ale primárně rozšířeností a vzestupem mobilních zařízení, kde si MS ani neškrtl . . . Řekl bych že takový Android s antivirem je ekvivalent Widlí s antivirem takže 0:0 a ten zbytek, tam se MS tak nechytá, že by se dalo říct, že v tomto sportu MS nemá ani banner. Takže těžko mluvit o nějakém pořadí po závodě - opět jenom ukázka, že neumíš nad porovnáním/statistikou reálně přemýšlet, jenom přečíst číslíčka. Do MS na balamucení náměstků ve státní správě možná dobré, jinak . . . slabé ;-)
-
O MS Edge jsem psal v prvním odstavci, zkuste si to přečíst znovu. V principu s vámi souhlasím, ale nevidím to jako věc počtu uživatelů "(schopných a ochotných hlásit chyby)", protože uživatelé, byť schopní a ochotní hlásit chyby, typicky nepřijdou na bezpečnostní problém. Při práci s browserem na něj prostě nenarazí. Je to o počtu uživatelů, kteří jsou cílem malwaru. Jinými slovy když je Edge méně rozšířený, tak je validní argument, že nemá moc smysl hledat v něm bugy, protože to pro autory malwaru nepřináší zisk.
Mimochodem jsme v době, kdy uživatelé při vzniku problému nekontaktují support, ale "logicky" problém postují na twitteru a redditu :/Android je daleko děravější než Windows, a navíc se na velké procento zařízení vůbec nedostanou patche, zatímco Windows se aktualizují automaticky. Google má jak špatné technologie (upgrade na novou verzi Androidu znamená nutnost výměny driverů), tak špatně řešené vztahy s implementačními partnery (nic je nenutí poskytovat bugfixy, takže vystrčí smartphone v krabici z továrny, a dál je to už nemusí zajímat). Nemluvě o tom, že Android je určený pro spotřební elektroniku typu smartphonů, televizí, hodinek apod., kde jsou cílovou skupinou jsou farmáři, děti, důchodci a ženy v domácnosti, od kterých nemůžete čekat žádné znalosti administrace systémů. Jako sorry, ale jak MS s Windows Phone, tak Apple s iOS odvádějí ohledně bezpečnosti daleko lepší práci než Google.
Pokud jde o browsery, tak tam nevidím žádný argument, který by mohl obhájit, že Firefox a Chrome mají za (kratší) dobu existence víc bezpečnostních zranitelností, než MSIE. Je to prostě o kvalitě vývoje, která je v tomto případě tristní. Firefox a Chrome jsou (další) dvě open source bezpečnostní katastrofy.
-
null null (neregistrovaný)
"Android je daleko děravější než Windows"
Zdroj?
"Pokud jde o browsery, tak tam nevidím žádný argument, který by mohl obhájit, že Firefox a Chrome mají za (kratší) dobu existence víc bezpečnostních zranitelností, než MSIE"
Evidentně nevidíš. Viz.
"Jinými slovy kdybych zítra napsal svůj OS a nikdo si ho nenainstaloval, tak bude podle tebe nejbezpečnější. To je debilní, že?"
-
Ad "Android je daleko děravější než Windows"; Zdroj? - ta katastrofická čísla tady: https://www.cvedetails.com/top-50-products.php?year=2016 https://www.cvedetails.com/top-50-products.php?year=2017
Ad nevidím žádný argument, který by mohl obhájit, že Firefox a Chrome mají za (kratší) dobu existence víc bezpečnostních zranitelností, než MSIE; kdybych zítra napsal svůj OS a nikdo si ho nenainstaloval, tak bude podle tebe nejbezpečnější - jenže MSIE byl pěkných pár let nejrozšířenější browser. Přesto nasbíral za celou dobu své existence výrazně méně zranitelností, než Firefox a Chrome, které navíc existují kratší dobu.
-
null null (neregistrovaný)
1) To je pořád ta stejná statistika která nevypovídá o poměru platforem co se zranitelností týče, ale jenom suma nahlášených chyb. To skutečně není měřítko kvality. To bys zrovna mohl běžcům měřit délku nohy a podle toho vyhlašovat výsledky závodů.
2) Ono ve FIrefox a Chrome se víc hledá a hlavně hlásí. Tak je to u všech uzavřených produktů. Prostě suma chyb není kritérium, jenom suma chyb.
Dám ti příklad: Když bude mít MSIE 1 critical chybu neopravenou 10 let a FIrefox 20 critical chyb opravených každou do týdne. Jak moc se suma chyb vyslovuje k bezpečnosti obou browserů? -
Ad suma nahlášených chyb... není měřítko kvality - pokud máme dva velmi rozšířené systémy, jeden má 523 resp. 639 zranitelnost, a druhý 172 resp. 226, tak to podle mého názoru o bezpečnosti těch dvou systémů vypovídá celkem dost.
Ad Ono ve FIrefox a Chrome se víc hledá a hlavně hlásí. Tak je to u všech uzavřených produktů - To je vaše domněnka, nebo k tomu máte nějaká data? Navíc ono je to celkem jedno, protože uživatele ohrožují ty zranitelnosti, které někdo našel. A pokud někdo zranitelnost našel, tak ji nejspíš buď nahlásí, nebo začne zneužívat. V obou případech se dříve či později objeví na seznamu.
Ad Když bude mít MSIE 1 critical chybu neopravenou 10 let a FIrefox 20 critical chyb opravených každou do týdne - To jistě může být zajímavá metrika, pokud máte nějaká data. Mimochodem je to jeden z důvodů, proč je Android taková katastrofa. I když Google chybu opraví (což u starších verzí nedělá), tak se bug fix nedostane k uživatelům, protože na to kašlou výrobci telefonů.
-
null null (neregistrovaný)
"Ad Když bude mít MSIE 1 critical chybu neopravenou 10 let a FIrefox 20 critical chyb opravených každou do týdne - To jistě může být zajímavá metrika, pokud máte nějaká data. Mimochodem je to jeden z důvodů, proč je Android taková katastrofa"
To je plně jedno. to tvoje "ten má míň hlášených chyb tak je bezpečnější" jo totální blbost a bsolutní neschopnost přemýšlet nad daty.
"Ad Když bude mít MSIE 1 critical chybu neopravenou 10 let a FIrefox 20 critical chyb opravených každou do týdne - To jistě může být zajímavá metrika, pokud máte nějaká data. "
Nemám a ze sumy hlášených chyb se to nedozvím. Na rozdíl od tebe si nemyslím že suma chyb je metrika bezpečnosti. To se nebavím ani o jiné možnosti:
MSIE má 1 neopravenou chybu přes kterou lze obejít firewall. Firefox má 3 neopravené chyby přes které lze obejít firewall. Který z nich je bezpečnější?
Když už chceš nějaké laciné měřítko, tak by se dalo použít rychlost distribuce záplat. Zde ovšem MSIE a MS padá na hubu. Pravda, je na tom líp než Android. Ovšem na obou mám stejný anitivir - tak kde je ten rozdíl?
-
Ad tvoje "ten má míň hlášených chyb tak je bezpečnější" jo totální blbost a bsolutní neschopnost přemýšlet nad daty - Naopak to je celkem dobrá metrika, i když není dokonalá. Zatím jsem od vás četl jedinou relevantní výtku: když SW není rozšířený, nevyplatí se v něm hledat chyby. To ovšem není případ ani jednoho ze SW, který jsem zmiňoval. Pokud má tedy produkt A třikrát víc hlášených zranitelností než produkt B, tak na tom produkt A zjevně není dobře.
Ad ...Firefox má 3 neopravené chyby přes které lze obejít firewall. Který z nich je bezpečnější - to je hypotetická situace, ale většina zranitelností má nějaké workarounds. Pokud máte jeden browser který je napadnutelný přes JavaScript, a druhý který je napadnutelný přes JavaScript, obrázky a multimédia, tak je na tom ten druhý o dost hůř.
Nevím jestli MS šířil aktualizace pro MSIE pomalu. Pokud zranitelnost není aktivně zneužívaná, tak se čeká na následující měsíční patchovací okno. Pokud je aktivně zneužívaná, vyjde patch mimořádně.
Pokud jde o Android, tak tam antivirus nic neřeší. Na prvním místě v Google Play nemá co dělat malware, a je velkým selháním Googlu, že se tam vyskytuje v množstvím větším než malém. Na druhém místě antivirus v podstatě jen vyhledává známé vzorky, a autoři malwaru nemají problém nasadit další aplikaci na Google Play. Na třetím místě jsou tu další cesty, jak telefon nakazit: obrázky, videa, MMS, drivery, aplikace které se tváří podepsané a je to malware (bugy master key 1-x) atd. Antivirus může situaci vylepšit, ale neřeší ji. Windows Phone i iOS jsou na tom mnohem lépe s bezpečností produktu, šířením aktualizací, i s malwarem (resp. jeho absencí) v app store. To jenom Google nezvládá psát kvalitní SW.
-
null null (neregistrovaný)
"Zatím jsem od vás četl jedinou relevantní výtku: když SW není rozšířený, nevyplatí se v něm hledat chyby."
Takovou blbost bych nikdy nevypustil z huby ani opilý nebo zfetovaný ...
"Pokud má tedy produkt A třikrát víc hlášených zranitelností než produkt B, tak na tom produkt A zjevně není dobře."
Ale "vtip" byl v tom, že vedou na stejnou zranitelnost všechny, takže 1:1. Ok, zjednodušené, ale neplatí že co díra, to unique důsledek.
"Pokud je aktivně zneužívaná, vyjde patch mimořádně."
Tak to asi nejsou aktuální žádné :-)
"Pokud jde o Android, tak tam antivirus nic neřeší. Na prvním místě v Google Play nemá co dělat malware, a je velkým selháním Googlu, že se tam vyskytuje v množstvím větším než malém"
Nemá, ale situace je stejná jako když si stáhneš zavirovanou aplikaci do Win. Win na to sice nemá obchod (prakticky) ale výsledek je stejný - s aplikací zranitelnost => antivir ...
iOS bych vynechal, to je hodně specifické na tuhle debatu a u Windows phone nemá cenu se bavit, protože to už má jenom pár chudáků kteří se nechali napálit ;-)
-
Ad "vtip" byl v tom, že vedou na stejnou zranitelnost všechny - jenže v praxi spíš platí, že co CVE, to zranitelnost.
Ad situace je stejná jako když si stáhneš zavirovanou aplikaci do Win - srovnávejme telefony s telefony (a jinou spotřební elektronikou), a desktopy s desktopy. Spotřební elekronika by neměla fungovat tak, že v menu vyberete Store, Piškvorky, a přijdete o peníze z bankovního účtu. Smartphone (a mimochodem třeba chytrá TV nebo lednička) by se měl používat stejně snadno jako klasický mobil, akorát toho má umět víc. Cílová skupina uživatelů nemá a nebude mít žádné IT znalosti, protože jsou to mimo jiné děti, farmáři a důchodci. Bohužel Google nabízí ve Store aplikace s malwarem, jeho platforma je plná bezpečnostních problémů, a kvůli špatnému licenčnímu modelu se patche (když už je Google vydá) nedostanou na veliké procento zařízení. Android dneska největší bezpečnostní katastrofou.
Ad Win na to sice nemá obchod (prakticky) - Windows samozřejmě má Store, jsou v něm stovky tisíc aplikací. Vyjma jsou pro Windows miliony aplikací šířených mimo Store. Cílovou skupinou jsou profesionálové a poweruserři kteří vědí co dělají, a laičtí uživatelé o které se stará admin. Nemá smysl srovnávat desktop se spotřební elektronikou.
Ad iOS bych vynechal, to je hodně specifické na tuhle debatu a u Windows phone nemá cenu se bavit, protože to už má jenom pár chudáků kteří se nechali napálit - každá platforma má svoje specifika. Android má to specifikum, že je to bezpečnostní katastrofa jak v absolutních číslech, tak ve srovnání s iOS a Windows Phone.
Dále si nemyslím, že by se uživatelé Windows Phone nechali napálit. I když je jich poměrně málo, tak mají plynulý, bezpečný a podporovaný systém. O tom si uživatelé Androidu mohou nechat jen zdát ;)
