Безопасность Firefox - миф?

Конец прошлого года стал очень богатым на различные события для поклонников Mozilla. Это и 5-летний юбилей Рыжего Лиса, и озвучивание планов на обозримое будущее, и выход бета-версии Firefox 3.6, и появление предварительной редакции версии 3.7, которая использует для прорисовки сайтов, нагруженных графикой, мощности графических ускорителей. Эти значимые события были омрачены отчетом Web Application Security Trends Report, описывающим степень безопасности интернет-приложений, который опубликовали специалисты компании Cenzic. Результаты отчета гласят, что Firefox оказался в числе лидеров по количеству уязвимостей среди остальных популярных обозревателей.

Эксперты Cenzic сообщают, что 44% всех прорех, обнаруженных в интернет-браузерах, пришлось именно на Firefox. На втором месте с 35% оказался браузер Apple Safari; затем следуют IE и Opera с 15 и 6 процентами. Аналитики отмечают, что картина второй половины прошлого года существенно отличалась: тогда по количеству брешей первое место занимал IE с 43 процентами, а Firefox тогда получил 39% уязвимостей.

Как же получилось, что на долю продукта, который позиционируется как нацеленный на безопасность веб-сёрфинга, заполучил почти половину уязвимостей? По мнению представителей компании Cenzic, самое слабое звено в безопасности Firefox - это механизм плагинов, который очевидно нуждается пересмотре модели расширений, используемой на данный момент. Кроме этого, сотрудники Cenzic отметили, что большое число обнаруженных в браузере уязвимостей в определенной степени является следствием огромной популярности "Рыжего Лиса", который привлекает внимание злоумышленников.

Тот факт, что Firefox имеет большое число уязвимостей, подтвердил и руководитель группы тех.специалистов Symantec в РФ и СНГ Кирилл Керценбаум. Его заявление основывалось на результатах Symantec Internet Security Threat Report за 2008 год, который также демонстрирует лидирующие показатели свободного обозревателя по количеству дыр.

По его словам, причин, вызвавших такое количество брешей, несколько. Первая заключается в высокой популярность Firefox, что вызывает повышенный интерес и у авторов вредоносного ПО. А вторая причина кроется в том, что Firefox является продуктом с открытым кодом, что значительно усложняет процесс контроля качества. Кирилл отметил, что продукты компаний, которые занимаются производством систем защиты, содержат специальную дополнительную систему защиты от уязвимостей в интернет-браузерах.

Другого мнения придерживается Александр Словесник, координатор проекта Mozilla в России, который очень критически относится к опубликованным в интернете результатам тестов на безопасность браузеров. Он считает, что при проведении исследования Cenzic не учитывались некоторые значимые факторы. Во-первых, не рассматривалась серьёзность обнаруженных уязвимостей, они все были свалены в общую кучу. А во-вторых, не учитывалась скорость устранения уязвимостей. Mozilla достаточно оперативно устраняет обнаруженные уязвимости в зависимости от степени их серьёзности. Кроме того, не учитывалась скорость перехода юзеров на пропатченную версию браузера. По данным исследования Spylog.ru, большинство пользователей Firefox осуществляют переход на обновленную версию программы за считанные дни. А вот IE и Opera этим похвастаться не могут. Еще одним фактором, влияющим на объективность, стало то, что не рассматривалось количество уязвимостей, которые остались не устраненными. И, наконец, не учитывался тот факт, что из всех браузеров, протестированных Cenzic, только Firefox открыт и полностью обнародует статистику устранённых уязвимостей. А число брешей, залатанных создателями IE/Opera/Safari втихую, никому не известно. По словам Александра Словесника, уязвим не тот браузер, где нашли больше всего прорех, а тот, чьи пользователи дольше с этими прорехами живут.

Выходит, мы вновь сталкиваемся с отсутствием общепринятых средств и стандартов оценки показателей конкурирующих продуктов, и пока конкретные правила не будут выработаны, чёткой картины безопасности браузеров мы не увидим.

// "Мастер-сервис" (ремонт компьютеров в Москве)