Сообщество критикует опубликованный отчет об уязвимостях в безопасности браузеров (Новости LinuxForum)

[vr13]

Черновик отчета "Тенденции в безопасности Web-приложений" (PDF-ссылка), опубликованный на сайте компании Cenzic, вызвал определенное негодование среди сетевого сообщества, специализирующегося на проблемах безопасности. В частности, утверждение, что Firefox, содержит 44% уязвимостей среди популярных web-браузеров против 15%, отведенных Internet Explorer, возобновил вечный спор о "сравнении ужа с ежом". В отчете Cenzic не утверждается явно, что Firefox менее безопасен, чем другие браузеры, и не приводится доказательств этому процентному соотношению - тем самым оставляя пространство для толкований

Согласно отчету Cenzik, Safari назначено 35% уязвимостей из общего количества, что скорее всего, должно оскорбить фанатов Apple (по мере чтения 29-страничного отчета, правда становится понятно, что имеется в виду не десктопная, а iPhone-версия Safari). Компания Mozilla Foundation считает, что простое сложение всех замеченных уязвимостей не дает объективной картины, и не устает критиковать в этом смысле отчеты любых компаний, специализирующиеся на сетевой безопасности: по мнению Mozilla в подобной аналитике должно учитываться и вредоносность, и реальная опасность найденной уязвимости, а также время от обнаружения до исправления замеченной "дырки"

Microsoft, кстати, тоже высказал подобное Mozilla мнение, особенно в части вредоносности обнаруженных проблем безопасности. Согласно утверждению Стива Липпнера (Steve Lippner) из Trustworthy Computing Group, наиболее успешными в процессе разработки и поддержки системы безопасности (Security Development Lifecycle - SDL) являются как предупредительные меры к созданию уязвимостей в программном коде, так и способы "латания дырок" в текущих версиях браузеров таким образом, что сломать их будет намного сложнее. Технический директор Secunia, сделавший детальный анализ уязвимостей, показанных в отчете, также критикует показанные данные: по его мнению для бульшей объективности сравнение должно включать частоту выпуска обновлений и простоту их инсталляции. При этом следует учитывать и такой факт, что дополнительные надстройки над кодом браузера (add-ons и plug-ins) являются другим и дополнительным фактором риска.

Отчет компании Cenzic содержит и другие показатели, касающиеся web-приложений: количество обнаруженных уязвимостей выросло почти до 3100 во втором квартале 2009 года, превысив показатели первого квартала на 10%. Основные уязвимости, которые были замечены и исследуются Cenzik в течение почти трех кварталов 2009, это распределенное программирование (cross-site scripting), SQL-инъекции, проблемы управления web-сессиями и ошибки программного обеспечения, провоцируемые поведением пользователей (click-jacking)

Оригинальная статья

[sash-kan]

количество обнаруженных уязвимостей выросло почти до 3100 во втором квартале 2009 года, превысив показатели первого квартала на 10%

даёшь план по валу!
или вал по плану.
кому как.