Опрос
Ждете ли вы выхода привычных ноутбуков на новой Windows 10X?

Анализ уязвимостей Internet Explorer и Firefox

Напечатать страницу
03.12.2007 10:21 | deeper2k

В прошлую пятницу Джефф Джонс (Jeff Jones) опубликовал очередное исследование, анализирующее уязвимости Internet Explorer и Firefox. Джонс проводит анализ уязвимостей за последние три года.

Для большинства компьютерных пользователей их веб-браузер является центром взаимодействия с Интернетом, позволяющим посещать различные сайты и пользоваться различными услугами: от бронироваия авиабилетов до онлайн-шоппинга. Подобные задачи делают браузеры ключевым фактором при оценке безопасности пользователей, путешествующих по миру веб-контента и веб-служб.

В последние годы было много разговоров о необходимости улучшений в области безопасности браузеров и в их поддержку было сделано множество исследований, включая данное.

В данном отчете сведены результаты анализа уязвимостей Internet Explorer и Firefox за последние несколько лет: с того момента, как в составе Windows XP SP2 появился Internet Explorer 6, и когда Mozilla выпустила Firefox.

В данном отчете подробно анализируются уязвимости за последние 7 лет, при этом они рассортированы по уровню опасности. Кроме того, в отчете отражены тенденции от версии к версии, а также сколько неисправленных уязвимостей содержится в каждом из анализируемых веб-браузеров.



Загрузить отчет>>>


Источник: http://blogs.technet.com/security
Перевод: deeper2k

Комментарии

Не в сети

И типа утверждается мол гляньте скока дыр в фоксе?? н-дя Как было это Иё дырявое, неудобное и глючное, так оно и осталось. Фокс исправляют быстрее, соответственно браузер безопаснее от того, что баги исправляются оперативнее нежели мс латает в отсталом по все параметре решете.

03.12.07 10:54
0
Не в сети

Анализ исправлений дыр Internet Explorer и Firefox проведите

и убедитесь, что дыры в ИЭ остались, а тех дыр в ФФ уже нет

03.12.07 12:31
0
Не в сети

Война браузеров продолжается

03.12.07 23:09
0
Не в сети

Какая война? Ие уже давно мертв (и когда там до маркетологов M$ это дойдет, нет бы по умолчанию фокс сделать браузером по умолчанию ;)

03.12.07 23:37
0
Не в сети

о... на скольких форумах мне приходилось уже Фоксовцев затыкать.. я уже счесть не могу -))
----
Я тот смотрю с какой скоростью заплатки к ФФ выходят(тобишь новые версии) ... это говорит лишь об одном, они страются заляпать побыстрее и выкинуть ...
Так что ваше быстрее далеко не лучше.

Далее.. ФФ все еещ сильно до IE по функционалу не дотягивает. (плагины и в IE есть, так что этим доводом можете подавиться), а вот фф как не мог, так и не может обработать hta -))
+
Опера гораздо удобнее ((-
+
Я точно знаю, с помощью какого броузера у меня правильно отразиться сайт в интернете (и это не ФФ -)) )

04.12.07 02:04
0
unihorn -164
Не в сети

Я тот смотрю с какой скоростью заплатки к ФФ выходят(тобишь новые версии) ... это говорит лишь об одном, они страются заляпать побыстрее и выкинуть ...



Да, согласен. Дыры (в том числе и серьезные) в фоксе множаться как грибы после дождя (следствие повышения процента распространенности, и повышения выгоды искать в нем дыры). Дыры (порой древние, имеющиеся в фоксе изначально) настолько часто проявляются, что возникают сомнения: - "Так ли надежен фокс как его малюют?".

Имхо, все эти козни с громоптицей (создание отдельного подразделения) из-за того, что разрабы фокса сами в ужасе от такого дыропада и бросили все силы на их, дыр, латание (на громоптицу, сил не остается), потомучто и так уже имеется налет антирекламы, и фоксовцам, с пеной у рта, превозносившим безопасность своего браузера, приходится, судорожно, исправлять положение.

04.12.07 02:24
0
Не в сети

wiccanmist, разница между тем чего бы тебе хотелось и что есть на самом деле велика.

04.12.07 08:25
0
Не в сети

Ну-ну попробуйте ка простой эксперимент у меня 179 закладки что будет если я открою разом их все в фоксе и в ие (у мя виста хом премиум иё 7 и фокс 2) ? сказать? фокс откроет все, ие упадет на 6ой вкладке! А про тормознутость самого иё вообще молчу, попробуйте как открыть 3 вкладки и посмотрите как "хорошо" он работает А пардон ахинею нести мол ие функциональнее фокса эт вообще бред (дополнения иё еще больший из него тормоз делают да и к тому же и не катят отстойные по всем параметрам), че шмалял да он и 1000 доли не дотягивает функционала альтернативных браузеров (Firefox, Opera, Safari и т.д. опережают по всем параметрам). А сайтик соответствует спецификации W3C ?нет? тогда че хочешь чтоб он правильно отображался? тогда правь код как нада! А у мя на памяти брешь URI когда МС уверял мол проблемы не у них а в фоксе и прочих программах, а что оказалось? Оказалось что это как раз проблема МС! А между тем мозиловцы оперативно решили ее выпуском спец. патча! (кстати так же они оперативно закрыл брешь, которую должны были закрыть яблоничники в своем решете под название квиктайм) А вот насчет обновлений в последнее время так тут есть ответ почему, дело в 3 фоксе, ведутся работы на финалку и соответственно все ресурсы направлены в первую очередь именно на 3 версию. Так или иначе Ие самый дырявый из всех, отсталый по всем направлениям. (и кстати этот доклад уже разнесли в пух и прах, он кстати в частности не учитывает обновления которые вносятся в иешник вкупе с другими патчами оси)

04.12.07 12:47
0
Не в сети

Дополнительные факты:
в прошлом году IE был доступен для взлома из-за неисправленных ошибок аж 286 дней, в то время как для Firefox этот показатель равен всего лишь 9 дням.

04.12.07 13:13
0
Не в сети

wiccanmist
Какая жалость у меня IE не упал и при 30 вкладках.. Да у меня больше 15то вкалдок не падает.. ибо по умному поступаю ((- есть Сессии...
У меня около 8 плагинов для IE стоит.. ничегошеньки не тормощит ^^

Вы мне так про HTA и не ответели. Могу еще сказать в чем IE превосходит FF - это расширение CSS. Могу дальше продолжить ((-

На счет W3C - САМОЕ ВАЖНОЕ, что бы сайты отображались верно, а не что где то написано. Так вот ... в IE большинство сайтов отображаются верно, и лично я знаю N-ое кол-во сайтов которые не отображаются(совсем) в FF.

Мне плевать до разработчиков ... я хочу просмотреть инфу кот. на этих сайтах - FF тут не помошник -))
В прошлом году.. это в 2006 году?!?! Это когда MS забило на ie? ((-
Вспомнили тоже мне... Давйате смотреть на показатели сейчас!!! ...

На счет тормозов и тд. .. приведите мне тесты а не голословно орите, у нас один парень на даче робота делал по его словам ... -))))) И не хватило всего 2х деталек в конце.. поэтому он его разборал.. и никто его так и не видел! ((-

Так что ваши выводы.. можете засунуть подальше, т.к. на данный момент картина такова: дырявее FF ((-
В IE функционала больше.

----
PS ...
а теперь определяем вас на п@#$бола.
Приведите мне функциональностей, которых нет в IE, но есть в FF -))

04.12.07 21:27
0
Не в сети

Восстановление сессий - этого нет в иешнике вот и пример, возможность открытия закрытых вкладок, может ли ИЕ пройти тест Acid2? (3 версия фокса проходит, 2 частично, ие по нулям), нет возможности настроить внешний вид под определенные предпочтения пользователя, дополнения для ИЕ на редкость паршивые, это признали и в самом МС чтобы исправить положение в ИЕ 8 они даже обсуждали вопросы с Мозилла Фоундейшн по возможности внедрения технологий по тому же принципу интегрировании дополнений что и в фоксе, антифишинговые фильтры фокса мощнее (это беспорный факт подтвержденный тестами) продолжать? Хорошо вот еще отображение контента сразу, встроенные инструменты для веб-разработчика и т.д.

А в отчете данные что за этот год?

HTA зачем это поддерживать? Сдалось оно

Хм а у меня фокс со всеми 179 вкладкаоу ми не падает и могу спокойно еще понаоткрывать

Теперь если сайт заточен под ИЕ6 то даже в ИЕ7 не будет правильно отображаться, и еще лично мне ни разу не попадались сайты с проблемами отображения в фоксе, ссылку в студию, теперь если создатели сайтов хотят чтобы их детище было "читабильным" то они будут стараться следовать спецификациям W3C что в общем то нормальные веб мастеры и делают.

П@#$бол это "вы" и не удивлюсь что "вы" имеете отношение к МС, т.к. человек который не имеет личной заинтересованности не станет отрицать очевидные факты отсталости ие по всем параметрам (что признают даже в МС).

А тесты, так приведите сами мне текст доказывающий что ИЕ как бы сказать работает быстрее, что в нем нет глюков, что он менее уязвим (взять хотя бы то что в нем есть активикс который сам по себе опасен). Приведите пример функционала которого нет в фоксе но есть в ие? Ие самый дырявый и опасный т.к. в нем ошибки найти и исправить оперативно у мс нет сил, фокс открытая платформа ошибки можно найти и исправить быстрее, а значит он безопаснее.

04.12.07 23:39
0
Не в сети

Ну и на последок:

Представитель компании Mozilla Foundation высмеял заявление Microsoft о том, что браузер Internet Explorer безопаснее, чем Firefox.

Джефри Джонс (Jeffrey Jones), исследователь и руководитель подразделения безопасности Microsoft Trustworthy Computing, написал обзор, в котором сравнивал отчеты об исправлениях критических ошибок в IE и Firefox.

Неудивительно, что в итоге Джонс пришел к выводу, что в IE было гораздо меньше уязвимостей, нежели в Firefox.

В ответ на этот обзор сотрудник Mozilla Майк Шейвер (Mike Shaver) написал в своем блоге о том, что Джонс написал не совсем правдивый материал. Шейвер рассказал, что Microsoft выпускает заплатки и патчи, не указывая, сколько ошибок они исправляют, тогда как Mozilla описывает каждый найденный баг. А потому в реальности именно IE уязвим гораздо более, чем Firefox.


и еще

В блоге Mozilla Security Blog появилась запись, опубликованная Уиндоу Снайдер (Window Snyder), директором по безопасности Mozilla. В ней бывшая сотрудница Microsoft крепко "прошлась" по своему когдатошнему работодателю, обвинив корпорацию в ложном толковании фактов.

Отчет Джеффа Джонса (Jeff Jones), директора по стратегии безопасности Microsoft, госпожа Снайдер раскритиковала в пух и прах. В этом документе сказано, что за последние три года в браузере Mozilla было исправлено 199 уязвимостей, в то время как в веб-обозревателе залатали только 87 дыр, и на основании этих фактов Internet Explorer можно назвать более защищенным, чем Firefox.

УиндСнайдер не преминула заметить, что количество вылеченных зубов еще ничего не говорит о состоянии ротовой полости в целом. Кроме того, она обратила внимание на тот факт, что в прошлом году IE был доступен для взлома из-за неисправленных ошибок аж 286 дней, в то время как для Firefox этот показатель равен всего лишь 9 дням.

"Мы исправляем ошибки не для наших пиарщиков, а для наших пользователей", - написала в заключение Уиндоу Снайдер.

04.12.07 23:39
0
Не в сети

Вот "тест" при попытке одновременного открытия следующих сайтов ие вылетел (сайты открывал подряд как они у мя расположены в избранном , нажимая по кнопки стрелке, что открывает ссылки в новых вкладках):

http://www.apple.com/
https://certifications.apple.com/
http://www.apple.ru/
https://www.google.com/accounts/ManageAccount
http://www.orkut.com/Home.aspx
http://www.blogger.com/home
http://www.youtube.com/
http://maps.google.ru/
http://finance.google.com/finance
http://www.google.com/analytics/
http://otvety.google.ru/otvety/
http://picasaweb.google.com/home
http://news.google.ru/
http://www.google.com/bookmarks/
http://www.google.com/history/
http://www.google.ru/language_tools
http://www.google.com/reader/
http://www.google.com/notebook/
https://www.google.com/calendar/
http://docs.google.com/
http://pages.google.com/
http://talkgadget.google.com/talkgadget/launch

На этот раз крах наступил в результате попытки открытия 22 закладок
(как уже отмечал ранее в фоксе откроются все 179 ссылок за раз, естественно с задержкой, но откроютя! и при том не будет проблем в торможении приложения и его краха)

Сигнатура проблемы
Имя проблемного события: APPCRASH
Имя приложения: iexplore.exe
Версия приложения: 7.0.6000.16546
Штамп времени приложения: 46c64caf
Имя модуля с ошибкой: mshtml.dll
Версия модуля с ошибкой: 7.0.6000.16546
Штамп времени модуля с ошибкой: 46c65af4
Код исключения: c0000005
Смещение исключения: 000a49cb
Версия ОС: 6.0.6000.2.0.0.768.3
Код языка: 1049
Дополнительные сведения 1: 8d13
Дополнительные сведения 2: cdca9b1d21d12b77d84f02df48e34311
Дополнительные сведения 3: 8d13
Дополнительные сведения 4: cdca9b1d21d12b77d84f02df48e34311

Дополнительные сведения о проблеме
Код черпака: 534518902

05.12.07 00:11
0
Не в сети

wiccanmist
Может я что-то не так делаю.. но у меня в упор ничего не вылетает -))
(даже с вашим примером)

на счет HTA - может вам и не надо ... а я и мои друзья пользуемся.. причем активно. При том ЭТО никак не встроить с помощью плагинов.
На счет расширений CSS вы так и не ответили.

На счет вашего теста Acid2 ... НИЧЕГО что он валидацию CSS не проходит?! (((((((((- У ха-ха-хииии ... так что этот тест ничего не доказывает.. в нем ошибок до кучи. -))

По поводу дополнений.. и какие дополнения вы знаете у IE что бы говорить что они гавно? ((-
-----

Такс ... теперь по поводу кем вы являетесь ... Нечего меня оскорблять - я не вру, в отличае от вас.
"шмалял да он и 1000 доли не дотягивает функционала альтернативных браузеров"
Я не вижу что бы IE так сильно не дотягивал.. вы даже 100 причин не привили - так что следите за словами.

На счет "Представитель компании Mozilla Foundation высмеял заявление Microsoft о том, что браузер Internet Explorer безопаснее, чем Firefox." - это их мнение о своем продукте.. так что можно было и не сомневаться. А я оцениваю безопасности броузеров не по докладам МС и МФ, а по тому что вижу.. .по тому какие баг листы у IE7 и FF -))))))
Так что нечего мне тут ваши буклетики рекламные всовывать.

05.12.07 00:42
0
Не в сети

Тем более по счет стандартов уже разговор был ... в IE у меня точно все сайты открываются, а в ФФ нет..
Примеры? хм.. множество чатов на движке VOC++, знаю как минимум еще парочку чатов которые работают только в IE.
ikra.tv и все сайты, аля imvu.com на этом же движке верно работают лишь в IE -))

Много примеров...

05.12.07 00:54
0
unihorn -164
Не в сети

Оказалось что это как раз проблема МС!



Согласно оффициальному заявлению Фоксовцев (сделанного после выпуска сего патча), это их, и ТОЛЬКО ИХ ФОКСОВЦЕВ, вина (дело было, достаточно давно, но ссылку, думаю, без труда найдете (коли память не изменяет, даже, вроде давал ее в одной из дешней тем)).

УиндСнайдер не преминула заметить, что количество вылеченных зубов еще ничего не говорит о состоянии ротовой полости в целом.



Скорость с которой ставят пломбы, тоже об этом не говорит (вам любой зубной подтвердит: "скорость", порой, означает их низкое, пломб, качество).

"Представитель компании Mozilla Foundation высмеял заявление Microsoft о том, что браузер Internet Explorer безопаснее, чем Firefox." - это их мнение о своем продукте..



Причем мнение рекламное. Кто-ж признает свои ошибки? Признать их, это создать еще больший налет антирекламы чем есть сейчас (он и так, уже, очень большой). Такой дыропад (имхо, давно превзошедший ословый) как в Лисе еще поискать надо.

05.12.07 03:42
0
unihorn -164
Не в сети

взять хотя бы то что в нем есть активикс который сам по себе опасен



Плагины и расширения осла, опасны не менее (любой механизм подключения внешних модулей, это, априори, дыра), и не важно что они подключаются не через актив икс. Если ты загрузил не известный модуль с сомнительного места, то идиот ты, а не создатели браузера (и не важно как эти модули подключаются так как в Лисе, или так как в Осле (через актив икс)).

Более того, модули для Лисы, как правило, открыты: для внесения "лишних строчек" (в случае непотребного источника модуля), самое оно (скачал популярный плагин, а он с подарочком ) , а уж они могут как конфиги Лисы, так и рестр (при желании, и коли дело в Виндоус присходит) портить.

А если модуль скачен из "потребного места", то тебе боятся нечего.

05.12.07 04:10
0
unihorn -164
Не в сети

это, априори, дыра



Сиречь, возможный их источник.

05.12.07 04:11
0
Не в сети

Слухайте а не пойти ли вам ословеды Ё..ые на три буквы, я долго терпел вашу ахинею, иди со своими долбаными друзьями в свой HTA (которым только вы уроды пользуетесь) а CSS все поддерживает и расширения тоже, а эти сайты все в фоксе пашут, соответственно, кончайте пи**еть.. (два примера оочень много ) По поводу ошибки в URI так мс же их заделала в недавних обновлениях хпшника (это как раз та самая проблема в которой мс обвинял фокс и прочие браузеры)
А тест Acid2 если вы не знаете что это ты вы отсталый ламер... Тест Acid2 был написан разработчиками спецификаций CSS2.x. Он позволяет проверить насколько обработка страниц браузером соответствует веб-стандартам.

05.12.07 12:08
0
unihorn -164
Не в сети

>Слухайте а не пойти ли вам ословеды Ё..ые на три буквы

Понятно. Аргументы кончились. Началось хамство (лучший аргумент, когда аргументам нет).

05.12.07 14:33
0
Не в сети

ппц есть же кто юзает ИЭ...

05.12.07 16:05
0
Не в сети

wiccanmist
у ха-ха-хиии...
Да хоть папой римским тест был-бы написан, а валидацию он не проходит -))))))
----
expression FF в CSS поддерживает?!? Ну да?!? А ну ка.. покажите -)))))))
----
мальчик...идите тусуйтесь ((-

05.12.07 18:07
0
Не в сети

expression FF в CSS,
а на каких важных сайтах он используется?

06.12.07 15:26
0
Не в сети

Откуда я знаю на каких важных сайтах он используется? ^^
Поищите сами, а я использую в гаджитах. ((-

06.12.07 17:04
0
Не в сети

И вообще... что такое ВАЖНЫЙ сайт? ^^

06.12.07 17:04
0
Для возможности комментировать войдите в 1 клик через

По теме

Акции MSFT
207.82 0.00
Акции торгуются с 17:30 до 00:00 по Москве
Все права принадлежат © ms insider @thevista.ru, 2020
Сайт является источником уникальной информации о семействе операционных систем Windows и других продуктах Microsoft. Перепечатка материалов возможна только с разрешения редакции.
Работает на WMS 2.34 (Страница создана за 0.207 секунд (Общее время SQL: 0.128 секунд - SQL запросов: 95 - Среднее время SQL: 0.00134 секунд))
Top.Mail.Ru