Выход броузера FireFox значительно изменил
ситуацию на рынке броузеров. Однако так ли
он безопасен по сравнению с тем же Internet Explorer?
Самый вероятный ответ - "да", но все таки, вероятно, истина
находится где-то рядом а не столь
прямолинейна как кажется. На самом деле
всеми любимая Лиса имеет ряд своих
заморочек с безопасностью и их малая
известность и нанесенный вред
свидетельствует лишь о пока еще малой
распространенности броузера. Давайте
подробнее.
В конце Февраля Mozilla Organization выпустила
первое обновление для Firefox, версию 1.0.1 (www.getfirefox.com).
В нем не было никаких нововведения, однако
обновление закрывало целых 17 уязвимостей,
обнаруженных с момента выпуска первой
официальной версии (www.mozilla.org/projects/security/known-vulnerabilities.html).
Одной из самых известных уязвимостей стала
подделка адреса URL с использованием
Internationalized Domain Names. Если вкратце, атакующий
мог сделать сайт с таким же адресом как у
существующего (того же ebay.com или mybank.com),
только в международном наборе символов, не
английском. Броузер не распознает подмену и
благополучно посетит поддельный сайт (на
самом деле Mozilla не исправила ошибку в новом
релизе, а лишь отключила поддержку IDN по
умолчанию). Вся проблема однако даже не
исправлении ошибок, а в том, каким образом
это делается. На самом деле до последнего
времени Mozilla не выпускала регулярно
информационные бюллетени по безопасности (www.mozilla.org/security/announce/)
и о такой уязвимости пользователи узнали
лишь с появлением исправления, нового
релиза. Несмотря на то, что Mozilla достаточно
открытая организация, о багах информация не
слишком доступна, сведения о дырках
не раскрываются до момента разборки с ними и
их исправления.
В отличии от Microsoft Mozilla выбрала и другую
систему обновления. Ведь для Firefox не
выпускается патчей. Единственный путь
получить исправления для уязвимостей -
дождаться нового релиза, сколько бы это
времени не заняло. Например с момента
выпуска версии 1.0 до появления версии 1.0.1
прошло целых 3.5 месяца. Конечно можно
скачать промежуточный релиз (ftp.mozilla.
org/pub/mozilla.org/firefox/nightly/latest-trunk/), однако ему
никто не присвоит официальный статус и
можно ожидать, что он содержит другие
ошибки. Промежуточные релизы таким образом
не решают главную проблему - отсутствие
патчей и необходимость скачивать целиком
всю программу для исправления нескольких
ошибок. Причем если в Windows это еще можно
сделать, то в Linux внутреннего обновления
кода вообще нет.
А ведь уже и в версии 1.0.1 обнаружен ряд
багов. Например работа в
многопользовательской среде, когда
пользователь может получить root-овские
привилегии (bugzilla.mozilla.org/show_
bug.cgi?id=247412); или работа с сертификатами (bugzilla.mozilla.org/show_bug.cgi?id=278629);
или ряд DoS атак (bugzilla.mozilla.org/show_
bug.cgi?id=263609). Когда они будут исправлены?
Пока трудно сказать...
В общем говоря, чем больше будет
распространяться Firefox, тем больше
уязвимостей в нем будут искать и находить.
Мораль этой статьи - не забывать о
безопасности, какими бы надежными
программы вам не казались - периодически
обновлять их, использовать сторонние
программы для защиты и т.д. Firefox, конечно же,
отменный броузер, но он не идеальная машина
для Интернета :).