כמו שהשאלה הבלתי פוסקת הולכת – איזה דפדפן יותר בטוח? כמובן שזו שאלה ללא תשובה, בעיקר בגלל שלא ברור איך אפשר למדוד “בטוח”.
מיקרוסופט אוהבת למדוד “בטוח” כ-“מספר הבאגים שהתגלו”. אני מניח שהסיבה לזה היא פשוטה – זה מדד שגורם לה להראות טוב (או, לפחות, כך הם חושבים). בריאן קרב, כותב בבלוג תחת ה-Washington Post, החליט לקחת מדד אחר, לדעתי יותר רלוונטי:
בכמה מימות השנה ניתן לגשת לאינטרנט, לבצע חיפוש, ולקבל קוד שמאפשר לפרוץ למחשב של כל מי שמגיע אליך לאתר עם דפדפן מסויים. סעיף ה-“כל” כולל בתוכו נקודה חשובה – גם מי שמעודכן עד קצה התיקונים פגיע. במילים אחרות, בכמה מימות השנה קיים קוד להרצה זמין באינטרנט ללא תיקון מצד מיקרוסופט/מוזילה/כל אחד אחר.
התוצאות מתפרסמות בבלוג שלו, והן לא טובות. מסתבר של-80% מקהל הגולשים (מגזר הידוע בכינויו “משתמשי אינטרנט אקספלורר”) היה ניתן לפרוץ, גם אם הם היו מעודכנים לגמרי על כל התיקונים האחרונים ממיקרוסופט, ב-284 מתוך 364 ימי 2006. בערך 78% מהזמן. אפשר לטעון שבשנת 2006 אינטרנט אקספלורר היה 22% מוגן.
מתוך אותם 284 ימים, ב-98 ימים (קצת מעל 3 חודשים) התבצעו פריצות בפועל ע”י האקרים באמצעות פרצות ללא תיקון ממיקרוסופט. במקרים רבים מיקרוסופט נתנה לבאג דרגת חומרה נמוכה ממה שהסטנדרטים שלה דורשים, כדי לנסות להקטין את רמת הנזק התדמיתי.
רק לצורך ההשוואה, בפיירפוקס היה רק באג אחד שהתפרסם לפני שהיה לו תיקון, והוא היה פתוח במשך 9 ימים. סך הכל, על פי המדד הזה, פיירפוקס היה 97.5% מוגן.
הסקר התייחס לאקספלורר בגרסה 6 ומטה בלבד. חלק מהבעיות השפיעו גם על 7, אבל הסקר טוען ש-7 לא היה בחוץ מספיק זמן כדי להכניס אותו לסקר.
ועכשיו לשאלת השאלות – האם זהו מדד כן הגיוני? אני חושב שכן. הוא לא מכסה את כל סוגי המקורות שמהם ניתן לשאוב מידע שיאפשר לך לפרוץ, אבל הוא כן מכסה את המרכזיים בהם – פגיעויות שהתפרסמו ופגיעויות שנוצלו ע”י תוקפים בפועל בקנה מידה רחב. אני חושב שיקשה לערוך סקר על המידע ה”אמיתי”.
מה זה אומר? לי זה אומר שמדיניות שיחרור תיקוני הפרצות של מיקרוסופט לא עובדת. הנסיון לדחות את פרסום התיקונים למועד קבוע בחודש פשוט לא מצליח. מי שקרא את הערך שכתבתי בוויקיפידיה על Patch Tuesday יכול להבין על מה אני מדבר. כותבי החורים פשוט מחכים עד שיהיה מאוחר מידי לבצע תיקון לסבב התיקונים הקרוב, ואז משחררים את ה-exploit שלהם. זה נותן להם זמן מקסימלי של פגיעות לקוחות.
הבהרה אחת לסיום. בפעם שעברה שהתפרסם סקר כזה (אם אני זוכר נכון, לגבי 2004), התוצאה היתה שאקספלורר אפילו פחות. אני לא זוכר את המספר המדוייק, אבל הוא היה חד ספרתי או דו ספרתי מאוד נמוך. על פי המדד הזה, מיקרוסופט מאוד מאוד מאוד השתפרה.
ועל זה נאמר, much better, but still horrendously bad.
שחר
עדכון:
תודה לשלומי פיש על הלינק למחקר לגבי 2004. אקספלורר ב-2004 היה לא פגיע שבעה (7) ימים, או 98% פגיע. מוזילה היה פגיע במשך 15 ימים (שבעה אם לא כוללים באגים רק במאק).
יש משהו בשיטת הכימות של בריאן קרב, אבל, הוא שכח פרמטר אחד חשוב – את מקדם המשיכה לפורצי המחשבים.
הרי אין איזשהו לוח מודעות עליו מופיעות פרצות האבטחה – מישהו חייב לחפש אותן וכשהוא מוצא – הוא מפרסם אותן, נכון?
והיות ומיקרוסופט היא כנראה בעלת הדפדפן הכי נפוץ בעולם והיות וכנראה יש הרבה אירגונים אטרקטיביים לפורצי מחשבים שמשתמשים בדפדפן של מיקרוסופט – הרי סביר להניח שיותר פורצי מחשבים מחטטים באקספלורר כדי לחפש את הבאגים שיאפשרו להם כניסה ומי שמחפש – מוצא.
כך שלדעתי אולי השיטה של בריאן קרב היא קצת יותר טובה מזו של מיקרוסופט, אבל היות והיא מראש נהגתה כדי להציג את מיקרוסופט במערומיה – היא לא ממש אמינה, לא יותר מהשיטה של מיקרוסופט עצמה.
ד”א – לפרסם תיקוני אבטחה במועדים קבועים – זה באמת ובתמים מטומטם.
🙂
הנחת היסוד שפופולריות היא הסיבה להצלחת פריצות פשוט איננה נכונה. Apache הוא שרת האינטרנט הפופלרי ביותר, והוא בהחלט בטוח יותר מ-IIS.
שאלת לגבי 2004, והנה הקישור. ב-2004 אקספלורר היה בטוח במשך 7 ימים. קישורים נוספים שאספתי ניתן למצוא בדף
“הפסיקו להשתמש באינטרנט אקספלורר” שלי.
זה היה עשוי להיות טיעון רלוונטי, אלא שאת מתעלמת מנתון מאוד חשוב – כן נמצאים באגים במוזילה. אפילו לא מעט. הדבר היחידי שכן קורה הוא שהבאגים מתפרסמים עם התיקון.
איך מגיעים לזה? פשוט – מי שמוצא את הבאג בד”כ מדווח למפתחים, ומחכה לתיקון. לפעמים, כמו במקרה של מיקרוסופט, נמאס למי שדיווח לחכות. לפעמים מי שמצא את הבאג יודע שאין טעם לדווח ואז לחכות, בגלל שזה עדיין ייקח חודשים (או שנים, ויש תקדימים), אז הוא מפרסם ישר. את המוניטין הרע של מיקרוסופט לגבי הצורה שבה היא מטפלת בבעיות אבטחה היא הרוויחה ביושר. בתחום הזה אין למיקרוסופט להלין אלא על עצמה.
אני אציין שגם אם לא תוקפים את פיירפוקס בגלל שהוא פחות נפוץ, עדיין פחות תוקפים אותו. במילים אחרות, גם אם דפדפן שחרשמש יותר בטוח רק בגלל שאף אחד לא יודע שאני גולש איתו, ועל כן אף אחד לא חיפש בו פרצות, הרי שעדיין, כשאני גולש, אף אחד לא יפרוץ אלי.
לאור זה שהמדד שציינת לא בטוח שבכלל משפיע, וגם אם משפיע הוא לא רלוונטי, אני חושב שזה לגיטימי לגמרי להתעלם ממנו.
שחר
זה לא סוד שהאקספלורר הוא הדפדפן הכי חרא . והדפדפן הכי מתקדם והכי בטוח הוא אופרה. למיקרוסופט עוד דרך ארוכה להגיע לרמה של אופרה. לא פלא שהם אפילו רצו לקנות אותה ( את אופרה) . הבעיה למשתמש הישראלי זה שבארץ לא יודעים לבנות אתרים תקניים ולכן “מונעים” מאיתנו להיות בטוחים. רק עכשיו נירא כי עם המגמה ההולכת של עיצוב מחודש לאתרים לוקחים בחשבון תמיכה בכל האתרים. דוגמא טובה לזה, זה האתר של בנק לאומי שמתאים את עצמו לפיירפוקס
נמאס מהאידאולוגיות המטופשות האלו. נכון, אקספלורר מהווה מטרה יותר חמה מאשר פיירפוקס, מדוע? אולי הרמז נמצא איפשהוא בעובדה ש80% מהשוק משתמש בו. להכפיש את מיקרוסופט מכל כיוון, אפילו בתקן של תדמית? תתעורר, תדמית = שיווק.
“רק לצורך ההשוואה, בפיירפוקס היה רק באג אחד שהתפרסם לפני שהיה לו תיקון, והוא היה פתוח במשך 9 ימים. סך הכל, על פי המדד הזה, פיירפוקס היה 97.5% מוגן.”
הנה קצת רשימות על פירצות בפיירפוקס:
Secunia Secunia – lists 148 security vulnerabilities in Firefox, 100 rated Highly Critical.
Mozilla Foundation – lists 152 security vulnerabilities in Firefox, 71 Critical.
CVE – lists 213 security vulnerabilities in Firefox.
9 ימים אתה אומר? מה עם בעיות אבטחה שלא תוקנו מאז 2004?
SA12403 – Unpatched since 08-30-2004
SA12580 – Unpatched since 09-18-2004
צא מהקטע של הפאנבוי, זה פאסה.
ציטוטים מתוך האתר של סקוניה:
SA12403 – Less critical
SA12580 – Less critical
להבא, בבקשה, אם אתה רוצה לטעון טענה שבה אתה מצטט אחרים, אנא הבא גם קישורים. אחרת ניתן היה לחשוב שאתה מעדיף שאני לא אגיע כדי לוודא בעצמי.
לגבי הרשימה הראשונה (של כמה פרצות), אני לא מצאתי מאיפה הוצאת אותה. הרשימה שאתה מביא לא אומרת שאלו פרצות ללא תיקון. כניסה לדף הראשי של סקוניה מביאה קישור ל-“
Mozilla Firefox Multiple Vulnerabilities“. בגוף ההודעה כתוב: “Solution Status: Vendor Patch”. במילים אחרות, הבאג שמופיע אצלם בדף הראשי הוא עם תיקון.
אותי לא שכנעת. אם אתה רוצה להביא עוד טיעונים, בבקשה עם לינקים כדי שאחרים יוכלו לראות עד כמה אתה צודק (או טועה).
שחר
יופי התעלמת מהנקודה שלי, שהיא הנהירה האידיאולוגית. ודר”א אז מה אם אלו Less critical, אתה אמרת שממלכת מוזילה מתקנת חיש-מהר. אלו עדיין פירצות והן לא תוקנו מ-2004.
מצטער על המחסור בלינקים:
148 פירצות, רובם מדורגים highly critical:
http://secunia.com/product/4227/?task=advisories
הנה של מוזילה:
http://www.mozilla.org/projects/security/known-vulnerabilities.html#Firefox
רובם מדורגים Critical, תדמית, אמרת? להזכירך, מוזילה הוא תאגיד לכל דבר.
213 פירצות ב-CVE:
http://www.cve.mitre.org/cgi-bin/cvekey.cgi?keyword=firefox
על אשליית הבטחון בפיירפוקס:
http://www.infoworld.com/article/05/09/20/HNfirefoxmatures_1.html
ואם בלינקים ואידיאולוגיות עסקינן, קפוץ גם לפה:
http://content.nanashops.co.il/Article/?ArticleID=169732&Action=Print&sid=10
יופי התעלמת מהנקודה שלי, שהיא הנהירה האידיאולוגית. ודר”א אז מה אם אלו Less critical, אתה אמרת שממלכת מוזילה מתקנת חיש-מהר. אלו עדיין פירצות והן לא תוקנו מ-2004. מה נראה לך? 148 פירצות ללא תיקון? בטח תיקון (אמנם באיחור אופנתי קל), פשוט לפיירפוקס יש יותר.
מצטער על המחסור בלינקים:
148 פירצות, רובם מדורגים highly critical:
http://secunia.com/product/4227/?task=advisories
הנה של מוזילה:
http://www.mozilla.org/projects/security/known-vulnerabilities.html#Firefox
רובם מדורגים Critical, תדמית, אמרת? להזכירך, מוזילה הוא תאגיד לכל דבר.
213 פירצות ב-CVE:
http://www.cve.mitre.org/cgi-bin/cvekey.cgi?keyword=firefox
על אשליית הבטחון בפיירפוקס:
http://www.infoworld.com/article/05/09/20/HNfirefoxmatures_1.html
ואם בלינקים ואידיאולוגיות עסקינן, קפוץ גם לפה:
http://content.nanashops.co.il/Article/?ArticleID=169732&Action=Print&sid=10
השוואה בין אקפלורר לפיירפוקס (2006):
Firefox 1.x (2006) – 13 Advisories = 88 Vulnerabilities
http://secunia.com/product/4227/?task=advisories_2006
Internet Explorer 6.x (2006) – 16 Advisories = 36 Vulnerabilities
http://secunia.com/product/11/?task=advisories_2006
תגיד לי, סתם נדמה לי או שאתה סופר פרצות שתוקנו? אם אתה טוען שהשיטה של מיקרוסופט למדוד אבטחה, כלומר כמה פרצות התגלו סך הכל, היא עדיפה, תנמק. אם לא, תפסיק לשלוח אותי לדפים שסופרים פרצות קריטיות שתוקנו מאז תחילת ההסיטוריה (שזה הלינקים שאתה שולח אותי אליהם).
לגבי למה לספור פרצות קריטיות בלבד – תקרא שוב את מה שכתבתי בפוסט. המדד שנלקח הוא “בכמה מימות השנה ניתן היה לפרוץ למחשב שלך באמצעות חור אבטחה מפורסם בדפדפן שלך, גם אם אתה מעודכן על כל התיקונים”. זה היה המדד, ועל כן חור שאולי מאפשר איזושהי גישה לאתר כך שיראה כאילו הוא אחר אם התקנתי את הג’אווה של אפל לא נכנס לספירה הזו, בדיוק כמו שלא ספרו חור בדפדפנים אחרים, או חור שהיה ידוע לקומץ פורצים אבל לא היה מפורסם. יוצאי הדופן היחידים היו חורים לא מפורסמים שנוצלו בצורה סיטונית.
שוב, אם יש לך טענות על סגנון הספירה, תעלה אותן. אחרת אתה שוגה באותה הליכה עיוורת שבה אתה מאשים אותי.
שחר
נ.ב.
כל הודעה שכוללת שני לינקים או יותר מחכה לאישור ידני. אבקש לא לשלוח דברים פעמיים רק בגלל שהם לא התפרסמו.
מצטער על הפרסום הכפול, זה קצת משגע אותי שאני לא רואה את ההודעה ישר אחרי שאני מפרסם אותה, בד”כ בבלוגים אין צנזורה כזאת.
“תפסיק לשלוח אותי לדפים שסופרים פרצות קריטיות שתוקנו מאז תחילת ההסיטוריה (שזה הלינקים שאתה שולח אותי אליהם).”
מקודם התלוננת שאני לא מביא לינקים, הבאתי אותם לבקשתך.
אני לא סופר פירצות, אני מנסה להתרכז על שני טיעונים:
א. מוזילה לא משחררת פאטצ’ים.
ב. השמצת מייקרוסופט לטובת מוזילה (עוד תאגיד) בגלל טרנדים (fanboyism בלשון טכנית).
*מוזילה לא משחררת פאטצ’ים במהירות.
זו לא צנזורה. זו הגנה מפני זה שאתה תראה בעיקר ספאם בבלוג הזה. תגובות ממגיבים שמגיבים בפעם הראשונה ותגובות שמכילות יותר מידי לינקים מעוקבות עד שאני אוכל לאשר שהן לא ספאם. אני לא עושה שום צנזורה במובן הרגיל של המילה, ולראיה, כל התגובות שלך, גם אלו שדרשו אישור ידני, התפרסמו על אף חוסר הנימוס שבהן. מכיוון שכמות התגובות שנמחקות על סמך היותן ספאם היא בסדרי גודל של מאה ליום, אין לי כוונה, כרגע, להסיר את המגבלה הזו.
אני יודע אלו טיעונים אתה מנסה להעלות. מה שאני אומר זה שאתה לא מביא שום סימוכין לטענות שלך.
אם אתה טוען שזה נורא שמוזילה משחררת את התיקונים מהר בעיקר על פרצות שמאפשרות פריצה למחשב, אנא נמק. אם אתה מנסה לטעון שמוזילה לא מתקנת מהר פרצות שמאפשרות השתלטות על המחשב, תן דוגמא. בנתיים, נתת שלושה סוגים של קישורים, אף אחד מהם לא רלוונטי:
1. פרצות לא קריטיות שלא מתוקנות מהר. בפרט, נתת קישור לפרצה שמאוד לא ברור מהתיאור שלה איפה האחריות עליה, אבל זה לא באמת משנה לדיון שלנו.
2. סיכום כללי של כמות פרצות, מתוקנות או לא.
3. מאמרים כלליים.
ממילא, אחרי שלא הוכחת שהמידע שהבאתי בפוסט עצמו לא נכון, טענתך השניה היא חסרת בסיס.
אני מביא את דעותי, כולל את הסימוכין להן, פה. אתה קורא לזה השמצות, אבל לא מביא בדל ראיה לכך שדעותי לא מבוססות. רק לידע כללי, אני חושב, ולא הסתרתי את זה, שהתייחסותה של מיקרוסופט לאבטחת מידע היא מתחת לכל ביקורת כבר מעל 10 שנים, מאז ש-ActiveX נכנס לראשונה לדפדפן (ומי ייתן שיעלם משם, במהרה בימינו, אמן סלה).
אני אפילו לא מבין את הטיעון הבסיסי שלך. בוא נניח, לצורך הדיון, שמוזילה גם מאחרים להוציא תיקונים. האם אז זה כן בסדר ש-78% מהזמן אתה גולש עם דפדפן שפותח דלת רחבה לפרוץ לך למחשב, גם אם אתה נוקט את כל אמצעי הזהירות שאתה רק יכול?
שחר
היי.
א. יש צנזורה ויש הגנה מספאם, אלו דברים שונים.
ב. קריטיות, לא קריטיות, מוזילה לא מתקנת פאטצ’ים מהר, כבר בתגובה הראשונה מצאת את שני הלינקים שהצבעתי עליהם מסקוניה, זה הסימוכין לטענה הראשונה שלי.
ג. הסימוכין לטענה השנייה שלי היא הנימה הטיפוסית בה אתה מתאר את מיקרוסופט.
אתה מתעלם ממשהו בסיסי, פיירפוקס, דפדפן הקוד הפתוח, לא היה קיים לולא אינטרנט אקספלורר. אין כאן שום מאבק בשם הקוד הפתוח, בגלל זה “חוסר הנימוס” שבהודעתי. לא רק שהאידיאולוגיה מתה, אלא היא קלוקלת. תרשה לי לשאול אותך, מה דוחף אותך לתמוך במוזילה? רק בגלל שהתוכנה היא קוד פתוח שעושה למפתחים את החיים קלים? או אולי רגשות אמביוולנטיים כלפי מיקרוסופט?
ד. בסך הכל מיקרוסופט חברה טובה, זה קצת קשה להשרות נחת על ביליון משתמשים עם נוחות שימוש בראש סולם ההעדפות. בעיקרון, אם אתה יודע קצת יותר מלהקליק על “Start”, לא צריכה להיות לך שום בעיה לאבטח את מערכת ההפעלה שלך בצורה נאותה.
ה. מה רע בActiveX?
ולשאלתך, אתה טועה. “גם אם אתה נוקט את כל אמצעי הזהירות שאתה רק יכול” – אם אני נוקט אמצעים (מה שרוב המשתמשים לא עושים) אני 99% מוגן, אז כן, זה בסדר להרגיש מוגן באקספלורר.
אני לא יודע למה אתה בוחר לפספס לחלוטין את הטיעון העיקרי שלי, אתה נלחם בשביל תאגיד אחר, זה כמו שאח שלי הקטן אומר לי “דופקים את בבורגר ראנץ’, ולא קונים שם! מק’דונלדס יותר טעים!”. במונחים כלכליים, הייתי קורא ל”קוד פתוח” של מוזילה, גימיק. בדיוק כמו שגוגל, אפל וסאן הם בעד קוד פתוח. אבל יותר מזה, רק שתבין, אני משתמש בפיירפוקס רוב הזמן, אני פשוט לא הופך את זה למשהו שטעון בטרנד תרבות הנגד של מיקרוסופט.
נענה על אותן טענות ששוות התייחסות:
ב. בוא נראה מה אתה אומר. יש לנו גוף א’ שמשחרר תיקונים לאט לדברים, חלקם חשובים וחלקם לא. יש גוף ב’ שמשחרר תיקונים לדברים מסויימים לאט, אבל דואג שלכל הדברים החשובים יהיו תיקונים מהר. על פי דעתך, צריך לגזור גזירה שווה לשניהם.
ואני ביקשתי שתגן על דעה זו שלך. כל מה שאתה מציע זה “מה זה משנה?”. אז, נכון, יש דברים שעליהם מוזילה משחררת תיקונים לאט (בהנחה שהבאג שציטטת באמת מהווה בעיה אצל פיירפוקס, מה שבכלל לא טריויאלי להניח מקריאת תוכן הבאג). השאלה הרלוונטית בשלב זה היא “אז מה?”.
ג. יש כמה סיבות שאני מתעלם מהעובדה שפיירפוקס לא היה קיים אלמליא אקספלורר, והמשמעותית ביותר מבניהן היא שהעובדה הזו לא נכונה.
בוא אני אחזיר את השאלה אליך. תוכיח לי, בבקשה, שדעתך לא זהה לגבי כל מי שמעביר ביקורת על מיקרוסופט. במילים אחרות, אני מבקש שתסביר לי אלו הבדלים היית מצפה למצוא בין מה שאני עשיתי (שהוא, לטענתך, לעמוד אוטומטית נגד מיקרוסופט בצורה יהירה ומתנשאית) לבין בוחן אובייקטיבי היפותטי שבחן את מיקרוסופט ומצא אותה לא ראויה. אם אתה לא יכול להצביע על הבדלים, הרי שאתה בעצם אומר שכל מי שחושב שמיקרוסופט לא בסדר הוא לא בסדר בעצמו. במיליםל אחרות, אם אתה לא יכול להראות הבדל, אתה בעצם אומר שמיקרוסופט היא, בהגדרה, בסדר, וכל מי שחושב אחרת הוא יהיר/פנאט וכו.
ד. זאת דעתך. דעתי שונה. אני נימקתי את דעתי. לא ראיתי שנימקת את דעתך. לדעתי חברה שמשאירה את משתמשיה פרוצים יותר ימים בשנה מאשר היא דואגת שיוכלו לאבטח את עצמם היא לא “בסדר”.
ה. להלן התשובה שלי מלפני שנתיים. מעט מאוד השתנה מאז.
אני קצת בספק אם אתה, גם אם עשית את “קצת יותר מאשר ללחוץ על Start”, הגנת על עצמך מהבאג בניתוח של הפורמטים הוקטוריים, או הבאג בפרוטוקול gopher, או הבאגים האחרונים ב-Word. אין אף תוכנת Anti virus שמגנה מפניהם, ולקח זמן (אם בכלל זה כבר קרה) עד שמיקרוסופט סגרה את החורים. אני מוצא את טענתך שאתה 99% בטוח לוקה באופטימיות לא מובנת, אבל אני אשמח לשמוע מה עשית כדי להגן על עצמך מכל הנ”ל כדי למצוא עד כמה טעיתי (וללמוד דבר או שניים על הגנת המחשב מפני מזיקים).
לסיום, לא פיספסתי את הטיעון המרכזי שלך בכלל. הטיעון פשוט לא נכון. אני פשוט לא נלחם עבור אף תאגיד, אלא עבור מה שאני מאמין בו. אתה החלטת שאני נלחם עבור תאגידים. זו זכותך, אבל כל קשר בין דעה זו שלך לבין המציאות הוא מקרי לחלוטין. ראה תשובתי לשאלתך מ-ג לעיל עבור פרטים.
שחר
ב. כיף להכניס לי דעות לראש ומילים לפה, אני לא אמרתי שצריך לגזור גזירה שווה לשניהם, אשמח אם תפנה אותי לציטוט קודם שגרם לך לחשוב כך. *אף על פי כן*, למה הטיעון של לספור פירצות דווקא כן רלוונטי? כי אם תשווה את פירצות פיירפוקס לעומת אקספלורר (כן, משחר ההיסטוריה), אתה תראה מגמה של המזערות במס’ הפירצות, כלומר לאורך הזמן אקספלורר ו-ווינדוס מקבלים פחות ופחות פירצות, זה היה ככה בערך עם כל תוכנה אחרת של מיקרוסופט.
עכשיו, בקשר ל”אז מה” המתבקש – פשוט תיקנתי אותך ותו לא. אתה טענת:
“רק לצורך ההשוואה, בפיירפוקס היה רק באג אחד שהתפרסם לפני שהיה לו תיקון, והוא היה פתוח במשך 9 ימים.” אני הצבעתי על פירצות שפתוחות מ2004, זה הכל.
ג. כנראה שלא תראה, אבל זה די ברור שאתה גולש על גל האנטי מיקרוסופט, הספק ייחודי מאחר וזה מחתרתי וקולי לשנוא את מיקרוסופט, אבל אם אתה נואש להבדלים, אז שורה תספיק לי כדי לקלוט טון מתנשא;
“מיקרוסופט אוהבת למדוד ”בטוח“ כ-“מספר הבאגים שהתגלו“. אני מניח שהסיבה לזה היא פשוטה – זה מדד שגורם לה להראות טוב (או, לפחות, כך הם חושבים).”
ד. בהשוואה לכל מערכות ההפעלה האחרות מחד, ובהתחשבות שמיקרוסופט היא קוד סגור מאידך, היא בסדר גמור. כשאני אומר 99% בטוח, אני מדבר על פיתרון של מניעה, לגלוש בזכויות מוגבלות (לא בחשבון אדמין), קובץ Hosts ערוך, אנטי ווירוס איכותי, פיירוואל, אנטי-ספייוואר וכיו”ב.
נכון, מיקרוסופט היא לא כתר השלמות, נכון, היסטוריית האבטחה של מיקרוסופט לא מזהירה (שוב, קח דברים בפרופורציה, קוד סגור לעומת קוד פתוח, ביליון משתמשים וכו’) אבל איפה שהדברים עומדים כעת אקס פי ואינטרנט אקספלורר הם מוצרים שמספקים את הסחורה.
ה. בהקשר של דפדפנים, ActiveX – נותן לפיירפוקס יתרון? אני לא חושב.
אחרי ששמנו את כל הטיעונים האלו בצד, תקשיב, אל תבין אותי לא נכון, אני בעצמי משתמש בפיירפוקס רוב הזמן כמו שאמרתי מקודם (זה לא אומר שפיירפוקס חף ממגרעות), אני גם בעד קוד פתוח (למה שאני לא יהיה?), ברם כשמדברים תכל’ס, קוד פתוח לא יכול לעבוד לבדו, זה למה כל סוגי הכלכלה השונים בעולם התרסקו פרט לקפיטליזם והשוק (החופשי, אם תרצה). לולא GNU, מיקרוסופט ודומיה היו עושות פחות עבור הצרכנים, אבל בבסיסו של דבר, מוטביציה = כסף, אין מוטיבציה = אין השקעה, קוד פתוח פשוט לא יכול לצמוח מעצמו, כי הוא לא יחזיק מעמד.
ב. ציטוט לדוגמא:
“קריטיות, לא קריטיות, מוזילה לא מתקנת פאטצ‘ים מהר”
ג. “כנראה שלא תראה…” מה שאתה אומר פה זה שאתה מאשים אותי שאני משוחד רק בגלל שהתוכן של דברי נוגד את מה שאתה מאמין בו. הרשה לי לברך אותך על הפתיחות.
הסיבה שאני אומר שמיקרוסופט אוהבת למדוד כך פרצות אבטחה היא שזה, עובדתית, נכון. הדוגמאות העכשביות קצת מרוככות בגלל כמות הביקורת שהם קיבלו על זה, אבל הנה דוגמא:
http://www.microsoft.com/windowsserver/facts/topics/security.mspx
תמצא שם לפחות שתי דוגמאות שבהן הם מציינים את המספר הנקי של הפגיעויות.
אני לא מתכוון להמשיך את הדיון הספציפי הזה. תאמין במה שאתה רוצה.
ד. אני לא יודע במה אתה מתחשב בדיוק. כשאני קיבלתי שירות זוועתי מהישיר הראשון, מנהל קשרי לקוחות ניסה להסביר לי שהמצב שלהם קשה משל האחרים, בגלל שלהם אין סניפים. התשובה שלי אליו היתה שאותי, כלקוח, לא מעניין אם התנאים שלהם אוביקטיבית קשים יותר. אותי מעניין מה אני מקבל בסופו של דבר. אני לא רואה שום סיבה שהתשובה שלי לך תהיה אחרת.
ה. אני לא דיברתי על ייתרון לפיירפוקס. אני דיברתי על מה רע ב-ActiveX.
כותב המאמר לא התייחס לחור שאני דיברתי עליו. החור שאני מדבר עליו הוא מטה-חור. מה שיפה בו, מבחינת מיקרוסופט, הוא שהם מסוגלים שלא להכיר במטה חור, ולטעון שמדובר בסדרה של ActiveX עם חור. מה שכתוב בפוסט שלי שהפניתי אליו לא מדבר על חור תיאוריתי. הוא מדבר על נתיב שאני יודע ממקור ראשון ש-Black Hats מנצלים כדי לתקוף דרכו. הוא כנראה לא מתאים ל-mass attacks, אבל הוא נחשב מקור לא אכזב ל-Targetted attacks.
ולגבי מילות הסיום – עכשיו מי שם למי מילים בפה? אני לא רוצה לאכזב אותך, אבל אני לא נגד חברות מסחריות בכלל, ונגד מיקרוסופט בפרט. אני נגד התנהגויות לא צרכניות באשר הן. כן, יש חברות שפושעות נגד הצרכנים שלהם יותר מאחרות, ועל כן זוכות לחיצי ביקורת ממני יותר מאשר אחרות. לא יותר, לא פחות.
למעשה, אם תדפדף אחורה בבלוג שלי תגלה גם מקרים שבהם מיקרוסופט זכתה ממני למילים טובות. אני מקווה שאתה לא לוקח את התיאוריה שלך לגבי המניעים שלי יותר מידי ללב.
שחר
ב. נו מה הבעיה עם הציטוט הנ”ל? זה עובדה.
ג. לא, אתה משוחד בגלל שאתה נראה לי צר אופקים.
אני אסביר לך למה ציטוטים מסויימים נתנו לי את הרושם המתנשא;
“(או, לפחות, כך הם חושבים)” – אני לא חושב שמיקרוסופט צריכים עזרה ממך בפן השיווקי.
“במקרים רבים מיקרוסופט נתנה לבאג דרגת חומרה נמוכה ממה שהסטנדרטים שלה דורשים, כדי לנסות להקטין את רמת הנזק התדמיתי.” – אמרתי מקודם, תדמית = שיווק, מוזילה גם עושה את זה, וגם אם מוזילה לא הייתה תאגיד היא הייתה עושה את זה; נשאלת השאלה, מדוע להיות סלקטיבי ולהראות רק את הנדבך של מיקרוסופט? (הרי הפוסט הזה הוא פיירפוקס מול אקספלורר)
“מיקרוסופט אוהבת למדוד ”בטוח“ כ-“מספר הבאגים שהתגלו“” – כך גם סינמטק, זה פחות או יותר סטדנרט כזה, אולי המערכת פגומה מיסודה – אבל שוב אתה סלקטיבי.
מכאן נוצר הרושם, אבל הקטע הזה ילדותי, אז באמת נרד ממנו.
ד. סבבה, אני עדיין חושב שווינדוס היא מערכת ההפעלה הכי טובה, ואני עדיין חושב שהמון אנשים נטפלים למיקרוסופט מתוך רצון להשתייך לתרבות הנגד. לא מזמן קראתי על מישהו שקיבל ווינדוס במחשב בלאפטופ שלו אבל הוא לא רצה אותו, הוא התקשר לחברה והחזירו לו את עלות הווינדוס. זה שהבנקים והשירות בישראל גרוע זה ידוע, אתה יודע איך השירות לקוחות של מאק בארץ? אני חושב שלא היה כזה עד לפני איזה שנתיים.
ה. שלחת למיקרוסופט הודעה בקשר לזה?
להכניס לך מילים לפה זה הדבר האחרון שאני אעשה, פשוט שפכתי קצת אור על איפה אני עומד, אני עובר אורח, אז אין לי מושג איך אתה לוקח את המשתנים במשוואה. באמת כדאי שאעלעל בפוסטים קודמים, כי כנראה יצא שקיבלתי רושם מוטעה. אחלה של אג’נדה, אני בעד.
ב. הציטוט הנ”ל מראה שאתה עושה גזירה שווה לבעיות קריטיות ולבעיות לא קריטיות. תקרא את הדיון אחורה ותסתכל על מה אני מדבר.
ג. וואו! צר אופקים כבר מזמן לא קראו לי בהקשר של מחשבים.
אוקיי, הנה רוחב האופקים שלי:
אני משתמש במחשבים, עוד מעט, 25 שנה (מגיל 9)
עבדתי באופן רציני, כולל תכנות, על הפלטפורמות הבאות:
Sinclair Spectrum
Apple II
Amiga
Sun
PC
זה לא כולל פלטפורמות שעליהן עבדתי באופן מזדמן.
עבדתי באופן משמעותי עם מערכות ההפעלה הבאות:
Apple DOS 3.3
Apple ProDOS
AmigaDos בגרסאות 1.3 ו-2.04
MSDOS בגרסאות 3.3, 5, 5.5 ו-6
Windows בגרסאות 3.1, 3.11, 95, 98
Windows NT בגרסאות 4, 2000 ו-XP
Novel Netware בגרסאות 3.12 ו-4
Sun Solaris בגרסאות 7 עד 9
בנוסף צריך לכלול את לינוקס, שאיתו אני עובד באופן רציני מאז 1995 בהפצות של Slackware, RedHat ו-Debian, כמו גם להתקין Linux from scratch.
אני שולט, או שלטתי בתקופה כלשהי בעברי (חלק שכחתי) בשפות התכנות הבאות:
C – מאז ימי K&R
C++ – עוד לפני שהוכנסו Exceptions לשפה
Assembly של 80×86, 6502, 68000, MIPS ו-PDP-11
ML
Basic (Applesoft, GW, visual)
כמו גם שימוש אגבי ב-Java.
אלו, בגדול, האופקים שלי. אנא ספר לי איפה שלך.
ד. אין לי שום בעיה עם מה שאתה חושב, כל עוד אתה לא מספיק יהיר כדי לטעון שמה שטוב לך חייב להיות גם טוב לי. אני חושב שעד כה לא עמדת בתנאי הזה.
ה. אני לא מצאתי את הבאג הזה. אני גיליתי אותו ברשימות תפוצה שמתדיינות בחורי אבטחה. ברשימות עלה גם שההתייחסות של מיקרוסופט לזה היא “באג ב-ActiveX הספציפי”, שזו בדיוק סוג ההתייחסות שהקנתה למיקרוסופט את השם הרע שיש לה.
אם יש לך חשש שהם עדיין לא יודעים על הבאג, אנא הרגש חופשי להפנות אותם לבלוג שלי. לאחראי האבטחה שלהם בארץ יש כבר את הטלפון והאימייל שלי אם הוא צריך עוד פרטים.
אתה אפילו מוזמן לדווח על הבאג הזה כאילו שאתה מצאת אותו. הרשה לי רק להזהיר אותך שאם תעשה את זה, אתה תהיה הבדיחה המהלכת של כל קהילת אבטחת המידע.
ולסיום הערה. בתור עובר אורח אתה מרשה לעצמך להתנסח בצורה שלא מעידה על כבוד, ועל כן גם לא מעוררת כבוד.
שחר
ב. כנראה לא הבנת את הקונטקסט, כשאמרתי “קריטיות, לא קריטיות”; כוונתי שזה לא רלוונטי אם הן קריטיות או לא, מכיוון שעדיין יש פירצות שמחכות לפאטצ’ים מ2004, זה הכל, מה לא ברור?
ג. מבחינתי, אתה עדיין צר אופקים, ולא צר אופקים במשמעות של חוסר ידע (או רקע תכנותי לצורך העניין), אלא במובן שאתה דוחה ביקורת על הסף.
Adj. 1. narrow-minded – capable of being shocked
shockable
2. narrow-minded – lacking tolerance or flexibility or breadth of view; “a brilliant but narrow-minded judge”; “narrow opinions”
narrow
narrow – not wide; “a narrow bridge”; “a narrow line across the page”
broad-minded – inclined to respect views and beliefs that differ from your own; “a judge who is broad-minded but even-handed”
3. narrow-minded – rigidly adhering to a particular sect or its doctrines
sectarian – belonging to or characteristic of a sect; “a sectarian mind”; “the negations of sectarian ideology”- Sidney Hook; “sectarian squabbles in psychology”
ד. מעולם לא אמרתי שאני יודע מה טוב לך.
ה. איך גיבית את הטענה שActiveX הוא בעייתי? סיפרת לי על באג יחיד שהוא ספק מטה ספק חור, ומסתבר גם, שספק אם מיקרוסופט התוודעה אליו. אני לא מרגיש במצב של חשש מיוחד, חומת הבטיחות הצנועה שבנויה סביב האקספלורר שלי (עדכונים סדירים, Spyware blaster, וזכויות מוגבלות) מספיקה לי די והותר. מבעד לזאת, ממילא אין mass attacks כמו שאמרת, אז יש גם את אלמנט ההסתברות פה.
קצת רצינות לסיום,
אני מצטער על הציניות, לפעמים אני שוכח שאני מדבר עם אנשים ולא עם טקסט, אני מתנצל אם פגעתי בך באיזה אופן.
ב-narrow minded, התכוונתי כמובן ל-2.
עמר, עדיין לא נתת לי סיבה אחת לזה שהחלטת שאני “מצטרף לתרבות האנטי” חוץ מעצם העובדה שדעתי לא כדעתך. לכל ניסוח שלטענתך מעיד על נקיטת עמדה ללא ביסוס נתתי ביסוס.
אני פה, בסבלנות, מאשר את כל התגובות שלך שדורשות אישור, ועונה לך נקודתית גם כאשר הניסוח והנימה לא בקו מה שהייתי קורא “הדיון המתורבת”. אתה ביצעת פה לא מעט “דיון לגופו של אדם”, ולחלוטין לא מספיק, לטעמי, “דיון לגופו של עניין”.
אם אתה בוחר לראות את ההתנהגות הזו כצרות אופקים, אני לא מתכוון להמשיך את הדיון.
לגבי הבאג של ה-ActiveX – כאשר יש לך דרך יחידה שבאמצעותה אני יכול ללכת מאגרי המידע הקיימים, לחפש באג ב-ActiveX כלשהו, ישן ככל שיהיה, ולפרוץ לך למחשב על סמך שני גורמים בלבד:
1. גלשת לאתר שלי
2. אתה סומך על ActiveXים שיוצרו ע”י מיקרוסופט/אדובי/סימנטק או כל חברה אחרת. אני מדבר על ActiveXים חתומים כדת וכדין בחתימה כשרה ואמיתית.
אני חושב שלקרוא לזה “באג אחד” זה עלבון לאינטיליגנציה.
הרשה לי להרגיע אותך. לא פגעת בי, משתי סיבות מאוד חשובות:
1. אתה לא מדבר עלי. אתה מדבר על דמות שיצרת לעצמך בראש. בראש שלך, כל מי שלא אוהב את מיקרוסופט או את מה שהיא עושה אוטומטית עושה את זה בגלל שהוא מצטרף למודה. אתה לא משאיר מקום, בעולם שלך, לאפשרות של מישהו שלא אוהב משהו בגלל אוסף של סיבות הגיוניות ומנומקות, ובלי שהוא תלוי במה שאחרים חושבים בנידון. אני לא זוכר כרגע איפה, אבל באחד הפוסטים שלי מגיב נתן העתקה מלאה של הערך של “צר אופקים”.
2. קוראי הבלוג הזה, ככלל, מכירים אותי ויודעים שמה שאתה מייחס לי הוא חסר אחיזה במציאות. למעשה, אני די בטוח שאם טיפה תחפש, תמצא אפילו פוסטים שבהם אני, במפורש, יוצא כנגד דעות מקובלות, או מעביר ביקורת על עצמי. על כן אין לי יותר מידי מה להתרגש ממה שאתה אומר.
ולסיום, מילה טובה. אני מכיר רבים, ובעיני עצמם טובים, שלא מסוגלים להגיד את המילה “סליחה”. אל תאבד את זה.
שחר
בנוגע לבאג, א’ לא כולם משתמשים ב-ActiveX. ב’ אצטרך לדעת כמה דברים על הבאג כמו למשל מה בדיוק האלגוריתם של אקספלויט כזה; האם הוא מצריך גישה להארד דיסק שלי על מנת לפעול? ואיך הוא מבוצע לפועל; Spyware Blaster עובד לא רע נגד spyware\adware\dialers\hijackers מבוססי ActiveX. ג’ אוקי אז זה באג אחד שאפשר לנצל בדרכים מרובות, אבל מה לגבי זה, שכדי לתקן באג, צריך קודם לדעת מהו?
בקשר לטרנד האנטי מיקרוסופט, אני ציטטתי את הפוסט הנ”ל ארבעה פעמים במקומות שונים ונימקתי עבור כל אחד מדוע קיבלתי רושם מתנשא, טענת שאתה לא כזה, קיבלתי את זה. השבתי שאני אעלעל בפוסטים הקודמים כדי לאמת את נכונותך. אכן, הבאתי לך הגדרה לצר אופקים כי החלטת שמענה לקריאה כזו יהיה לפרסם את קורות חייך. בנוסף, התנצלתי בקשר לנימה בה הודעתי הוצגה, מה עוד אתה רוצה?
אני אובססיבי בטירוף, ובודק את העמוד הזה כל זמן מחזורי. כנראה שאני צריך להתנצל פעם נוספת, אנא התעלם מהשאלה האחרונה בתגובה הקודמת שלי, היא אבסורדית.
זה מה שקורה כשיצר הטרול משתלט עליי.
אם זה המצב, אני חושב שהגיע הזמן להפסיק את הדיון בפוסט הזה. לא רוצה שתפתח אובססיביות בגללי….
שחר
הצורה שבא אני בד”כ משווה בטיחות של דפדפן היא לגשת לסקוניה ולהשוות אחוזים של פרצות לא מתוקנות מתוך סך הכל שהתגלו (קריטיות או לאו – זה מעיד על רצינות שגם פרצות לא קריטיות מתוקנות) תוך כדי מתן השפעה לכמות הכללית של פרצות שהתגלו. הנה מה שיש לסקוניה להגיד על IE מול Firefox (אחוזים נמוכים יותר ופחות פרצות אומר יותר בטוח) :
שוא”ש 1 : 4 פרצות פתוחות מתוך 39 – 10% : http://secunia.com/product/4227/
אקספלורר 6: 19 פרצות פתוחות מתוך 109 – 17% : http://secunia.com/product/11/
שוא”ש 2 : פרצה אחת פתוחה מתוך 2 – 50% : http://secunia.com/product/12434/
אקספלורר 7 : 3 פרצות פתוחות מתוך 3 – 100% : http://secunia.com/product/12366/
(הדפדפנים האלה נמצאים בידי הציבור די בדיוק אותה כמות של זמן, ולכן אפשר להשוות ביניהם, למרות הזמן הקצר שעבר).
אין לי היסטוריה כרגע, אבל אני יכול להבטיח לך שהתוצאות האלה משקפות לאורך זמן – ואני מסיק מהן (אני מסתכל על האחוזים כמו גם על מספרי הפרצות) ש-Firefox 1.5 יותר בטוח בצורה משמעותית מ-Internet Explorer 6 , וש-Firefox 2 בטוח יותר מ-Internet Explorer 7 במידה חותכת.
זה לא רק שמייקרוסופט פחות טובה, את האקספלורר שלה היא החלה לשווק בחינם בנסיון להוציא את נטסקייפ מהשוק התחרותי וכמו כל טכנולוגיה אחרת, מייקרוסופט מנסה לרמוס בכוחניות את כל מי שלא מוכן למכור .. ולא אכפת לה לשלם את המיליון הדולר ליום שהיא משלמת כקנס על כך, יש לה כסף..