Интересная дискуссия по поводу безопасности, которая открыла себе эту неделю с появлением двух типов расширения для firefox descargables и instalables с Мосилья Адд-онс и предположительно зараженные с troyano. Ниже было доказано, что одна из них была чистой.
За пределами тривиального, это открывает целое отражение о процессах качества и проверки со стороны Mozilla всего этого расширения (программное обеспечение, в последнем случае) descargables с его хранилища. В связи с этим я хочу придать особое значение post Sergio, что я думаю, что у него есть большой разум, когда он рекомендует быть благоразумным с использованием морехода для чувствительных заданий. Это очевидное для многих людей (между лекторатом этого blog я представляю, что он препятствовал для почти всех), но для большинства думать об этих условиях будет чем-то новым, потому что они не поставили это раньше.
Он добавил бы, кроме того, который в нашей бумаге технологических prescriptores (я говорю из-за меня и моего окружения, не идя дальше) важно, чтобы помимо рекомендования использования свободного программного обеспечения и самых безопасных практик мы сделали специальную опору в благоразумии и благоразумии. Очевидно, системы безопасные, надежные и неуязвимые 100 % не существуют. (Любой, который говорил бы нам, что его программное обеспечение или его система в общем - 100 % безопасных, может быть немедленно каталогизированным как кретинический без страха ошибаться). но где техника не может прибывать, если он может приближать нас (никогда мы не прибудем, obv) хороший набор хороших практик. В конце концов, когда мы говорим о безопасности, мы самое слабое звено и он считает почувствованным о том, что уменьшает неуверенность, произошедшую от плохого самого использования инструментов.
Я хочу прокомментировать также вопрос, который задает Оскар в blog Sergio, который был подлинным стрелком, чтобы писать этот post: комментарий, который у меня остался длинным, и в конце концов я принял решение подняться в post. Он говорит Оскара: «Действительно у меня нет ни времени ни знаний, чтобы пробовать код одного или другого морехода. каковыми были бы правила, чтобы выбирать лучшего или самого безопасного?»
Здесь приходит мой ответ:
Спрашивать из-за правил, чтобы признавать и выбирать самый безопасный мореход - вопрос такой широкий, что он требует ответа, расширение которого дало бы, чтобы писать blog (не post, blog) только чтобы удалять эти правила.
Свободное программное обеспечение безопаснее, чем присущий исключительно? Входа он auditable с большей возможностью, что не подразумевает большей безопасности, только, что, если есть злонамеренный код, возможно, что он открыт меньше задержкой. У использования свободного программного обеспечения есть бесчисленные преимущества, но у этого нет, потому что быть в сущности безопаснее всегда. Возможно, что он это в общих условиях ввиду возможности ревизии (если не свойственная пользователю, да сообщества - так важно для того, чтобы проект программного обеспечения был действительно свободным), но пунктуально он может быть небезопасным как каждое программное обеспечение.
Несомненно, что использует этот инцидент, чтобы бросать страх, неопределенность и сомнения относительно Firefox. Никто не был бы должен беспокоиться, однако. Firefox продолжает быть выбором разумно конечно, что, использованный с хорошим умением, он поддерживает меньше риска, чем других выборов.
Конечно, во времени из-за того, что приходит, и если ставка пользователей Firefox продолжит расти, эта квота пользователей случится самая большая проблема безопасности для Firefox и его программисты. Давайте думать на минуту, как это сделал бы механизм подачи основы злонамеренного кода: он будет стоить мне то же время (он не имеет porqué, но давайте принимать это как приближение приказа правильные ноль) развивать мою атаку против специфического морехода. Я вкладываю мое время, чтобы атаковать 1 % пользователей, 20 %, 40 %? Если мы примем также небытие конкретные интересы, которые восхваляли бы мой выбор цели, мою атаку направят мореходу, который откроет мне дверь большего количества потенциальных жертв: самый использованный мореход. Входа, он это превращает в IE8 в излюбленную мишень, следуемую Firefox. Не было бы должно удивлять нас, следовательно, что в будущем становятся все более частыми специфические атаки против этого морехода, у которого есть добавленная привлекательность (для нападающего) того, чтобы быть мультиплатформой.
С другой стороны, мне не захватывают действительно сравнительные исследования безопасности между различными мореходами. Полезность этих сравнительных исследований я помещаю в карантин, потому что сравнительные эти подчиняют мореходов уже известным атакам и самые опустошительные атаки - всегда новаторы, а не знакомые. Сказанный о другой форме, он равняется тому, чтобы раздражать относящуюся к аэропорту безопасность, потому что однажды было покушение с самолетами, когда все знаем, что предстоящая массивная атака не состоится таким же образом как предыдущий: у него будет другая неожиданная форма и возьмет нас из-за сюрприза. Эта новая неожиданная форма и последовательный сюрприз - основание успеха нападающего. Поэтому я думаю, что benchmarks вносят информацию, отличную от той, которая часто ждет, которую нужно получить от них.
Я говорю, что я помещаю в карантин полезность таких сравнительных этих как измерительные приборы безопасности, но не самой тонкой информации, о которой он приходит к заключению их: недопустимо, чтобы мореход был уязвимым в известные атаки, они доказывают, что ответственная команда это программное обеспечение не сделала его работы, как он был должен. И, грустно (потому что он помещает в опасность множество людей), он не является редким, что были открыты bugs и уязвимости в IE (это не закрепление, он состоит в том, чтобы он нам понравился, или нет, IE продолжает быть мореходом, наиболее использованным в абсолютных условиях в феврале 2010), что уже существовали в тайных версиях этого морехода, или что у того же самого был bugs без parchear в течение месяцев. (Во время этот post пишет, IE8 проводит 8 дней без parchear bug в меру критический, что позволяет выставку чувствительных данных отдаленному нападающему; почти ná. Для 2 лет с другими уязвимостями без parchear).
С тех пор, как новая уязвимость начинается до тех пор, пока parchea, появление xploits, который злоупотреблял бы этой неудачей, не является показательным. Он говорил прежде чем новаторские атаки, что они опаснее, потому что установлено, что уже известные атаки будут способствовать тому, чтобы было изменено программное обеспечение в вопросе, чтобы улучшать его защиту. Если эта заплата не прибывает, у нападающего есть все преимущества: хорошо известная атака (что-то, что облегчает злоупотребление уязвимостью), к которому защитник не приготовился. Не утверждая ничего относительно безопасности конкретного программного обеспечения, этот тип слабого натяжения с временными мерами они предполагают целый аргумент, чтобы прекращать использовать определенное программное обеспечение.
И все это я это говорю спокойно, не забывая о том, что каждое программное обеспечение восприимчивое имения ошибок (конечно, также наш любимый Firefox), что сделали это восприимчивым в атаки. Но: что мы сделаем с этим? Не возможно предотвращать, единственное, что может делаться, - parchear как можно скорее. В этом Mozilla дал ту извести и Mozilla песка в едва днях: система проверки программного обеспечения его хранилища, которое показало себе имперфект (может быть из-за доверия), что будет медлить с тем, чтобы получать обратно доверие, которым он обладал между публикой, позволило, что он проскользнул мимо malware, однако они были очень быстрыми в чистоте расширения и упразднении этой конкретной угрозы, которую кроме того показало быть несовершеннолетним того, что казалось сначала.
[И да, он не является свободным от неудач он это не будет никогда, но в этих моментах я не буду никого не заставать, если я говорю, что я рекомендую использовать Firefox. Возможно Вы ждали другую вещь? Последнее обобщение расширения безопасности, которую я увидел, сделали парни Security by default.]
No comments:
Post a Comment