Nejvíce bezpečnostních chyb měl v loňském roce Firefox

Proč raději nepíšete o skandálních manipulacích Microsoftu při interpretaci statistik počtu chyb jeho bezpečnostního propadáku, což má výrazný praktický dopad a vypovídající hodnotu pro většinu vašich čtenářů?

http://ptomes.blog.cz/0812/proc-je-webovy-prohl... ...

Odpovím si sám. Přišli byste tu o jeho penízky na reklamy.

Bla bla bla. Máte přesvědčivé, relevantní a nezávislé důkazy?

To jste vážně tak blbý, že nejste schopní zjistt, že všechna fakta v mém odkazu jsou podložena referencemi?

Vaše odkazy jsou přinejmenším závislé a nikoliv nezávislé. Opravdu se nebudu probírát tendenčním článkem jakéhosi podivného nedospělého individua, které nemá ani trošku tušení o tom, co je to slušné chování.

Připadá mi, že názvy článků vymýšlíte tak, aby záměrně vyvolaly flame.

Bystrý hoch

Statistika nuda je,

má však cenné udaje...

Je docela zábavné sledovat taková klání. V open source každý křičí: "Hele ono to a ono támhle to......, ale nakonec to nějak vyřešíme a doporučíme a nainstalujeme a je to. Vědí o tom všichni a jsme rádi, že potíž byla zdolána. "

V soukromé firmě: "Podívej, šéfe, tady se nám to bortí. PaneBože hlavně ať se to nedoví ON, to by jsme byly v p...!!! No nic, tak se na to zaměřte, přepište, přihoďte to k tomu novému Hotfixu a v pondělí ráno o tom nechci vědět jinak .......

Hele, vy snad nepracujete????????

"Zástupci Mozilly, kteří stojí za vývojem oblíbeného prohlížeče s ohnivou pandou v logu..."

Buď mám nejaké vážne nedostatky vo vedomostiach zo zoológie, alebo je to len zlý vtip. Môžem poprosiť vysvetlenie?

Firefox je anglicke oznacenie pre isty druh cinskej pandy.

Vďaka, boli to teda moje nevedomosti zo zoológie.

Tak schválně, kdo nachytal loni kolik virů, spywarů a podobně? Nebo alespoň zachytil pokusů? A jaký používáte prohlížeč?

Já osobně Operu(pravidelně aktualizovanou), Firefox (minulý rok přechod na trojku, ale pozvolný), semo tamo Safari s Chromiem a Internet Explorer 7 (později bety 8čky) jenom na testování, jestli je autor stránek takové kodérské prase, že k (v lepších případech pouze spránému) zobrazení člověk potřebuje IE.

A svinčík jsem hledal vždy před začátkem nového semestru a jistotním přeinstalováním PC těmito antiviry: AVG, Avast!, Nod32. - Počet virů 0 (slovy nula).

Po projetí adAwarem, spybotem a už přesně nevím, čím dalším to našlo opět krásnou nulu (čísly 0) nežádoucích programů a pod. (tady vynechávám tracing cookies z IE, které ale nepřipisuji větší důležitost)

Howg

kterým ale nepřipisuji větší důležitost...

Howg

Nema smysl se hadat o tom, v cem muze byt nalezeno vic chyb, vzdycky to je o pocitu.

1. V kazdem produktu jsou chyby umerne mnozstvi zdrojovych kodu, kvalite navrhu atd. Je naivni si myslet, ze by nektere kody byly vyrazne lepsi nez jine.

2. Ti kdo hledaji chyby jsou hodni nebo zli. Zivot "hodne" chyby vypada asi nasledovne - nalezeni, report autorum, vydani opravy, zverejneni (mozna). Vse je to otazka nekolika dnu. "Zla" chyba zije nejak takto - nalezeni, zneuziti... a dal se nevi. Bud se o tom autori dozvi a opravi ji, nebo taky ne. S hodnymi chybami se da celkem bez problemu zit, s temi zlymi ne, proto jsou pro vyber produktu dulezite.

3. Je zrejme, ze zla chyba prestane byt zlou, pokud se stane i hodnou (a tim padem opravenou). Jen neverejne informace mohou byt zneuzity, to znamena, ze cim vic chyb je nalezeno hodnymi, tim mensi prostor maji ti zli.

4. Je zrejme, ze v oss maji vsichni usnadnenou praci a muzou hledat chyby systematicky. Je pravdepodobne, ze pouzivaji podobne nastroje a postupy a naleznou temer vsechny. Naopak kdyz neni k dispozici zdrojak, tak nalezene chyby jsou v podstate nahodne, jednak je to jen cast skutecne existujicich a navic se "hodne" a "zle" budou jen malo prekryvat - protoze jsou nahodne. Prave mira prekryti (a tim mira nezverejneneho) je zde dulezita.

5. Rychlost opravy od ruznych autoru nema smysl komentovat, statistiky jsou dostupne a zname. To je jeden z nejvice kritickych bodu.

6. A nakonec samotne zverejnovani - je jasne, ze kdo ma politiku zverejnit co nejvic, bude mit vetsi buglist, nez nekdo, kdo taji co se da. Z vyse uvedenych bodu je snad take jasne, ze mezi zverejnenymi a zlymi (a tedy dulezitymi) neexistuje prima umera. To znamena, ze pro bezpecnost neni mnozstvi zverejnenych chyb zas tak podstatne, protoze to s poctem zlych chyb nemusi vubec souviset. Osobne tipuji, ze tam bude neprima umera.

Takze ted uz je jen na zvazeni kazdeho, jestli bude vic verit produktu, o kterem vsichni (hodni i zli) vedi temer vsechno, nebo takovy, o kterem hodni vedi jen malo a to co vedi zli si nechavaji pro sebe.

Nakonec poznamka k redakci - prispevek me mile prekvapil, je nebyvale vyvazeny. Ze by nastavaly lepsi casy a zive se posledni dobou dalo cist? (doufal jsem, ze to budu moci nekdy napsat, lezou mi na nervy ty hlasky "posledni dobou to jde s webem *** s kopce"). Jen snad jeste vypnout ten bulvarizator titulku, aspon to sluvko "zverejnenych"...

1) + úměrné financím vynaloženým na daný projekt a kvalitě vnitrofiremního testování. Další faktor je počet instalací. Mylné je spíš se domnívat, že diametrálně rozdílně zaplacený vývoj povede k srovnatelně kvalitním výsledkům.

2 - 3 je víceméně fuk

4) Zkoušel jste někdy hledat něco v kódu o desetimilionech řádků, který je produktem stovek lidí za dobu x let? Na většinu chyb se přijde používáním aplikace, nebo jejím zátěžovým testováním. OSS potom nabízí akorát ověření, jestli tomu tak skutečně je.

Zbytek opět o ničem

> úměrné financím vynaloženým na daný projekt

zalezi, na co se ty finance pouziji. To je spis mytus, ze kvalita a bezpecnost sw nejak souvisi s vynalozenymi prostredky. Ostatne je to videt i na rychlosti opravy chyb u prohlizecu.

> Zkoušel jste někdy hledat něco v kódu o desetimilionech řádků

Samozrejme, ze rucne kontrolovat 1e7 radku kodu je nemozne, ale kdyz jsou k dispozici zdrojaky, tak jsem porad v lepsi pozici. Jednak jsou automaticke nastroje - na analyzu zdrojovych kodu, vlozeni kontrol do binarky atd. Dale napr. narocnost overeni, ze program dobre zpracovava vstupy nezalezi ani tak na tom, jak je velky, ale jak dobry ma design. Takovou systematickou analyzou prijdete na mnohem vice bezpecnostnich problemu nez pouzivanim nebo zatezovym testovanim. Nehlede na to, ze testeri se rychle opotrebovavaji

Nadpisem totiz tvrdite neco naprosto jineho nez v clanku. Chapu, ze u novinaru je logika a gramatika az na poslednim miste, ale presto si myslim, ze by se pomalu mohli zvednout ze dna. Kdyby mnozi lide, kteri se sem chodi alespon okrajove udrzovat v kontaktu s IT odvetvim, predvadeli stejne vykony ve svem zamestnani, tak by jiz davno byli nezamestnani...

Nadpis je naprosto v poradku.

O všem se má pochybovat.

Vidim urcity rozdil mezi "nejvetsi pocet chyb" a "nejvetsi nahlaseny pocet chyb".

Nejste nahodou zurnalista? To by mnohe vysvetlovalo...

Zákazníkovi, spotřebiteli to může být jedno. Chyba, o které nikdo neví není chybou.

Stejnětak by se navíc dalo říct, že v Mozille určitě opravili také chyby, o kterých nikdo neví. :)

Obávám se, že chyba v programu je chybou, ať už se o ní (momentálně) ví nebo ne. Zpravidla je jen otázkou času, kdy si jí někdo všimne.

"Chyba, o které nikdo neví není chybou."

Je krásné, jak si lidský mozek hledá pro svoje přesvědčení argumenty ;)

Tak to evidentně vůbec nerozumíte tomu, k čemu se vyjadřujete. Nejvíce známých a zneužitelných bezpečnostních chyb má dlouhodobě (přes 10 let) Internet Explorer.

http://www.webdevout.net/browser-security...

doporučuju opravit titulek.. momentálně je to zavádějící. správně by to mělo znít: "Nejvíce ohlášených bezpečnostních chyb měl v loňském roce Firefox"

možná by stálo za to si uvědomit že chyby které nejsou veřejně známy jsou stále chybami, i přesto že je dosud nikdo neodhalil...

Once, I was a Vecernik. Then I became a pony...

"možná by stálo za to si uvědomit že chyby které nejsou veřejně známy jsou stále chybami, i přesto že je dosud nikdo neodhalil... "

Vzato z druhé strany: "Možná by stálo za to si uvědomit, že chyby které nejsou veřejně známy, taky nemusí existovat, proto je dosud nikdo neodhalil."

Pokial sa Vam nepodari dokazat, ze mal niektory iny browser 100 neohlasenych, titulok je (aspon podla mna) OK. Mna ale zaujala cast o "Window of exposure" ("cas vystavenia", asi.) To je podla mna kritickejsie cislo a Firefox sa tu drzal celkom dobre.

To byl ale znamenalo, že uživatelé FF jsou vlastně takoví veřejní betatesteři a FF není ostrá verze, jenom beta i když je jako ostrá označená.... to už jsem někde slyšel..... nehanobí se tak náhodou MS?

Však, každá verzia Windows je betaverzia až do minimálne druhého servispacku

to byla pravda az do Windows 7, pro ne byly betaverzi visty ;)

Myslím, že Vista bez SP1 byla spíš alfa verzí

To si opravdu jen myslíš.

Tak přece jen! Někde ve mně hlodal červík, že to to nebyla alfa, ale prealfa

Ne, byla to úplně normální finální verze, akorát někteří lidé včetně tebe zkrátka nejsou s to tuto skutečnost pochopit.

To vies, niektori z nas si finalnu verziu predstavuju kapanek jinak

Tato zprava byla jiz kritizovana na zahranicnim webu - je to uplna blbost, tvrdit ze firefox ma nejvice chyb ze vsech prohlizecu, protoze je to prave firefox, ktery techto chyb nejvic zverejnuje, narozdil, od jinych prohlizecu, kde rovnou vydaji novou verzi a vetsinou o nejakych chybach neni slechu a ani dechu, krome toho nebylo ani srovnano, jak rychle dotycny vyrobce dokaze dodat potrebne aktualizace - toto srovnani baziruje jen na chybach zverejnenych vyrobcem! Jaky vyrobce prohlizece kolik chyb zverejni je jeho problem.

Milý beno40,

ale ono přeci nejde o to, kolik chyb je v jakém softwaru. Jde právě o to, kolik lidí se o chybě dozví, jak je závažná a jak je zneužitelná. Pokud to řeknu po lopatě, tak v softwaru může být díra jako vrata, ale pokud o ní nikdo neví, je méně škodlivá, než malá dírka, kterou dokáže zneužit kde kdo.

logicky bezpecnostni chyba o ktere nikdo nevi ani neni chybou. Bohuzel nikdy nikdo nevi k kterych chybach se doopravdy vi a o kterych ne.

Opensource ma tu nevyhodu ze utocnik presne vi jak program funguje a "snadneji" hleda zpusob jak se do nej nabourat a proto je tento software vice nachylny na bezpecnostni chyby ale prave proto jsou tyto chyby rychleji odhalovany/opravovany a da se rict ze casem bude temer bez chyb.

Zatimco u softweru s uzavrenym kodem ktery je "tezsi" napadnout, se da predpokladat ze nikdy nebude opraveno tolik potencionalne bezpecnostnich chyb jako u opensource. A nikdy nikdo nevi kdo takovouto neobjevenou chybu zneuzije.

cca 30. príspevok v diskusii, ale prvý rozumný... +1

Inu, už byly odhaleny dva případy, kdy si přímo tvůrci malwaru do opensource softwaru přidali své vlastní funkce. Můžeme také spekulovat o tom, kolik je jich neodhalených...

P.S. Nešlo o Linux ani o Firefox.

> P.S. Nešlo o Linux ani o Firefox.

I tak by mě zajímalo o co šlo.

ty neodhalene myslite opensource nebo closed?

Toto ste spominal uz niekolkokrat, ale zatial ste ani raz nespecifikoval, o ktore programy slo.

To tady byly na fóru pořád řeči, jak OpenSource nemůže mít chyby, protože každý do těch zdrojáků vidí a tím je kvalita kódu zaručena. Ve skutečnosti se ukazuje, že normální komerční projekty s uzavřeným kódem jsou na tom ne-li lépe, tak minimálně stejně dobře.

Kvalita kódu je totiž - jako ostastně spousta jiných věcí - úměrná vynaloženým finančmním prostředkům. Čest krátkodobým vyjímkám...

"To tady byly na fóru pořád řeči, jak OpenSource nemůže mít chyby, protože každý do těch zdrojáků vidí a tím je kvalita kódu zaručena."

Čtu zdejší diskuse více než 10 let, ale tohle tvrzení jsem tady nikdy neviděl. Pouze pravidelně vídám windowsové trotly, jak fantazírují o imaginárních výrocích imaginárních linuxáků.

Jinak jak už bylo naznačeno, ta čísla jsou zkreslená tím, že Mozilla poctivě oznamuje všechny chyby, i ty, co najde sama, zatímco tvůrci ostatních prohlížečů v tomto nejsou tak transparentní a zveřejňují jen něco. Proto se ta čísla nedají takto porovnávat.

"open source je mnohem bezpečnější a kvalitnější, protože je jeho zdrojový kód dostupný" je jeden z HLAVNÍCH argumentů pro open source a můžete ho slyšet všude.

snad uznas, ze je obrovsky rozdiel v tychto dvoch tvrdeniach:

1, "To tady byly na fóru pořád řeči, jak OpenSource nemůže mít chyby, protože každý do těch zdrojáků vidí a tím je kvalita kódu zaručena."

2, "open source je mnohem bezpečnější a kvalitnější, protože je jeho zdrojový kód dostupný"

(...je jeden z HLAVNÍCH argumentů pro open source a můžete ho slyšet všude.)

**

tieto dva vyroky su diametralne odlisne...

Myslím, že dojem mají normální lidé takový, jako že OSS musí zaručovat kvalitu právě tím, že do něj všichni vědí.

To bychom se mohli pak, podle Vás, dostat do takových absurdit, že budeme porovnávat i tvrzení, že uzavřený software BY MOHL být bezpečnější, neboť se informace o rizicích nerozšíří tak rychle.

Anebo např. to, že u OSS je potenciální riziko z toho, že vývojový tým může infiltrovat záškodník, který udělá backdoor záměrně. Viz případ Debian a generování keypairů - tam bylo krásně vidět, že by i pro toto prostor byl.

Myslím, že porovnávat tyto dva modely není vůbec jednoduché. Oba mají svoje pro i proti. Já sám se dokonce kloním k názoru, že spotřebitel profituje především z toho, že oba modely koexistují.

Navíc je potřeba si uvědomit, že často hyperdemokratický proces vývoje OSS je spíš cestou hledání kompromisu k "nejméně špatnému řešení" zatímco uzavřený vývoj většinou zkouší hledat nové cesty, kterými ve velké části případů narazí hlavou do zdi a v malé části případů zavdá na evoluci. (Viz např. ribbon v MS Office, který by v OSS procesu nikdy nemohl dostat šanci na prosazení se).

> u OSS je potenciální riziko z toho, že vývojový tým může infiltrovat záškodník

Myslim, ze toto vubec nesouvisi s OSS. Rozhodujici je revize prijateho kodu a ta muze byt stejne dobra nebo spatna jak u OSS tak u komercnich firem. Spis je rozdil v tom, ze u OSS muze revizi udelat kazdy, u closed nezbyva nez verit, ze to ta firma dela (coz neni vubec samozrejme). Pokud je zaskodnik v takove firme sikovny, tak muze udelat backdoor, ktery je v podstate nezjistitelny jinak, nez analyzou toho kodu - ktery ovsem neni k dispozici. Dalsim faktorem je to, ze u nevydelecnych projektu je jedno, jak dlouho bude revize trvat, autor muze prijmout a odmitnout co chce, u komercnich je tlak na terminy a kvantitu funkci mnohem vetsi, prave treba na ukor revizi.

Znam hodne firem kde nastoupit na zkusebni dobu, necim vyzivnym prispet do zdrojaku a pak zas odejit neni vubec tezke. A zakaznik nema sanci zjistit, ze k tomu doslo.

Ano, přesně tak. Ale tím se dostáváme k tomu, že v praxi není v tomto výhoda OSS. Je to jen potenciální výhoda.

Teoreticky může každý, ale prakticky to nedělá nikdo. Opravdu průser debianu je toho naprosto dokonalým příkladem.

Myslím, že hodnotit rizika podle faktorů MŮŽE/MOHL BY je špatné. Rizika by se měla hodnotit z praxe a hlavně s dodáním subjektivního názoru hodnotitele.

Např. něco v tom smyslu, že:

- Linux je bezpečnější systém než Windows, ale je potřeba si uvědomit, že není zatím zajímavý pro útočníky útočící na desktopové uživatele

- Mozilla má sice více chyb než MSIE, ale u MSIE nevíme asi o mnoho nezveřejněných (ale taky tím pádem nezneužitelných) chybách

atp.

Ale zdejší hodnocení z obou stran polarizované mě fakt nadzvedává ze židle.

Ja osobne stale vidim OSS ako (teoreticky) bezpecnejsi. Z jednoducheho dovodu: Na svete existuje dostatocne mnozsvo ludi ochotnych pomoct, ale len malo z nich sa bude zo samej nezistnosti babrat s dekompilerom. Mat miesto zdrojakov binarny "blob" pri ktorom musi clovek vlastnym mozgom zasuplovat procesor, OS a zodesat vrstiev, to zrazi motivaciu tak 100 metrov pod podlahu.

Naproti tomu ti, co chcu chybu zneuzit maju motivaciu naozaj silnu (vlastny prospech je predsalen trocha viac, ako sluzba komunite ,) nejake tie skusenosti v podobnej zaskodnickej cinnosti sa tam tiez urcite najdu a pokial mi je zname, castokrat maju tuto cinnost ako "hlavny pracovny pomer."

Kto pri takych podmienkach odhali viacej chyb je podla mna jasne.

> Teoreticky může každý, ale prakticky to nedělá nikdo. Opravdu průser debianu je toho naprosto dokonalým příkladem.

Jsou subjekty, ktere se mimo jine zabyvaji hledanim a reportovanim chyb v OSS. Myslim, ze i v pripade debianu to tak bylo. Poradne si nevzpominam, bylo to tak, ze autori toho sw na chybu v debianu upozornili?

Cili OSS alespon nejak revidovan je, samozrejme, ze zalezi na popularite, ale "prakticky nikdo" je myslim prilis silna formulace.

> u MSIE nevíme asi o mnoho nezveřejněných (ale taky tím pádem nezneužitelných) chybách

mezi zverejnenim a zneuzitelnosti prave nemusi byt zadna souvislost. Kdyz uz, tak je souvislost mezi opravenymi/zneuzitelnymi a praxe ukazuje, ze je neprimo umerna.

Ohlášeno, nebo nalezeno? Je to docela rozdíl. Co se týče opravování chyb, tak lepší je samozřejmě Firefox, i když má více bezpečnostních děr, tak je rychle opraví a čím víc, tím líp, páč v budoucnu jich bude míň...

Trošku nechápu Microsoft, že když se nalezne chyba, tak jí neopraví. Nebo musí uživatel čekat nějaký měsíc to plánované série záplat ... Nepříjde mi to jako dobrý krok v době, kdy využít bezpečnostní díru není otázka měsíce, ale pár hodin ... Na IE8 se těším. Podle všeho by měla být méně provázaná se systémem a hlavně obsahovat mojí velice oblíbenou fíčurku z Firefox - vymazání důvěrných dat automaticky po uzavření prohlížeče

Ono to celé není tak jednoduché. Některé chyby jsou prostě jen selhání programátora, momentální úlet a jednoduše se opraví. Tam bývají reakce jednoduché a rychlé.

Jsou pak také ale chyby, které vycházejí buďto z historie vývoje anebo z chyby návrhu. Tam není oprava často tak jednoduchá - protože buďto může mařit činnost nějaké navázané funkce anebo by mohla způsobit nekompatibilitu s legálními funkcemi zákazníků.

V tu chvíli je velmi nutné a potřebné, aby někdo - člověk, ne stroj, ne kalkulačka na statistiku - posoudil, jak závazná a nebezpečná chyba je. A zvolil svým úsudkem řešení a rychlost řešení (v návaznosti např. na potřebu úpravy závislých produktů a funkcí).

Myslím, že honění se za opravami a hledání počtu chyb jsou špatná měřítka pokud se dostanou do ruky trotlovi, který si z nich neumí vyvodit, co znamenají.

V případě Mozilly bych to číslo nebral nijak tragicky, pokud však není velká část oněch chyb způsobená tím, že vzniknou opravou chyby předchozí. V tu chvíli by to ukazovalo na živelnost vývoje. Bohužel, tuhle informaci média nezprostředkují, takže hodnotit nedokážu.

Dam ti dobru radu: nekomentuj nieco, o com vies kulove.

Narážíte konkrétně na jakou část?

Tu radu si laskavě dejte sám sobě.

Existuju dobre a zle rady. Dnes ti to nevyslo, ale na buduce sa snad trafis.

A ted si predstavte, ze by nikdo zadnou neobjevil. O cem se bude psat?

gargous

O suprové bezpečnosti Firefoxu ;).

Zdar a to Zdar Štěpáne MATLe, tak, to, a to to, máš tedy, opravdu a to opravdu, pravdu, tedy, abych tak, řekl, prostě no!

Pomala ohniva liska, schovajte si ju niekam. Iba sa vyhovaraju a nedokazu si pripustit,ze aj oni robia chyby. Jasne, mozilla je dokonala.

Ta jarna unava ti nerobi dobre. Skus multivitaminy. Pri dynamike, s akou sa Firefox vyvija, je viac ako 100 bugov velmi slusne cislo a zodpoveda usiliu komunity o bezpecnejsi browser. Davam prednost software, ktory ma desiatky nahlasenych a opravenych bugov ako software, ktory vytvara falosnu iluziu bezpecnosti tym, ze nikto po bugoch nepatra, nenahlasuje ich a ani neopravuje.

>> (...)je viac ako 100 bugov (...)

Len kvoli presnosti, 100 bezpecnostnych chyb, nie bugov. Bugov bolo niekolkonasobne viac ( https://bugzilla.mozilla.org/ )

Len kvoli presnosti: bezpecnostna chyba je security bug, cize skratene bug.

Lež.

. Pitaky ti nejako nesedia. Skus wikipediu, ked neveris mne. http://en.wikipedia.org/wiki/Security_bugs...

Většinou se používá spíš pojem "security issue".

Terminov je mnoho, konkretne v Mozille, ked som bol este aktivny vyvojar Firefoxu, sme vzdy pouzivali termin "security bug". Mas aj The Mozilla security bug group, taktiez mas oficialnu policy Handling Mozilla Security Bugs, najdes to na strankach Mozilly. U Yarukha pouzivaju termin Security Lez, to je pre mna novinka, budem patrat po detailoch.

Ano je to bug, ale len jeden specificky druh. Bug sa vseobecne chape ako chyba v programe a pritom nemusi ist len o bezpesnostny problem. Moze ist o problem so stabilitou, funcnostou niektorych vlastnosti alebo o bezpecnostny problem. Preto sa to vola _security_ bug, aby sa odlisila kategoria,

Že u ostatních prohlížečů nebylo tolik chyb NAHLÁŠENO neznamená, že tam nejsou. A člověk nikdy neví, kolik crackerů ji využívá.

Ano, Firefox má nejvíc nalezených chyb, ale tím, že se jich tolik nachází a hlavně díky rychlé opravě jsou tyto chyby v podstatě nezneužitelné. IE jich má nalezených míň, ale protože trvá měsíce, než se chyba opraví, může té chyby zneužít daleko víc lidí (script kiddies převážně).

Je krásné, jak si lidský mozek hledá pro svoje přesvědčení argumenty.

take me to zaujalo

O všem se má pochybovat.

Zdar DEVASTORe, viď, a to, viď, taky, a to taky, si říkám, jen a to jen, si říkám, že a to že by jsi si, a to že by jsi si, už mněl, a to že by jsi si už mněl, na-hrát, a to na-hrát, do počítače, asi tak, a to asi tak, nějaký a to nějaký novější, INTERNETový prohlížeč, a to třeba, a to třeba, ten, INTERNETový prohlížeč, Mozilla FireFox, asi nějaká verze 3.07, asi nějaká verze CZ, i když, a to i když já a to já se svým, a to se svým, INTERNETovým prohlížečem, INTERNET Explorer, asi nějaká verze 7.0. asi nějaká verze CZ, mám, zrovna, co říkat, tedy, abych tak, řekl, prostě no!

bohuzel nekde spravcove site aktualizace zakazou a sami to neprovedou...

O všem se má pochybovat.

Prosím tě, jakou řečí to bylo psáno?

O co vám jde? Je to přesně jak píše! To, že někdo chybu nenahlásí ještě neznamená, že tam není. To zaprvé. A za druhé, u nahlášených chyb jejich zneužitelnost výrazně klesá s rychlostí odstranění, na tom není nic nelogického ani flamewarovitého.

P.,

neobjevená chyba má nulovou nebezpečnost, je to jen potenciálně nebezpečná věc.

V zásadě s Vámi souhlasím, že čím rychleji se opraví, tím lépe. Ale potřebovali bychom vědět ještě kolik oprav způsobí další chyby nebo nekompatibility. Bez toho se nedá tento model kvalifikovaně glorifikovat.

To, že upozorním na to, že hodnocení není jednoduché, to ještě neznamená, že jsem v opozici. Jen poukazuji na to, jak spousta nadšených amatérů vyzdvihuje nějaký model, aniž by do hloubky rozuměli souvislostem ve vývoji softwaru.

A mimochodem, pokud se podíváte po diskusi, najdete tu můj příspěvek, ve kterém dokonce píšu, že ten počet chyb u Mozilly bych nepovažoval za nějaký negativní ukazatel - právě z toho důvodu, že je nelze triviálně ohodnotit.

> neobjevená chyba má nulovou nebezpečnost, je to jen potenciálně nebezpečná věc.

Su 2 druhy neobjavenych chyb: Take, co sa neobjavili v bugtrackere a take, co naozaj nikto neobjavil. Povedal by som, ze m1c4a1 mal na mysli tu prvu kategoriu.

TAk ať to taky tak napíše. Na myšlení se umírá.

"Myslel jsem, že tu dálnici přeběhnu....."

"Že u ostatních prohlížečů nebylo tolik chyb NAHLÁŠENO neznamená, že tam nejsou. A člověk nikdy neví, kolik crackerů ji využívá."

Vychadza mi z toho logicky, ktoru skupinu mal na mysli. Ale mozno to pre vas, zanietenych windowsakov, mal napisat, suhlasim.

jáj dilino... keby MS zverejnil kód IE, tak by ich bugzilla potrebovala neviem aký výkonný server a veľkosť sql databázy ba sa rátala v petabajtoch

+1

http://en.wikipedia.org/wiki/Denial...

Je krásné, co MS fanatici předvádějí, když jim dojdou argumenty

Miroslav Šilhavý napsal:

Je krásné, jak si lidský mozek hledá pro svoje přesvědčení argumenty.

--------------------------------------------------------------------------------------

Nevím, zda je to jen přesvědčení. Moc se o bezpečnost nezajímám (pouze o tu technickou - takže si data zálohuji), ale v práci odebírám Chip a občas do něj i mrknu. Už několikrát tam bylo srovnání bezpečnosti prohlížečů. Firefox se navzdory těmto bezpečnostním chybám drží velmi dobře, kdežto každá verze IE bývá vždy vyhodnocena jako totální bezpečnostní propadák, který je nebezpečné pro surfování používat.

Nemyslím si přitom, že by Chip byl zrovna OSS magazín...

nevim ktery odbornik to tam vyhodnocuje, ale co jsem videl tak prave Firefox vychazi v takovych porovnanich vetsinou jako druhy nejnebezpecnejsi

O všem se má pochybovat.

Tak tak :).

tož, taký čo lezie na každú pochybnú stránku s vyskakujúcimi "miliónmi" a viagrou je vyslovene nútený mať prehliadač s vysokou bezpečnosťou. Pre tých ostatných normálnych postačí aj Firefox.