Interessante Debatte über Sicherheit, die diese Woche mit dem Erscheinen von zwei Ausdehnungen für firefox descargables und instalables seit Mozilla Add-Ons und vermeintlich angesteckt mit einem Troyano geöffnet hat. Niedriger ist es bestätigt worden, dass eine von ihnen sauber war.
Jenseits des Trivialen öffnet das die ganze Reflexion auf den Qualitätsprozessen und Prüfung seitens des Mozilla aller dieser Ausdehnungen (Software, in letztem Fall) descargables seit seinem Gefäß. In diesem Zusammenhang will ich den Post von Sergio betonen, dass ich glaube, dass er viele Vernunft hat, wenn er empfiehlt, mit dem Gebrauch des Seefahrers für empfindliche Aufgaben klug zu sein. Das ist für viele Personen einleuchtend (zwischen den Vorleserämtern dieses Blog ich ausdenke, dass er für fast alle vermieden hat), aber für die Mehrheit, wird an diese Enden zu denken, etwas Neues sein, weil sie es früher nicht vorgehabt haben.
Er würde außerdem hinzufügen der ist es in unserem Papier von technologischen Prescriptores (ich durch mich und meine Umgebung spreche, ohne weiter zu gehen) wichtig, dass wir eine spezielle Betonung in der Klugheit und der Besonnenheit machten abgesehen davon, dass er den Gebrauch der freien Software und sichererer Übungen empfiehlt. Axiomatisch, existieren die Systeme 100 sichere, zuverlässige und unverletzbare % nicht. (Irgendjemand, der uns sagt, dass seine Software oder sein System im Allgemeinen 100 % sichere ist, als Idiot ohne Angst davor unmittelbar katalogisiert sein kann, uns zu irren). aber wo die Technik nicht kommen kann, wenn er uns heranbringen kann (nie wir, obv kommen werden), eine gute Gesamtheit von guten Übungen. Letztendlich sind das, wenn wir von Sicherheit sprechen, das schwächste Glied und er hat Sinn, die vom schlechten Gebrauch selbst abgeleitete Unsicherheit der Eisenwaren zu reduzieren.
Ich will auch durch eine Frage kommentieren, die Oscar im Blog von Sergio macht, der der authentische Schütze war, um diesen Post zu schreiben: Ein Kommentar, der mir lang geblieben ist und habe ich mich am Ende entschieden, in post hinaufzusteigen. Er sagt Oscar: "Wirklich habe ich weder die Zeit noch die Kenntnisse, um die Kode von einem oder anderem Seefahrer zu erproben. welche wären die Regeln, um den besten oder den sichersten zu wählen?"
Hier kommt meine Antwort:
Durch die Regeln zum Erkennen und dem Wählen zu fragen, ist der sicherste Seefahrer eine Frage so weite, dass er nach einer Antwort verlangt, deren Ausdehnung geben würde, um einen Blog (nicht einen Post, einen Blog) zu schreiben, nur um diese Regeln aufzuschlüsseln.
Ist die freie Software sicherer als der entziehende? Von Eingang ist er auditable mit größerer Leichtigkeit, was keine größere Sicherheit verwickelt, nur, dass, wenn es boshafte Kode gibt, möglich ist, der von weniger Verspätung aufgedeckt ist. Der Gebrauch der freien Software hat unzählbare Vorteile, aber dieser hat nicht, weil immer inner sicherer zu sein. Er ist möglich, dass er es in allgemeinen Enden wegen der Betriebsprüfungsleichtigkeit ist (wenn nicht eigene vom Benutzer, ja von der Gemeinschaft - so wichtiger er, damit ein Softwareprojekt wirklich frei ist), aber pünktlich als jede Software unsicher sein kann.
Wahrscheinlich, der diesen Vorfall nutzen wird, um Angst, Ungewissheit und Zweifel an Firefox zu werfen. Niemand müsste sich beunruhigen jedoch. Firefox ist immer noch eine vernünftig sichere Wahl, die, gebraucht mit guter Treffsicherheit, weniger Risiken, als andere Optionen erträgt.
Natürlich, wird diese Quote der Benutzer in der Zeit das größte Sicherheitsproblem für Firefox und seine Programmierer um das Kommen und wenn die Gebühr der Benutzer von Firefox immer noch wächst werden. Denken wir für einen Augenblick, wie ein Entwickler der boshaften Kodes es machen würde: Er wird mir dieselbe Zeit kosten (er porqué nicht hat, aber übernehmen wir das als eine Ordnungsannäherung fehlerfreie null), meinen Angriff gegen einen spezifischen Seefahrer zu entwickeln. Kehre ich meine Zeit um, um 1 % der Benutzer, 20 %, 40 % anzugreifen? Wenn wir auch das Nichtvorhandensein konkrete Interessen übernehmen, die meine Zielwahl klären, wird mein Angriff an den Seefahrer gerichtet sein, der die Tür mehr potenzieller Opfer öffnet: der benutztste Seefahrer. Von Eingang verwandelt das in IE8 in ein aus Firefox gefolgtes Lieblingsziel. Es müsste uns infolgedessen nicht überraschen dass die spezifischen Angriffe in der Zukunft gegen diesen Seefahrer immer mehr häufig gemacht werden, der die zusätzliche Anziehungskraft hat, (für den Angreifer), von Multiplattform sein.
Andererseits, begeistern mir zwischen verschiedenen Seefahrern wirklich die komparativ Sicherheitsstudien nicht. Die Nützlichkeit dieser verglichenen Studien setze ich in Quarantäne, weil diese komparativ schon bekannten Angriffen die Seefahrer unterwerfen und die verheerendesten Angriffe immer die Neuerer, die Nicht-Bekannten sind. Gesagt über andere Form, ist er gleich, um die Flughafensicherheit zu erbittern, weil es einmal einen Anschlag mit Flugzeugen gegeben hat, wenn alle wissen, dass der nächste massive Angriff nicht stattfinden wird, auf gleiche Weise, wie der vorige: Er wird andere unerwartete Form haben und wird uns durch Überraschung nehmen. Diese neue unerwartete Form und die geradlinige Überraschung sind die Grundlage des Erfolgs des Angreifers. Deshalb glaube ich, dass die Benchmarks von der verschiedene Information einbringen, die oft gehofft wird, von ihnen erlangen.
Ich sage, dass ich in Quarantäne die Nützlichkeit von diesen komparativ als Sicherheitsmessgeräte setze, aber nicht die feinste Information, die von ihnen abgeleitet wird: Es ist unzulässig, dass ein Seefahrer in bekannten Angriffen verwundbar ist, sie beweisen, dass die Ausstattung zu Lasten von dieser Software seine Arbeit nicht gemacht hat, wie er musste. Und, traurig (weil er in Gefahr Menge von Personen setzt), ist er nicht vereinzelt, die bugs und Verwundbarkeiten in IE aufgedeckt werden (das Fixierung nicht ist, ist, dass er uns gefällt oder nicht, IE immer noch der in absoluten Enden benutzte Seefahrer in Februar 2010 ist), die schon in verborgenen Versionen dieses Seefahrers existierten oder den der gleiche bugs ohne parchear während der Monate hat. (Wenn es darum geht dieser Post schreibt, IE8 ein Bug 8 Tage ohne parchear gemäßigt kritisch bringt, der die Ausstellung der gegen einen entlegenen Angreifer empfindlichen Daten erlaubt; fast ná. Für 2 Jahre mit anderen Verwundbarkeiten ohne parchear).
Seit sich eine neue Verwundbarkeit ankündigt, bis parchea, das Erscheinen von Xploits, der diesen Fehler missbraucht, Exponential-ist. Er sagte bevor den erneuernden Angriffen, dass sie gefährlicher sind, weil man für selbstverständlich hält, dass die schon bekannten Angriffe so machen werden, dass die Software in Frage verändert wird, um seine Verteidigung zu verbessern. Wenn dieser Flicken nicht kommt, hat der Angreifer alle Vorteile: Ein bekannter Angriff (etwas, was den Missbrauch der Verwundbarkeit erleichtert), für den sich der Verteidiger nicht vorbereitet hat. Ohne nichts über der Sicherheit einer konkreten Software zu befestigen, flicken Sie euch dieser Typ der Schlaffheit mit sie setzen das ganze Argument voraus, um aufzuhören, eine bestimmte Software zu benutzen.
Und alles sage ich ruhig, ohne zu vergessen, dass jede Software empfindlich ist, Irrtümer zu haben, (natürlich, auch unser geliebter Firefox), die es in Angriffen empfindlich machen. Aber: was werden wir damit machen? Man kann nicht vermeiden, das Einzige, was gemacht sein kann, ist parchear so schnell wie möglich. Darin hat Mozilla diesen von Kalk und diesen von Sand in kaum einigen Tagen gegeben: Ein Prüfungssystem der Software seines Gefäßes, das ihm Imperfekt bewiesen hat, (hat vielleicht durch Vertrauen), der zögern wird, das Vertrauen wiederzubekommen, das er zwischen dem Publikum besaß, erlaubt, dass er sich malware einschlich, jedoch waren sie in der Reinheit der Ausdehnungen und der Unterdrückung dieser konkreten Drohung sehr schnell, die Minderjähriger davon zu sein, was zuerst schien außerdem bewiesen hat.
[Und ja, er von Fehlern nicht frei ist, wird er es nie sein, aber in diesen Augenblicken werde ich niemanden überraschen, wenn ich sage, dass ich empfehle, Firefox zu gebrauchen. Warteten Sie vielleicht auf andere Sache? Die letzte Zusammenstellung der Sicherheitsausdehnungen, die ich gesehen habe, haben sie die Kinder von Security by default gemacht.]
No comments:
Post a Comment