Firefox è il browser più vulnerabile, seguito a ruota da Safari

[Damaged_brain]

Curioso notare come questa classifica rispecchi quella di diffusione dei browser...

che ci sia una correlazione? ovvero maggiormente diffuso ---> + gente che prova a bucarlo.

Saluti.

[mak77]

Mah, Secunia:

Unpatched 40% (2 of 5 Secunia advisories)
The most severe unpatched Secunia advisory affecting Microsoft Internet Explorer 8.x, with all vendor patches applied, is rated Less critical.

Unpatched 23% (9 of 39 Secunia advisories)
The most severe unpatched Secunia advisory affecting Microsoft Internet Explorer 7.x, with all vendor patches applied, is rated Moderately critical

Unpatched 0% (0 of 5 Secunia advisories)
There are no unpatched Secunia advisories affecting Mozilla Firefox 3.5.x, when all vendor patches are applied.

[Rand]

Approfondimento di quello che dicevo prima:

Quote:

Measure What Matters – The SEC Essentials
04.22.09 - 11:06am

People want to know that they are safe when they browse the web. There are important differences between browsers when it comes to security, and so it’s no surprise to see a growing number of groups out there attempting to compare browsers based on their security record. That’s great news; not only does it help inform users, but it also lets browser authors know where they stand, and where they can improve.

The thing to watch when you’re measuring software security, though, is that you’re measuring the things that matter. We’ve talked about this before, but it bears repeating: if you measure the wrong things, you encourage vendors to game the system instead of actually making things better.

What Makes A Good Security Metric?

There isn’t a single statistic you can gather that will give you a complete picture of security. Any robust security metrics model will need to take into account multiple factors. Nevertheless, there are 3 essential elements that should underlie any well-designed model. We call them the SEC essentials:

Severity : A good measurement model will put more emphasis on severe, automatically exploitable bugs than it does on nuisance bugs or ones that require users to cooperate extensively with their attacker. Measuring severity encourages vendors to fix the right bugs first, not to pad their numbers with minor fixes while major vulnerabilities languish.

Exposure Window : It’s not very informative to count the absolute number of bugs but it is very important to know how long each bug puts users at risk. Measuring exposure window encourages vendors to fix holes quickly, and to get those fixes out to users.

Complete Disclosure : The other measurements you compile are almost meaningless if you can’t see all the fixed bugs. Some vendors only disclose flaws found by outside sources, concealing those discovered by their internal security teams to keep their bug numbers down. Measuring only externally-discovered vulnerabilities rewards vendors who are purely reactive and, worse, it fails to credit vendors who develop strong internal security teams. Those teams often find the majority of security bugs; it’s important that any security metric recognizes and encourages it.

What’s The Solution?

If it were easy to find a calculation that included all of this information in a universal way, we’d be using it. When we wrote about our metrics project last year, it was with the aim to develop these ideas, and to change the tone of the discussion.

If the work there has taught us anything, it is that this will not happen overnight. The first step, though, is being clear about what we should expect from any assessment of security. If it doesn’t focus on the three SEC essentials: Severity, Exposure Window, and Complete Disclosure, ask yourself why not. And then ask the people doing the measuring.

Johnathan Nightingale
Human Shield

[maste]

Quote:

Originariamente inviato da Paganetor

ma, soprattutto, perchè il grafico deve fare somma 100? si parla di quanti exploit, tra 3100, risultano "efficaci" contro un determinato browser...

appunto...un grafico a torta non ha senso, dovevano utilizzare un istrogramma.....

poi non ho capito le metologia di test, non sono specificate le versioni dei programmi (ovvio che se hanno usato firefox versione 1 è vulnerabile!!!) mi sa che hanno solo contato le vulnerabilita scoperte, certo è che se vengono tappate subito non vedo dove sia il problema, il problema è quando vengono ignorate e non corrette o corrette dopo molto tempo

[Human_Sorrow]

E' ovvio che hanno utilizzato l'ultima versione stabile disponibile per ogni browser ...
Con cosa li devono fare i test con IE 6 e FF1 ????

[gas78]

Quote:

Originariamente inviato da al135

contento di utilizzare explorer. cmq la fonte (se è quella che dicono) è abbastanza attendibile

Doh!

Ovviamente.. si fa per ridere eh

[Anthony77]

guarda caso da quando anni fa passai alla volpe non ho più beccato nulla...prima il mio pc era un porto di mare...

[stuz87]

basta saper usare internet come si deve, e gli attacchi si evitano. Con qualsivoglia browser si navighi...

[Z80Fan]

Anche io non capisco il grafico a torta... boh.

> Cenzic è una società specializzata nello sviluppo di software e prodotti
> per la protezione dei siti web da attacchi ***hacker***

Usiamo i termini corretti: cracker

[+Benito+]

ehm, non ho letto tutte le pagine dei commenti ma c'è un errore mastodontico! Quello è un grafico a torta che non si può leggere intermini assoluti! Diversamente non sarebbe a torta e la somma non farebbe 100. é un po' curioso che la somma delle percentuali singole di vulnerabilità sia 100.

[Z80Fan]

un'altra cosa, a tutti quelli che adorano Internet Explorer e ora sfottono Firefox:

http://acid3.acidtests.org/

Forse quelli di Cenzic hanno ottenuto un valore così basso perchè non hanno potuto visualizzare delle pagine sotto test?

[ndrmcchtt491]

Non so con che criterio hanno fatto questa ricerca, ma quando usavo Internet Explorer ogni settimana dovevo fare pulizia di schifezze varie, ora che uso Firefox non vedo un virus o uno spywere da molto tempo...

[rrtype]

beh pure a me non mi ha mai dato troppa affidabilità anche se ormai lo uso da anni
aspetto solo che gli altri browser tirino fuori qualcosa tipo adblock +
e addio firefox

[sassi]

Quote:

Originariamente inviato da rrtype

beh pure a me non mi ha mai dato troppa affidabilità anche se ormai lo uso da anni
aspetto solo che gli altri browser tirino fuori qualcosa tipo adblock +
e addio firefox

Nelle ultime release di Chrome c'è una cosa simile.

[Vangraft]

Quote:

Originariamente inviato da manowar84

così l'indagine è assolutamente priva di significato.

Meglio 100 falle corrette in 24 ore che 1 falla aperta per 2 mesi. E questo mi pare sia ovvio quindi così l'indagine è veramente inutile.

sei l'unico che ha scritto le cose piu' sensate

Quote:

Originariamente inviato da Alessio.16390

Opera sempre superiore.

certo, non lo usa nessuno, non ha nemmeno il 2% di mercato nel mondo ..che interesse vuoi che abbiano hacker & cracker a smanettare Opera per trovargli vulnerabilita' poi da sfruttare che non lo usa quasi nessuno?
col fatto che Firefox sta ad ora quasi al 31% di mercato mondiale e' ovvio che adesso si accaniscono a cercare e studiare vulnerabilita' su firefox per colpire piu' utenza che lo usa

ma Mozilla gli update li fa uscire al volo e non dopo mesi

quello che importa e' velocita' nel creare i patch fix... Tra l'altro firefox si autoaggiorna da solo ai patch security fix perche' e' impostato di default per autoaggiornarsi al rilascio di fix update senza che l'utente debba fare nulla, quindi il rischio che utenti rimangano con una versione di firefox outdated e vulnerabile e' quasi impossibile

[Vangraft]

http://www.webnews.it/news/leggi/107...he-aggiornati/

Firefox e Chrome, sicuri perché aggiornati

Secondo una recente ricerca, grazie ai sistemi di update automatico, Chrome e Firefox sono i browser più aggiornati e dunque mediamente più sicuri. Notizie meno buone per Safari e Opera a causa dei loro sistemi di aggiornamento maggiormente macchinosi

Gli utenti di Firefox e Chrome possono fare affidamento su browser maggiormente aggiornati rispetto a chi utilizza Opera o Safari. Sono queste le conclusioni di una recente analisi realizzata dalla divisione elvetica di Google in collaborazione con l'istituto di ricerca Swiss Federal Institute of Technology per verificare la frequenza negli aggiornamenti, e dunque il grado di sicurezza, degli applicativi più utilizzati per navigare sul Web dopo Internet Explorer.


Da poco reso pubblico, lo studio ha utilizzato le informazioni raccolte in forma anonima e aggregata dai server di Google sui browser delle decine di milioni di persone che quotidianamente accedono al famoso motore di ricerca. La ricerca ha così messo in evidenza come il 97% degli utenti di Chrome utilizzi la versione più aggiornata del browser a distanza di appena una ventina di giorni dal suo rilascio. Una media molto alta, resa naturalmente possibile dal sistema di aggiornamento automatico dell'applicativo sviluppato da Google, che non richiede alcun intervento diretto da parte dell'utente. Notevole anche il dato medio su Firefox: l'analisi ha rivelato come l'85% degli utenti del famoso browser open source utilizzi l'ultima versione dell'applicativo rilasciata tre settimane prima della rilevazione da parte dei ricercatori svizzeri.
Secondo gli autori della ricerca, la funzione di aggiornamento automatico di Chrome e il sistema di update particolarmente semplice e rapido di Firefox costituiscono una risorsa molto valida per mantenere i browser sempre aggiornati e dunque maggiormente sicuri per la navigazione online. I due sistemi semplificano l'esperienza d'uso degli utenti che, come dimostrano i dati, hanno maggiori possibilità di utilizzare sempre l'ultima versione degli applicativi per il browsing. Il confronto con gli altri browser conferma l'andamento messo in evidenza dalla ricerca.
In media, solamente il 53% degli utenti di Safari 3 è risultato essere in possesso dell'ultima versione dell'applicativo sviluppato e distribuito da Apple. Secondo i ricercatori, la causa va ricercata nella mancanza di un sistema di aggiornamento interno al browser, che fa invece affidamento sulla funzione "Aggiornamento Software" del sistema operativo che verifica la presenza di update ogni giorno, settimana o mese a seconda delle preferenze impostate dall'utente.
Ancora più bassa la media per Opera, con appena il 24% degli utenti in possesso dell'ultima versione aggiornata dal browser a causa di un sistema di update macchinoso e non sempre molto intuitivo per gli utilizzatori meno esperti. La ricerca non prende invece in considerazione Internet Explorer, il browser più utilizzato online. L'applicativo di Microsoft viene aggiornato, quando necessario, su base mensile contestualmente al rilascio degli update per il sistema operativo e le altre soluzioni software sviluppate da Redmond.
Il rilascio tempestivo degli aggiornamenti per i browser costituisce una delle principali armi per assicurare un buon livello di sicurezza ai sistemi collegati alla Rete. Le soluzioni per gli update automatici lasciano meno possibilità di scelta agli utenti, ma in compenso garantiscono una maggiore affidabilità dei sistemi; un compromesso accettabile, conclude la ricerca.

[Crimson Skies]

Non voglio flammare ma voglio far notare a tutti una cosa.
Fin dal primo post tutti a dire che è una panzata, che i tests non sono attendibili, che sono stati smentiti ecc.

Però avrei voluto vedere se si fosse trattato di IE. Nella news che trattava del Ballot tutti hanno dato addosso a IE. Qui tutti o comunque molti a difendere FF.

Chiudo visto che a me non frega niente visto che uso IE e non ho mai avuto problemi.

[Vangraft]

come vedete usare un Browser e non tenerlo sempre aggiornato all'ultima release non serve a niente anche se ha meno vulnerabilita' perche' si stara' con un browser sul computer sempre vulnerabile se non lo si aggiorna , cosa che firefox fa da solo in automatico senza che l'utente se ne possa dimenticare

in questo caso Opera come da articolo sopra

[Special]

E infatti ho Opera su tutti i pc e ho convertito quasi tutti gli amici a Opera

MITTTICIII

[MiKeLezZ]

Quote:

Originariamente inviato da Vangraft

sei l'unico che ha scritto le cose piu' sensate



certo, non lo usa nessuno, non ha nemmeno il 2% di mercato nel mondo ..che interesse vuoi che abbiano hacker & cracker a smanettare Opera per trovargli vulnerabilita' poi da sfruttare che non lo usa quasi nessuno?
col fatto che Firefox sta ad ora quasi al 31% di mercato mondiale e' ovvio che adesso si accaniscono a cercare e studiare vulnerabilita' su firefox per colpire piu' utenza che lo usa

ma Mozilla gli update li fa uscire al volo e non dopo mesi

quello che importa e' velocita' nel creare i patch fix... Tra l'altro firefox si autoaggiorna da solo ai patch security fix perche' e' impostato di default per autoaggiornarsi al rilascio di fix update senza che l'utente debba fare nulla, quindi il rischio che utenti rimangano con una versione di firefox outdated e vulnerabile e' quasi impossibile

Prima di fare questo commento ti sei messo quale tipo di cappello? Quello del programmatore? Dell'analista? Del panettiere?

Se ci mettiamo il cappello dell'utente comune è ovvio che sia meglio un browser che abbia il valore minimo di vulnerabilità per l'ovvio motivo che quell'utente avrà le minor percentuali che un attacco al suo browser vada a buon fine

La velocità con cui vengono patchate le vulnerabilità è secondario. Può essere utile se vogliamo fare un "mondiale costruttori", e allora il team Mozilla guadagna punti per la velocità di bugfix... ma ci stiamo proprio arrampicando se vogliamo usarla per affermare che un browser sia più sicuro dell'altro, eh :-)