Firefox è il browser più vulnerabile, seguito a ruota da Safari

[Dcromato]

Occhio a chrome che si fa un pò troppo gli affari vostri e lo dice un pò in giro

[mau.c]

avranno fatto la prova con explorer 1.01 che subiva pochi attacchi ma non apriva il 99,9% delle pagine web, e comunque crashava prima di subire l'attacco.

flammata da paura

[WarDuck]

Firefox ha una codebase decisamente vecchia, andrebbe sicuramente riscritto da 0, quindi ci può stare che vengano fuori parecchie falle, ma la cosa più importante è correggerle.

E' ovvio che a lungo andare questo è deteriorante per il codice, a forza di mettere patch.

Chrome è ancora troppo immaturo per i miei gusti... hanno introdotto le estenzioni (in maniera usabile)? E soprattutto un adblock (imho fondamentale)?

Continuo in ogni caso ad usare Firefox perché lo reputo cmq il miglior compromesso, poi cmq la versione 3.6 è alle porte e promette di essere un po' più prestante.

[Therinai]

che tristezza certe news, che tristezza...

[jappilas]

Quote:

Originariamente inviato da WarDuck

Chrome è ancora troppo immaturo per i miei gusti... hanno introdotto le estenzioni (in maniera usabile)? E soprattutto un adblock (imho fondamentale)?

ma anche: hanno migliorato la gestione dei bookmark? hanno migliorato l' occupazione di memoria e di cpu tali per cui il programma collassava in presenza di un certo numero di tab aperte (laddove Opera ne sosteneva agevolmente molte, ma molte di più - e sulla stessa macchina)?

[mau.c]

Quote:

Originariamente inviato da WarDuck

Chrome è ancora troppo immaturo per i miei gusti... hanno introdotto le estenzioni (in maniera usabile)? E soprattutto un adblock (imho fondamentale)?

considero altamente improbabile che google supporti una cosa come adblock. che potenzialmente potrebbe tagliare i suoi utili in pubblicità di parecchi milioni...
google è pubblicità. adblock serve a bloccare la pubblicità.

a mio modesto parere chrome è stato spinto anche perchè firefox stava andando in una direzione un po' pericolosa da questo punto di vista. se davvero riesci a bloccare tutta la pubblicità, sulla maggior parte delle macchine tutta la rete potrebbe avere una crisi pesante.

[WarDuck]

Quote:

Originariamente inviato da mau.c

considero altamente improbabile che google supporti una cosa come adblock. che potenzialmente potrebbe tagliare i suoi utili in pubblicità di parecchi milioni...
google è pubblicità. adblock serve a bloccare la pubblicità.

Si questo è vero, l'ho pensato anche io, però magari attraverso qualche estenzione si dovrebbe cmq poter fare.

Quote:

Originariamente inviato da mau.c

a mio modesto parere chrome è stato spinto anche perchè firefox stava andando in una direzione un po' pericolosa da questo punto di vista. se davvero riesci a bloccare tutta la pubblicità, sulla maggior parte delle macchine tutta la rete potrebbe avere una crisi pesante.

Più che altro è la rete che sta andando alla deriva... sono favorevole alla pubblicità sottoforma di banner (fisso possibilmente non di quelli espandibili o che ti seguono in ogni dove), ma spesso è veramente invasiva (intellitext né è un esempio).

Preferirei che un sito mostrasse subito tutta la pubblicità e poi dopo qualche secondo mi lasciasse in pace, quantomeno per la sessione corrente.

Senza contare che ci sono siti pieni zeppi che cmq su macchine non proprio recenti sono impossibili da navigare.

[columbia83]

Ho i miei dubbi su quanto viene detto nell'articolo.

[Lithium_2.0]

Quote:

Originariamente inviato da WarDuck

Chrome è ancora troppo immaturo per i miei gusti... hanno introdotto le estenzioni (in maniera usabile)? E soprattutto un adblock (imho fondamentale)?

Quote:

Originariamente inviato da WarDuck

Si questo è vero, l'ho pensato anche io, però magari attraverso qualche estenzione si dovrebbe cmq poter fare.

Si scrive estensione

Quote:

Originariamente inviato da WarDuck

Più che altro è la rete che sta andando alla deriva... sono favorevole alla pubblicità sottoforma di banner (fisso possibilmente non di quelli espandibili o che ti seguono in ogni dove), ma spesso è veramente invasiva (intellitext né è un esempio).

Preferirei che un sito mostrasse subito tutta la pubblicità e poi dopo qualche secondo mi lasciasse in pace, quantomeno per la sessione corrente.

Senza contare che ci sono siti pieni zeppi che cmq su macchine non proprio recenti sono impossibili da navigare.

Concordo, io ho una ADSL wifi non velocissima 640/128Kbit/s e con AdBlock Plus + NoScript la navigazione è fluidissima e godibile in quasi tutti i siti, altrimenti mica tanto. Comunque è innegabile che la vera forza di FireFox sono le estensioni, gli altri browser da questo punto di vista sono indietro, il fatto che sia più vulnerabile (ma ho i miei dubbi) è relativo, poi comunque se parliamo di attacchi web non dimentichiamoci che fino a qualche anno fa navigavano praticamente tutti con IE6

[Aresius85]

maaaaa.....vi siete chiesti....perche' i colori del grafico hanno il colore del logo di win?

[TheMonzOne]

Looool...non sapevo che il pesce d'Aprile ora si facesse al 12 novembre...! E non è nemmeno carnevale!
Perchè...è uno scherzo, vero??? A parte il risultato in sè che mi pare già strano...ma proprio per il modo in cui è stato eseguito il test ed è stato esposto tale risultato...ho visto che in molti lo hanno chiesto ma nessuno ha ancora dato una risposta intelligente...perchè un grafico a torta??? Perchè il grafico è fatto in modo da raggiungere esattamente quota 100%??? Non ha nessunissimo senso in un test fatto secondo quei criteri...

Quote:

Originariamente inviato da Aresius85

maaaaa.....vi siete chiesti....perche' i colori del grafico hanno il colore del logo di win?

Ahahahah vero, vero

[MexeM]

Quote:

Originariamente inviato da TheMonzOne

Looool...non sapevo che il pesce d'Aprile ora si facesse al 12 novembre...! E non è nemmeno carnevale!
Perchè...è uno scherzo, vero??? A parte il risultato in sè che mi pare già strano...ma proprio per il modo in cui è stato eseguito il test ed è stato esposto tale risultato...ho visto che in molti lo hanno chiesto ma nessuno ha ancora dato una risposta intelligente...perchè un grafico a torta??? Perchè il grafico è fatto in modo da raggiungere esattamente quota 100%??? Non ha nessunissimo senso in un test fatto secondo quei criteri...



Ahahahah vero, vero

Invece è stato spiegato...
Il totale è il numero di bug (3200) riscontrati nei primi 6 mesi dell'anno a carico dei browser più diffusi.
Le percentuali rappresentano la quantità di bug a carico di ciascun browser, sul totale.
Il problema è che è un'indicazione piuttosto discutibile della sicurezza di un browser... Il fatto che non vengano trovati bug non vuol dire che non ci siano e non da indicazioni sulla gravità degli stessi. Ovviamente data la diffusione e la natura open source è scontato che la maggiorparte dei bug sia trovata a carico di firefox...

[TheMonzOne]

Quote:

Originariamente inviato da MexeM

Invece è stato spiegato...
Il totale è il numero di bug (3200) riscontrati nei primi 6 mesi dell'anno a carico dei browser più diffusi.
Le percentuali rappresentano la quantità di bug a carico di ciascun browser, sul totale.
Il problema è che è un'indicazione piuttosto discutibile della sicurezza di un browser... Il fatto che non vengano trovati bug non vuol dire che non ci siano e non da indicazioni sulla gravità degli stessi. Ovviamente data la diffusione e la natura open source è scontato che la maggiorparte dei bug sia trovata a carico di firefox...

Questa teoria non ha senso proprio come non lo ha il grafico a torta.
Se il risultato viene esposto in questo modo equivale a dire che prendendo FF e trovando che è affetto da un fantomatico 44% di quei "bug", automaticamente si esclude CATEGORICAMENTE che sia affetto ANCHE da quelli che compongono il 16% delle infezioni di Explorer. Lo stesso vale per il viceversa...dicendo che Explorer è affetto dal 16% di quegli exploit signifca affermare che non è affetto na NESSUNO di quelli che attaccano invece FF o Safari che hanno percentuali maggiori della sua.
Questa cosa è alquanto strana secondo me poiché, se anche le percentuali fossero corrette (non sto dicendo che non lo sono), sarebbe comunque molto difficile che non abbiano debolezze in comune.
Inoltre, formando un grafico a torna che riconduce al 100% delle infezioni significa che c'è la certezza che esista almeno un'infezione (ma potrebbero essere più di una) che affligge TUTTI i broswer contemporaneamente...mentre la possibiltà che ciò accada è imho rasente lo zero assoluto.
E' proprio l'idea di fondo del grafico a torta che è sbagliata...avessero messo un istogramma non ci sarebbe stato nulla da ridire...se non magari sui metodi di test o sull'attendibilità dello stesso.
Se poi il risultato è corretto devono allora spiegarci quale formula hanno usato per ricavarlo...cosa hanno fatto? Un rapporto bug affetti / bug totali per ogni browser e poi considerando il 100% come somma totale dei bug ai quali erano affetti i browser hanno ricavato le percentuali dei rapporti? E' da folli...e il risultato che si vede falsa tantissimo la percezione dell'utente...in questo modo le singole percentuali risultano sproporzionatamente più alte di quello che in realtà sono.
Quindi non si deve leggere il 44% di FF come "FF è vulnerabile a 1364 exploit su 3100" (che è di per sé una follia)...perchè in realtà sarebbero meno.
Senza contare poi la storia delle SQL Injection...anche quella ancora non l'ho capita...va be', pace.

[MexeM]

Ripeto, perchè evidentemente non mi sono spiegato...
Nei primi 6 mesi di quest'anno sono stati individuati 3200 BUG (BUG, non EXPLOIT...)nei browser presi in esame (che non significa 3200 tipi diversi di vulnerabilità (come fossero tipi di attacchi diversi), ma 3200 errori nel codice dei browser presi in considerazione, relativi alla sicurezza). Di queste il 44% erano vulnerabilità di firefox, il 33% di explorer, eccetera eccetera.
Nei primi 6 mesi di quest'anno sono stati trovati 1364 bug relativi alla sicurezza in firefox (che rappresentano il 44% del totale dei bug relativi alla sicurezza scoperti nei primi 6 mesi di quest'anno per quanto riguarda quei browser).
Non c'entra niente il tipo di vulnerabilità o come sfruttarla (non sono tipi di exploit a cui i browser sono vulnerabili).
Questi bug sono TUTTI stati corretti, è solo il numero di bug riscontrati nei primi 6 mesi di quest'anno.
Notare la differenza tra Bug (errore nel codice) ed exploit...

Quote:

Un rapporto bug affetti / bug totali per ogni browser e poi considerando il 100% come somma totale dei bug ai quali erano affetti i browser hanno ricavato le percentuali dei rapporti? E' da folli...e il risultato che si vede falsa tantissimo la percezione dell'utente...in questo modo le singole percentuali risultano sproporzionatamente più alte di quello che in realtà sono.

E' esattamente così. Solo che secondo me tu non hai perfettamente chiaro il concetto di bug. I bug sono errori nel codice, ed essendo il codice dei vari browser diverso, difficilmente si tratterà degli stessi errori. Non c'entra il modo di sfruttarli (che può essere simile, o anche uguale) o quale area di sicurezza vanno ad affliggere.

Quote:

Quindi non si deve leggere il 44% di FF come "FF è vulnerabile a 1364 exploit su 3100" (che è di per sé una follia)...perchè in realtà sarebbero meno.

Non si deve leggere così, perchè sono stati corretti, ma 6 mesi fa firefox presentava 1364 bug. Almeno questi sono i dati riportati. Il che non vuol nemmeno dire che ci sia mai stato tempo di sfruttare anche solo uno di questi bug, o sia mai esistito un exploit che se ne avvantaggiasse.

Quote:

Senza contare poi la storia delle SQL Injection...anche quella ancora non l'ho capita...va be', pace.

E' stata citata, ma non c'entra niente. Faceva parte di un discorso più ampio sulle vulnerabilità web. Quelle a carico dei browser costituiscono il 5% del totale.
Comunque tutte queste cose sono state chiarite nei commenti, e sono anche riportati gli estratti originali in cui sono riportati i dati... Basta leggere attentamente...

Certo è che la notizia è riportata malissimo...

[Max81M]

A pensar male si fa peccato ma...

[Mattz]

Come già detto sono test che fanno clamore, ma non dovrebbero.

Io uso opera da anni anche perchè la veste grafica è ottima e tutte le funzioni che dovrei aggiungere tramite estensioni in ff (rendendolo pesante) sono perfettamente incluse in Opera, tranne un adblock serio e non macchinoso come quello disponibile.

Comunque sia penso che continuerò ad usare opera e firefox insieme come ora, a livello di vulnerabilità i dati sono troppo altalenanti..a volte dicono sia superiore opera (ma pochi lo usano e quindi non è paagonabile con ff), altre volte è meglio ff..

Per usi non specifici basta essere un po' furbi e non si subiscono attacchi con nessun browser..addirittura con IE.

[Player1]

Ma a quali versione di firefox si riferisce?

[dotlinux]

Risultato scontato

[abassign]

Ecco chi è Cenzic:

Cenzic Recognized as a Microsoft Certified Partner, Experiences Substantial Momentum in Q2

C'é da crederle ?
Se poniamo di si la mia esperienza di consulente IT ha notato quanto segue:
1. Se installo Explorer 6-7 dopo pochi minuti il sistema popula di Spyware.
2. Se install Explorer 8 non ho fatto test specifici, ma so che ad ogni atto di attività Web che non sia il browsing del sito Microsoft (ovviamente esagero...) il sistema ha qualcosa da dire o peggio da non fare. Per installare un sistema di firma digitale su card della regione Lombardia ho dovuto ridurre i sistemi di sicurezza a livelli minimi, altrimenti si rifiutava di seguire tutto... e questo non è un bug indiretto ?
3. Se installo Firefox non ho trovato Spyware nati dalla navigazione (ovviamente un discorso diverso se installo paccetti tipo tuttosesso.exe...) in anni di lavoro, anzi è oramai pratica comune installare Firefox proprio per quegli utenti che sembrano aspirapolveri di Spyware e questo non solo da parte mia... penso che questo mio effetto potrebbe nascere dalla gigantesca ed ingannevole pubblicità fatta da Firefox Foundation

Ergo ne deduco che...

[Ian Hawke]

Secondo me qua nessuno dei posters sa cosa voglia dire usare Firefox piuttosto che IE o Opera (e, per ultimo, massima ciofeca, Chrome).

Addons. Mai sentito parlarne?

Non esiste un browser sicuro "out-of-the-box", anche perchè internet è una tecnologia giovanissima e in evoluzione esponenziale. Su di un browser si vanno ad attestare una quantità incredibile di codici diversi (html,xml,java,flash,php, etc etc...), e un browser non può, se lascia passare tutti questi data streams, fare il lavoro di un appliance firewall/url filtering/AVP basata su cloud.

L'unico modo REALE di difendersi dentro un browser è disabilitare il più possibile tutti questi codici, ed abilitarli solo "on demand", in maniera da bloccare qualsiasi operazione lanciata dal browser. Il sandboxing di Chrome è una bella idea, peccato che Chrome, essendo Google-oriented, non si prenda cura di bloccare quei maledetti tracking cookies che sono all'interno del codice del 99,9% delle pagine web (anzi, SE LI SALVA BENE E NE HA ORGOGLIOSO!). I tracking cookies sono una violazione della privacy bella e buona, il fatto che esistano è di per se anticostituzionale (è come avere uno che vi riprenda durante tutto il giorno e vada a dire a terzi cosa avete fatto durante la giornata).

Qual'è la soluzione quindi? Installare Firefox. Perchè 1 è un progetto che è partito dall' Open Source, il che vuol dire che si può permettere un numero di sviluppatori e bug-reporters virtualmente scalabile a chiunque abbia un computer e si intenda di programmazione. In secondo luogo, Firefox utilizza la politica che il suo vero valore siano DAVVERO le persone che collaborano con lui, per quello il repository degli addons.

Volete stare sicuri? Mettetevi NoScript e Adblock Plus. Fine.

Volete essere MOLTO più sicuri? Spendete quei 40 euro e compratevi un antivirus che non sia free. Non esiste niente di free che valga la pena avere installato. Se vedo qualcuno che dice che AVG è valido, lo insulto. A chiunque mi dica che ha una soluzione free funzionale rispondo "Scanner Euristico".

Se volete dei nomi, io spingo soltanto su Kaspersky. E' l'unica vera minaccia che stanno soffrendo le major, gli altri fan mezzo ridere (Shit-mantec per me è sullo stesso piano di Forefront, con MacAfee e TrendMicro appena sopra, e tra questi a diverse distanze, tutti gli altri innominati). Kaspersky IS, unito a Firefox con i suddetti addons, blocca una percentuale altissima di attacchi.

Mettetevi poi un bello switch-modem-router V-SEC della Cisco o, se non avete voglia di spendere molto, un Linksys. Gli mettete su il firewall, gli fate bloccare TUTTO il traffico in entrata e aprite le porte che vi servono. Quelli carini fanno anche un pochino di anti/ddos e non rispondono al ping, oltre alla possibilità di gestire la QOS. Avere 2 tecnologie di firewalling (uno software e l'altro hardware) è una grande tranquillità sul perimetro. Se poi avete dei soldi da tirar via, prendetevi un ASA con il modulo trendmicro e fate pure AV sul perimetro.

Ultimo step? SVEGLIARSI!!!!

La sicurezza nella navigazione è PRIMARIAMENTE responsabilità del navigatore. Come dicevo, internet è ancora molto giovane, e molti sono ancora inesperti. Farsi una ricerca su google per "porno" e passarsi mezz'ora a navigare tra i risultati può essere causa di totale devastazione per qualsiasi browser.

Se non siete capaci di dirimere, la soluzione finale che do alle persone è sempre la stessa: taglia il filo.