Comments 32
Забавно, что график уязвимости в браузерах не соответствует таблице:
Например, для хрома почему-то берутся суммы для разных версий, причем если посмотреть сумму уровня «высокий», то получится 177, а не 197, как на графике. Для эксплорера сумма почему-то не считается, а берется от балды число 20 для того же уровня «высокий». Далее, я не уверен, что для хрома считались разные уязвимости для разных версий, т.е. вполне возможно, что одна и та же уязвимость попала одновременно в разные версии. В общем, есть ложь, большая ложь и статистика.
Например, для хрома почему-то берутся суммы для разных версий, причем если посмотреть сумму уровня «высокий», то получится 177, а не 197, как на графике. Для эксплорера сумма почему-то не считается, а берется от балды число 20 для того же уровня «высокий». Далее, я не уверен, что для хрома считались разные уязвимости для разных версий, т.е. вполне возможно, что одна и та же уязвимость попала одновременно в разные версии. В общем, есть ложь, большая ложь и статистика.
Спасибо, исправим. Должно быть 177.
Приносим свои извинения за неточность, допущенную при публикации. После подробного изучения проблемы выяснилось, что в таблицу не попали данные об уязвимостях в Google Chrome 15.x, поэтому данные в таблице не соответствовали данным на графике. Мы добавили данные об уязвимостях в Google Chrome 15.x в таблицу.
Благодарим, что обратили внимание на недостоверность данных и сообщили нам об этом
Благодарим, что обратили внимание на недостоверность данных и сообщили нам об этом
Интересно, как они считали уязвимости в Linux. Там ведь при желании можно дистрибутив с 4Гб софта скачать, и все поставить.
Если брать актуальные версии, то Fx и Opera могут посоперничать. А Chrome на равне с IE. Как-то бредово суммировать все ошибки в разных версиях. Ведь выпускают новые версии как раз с исправлением ошибок.
Мы публикуем статистику по найденным уязвимостям. Если производитель осуществляет поддержку различных версий браузеров, то нужно считать уязвимости в этих браузерах. Автор комментария предлагает считать уязвимости только в актуальной версии барузера. На момент публикации уязвимостей, версия браузера, которая содержала уязвимости, была актуальной.
Если люди не обновляются — это не значит, что версия актуальная. Остальное комментировать даже не хочется. Т.к. для вас браузер Х имеющий 100 уязвимостей будет лучше, чем 10 версий браузера Y, каждая из которых имеет по 15 уязвимостей (которые к тому же могут быть одними и теми же), что в сумме дает 150 уязвимостей (или вообще только 15).
Если производители браузера в течение выпуска 10 версий не могут исправить одни и те же 15 уязвимостей — я не уверен, что он будет лучше.
Я думаю опера — это пока неуловимый джо.
Пока её доля в мировом трафике мизерна, не будет целенаправленного брейншторма под уязвимости, если выбьется в топы, получит свой процент бесплатного аудита с вытекающими.
Пока её доля в мировом трафике мизерна, не будет целенаправленного брейншторма под уязвимости, если выбьется в топы, получит свой процент бесплатного аудита с вытекающими.
Я негодую! Почему уязвимости Chrome суммируют только с 8-й версии? Нужно начинать с 1-й, тогда мы получим намного более релевантную картину.
Посмотрел на график, подумал стало больше специалистов по взлому… посмотрел в окно 14 летние детишки пьют ягу и курят, понял что всё моя фантазия
В 2010, по результатам похожего исследования, было тоже самое, Chrome на 1 месте среди браузеров.
webrowser.ru/bezopasnost/google-chrome-zanyal-1-mesto-po-kolichestvu-uyazvimostej.html
webrowser.ru/bezopasnost/google-chrome-zanyal-1-mesto-po-kolichestvu-uyazvimostej.html
Отличный вброс, господа :) Большие цифры у конкретного продукта создают впечатление у читателя о том, что продукт не безопасен. Но справедливости ради надо отметить, что тот же Хром спонсирует поиск уязвимостей, поэтому результат ожидаемо очень высок. Количество найденный уязвимостей не равно количеству уязвимостей, которые реально были использованы. Не учитывается и длительность выхода патча, устраняющего уязвимость. В общем статистика мало о чем говорит.
P.S. Конечного пользователя Оперы не волнует, за счет чего достигнуто малое число найденных уязвимостей (высокая фактическая защищенность или низкий интерес у злоумышленников). Так что пока доля невелика (и таковой она, скорее всего, останется навсегда), они могут быть спокойны.
P.S. Конечного пользователя Оперы не волнует, за счет чего достигнуто малое число найденных уязвимостей (высокая фактическая защищенность или низкий интерес у злоумышленников). Так что пока доля невелика (и таковой она, скорее всего, останется навсегда), они могут быть спокойны.
ИМХО. Считать уязвимости не совсем корректно для определения более безопасного «продукта». Уязвимости это одно, а боевые эксплойты к ним — совсем другое дело.
Хоть кто-нибудь видел в боевых сплойт-паках что-нибудь под Хром? В основном плагины (Java/Adobe) =)
Хоть кто-нибудь видел в боевых сплойт-паках что-нибудь под Хром? В основном плагины (Java/Adobe) =)
Более того, мотивируйте людей искать баги не в Хроме, а в Опере (например программой типа pwnium и тд), то кол-во найденных уязвимостей в Опере резко возрастет. Если я не ошибаюсь, то даже ZDI не покупает уязвимости в Опере…
Sign up to leave a comment.
Обзор уязвимостей в 2011 году: Opera на коне, Adobe в зоне риска