Pull to refresh

Comments 32

Забавно, что график уязвимости в браузерах не соответствует таблице:
Например, для хрома почему-то берутся суммы для разных версий, причем если посмотреть сумму уровня «высокий», то получится 177, а не 197, как на графике. Для эксплорера сумма почему-то не считается, а берется от балды число 20 для того же уровня «высокий». Далее, я не уверен, что для хрома считались разные уязвимости для разных версий, т.е. вполне возможно, что одна и та же уязвимость попала одновременно в разные версии. В общем, есть ложь, большая ложь и статистика.
Спасибо, исправим. Должно быть 177.
С графиком 0-day тоже нелады. В тексте написано, что у Microsoft 5 уязвимостей, на графике — 6.
Приносим свои извинения за неточность, допущенную при публикации. После подробного изучения проблемы выяснилось, что в таблицу не попали данные об уязвимостях в Google Chrome 15.x, поэтому данные в таблице не соответствовали данным на графике. Мы добавили данные об уязвимостях в Google Chrome 15.x в таблицу.
Благодарим, что обратили внимание на недостоверность данных и сообщили нам об этом
Интересно, как они считали уязвимости в Linux. Там ведь при желании можно дистрибутив с 4Гб софта скачать, и все поставить.
В Linux считались уязвимости только в ядре ОС, т.е. никакого стороннего софта и диcтрибутивов
Если брать актуальные версии, то Fx и Opera могут посоперничать. А Chrome на равне с IE. Как-то бредово суммировать все ошибки в разных версиях. Ведь выпускают новые версии как раз с исправлением ошибок.
Мы публикуем статистику по найденным уязвимостям. Если производитель осуществляет поддержку различных версий браузеров, то нужно считать уязвимости в этих браузерах. Автор комментария предлагает считать уязвимости только в актуальной версии барузера. На момент публикации уязвимостей, версия браузера, которая содержала уязвимости, была актуальной.
Если люди не обновляются — это не значит, что версия актуальная. Остальное комментировать даже не хочется. Т.к. для вас браузер Х имеющий 100 уязвимостей будет лучше, чем 10 версий браузера Y, каждая из которых имеет по 15 уязвимостей (которые к тому же могут быть одними и теми же), что в сумме дает 150 уязвимостей (или вообще только 15).
Если производители браузера в течение выпуска 10 версий не могут исправить одни и те же 15 уязвимостей — я не уверен, что он будет лучше.
Некоторые производители браузеров любят менять major version очень часто.
Некоторые? Вот он и стоит на первом месте:)
Если честно, я имел ввиду Firefox в основном :)
Ну конечно лучше 100 разных критических ошибок, чем 15 одних и тех же… Странная логика у людей.

Главное в этой статье то, что приведены факты. И каждый сам сделает для себя выводы.
Я думаю опера — это пока неуловимый джо.
Пока её доля в мировом трафике мизерна, не будет целенаправленного брейншторма под уязвимости, если выбьется в топы, получит свой процент бесплатного аудита с вытекающими.
UFO just landed and posted this here
А почему плохо ищут именно у Оперы?
Только не надо гооврить о малой доле Оперы среди браузеров. У Сафари тоже доля маленькая, тем не менее…
UFO just landed and posted this here
>> У Safari с Chrome один и тот же движок.
А результаты в таблице — разные.
UFO just landed and posted this here
Я негодую! Почему уязвимости Chrome суммируют только с 8-й версии? Нужно начинать с 1-й, тогда мы получим намного более релевантную картину.
UFO just landed and posted this here
UFO just landed and posted this here
Так как это отчет за год и в нем содержится информация по уязвимостям, опубликованным в 2011 году. 1-я версия браузера не поддерживалась уже в 2011 году, поэтому данных об уязвимостях в этой версии в нашем отчете нет.
Посмотрел на график, подумал стало больше специалистов по взлому… посмотрел в окно 14 летние детишки пьют ягу и курят, понял что всё моя фантазия
Отличный вброс, господа :) Большие цифры у конкретного продукта создают впечатление у читателя о том, что продукт не безопасен. Но справедливости ради надо отметить, что тот же Хром спонсирует поиск уязвимостей, поэтому результат ожидаемо очень высок. Количество найденный уязвимостей не равно количеству уязвимостей, которые реально были использованы. Не учитывается и длительность выхода патча, устраняющего уязвимость. В общем статистика мало о чем говорит.

P.S. Конечного пользователя Оперы не волнует, за счет чего достигнуто малое число найденных уязвимостей (высокая фактическая защищенность или низкий интерес у злоумышленников). Так что пока доля невелика (и таковой она, скорее всего, останется навсегда), они могут быть спокойны.
А мне как пользователю оперы не всёли равно почему меня меньше ломают? Потому что доля маленькая или потому что интереса нет? Всё это тавтология. По факту: нет проблемы — не надо волноваться.
ИМХО. Считать уязвимости не совсем корректно для определения более безопасного «продукта». Уязвимости это одно, а боевые эксплойты к ним — совсем другое дело.

Хоть кто-нибудь видел в боевых сплойт-паках что-нибудь под Хром? В основном плагины (Java/Adobe) =)
Более того, мотивируйте людей искать баги не в Хроме, а в Опере (например программой типа pwnium и тд), то кол-во найденных уязвимостей в Опере резко возрастет. Если я не ошибаюсь, то даже ZDI не покупает уязвимости в Опере…
Only those users with full accounts are able to leave comments. Log in, please.