Jens Gyldenkærne Clausen wrote :
> Jesper Stocholm skrev:
>
>>> Det er nok bedre med alternativer som Mozilla-baserede
>>> browsere eller Opera. Så får man dels bedre sikkerhed
>>
>> Er der da færre fejl i Mozilla end i IE?
>
> Jeg er ret overbevist om at der er færre alvorlige fejl.
> Se evt. følgende fra FAQ'en
> <
http://www.mozilla.org/start/1.5/faq/general.html#patch>
Denne side siger ikke noget om sikkerhed.
> Der er flere grunde til at det er sikrere at benytte noget andet
> end IE.
Ja - men kvaliteten af koden er ikke en af dem.
> Dels skrives ondsindet kode - hvad enten det er virus, spyware
> eller andet - næppe til meget andet end Internet Explorer. Det er
> ulempen ved at have langt størsteparten af markedet.
>
> Dels bygger Internet Explorer videre på meget gammel kode. Det
> betyder bl.a. at der er kodelementer fra en tid hvor sikkerhed slet
> ikke blev vægtet så højt som i dag.
Reelt ved jo kun Microsoft, hvor gammel koden er i de nyeste versioner af
IE.
> Integrationen med styresystemet er et andet potentielt problem.
Der er jo så meget, der er et potentielt problem. OSS-tankegangen omkring
"peer-review" er jo også et potentielt problem, da de de eneste
sanktionsmuligheder man har overfor udviklere er, at "man mister anseelse
i sit community, hvis man laver dårlig kode". Spørgsmålet er mere, om det
er et _reelt_ problem. Det tror jeg ikke, at det er - og heller ikke
integrationen af IE med Windows.
> Microsoft har gjort det muligt at udføre en lang række opgaver ved
> hjælp af scripts. Det er på den ene side ganske praktisk for dem
> der kan udnytte det fornuftigt. Men de ekstra muligheder giver også
> langt større risiko for sikkerhedshuller.
Jo flere dimser du sætter sammen, jo større er mulighederne for fejl -
det er jo evident.
> Mozilla bygger på langt nyere kode end IE og her har sikkerheden
> været taget alvorligt fra starten.
Måske ikke i selve koden, men ikke i anvendelsen af browseren. Siden jeg
installerede FireFox har jeg installeret 5-10 plugins/add-on's fra
mozilla.org. _Ingen_ af disse xpi-filer har været signerede digitalt -
omend de hentes fra det "officielle" website for FireFox. Det betyder at
jeg er blevet advaret om dette hver gang - men hvilket alternativ har
jeg? Jeg kan selvfølgelig - antager jeg - hente koden og kigge den
igennem, men det er ikke realistisk for almindelige brugere. Problemet
er, at man vænner folk til at ignorere disse advarsler - hvilket i bund
og grund er fuldstændigt hul i hovedet - selv Microsoft har lært, at man
ikke skal advare folk om ligegyldige ting - så ignorerer de nemlig
beskederne. Det er muligt at sikkerheden har været taget alvorligt fra
starten - men det er i hvert fald ikke på brugersiden at indsatsen har
været. Hvordan skal en almindelig bruger kunne vurdere, hvornår det er OK
at installere et program, der advarer om manglende signatur, eller ej? Så
længe man vænner folk til at ignorere advarsler, så lægger man
_potentielt_ kimen til langt større problemer end en eventuel integration
med styresystemet.
> Der er et åbent
> fejlrapporteringsværktøj, så enhver kendt fejl kan ses og vurderes
> uden problemer.
Af hvem? Hvem kontrollerer kvaliteten af de folk, der kigger det igennem?
Jeg spørger, da jeg ikke ved det.
--
Jesper Stocholm
http://stocholm.dk
Linux advocacy how-to:
http://www.datasync.com/~rogerspl/Advocacy-HOWTO-5.html