לינוקס, אינטרנט ותקנים.

מוזילה מול אקספלורר - צוחק מי שצוחק אחרון.

ושוב פעם "עידכון אבטחה קריטי" מהגלריה של מיקרוסופט.
ומה הפעם ? רכיב אקטיבX מסכן את המערכת, באחת מהרצאות האחרונות של סטיב בלאמר, הוא תקף את הפינגווינים והתגרה בהם כמה זמן יקח להם לתקן פגם אבטחה, במיקרוסופט לדבריו הדבר יקח יום עד יומים והענין יסודר, אחרי הכל הם מעסיקים אלפי מתכנתים בתשלום לא? אך למרבה הפלא לא מזמן הדפדפן הפופלרי "אינטרנט אקספלורר" קיבל עוד עידכון אבטחה קריטי, ומיקרוסופט קיבלה זבנג לא קטן מאירגון US-CERT (מרכז אבטחת מידע באינטרנט של הממשל האמריקאי) שהזהיר את הגולשים מפני שימוש בדפדפן האינטרט של מייקרוסופט, מאחר שהתגלתה פירצת אבטחה משמעותית בדפדן שעלולה לחשוף סיסמאות ומספרי כרטיס אשארי ובנק, מה שהקפיץ את כמות ההורדות של מוזילה לפי שנים מהממוצע, ולגרום לאינטרנט אקספלורר להפסיד אחוז אחד שלם של משתמשים. כשיצאה ההודעה שהדפדפן לא מאובטח. מיקרוסופט זריזה מתמיד הוציאה עידכון אבטחה תוך עשרה יום!, וסוף סוף כשיצא עידכון האבטחה ממיקרוסופט, מליוני אנשים נשמו לרוחה, אבל... רק לזמן מועט, כשהתגלתה האמת מה עומד מאחורי התיקון, הבעיה חזרה לקדמותה. מיקרוסופט ביטלה את רכיב X בדפדפן, מה שאיפשר להאקרים לא בהכרח מתוחכמים, להחזיר את הפירצת האבטחה לקדמותה שוב.

לאחר שבוע התגלתה גם בעיה חמורה מאוד בדפדפני מוזילה, הבעיה היא ספציפית למערכת חלונות, פירצת אבטחה מאפשרת להאקר זדוני להריץ קוד על הShell של הוידוס ולצפות בכל המערכת. (הבעיה נמצאה גם בתוכנת וורד וMSN Messenger ) צוות פיתוח מוזילה פירסם תיקון לאחר לילה אחד בלבד! ואף יצאה גירסא חדשה של פירפוקס 9.0.2.והענין חוסל.

זהו רק דוגמא אחת מיני רבות ואף חומורות יותר.. זוכרים את הבאג שגילתה חברת eEye? ושוב כמה זמן לקח להם לתקן את הבעיה הזאת?, 216 ימים!!!. מיקרוסופט היום משחררת טלאי אבטחה כל שני וחמישי. מאז פיתוח אינטרנט אקספלורר 6.1 מיקרוסופט לא פיתחה עוד את הדפדפן, רק לאחרונה שיחררה הודעות שצוות פיתוח הדפדפן יתחיל בהמשך פיתוח הדפדפן (אל תתרגשו הדפדפן הבא יצא עם גירסאת חלונות הבאה "לונגהורן").

מודל קוד הפתוח חובק בתוכו יתרונות עצומים. שעוברים על השורות אלפי אנשים והוא פתוח לכל סבירות מציאת הבאגים גבוהה יותר מפיתוח קניני בקוד
ebhbh. שהתוכנה מפותחת תחת מאות אנשים זריזות עידכון בעיות תיקוני אבטחה מוכרחת להיות מהירה יותר.

למשל נצפה ביומן האירועים של שחרור טלאי האבטחה לדפדפני מוזילה.
7 ביולי, 13:46: קית' מק-קאנלס פותח קריאה בבאגזילה של הפרוייקט
7 ביולי, 16:26: ג'וש פרימון שולח הודעה לרשימת התפוצה full disclosure אחרי שגם הוא מדווח על הבעיה
7 ביולי, 18:16: מפתח מוזילה המשתמש בכינוי 18:16 משחרר טלאי ראשון שחוסם את הפרצה
7 ביולי, 18:19: מייק שייבר, מאשר שבדק את הקוד ונותן אור ירוק להכנסתו לעץ הפיתוח של מוזילה
7 ביולי, 18:55: הטלאי מוכנס לעץ הפיתוח של מוזילה
7 ביולי, 18:58: הטלאי מוכנס לעץ היציב של מוזילה 1.4 עד 1.7
7 ביולי, 19:25: אנדראס סאנבלד מעדכן ברשימת התפוצה full disclosure שהבעיה חמורה ומספק דוגמאות קוד המדגימות את הפרצה
7 ביולי, 22:27: הטלאי מוכנס לענף הקוד של פיירפוקס ות'אנדרבירד
יומן אירועים זה נלקח מאתר
ווטסאפ

אחרי צפיה ביומן האירועים, אפשר לקחת אינדיקיצה לגבי כל הענין של מודל קוד פתוח, מול תוכנות קניניות. היתרון הגדול של הקוד הפתוח הוא דבר ראשון האבטחה, וזה עוד לפני החימניות, קשה יהיה למצוא מצב שבו מפתחי קוד יתפסו עם מכנסים למטה...

להורדת מוזילה

---