di Percy Cabello
John Rapoza di eWeek riprende l'annuncio di Symantec della scorsa settimana riguardo il duello sulla sicurezza tra Internet Explorer e Firefox.
La conclusione è: risulta difficile affermare con certezza quale sia il prodotto più sicuro perché molto dipende da cosa esattamente si misura. Vorrei davvero che qualcuno se ne venisse fuori con il metro preciso per quanto concerne la sicurezza dei browser. In ogni caso, dovete tenere presente:
- il numero pesato di vulnerabilità scoperte. Una falla critica non dovrebbe contare quanto una di poca importanza
- il numero di vulnerabilità ancora presenti al momento
- la superficie di attacco
- il tempo che intercorre tra la scoperta e il rimedio temporaneo (se disponibile)
- il tempo che intercorre tra la scoperta e la patch
Tutti questi fattori sono solamente un'approssimazione alla vera domanda e al metro utilizzato per valutare per la sicurezza di un browser: quante vulnerabilità di sicurezza rimangono nascoste e quanto sono importanti? Ovviamente, più vulnerabilità vengono alla luce, meno vulnerabilità nascoste rimangono. Ma se il numero di vulnerabilità scoperte fosse solo la punta dell'iceberg?
Nessuno può dirlo con certezza ma credo che le possibilità di trovare bug in una scatola aperta dove chiunque (tecnicamente in gamba) possa dare un'occhiata sono maggiori rispetto a trovare bug in una scatola chiusa che abbia solo pochi (decine?) osservatori. Purtroppo è difficile quantificare quanti siano quelli che analizzano veramente il codice open source rispetto a quello closed, oppure quantificarne la qualità e la frequenza.
Personalmente, rimango incollato al percorso Mozilla sulla sicurezza, alla mia esperienza e alle possibilità che offre il mondo open source.
Nessun commento:
Posta un commento