segunda-feira, maio 30, 2005

O Firefox é mais seguro que o Internet Explorer?



Fonte:


Interessante artigo compara, em linhas gerais, os aspectos relativos a segurança do navegador open source Firefox em comparação ao Internet Explorer.

Introdução:

O Internet Explorer é um nagevador de internet gráfico feito pela Microsoft e vem integrado com o Windows. Mesmo sendo, de longe, o browser mais usado, desde 2004 ele vem perdendo, aos poucos, popularidade para outros como o Mozilla Firefox, seu rival open source desenvolvido pela Mozilla Foundation.


Arquitetura interna de segurança do IE e do Firefox

O Microsoft Microsoft Internet Security Framework traz uma grande variedade de atributos de segurança ao IE, como SSL, PCT (ambos protocolos de segurança baseados em chaves públicas e implementados no Firefox), autenticação usando chaves públicas da Certificate Autorithies (Digital IDs da Verisign), CryptoAPI (usado para incorporar criptografia dentro de aplicações) e, no futuro, ele vai incorporar o Microsoft Wallet dentro do Internet Explorer.

O IE6SP1 vem com bloqueio de pop-ups, um atributo esperado o qual o Firefox já possui há muito tempo, mesmo antes de seu nome (anteriormente, ele era conhecido como Phoenix e depois Firebird). Ambos são capazes de bloquear seletivamente pop-ups ou vê-los (pop-ups) depois. O IE6 também fornece níveis diferentes de zonas de segurança, dividindo a internet em quatro categorias: Internet, Intranet local, Sites Confiáveis e Sites restritos.

Outros atributos são coleção de falhas (mais um atributo do Windows, permitindo que usuários postem informações de problemas para análise da Microsoft), IFrames de restrição de conteúdo (aumenta a segurança dos iFrames por desativar script de seu conteúdo) e Content Advisor (filtragem de conteúdo). Ele também usa scripts do ActiveX, uma tecnologia que permite que webdesigners adicionem música e animação às suas páginas.

Por conta do alto número de sites maliciosos que, automaticamente, despejam pequenos scripts nos computadores dos usuários, a Microsoft adicionou um prompt de alerta ao IE para que o usuário escolha bloquear o ActiveX em uma página.

O Firefox não usa a tecnologia ActiveX e mesmo que isso pareça que restringe os features de web, o uso do ActiveX para importantes tarefas não é muito grande.

Além dos features já mencionados (bloqueio de pop-ups, SSL e autenticação PCT), o Firefox contra ataca com outras belas adições como a troca de agentes de usuário (para fingir que você é Googleboot ou IE2SP8). desativação de referência durante a navegação, visão de headers http quando se clica nos links, desativação de cookies, java e imagens em dois cliques e muito mais.

Na verdade, a preservação da segurança durante a navegação é um ato de equilíbrio, pois quanto mais aberto a downloads você estiver, mais exposto você vai estar.


Falhas grandes e tempo no qual os reparos são disponibilizados

Vale anotar que as informações do artigo datam de quando ele foi escrito (17 de março). Algumas informaçõesa podem estar incorretas.

De acordo com a secunia.com, o IE tem 20 de um total de 79 vulnerabilidades de segurança que ainda não foram corrigidas na última versão (com todas correções adicionadas), enquanto que o Firefox tem 4 de 12 vulnerabilidades não corrigidas.

Baseados em informações da secunia.com, podemos perceber o benefício de um navegador open source em um escudo de segurança: enquanto que o IE apenas corrigiu com um patch 52% dos bugs encontrados e aplicou correções parciais em 14%, o Firefox não apenar fez patch para 69% de suas falhas e nunca usou correções parciais. Citando Marc Erickson: "A natureza do open source significa que qualquer um pode olhar o código e encontrar ou mesmo corrigir problemas - e o desenvolvimento pode continuar 24 horas por dia, visto que programadores em diferentes fusos horário ao redor do mundo acordam e começam seus dias.

24 horas de desenvolvimento é algo extremamente difícil para a maioria das companhias de software proprietários. Elas precisam ser muito grandes- como a Microsfot- e há as grandes dificuldades de administração das grandes corporações - políticas, disputas, quem ganha o crédito por tal feito, coordenação de projeto, como um chefe pode supervisionar pessoas em diferentes partes do mundo, etc.

Se olharmos para os gráficos da Secunia, podemos ver que o Firefox tem 0% de extremamente críticos e 8% de altamente críticos bugs, enquanto que o IE tem 14% de extremamente críticos e 27% de altamente críticos.


Comparação entre os dois navegadores

O maior desafio do Firefox é que, mesmo que ele ofereça navegação tabbed, bookmarks, zoom em textos, bloqueio de pop-up e interface de usuário superior, o IE ainda é o mais disseminado navegador. Afinal, cada cópia do Windows vendida inclui uma versão do Internet Explorer e cada web site é otimizado pelo IE.

Uma Google fight nos revela: Internet Explorer, 36 milhões de resultados versus Firefox, com surpreendentes 31 milhões. Ainda, o Firefox tem suas falhas enquanto tenta visualizar arquivos PDF e quando demora muito tempo para carregar. Se a nova versão do IE suportasse tabbing e fosse 50% mais segura, a Microsoft manteria, com certeza, a dominação neste setor. De acordo com a W3Schools, o Firefox diminui seu crescimento dos últimos meses e agora tem 21% de market share, comparado aos 64% do IE6.


Expectativas para o futuro

No momento, o Firefox aparece como mais seguro que o Internet Explorer, mais o que trará o futuro?

Uma alternativa interessante é o SecureIE, que custa U$ 30 e parece ser superior que o Firefox e o IE no terreno da segurança.

A Microsoft tornou a prevença a spyware uma de suas missões mais prioritárias, então seu navegador deve melhorar neste aspecto também. No entanto, por agora, o melhor a fazer é mudar de browser.

Visto que mais e mais usuários estão largando o IE por conta de sua falta de features e migrando para a alternativa mais rápida e eficiente, o Firefox, programadores de vírus e de spyware vão começar a usar seu mais novo terreno de alimentação.

Para ler o artigo em sua íntegra, visite Does Firefox Really Provide More Security Than Internet Explorer?, de Vaida Bogdan

Este artigo foi originalmente publicado no número 1 da revista (IN)SECURE Magazine.

Nenhum comentário:

Postar um comentário

Aúncio