Od czterech dni niemieckie MSW zaleca rezygnację z Internet Explorera, dzisiaj podobny komunikat wydały instytucje rządowe we Francji.
Nie dziwi mnie zatroskanie bezpieczeństwem obywateli, gdyż luka w Internet Explorerze jest poważna, jest atakowana co najmniej od dwóch tygodni we wszystkich wersjach IE na rynku, wliczając w pełni zaktualizowany system Windows 7 z IE8.
Microsoft w swoim zaleceniu uważa, że ataki wykorzystujące tę lukę są ograniczone co do skali i kierowane przeciw konkretnym celom. Tymczasem raporty z „zaprzyjaźnionych” korporacyjnych IPSów dowodzą czegoś innego – w tej chwili jest to jedna z powszechnie wykorzystywanych luk w bezpieczeństwie, bo:

  1. Przeglądarka nie została załatana,
  2. Minie sporo dni, nim ludzie ją zaktualizują po wydaniu łaty,
  3. Kod eksploita jest powszechnie znany i skuteczny.

IE był i JEST niebezpieczną przeglądarką. Nowe wersję są nieco lepsze, ale nadal wiele z luk umożliwia przejęcie kontroli nad komputerem (czytaj: włamanie bez konieczności „pomocy” ze strony użytkownika i zainstalowanie dowolnego oprogramowania tą drogą).
Dlatego ja też dołączam się do apelu i zalecam:
Nie używajcie Internet Explorera.

Oni zalecają, by nie używać do czasu załatania luki. Ja zalecam, by nie używać go w ogóle, jeśli nie jest to konieczne. Są przecież Opera i Chrome, jest niszowy K-meleon, jest bardzo popularny Firefox.
Statystyki Secunii wyglądają następująco:
Dla IE (stan na dzień 19 stycznia 2010 godzina 10:00, aktualne są tutaj)

Dla Firefoksa (stan na dzień 19 stycznia 2010 godzina 10:01, aktualne są tutaj)

Nie wolno ich jednak wykorzystywać do porównywania bezpieczeństwa obu produktów.

Moje prywatne spostrzeżenie dotyczące obu przeglądarek wskazuje na znacznie krótszy czas od zgłoszenia luki do aktualizacji Firefoksa – przeważnie jest on liczony w dniach. W przypadku IE czas ten jest liczony w tygodniach, a nawet miesiącach.
Nieprawdą jest stwierdzenie, że Firefox sam w sobie zapewni bezpieczeństwo. Jest to aplikacja, która także może zawierać błędy. Niemniej czas od zgłoszenia do aktualizacji jest bardzo krótki, społeczność open source podchodzi do tego bardzo poważnie. Po prostu ryzyko naruszenia bezpieczeństwa jest mniejsze. Można je dodatkowo zmniejszyć umiejętnie stosując dodatek NoScript. Wymaga to pewnej wiedzy i nawyków, ale przynosi wymierne efekty.

Firefox nie jest niszowy – w niektórych krajach Europy, takich jak Polska, jedna wersja Firefoksa miewa większą popularność niż wszystkie wydania Internet Explorera razem wzięte.

Nieprawdą jest zarzut, że Firefox nie nadaje się do korporacji – wszystko jest kwestią wiedzy i chęci działu IT. Firefoksem można centralnie zarządzać za pomocą Active Directory. Jak widać po blogach , admini są zainteresowani takimi rozwiązaniami, co dowodzi, że w korporacjach także zaczyna się odwrót od przestarzałego i niebezpiecznego dinozaura, który nie trzyma nawet własnych standardów, a co dopiero webowych.

Apele, dotyczące aktualizacji systemów są bardzo ważne, ale niewiele się zdadzą, gdy producent nie dostarcza łat. Ponadto ludzie nie biorą takich apeli na poważnie.
Może trzeba z nimi rozmawiać w ten sposób?

UWAGA ADMINI!

Konkurencja jest korzystnym zjawiskiem. Firma Microsoft doceniła powagę sprawy i postanowiła wydać łatę do IE poza zwykłym cyklem. Chwała im za to. Należy to czym prędzej załatać, nawet jeśli korzysta się z innej przeglądarki, gdyż biblioteki IE są używane w różnych programach. Na szczęście z różnymi opcjami bezpieczeństwa, ale ryzyko zawsze istnieje. Jest to bardzo pilna łata i radzę ją czym prędzej przetestować i zaaplikować, gdy tylko się pojawi. Nad zmianą przeglądarki z IE warto się zastanowić i tak.