Dajbych.net


Google poukázal na to, že na Windows je Microsoft Edge bezpečnější než Chrome

, 3 minuty čtení

Micro­soft dnes vy­dal bez­peč­nostní ak­tua­li­zaci číslo 3200970. Zá­pla­tuje zra­ni­tel­nost, kte­rou Go­o­gle od­ha­lil a zve­řej­nil ještě před tím, než byla opra­vena. Tento mar­ke­tingový tah se však Go­o­glu vyms­til, pro­tože se uká­zalo, že uži­va­telé Micro­soft Edge na Win­dows 10.0.14393 jsou na tom lépe než uži­va­telé Go­o­gle Chrome.

Bý­valo dob­rým zvy­kem, že po­kud ně­jaký vý­vo­jář od­ha­lil bez­peč­nostní chybu v ope­rač­ním systému, na­hlá­sil zra­ni­tel­nost (třeba i kon­ku­renční) ob­chodní spo­leč­nosti a s jejím zve­řej­ně­ním vy­čkal, než bude opra­vena. Zve­řej­ňo­vání zra­ni­tel­ností před je­jich ve­řej­ným od­hale­ním sice může být krát­ko­době pro jednu spo­leč­nost pří­nosné, ale kon­ku­renční prostředí vybízí k odezvě. Na­ko­nec to po­ško­zuje celé od­větví sdě­lo­vací tech­niky.

Po­kud spo­leč­nost zra­ni­tel­nost ne­o­praví, její zve­řej­nění spolu s kon­ku­renč­ním prostředím na­ko­nec při­měje viníka k ná­pravě. Ob­vykle se však zra­ni­tel­nost zve­řej­ňuje 2–3 měsíce po jejím na­hlá­šení.

Go­o­gle je spo­leč­nost kre­a­tivní a před týd­nem se roz­hodla po­stu­po­vat ji­nak. Roz­hodla se ne­vyčkat druhého úterka v měsíci, kdy Micro­soft ak­tua­li­zace pra­vi­delně vy­dává, a zra­ni­tel­nost zve­řej­nit už po 10 dnech. Mo­ti­vací byl vý­dě­lek. Zra­ni­tel­nost (CVE-2016-7855) se tý­kala (pře­kva­pivě) Fla­she od Adobe. Go­o­gle vy­čkal, než Adobe vydá no­vou opra­ve­nou verzi Fla­she. Jakmile se tak stalo, za­čal jí ší­řit do pro­hlí­žeče Chrome o něco dříve než Micro­soft do Edge. Hned na to zra­ni­tel­nost zve­řej­nil s tím, že uži­va­telé Chromu už mají ak­tua­li­zaci při­chysta­nou, zatímco uži­va­telé ostat­ních pro­hlí­žečů na Win­dows mají smůlu.

Re­akce na sebe ne­ne­chala dlouho če­kat a už den na to vi­ce­pre­zi­dent Micro­softu Terry Myer­son na­psal, že uži­va­telů Micro­soft Edge na Win­dows 10 s An­ni­ver­sary Up­date se zra­ni­tel­nost ne­týká. Plat to i pro uži­va­tele ostat­ních pro­hlí­žečů, po­kud po­u­ží­vají Win­dows De­fen­der Advan­ced Threat Pro­tection (což je služba, která však není sou­částí OEM verzí Win­dows 10).

Do­mní­vám se, že pro běžné pro­hlí­žení we­bo­vých stá­nek stačí, když je v pro­hlí­žeči Adobe Flash Player vypnutý, pro­tože je no­to­ricky známý pro své bez­peč­nostní problémy. Na ně­kterých za­sta­ralých we­bech (jakým je na­pří­klad web České te­le­vize – po­zor, tento od­kaz vás pře­smě­ruje ze za­šif­ro­va­ného spo­jení na ote­vřené – správně se to dělá opačně) může pře­stat fun­go­vat stre­a­mo­vání vi­dea. Jde o to najít správ­nou rov­no­váhu mezi bez­peč­ností a po­u­ži­tel­ností.

Zá­važné chyby se v ope­rač­ních systé­mech nalé­zají po­měrně často. Není to tak dávno, co byla nale­zena bez­peč­nostní chyba (CVE-2016-5195) ve všech ope­rač­ních systé­mech s já­drem Li­nux, která od roku 2007 umož­ňo­vala kte­ré­mu­ko­liv uživateli po­vý­šit svá práva na ro­ota a pře­vzít tak kon­t­rolu nad systé­mem.