27 kwietnia 2006, 11:49:31
Przeglądarkowy „obiektywizm”
Na stronach IDG pojawił się artykuł o znalezionych niedawno błędach w 3 przeglądarkach: IE, Firefoksie i Safari. Oczywiście już w pierwszych komentarzach pojawili się pseudo-aktywiści wieszający psy na wszystkim co nie ma czerwonego O w logo. Zadziwiająca jest szybkość z jaką te »onetowe trolle« (bo jak inaczej ich nazwać?) wyszukują informacje o dziurach w konkurencyjnym oprogramowaniu.
Zastanawia mnie też fakt, że serwis Secunia jest przez kolegów sympatyków norweskiej przeglądarki przywoływany jako wyrocznia w kwestii bezpieczeństwa („mamy zero niezałatanych!”) a innym razem jako nieobiektywny i nierzetelny („nie wierz we wszystko co pisze Secunia”). Wszystko zależy od tego, w kontekście której z przeglądarek jest ów serwis wspominany.
(Wpis na podstawie ww. artykułu IDG oraz komentarzy na joggerze piko.)
Możesz przejść na koniec i zostawić komentarz lub umieścić trackback ze swojej strony.
Plagiat i Skorwider? Następny wpis:
Cenzura w reklamie
yano is proudly powered by
chłopczyk powiedział(a):
27 kwietnia 2006 o 14:23:41
Cóż, już tacy są i nic na to nie poradzisz. Może to wiosna, a może fakt, że przez 10 lat od wydania pierwszej publicznej wersji norweskie cudo nie zdołało zagrozić IE w większym stopniu...
27 kwietnia 2006 o 14:56:23
fanatyczni operowcy są pod tym względem śmieszni
gdzie sie podzial twoj sliczny szablon?!
Numen powiedział(a):
27 kwietnia 2006 o 15:37:30
Szkoda nerwów na fanatyków, bez względu na obóz i poglądy. Należy ich traktować jak folklor dodający kolorytu dyskusjom o wyższości świąt takich czy śmakich...
Jakub81 powiedział(a):
27 kwietnia 2006 o 17:14:42
„nie wierz we wszystko co pisze Secunia”
Znasz takie pojęcie jak "ironia" i "żart"?
I nie, nie uznaję Secunii za wyrocznię. Jak masz jakieś lepsze źródło informacji o dziurach w różnych przeglądarkach, to je po prostu podaj.
27 kwietnia 2006 o 18:03:28
@Jakub81: nie bierz tego do siebie, ale ironią trzeba się umieć posługiwać, a nie każdy to potrafi. Niestety nader często widuję próby tłumaczenia się z nietrafionych komentarzy, czy kiepskich żartów właśnie w ten sposób. Można by rzec, że jestem przeczulony na tym punkcie.
więc Ci się dostało również za grzechy innych.
A że akurat zacytowałem Ciebie? No cóż - byłeś blisko, pod ręką, pod klawiszem wręcz (CTRL+C)
Swoje zdanie na temat przepychanek pomiędzy obozami Firefoksa i Opery wyraziłem już ponad pół roku temu: http://yano.jogger.pl/2005/09/21/wysypka. Nie znaczy to, że będę siedział cicho. Szczególnie gdy w komentarzach do artykułu o dziurach w IE występują komentarze w stylu "FireFox nie dorasta Operze do pięt!!!!11".
Jakub81 powiedział(a):
27 kwietnia 2006 o 18:25:58
Ja nie mam zamiaru się tłumaczyć z "nietrafionych komentarzy". Myślę, że adresat pojął co miałem na myśli, Ty akurat nie musiałeś, bo nie do Ciebie moja wypowiedź była skierowana.
27 kwietnia 2006 o 19:11:27
Heh. Jakiś czas temu doszedłem do wniosku, że z operowymi kibolami* nie ma sensu się kłócić. Trzeba ich po prostu ignorować, i tyle.
Są rozgoryczeni, bo w ich mniemaniu to ich własny bóg miał pokonać Wielkiego Szatana, zostać wspaniałym Wybawicielem, a tu się okazało, że zamiast ich boga z Wielkim Szatanem najskuteczniej walczy bóg konkurencyjny. No i tego chyba właśnie ścierpieć nie mogą, biedactwa.
* operowi kibole to tylko podgrupa użytkowników Opery
27 kwietnia 2006 o 22:57:03
Czyżby znowu jakaś "wojna"? Na szczęście z frontu uciekam - tam gdzie może nie ma prądu a o internecie internecie to nikt nie śni. Życzę miłego weekendu - długiego
p.s. Można o troszkę większą czcionkę tu prosić?
quiris powiedział(a):
28 kwietnia 2006 o 10:15:54
> Zastanawia mnie też fakt, że serwis Secunia jest przez kolegów sympatyków norweskiej przeglądarki przywoływany jako wyrocznia w kwestii bezpieczeństwa („mamy zero niezałatanych!”)
Ech...
Czy to cię boli? Co za problem, aby Firefox też miał zero niezałatanych? Gdzie ta armia programistów, którzy w każdej chwili mogą rozwijać produkt, którego źródła są dostępne dla każdego? Przecież na każdym kroku przywoływany jest argument o dostępie do kodu źródłowego, jako podstawową zaletę tej przeglądarki.
Natomiast oczywiście jestem dumy z tego, że używam przeglądarki, która nie posiada *żadnej* znanej niezałatanej dziury związanej z bezpieczeństwem.
> a innym razem jako nieobiektywny i nierzetelny („nie wierz we wszystko co pisze Secunia”).
Zgadzam się z Secunią że błąd jest jest niegroźny. Ot ktoś znalazł crashbuga i ogłosił go jako lukę w bezpieczeństwie. Takich crashbugów znajdzie się trochę w każdej przeglądarce
Yano powiedział(a):
28 kwietnia 2006 o 13:53:47
@quiris: nie zrozum mnie źle. Mnie nie boli to, że macie zero błędów. Uwiera mnie to, że ew. błędy w Operze jakimś dziwnym trafem są publikowane na Secunii już po ich załataniu podczas gdy błędy innych przeglądarek praktycznie tuż po wykryciu.
Pomijam już taki drobniutki szczególik, że do źródeł Firefoksa kazdy ma dostęp a do Opery tylko wąska grupa programistów. Ja programistą nie jestem, ale wydaje mi się, że łatwiej w takim wypadku znaleźć błąd mając wgląd w kod niż bawiąc się w reverse-engineering.
Druga sprawa: gdy udział Firefoksa w rynku oscylował w granicach 1-2% wszyscy twierdzili, że mała ilość wykrytych błędów jest wynikiem tylko i wyłącznie małej popularności. Że nikomu się nie chce grzebać w strukturach niszowej przeglądarki. Dlaczego teraz tej miarki nie przyłożyć do Opery?
28 kwietnia 2006 o 17:34:17
[ot]
yano, czemu blog się źle wyświetla pod FF a całkiem nieźle pod IE? ;\
[/ot]
28 kwietnia 2006 o 20:51:21
@luo: 1) tam na samej górze jest mój adres jabbera, który świetnie się nadaje na tego typu uwagi; 2) u mnie się wyświetla dobrze, poza tym to szablon tymczasowy, bo mój poprzedni został popsuty przez Jogger v.2.0
quiris powiedział(a):
28 kwietnia 2006 o 20:55:30
> Uwiera mnie to, że ew. błędy w Operze jakimś dziwnym trafem są publikowane na Secunii już po ich załataniu podczas gdy błędy innych przeglądarek praktycznie tuż po wykryciu.
Zauważ, że ostatnie poważne dziury zostały odkryte w dołączanej do instalki Opery wtyczce Flasha, co w prostej linii wpłynęło na decyzję: Nigdy więcej Flasha w instalce Opery.
A to wcale nie jest dziwne. Opera współpracuje z Secunią w zakresie terminów ujawniania informacji o błędach. I to jest polityka jak najbardziej słuszna. Firma poważnie traktuje informację o błędach i określa termin usunięcia dziury, Secunia przyjmuje to do wiadomości i zwleka z publikacją do czasu obiecanej publikacji poprawki. Dzięki temu zyskuje użytkownik. Podobna procedura stosowana jest w Osiołkach. Nic nie stoi na przeszkodzie, aby podobne zasady wypracowała sobie Mozilla z Secunią, ale skoro od dwóch lat wiszą na Secunii niezałatane dziury wynika z tego, że Mozilla niespecjalnie jest zainteresowana ich usunięciem
>gdy udział Firefoksa w rynku oscylował w granicach 1-2% wszyscy twierdzili, że mała ilość wykrytych błędów jest wynikiem tylko i wyłącznie małej popularności. Dlaczego teraz tej miarki nie przyłożyć do Opery?
Ano w prostej mierze dlatego, że gdy Opera miała duużo mniejszą popularność miała więcej dziur ujawnianych niż teraz
28 kwietnia 2006 o 23:08:44
> Opera współpracuje z Secunią (...)
Widać polityka MF w tym przypadku od początku była właściwa (AFAIR).
Ale w takim wypadku użytkownik tak naprawdę nie wie jak długo dany błąd był ukrywany i w efekcie jak długo był na niego narażony. Ale niech wam będzie. Tylko w takim wypadku cięzko jest traktować Secunię jako serwis *obiektywny*.
Warto tu jeszcze wspomnieć, że w przypadku Firefoksa wszystkie błędy są zgłaszane przez ogólnie dostępną Bugzillę. Tak więc de facto błąd jest publikowany w momencie zgłoszenia a nie naprawienia. Dodaj do tego otwarte źródła oraz ew. portret McKinleya w portfelu i już jest jasne czemu błędy w Fx się sypią jak z rękawa.
> gdy Opera miała duużo mniejszą popularność miała więcej dziur ujawnianych (...)
Błąd wymieniony w changelogu a wykryty i poprawiony w zaciszu programistycznych kazamatów to nie to samo, co dziura zgłoszona na forum publicznym przez społeczność. Chociażby z tego względu trudno porównywać oba programy pod względem ilości wykrytych dziur. Grunt, że zarówno Firefox jak i Opera mogą się poszczycić bardzo wysokim poziomem bezpieczeństwa jeśli chodzi o niebezpieczne błędy. Czego niestety nie można powiedzieć o IE.
> Nigdy więcej Flasha w instalce Opery.
Lepiej późno niż wcale.
Jakub81 powiedział(a):
29 kwietnia 2006 o 10:46:08
Nie ma znaczenia czemu Opera ma mniej znanych błędów. Czy jest to lepsza współpraca z Secunią i innymi osobami zajmującymi się wykrywaniem błędów, czy może gorsza współpraca Mozilli na tym polu. Czy jest tak dlatego bo jest lepiej napisana, czy też dlatego, że Firefox jest gorzej napisany. A może po prostu dlatego, że ma mniejszy udział na rynku? A może przyczyną jest Bugzilla? Ile jeszcze niewykrytych błędów siedzi w źródłach Firefoksa i Opery? Nikt nie jest w stanie na to obiektywnie odpowiedzieć. NIKT nie jest w stanie udowodnić CZARNO na BIAŁYM swoich racji.
Tak naprawdę to nie ma ŻADNEGO znaczenia.
Nie ma, bo jedynym obiektywnym miernikiem bezpieczeństwa jest liczba i rodzaj ogólnie ZNANYCH i NIEZAŁATANYCH błędów. Takie błędy mogą być wykorzystane i dopóki nie ma łatki, nie ma przed nimi ochrony. To jedyny obiektywny miernik bezpieczeństwa przeglądarki. Reszta to tylko i wyłącznie sfera przypuszczeń.
29 kwietnia 2006 o 12:49:04
Strasznie się nerwowi robicie jak ktoś podważa wiarygodność Secunii. Natomiast ja (i nie tylko ja) nadal uważam, że serwis dogadujący się za kulisami z producentem jednej z przeglądarek nie może być wyznacznikiem ich bezpieczeństwa.
Mylisz się twierdząc. że to nie ma *żadnego* znaczenia. W przypadku Opery znany=opublikowany i załatany, podczas gdy w Firefoksie znany=opublikowany. To jest duża różnica.
Trochę mi to przypomina audyty zlecane przez jakąś firmę, żeby udowodnić wyższość swojego systemu. ;P
Jakub81 powiedział(a):
29 kwietnia 2006 o 17:36:37
Nie wiem skąd podejrzenia firefoksiarzy, że Opera jakoś podstępnie dogaduje się "za kulisami" z Secunią. Obserwowałem trochę działanie Secunii i tak się składa, że Secunia nie ujawnia błędów wykrytych PRZEZ SIEBIE (dopóki producent ich nie naprawi w odpowiednim czasie). Nie dotyczy to natomiast błędów ujawnionych przez inne instytucje/osoby nie związane z Secunią. Po prostu, skoro błąd już jest ujawniony przez kogoś innego, to po co Secunia miałaby się wstrzymywać z publikacją?
Tak się składa,że na 13 błędów w Operze, aż 9 zostało wykrytych przez Secunię (w tym ostatni). A na 30 błędów Firefoksa tylko 7 wykryła Secunia. Ostatni w lipcu 2005.
Wnioski wyciągnij sam.
Jakub81 powiedział(a):
29 kwietnia 2006 o 17:40:09
Swoją drogą, Secunia robi świetną robotę jeśli chodzi o wykrywanie dziur w Operze. Gdyby nie Secunia, Opera miałaby do dziś wykryte tylko 4 dziury.
29 kwietnia 2006 o 22:20:31
Dlatego napisałem – otwarty model Firefoksa niejako uniemożliwia niepublikowanie informacji o dziurach, bo zgłoszenie dziury wiąże się z jej umieszczeniem na Bugzilli, która jest publiczna. Więc nawet jeśli Secunia wykryje błąd w Firefoksie i go zgłosi do MF to błąd ten zostanie podany do wiadomości publicznej na BZ a potem na Secunii (no skoro go już opublikowano…).
Jakub81 powiedział(a):
30 kwietnia 2006 o 01:31:36
No dobrze, ale to chyba nie wina Secunii, że MF/MC ma publiczną bazę błędów? Nadal uważasz, że jest to "serwis dogadujący się za kulisami z producentem jednej z przeglądarek"?
quiris powiedział(a):
30 kwietnia 2006 o 10:17:16
> Dlatego napisałem - otwarty model Firefoksa niejako uniemożliwia niepublikowanie informacji o dziurach, bo zgłoszenie dziury wiąże się z jej umieszczeniem na Bugzilli, która jest publiczna. Więc nawet jeśli Secunia wykryje błąd w Firefoksie i go zgłosi do MF to błąd ten zostanie podany do wiadomości publicznej na BZ a potem na Secunii (no skoro go już opublikowano...).
@Yano: Przykro, ale nie masz racji. I z punktu widzenia dobra użytkownika Firefoksa to bardzo dobrze, że nie masz racji.Otóż wiedz, że dostęp do błędów związanych z bezpieczeństwem produktów Mozilli jest ograniczony do bardzo wąskiego kręgu osób. Szczegółów tych błędów nie mogą czytać wszyscy do czasu opublikowania łatki. Przykład: zajrzyj do: http://secunia.com/advisories/12979/ i spróbuj otworzyć wszystkie trzy odnośniki do błędów zgłoszonych w Bugzilli. Tak się składa, że nie poznasz szczegółów pierwszego z listy, ponieważ przywita cię czerwnony komunikat: "You are not authorized to access bug #267122. To see this bug, you must first log in to an account with the appropriate permissions."
30 kwietnia 2006 o 11:36:56
@quiris: racja, mój błąd. Wyleciało mi to zupełnie z głowy, choć sam się już kiedyś na tym komunikacie zatrzymałem. Nie zmienia to jednak faktu, że do innych błędów Firefoksa jest łatwiejszy dostęp niż do analogicznych w Operze.
Żeby podsumować tę dyskusję: przekonać Was nie dam rady i Wy mnie też. Co jest oczywiste, bo Wam jest wygodniej twierdzić, że Secunia jest cacy. Tylko przynajmniej bądźcie konsekwentni.
Jakub81 powiedział(a):
30 kwietnia 2006 o 13:38:54
A kto tu próbuje przekonywać? Po prostu po kolei wypunktowaliśmy Ci, że nie masz racji. Podsumujmy:
1.
> serwis Secunia jest przez kolegów sympatyków norweskiej przeglądarki
> przywoływany jako wyrocznia w kwestii bezpieczeństwa („mamy zero
> niezałatanych!”) a innym razem jako nieobiektywny i nierzetelny („nie wierz we
> wszystko co pisze Secunia”)."
Co do mojej wypowiedzi, nie przedstawiałem Secunii jako nieobiektywnej i nierzetelnej - był to żart nawiązujący do podobnych wcześniejszych wypowiedzi Gandalfa o Secunii. Przykro mi, że nie zrozumiałeś. Z kolei "mamy zero nie załatanych!" (to jakiś cytat???) to... po prostu prawda.
2.
> Uwiera mnie to, że ew. błędy w Operze jakimś dziwnym trafem są publikowane
> na Secunii już po ich załataniu podczas gdy błędy innych przeglądarek
> praktycznie tuż po wykryciu.
(...)
> serwis dogadujący się za kulisami z producentem jednej z przeglądarek nie
> może być wyznacznikiem ich bezpieczeństwa.
To nie żaden "dziwny traf", po prostu większość błędów w Operze wykryła sama Secunia i dzięki temu mogła się powstrzymać z publikacją. Większość dziur Firefoksa ujawnił wcześniej kto inny. W takim przypadku Secunia nie czeka z publikacją informacji o błędzie, bo niby po co?
3.
> Warto tu jeszcze wspomnieć, że w przypadku Firefoksa wszystkie błędy są
> zgłaszane przez ogólnie dostępną Bugzillę. Tak więc de facto błąd jest
> publikowany w momencie zgłoszenia a nie naprawienia.
Kolejna nieprawda. Błędy bezpieczeństwa zgłoszone bezpośrednio do MF nie są publicznie dostępne w Bugzilli.
I tak wygląda Twój przeglądarkowy "obiektywizm".
30 kwietnia 2006 o 14:47:25
Ach, teraz zrozumiałem: nikt nie może podważać wiarygodności Secunii, chyba że tyko żartem i pod warunkiem, że ta osoba używa Opery. Trzeba było tak od razu.
Nawiązanie Gandalfa do Secunii samo w sobie było lekką ironią, bo sami się na nią nader często powołujecie.
Ad.2: Dziwne, że całkowicie zniknął wątek otwartych źródeł oraz nagród od MF za wykryte błędy. Ale jestem w stanie zrozumieć, ze nie macie na to kontrargumentu, więc najlepiej go pominąć wytykając błędy adwersarzowi. Po drugie – widać Tobie też trzeba specjalnym fontem i strzałkami zaznaczać gdzie się wplata ironię, bo o tym, że Secunia współpracuje z Operą doskonale wiedzą chyba wszyscy włącznie z niżej/wyżej podpisanym.
Ad.3: Przyznałem się do błędu i nie widzę sensu powtarzanie tego w każdym kolejnym komentarzu. Chyba że koniecznie chcesz coś komuś udowodnić. Bo Ty pewnie jesteś nieomylny.
Co do obiektywizmu: 1) tytuł odnosił się tylko i wyłącznie do wpisu a nie do dyskusji w komentarzach, 2) wpis miał dwa akapity, z czego drugi był tylko moim komentarzem do dyskusji pod linkowanym wpisem.
PS: Chiałem dyskretnie zakończyć dyskusję, bo uznałem, że wszystko zostało powiedziane, ale oczywiście musiał ktoś dołożyć swoje 0,5 grosza cytując przy okazji połowę moich wypowiedzi. Następnym razem dam bardziej do zrozumienia, że dyskusja jest zamknięta, skoro są problemy ze zrozumieniem.