距離 IE 7 正式發布 (2006.10.18) 已經超過一年，IEBlog 在 11 月 30 日發表了一篇紀念短文，該文依據一份測試報告，宣稱 IE 7 的漏洞 (vulnerability) 比之前的版本都少，除此之外，在這第一年，無論是已修復或未修復的漏洞，都比其他瀏覽器少。(後來才發現，這份測試報告其實是 Microsoft 自家人做的測試)

為此，Mozilla Corporation 的 Security strategy 頭頭 Window Snyder 在 Mozilla Security Blog 表示，數漏洞多寡是沒用的，原因如之前在她的 blog 所言，軟體都是有臭蟲的，重點是如何在短時間內修補臭蟲。漏洞數量的多寡雖與臭蟲多寡有關，但也跟尋找漏洞的人、及他們的能力有關。除此之外，這份安全報告所包含的漏洞資料只是 Microsoft 有公開的漏洞資料，例如接受外部人員回報、或在 Security Updates 公開的資訊，對於內部開發團隊 QA process 或簽約的安全測試人員所發現的漏洞，沒有包括在裡頭。所以其實報告中所包含的 IE 7 安全漏洞只是所有漏洞中的一部分而已。

為什麼 Microsoft 不將這些內部發現的安全漏洞都公開呢？Window Snyder 認為他們可能害怕人們將焦點擺在 IE 7 出現多少安全漏洞，而非這些漏洞是否已被修復。如果上述的報告可以把所有安全漏洞都算進來的話，也許 Microsoft 所修復的漏洞與未修復的漏洞比 Fx 還要多 (漏洞修得多不是壞事)。但因為這些資訊沒有公開，所以這種漏洞常被放到 Service Packs 或 Major updates 才修復，這對 Microsoft 而言，他們有足夠的時間可以完整測試修補程式，可以確保修補程式的品質，確保他們的使用者有好的產品使用經驗，但在測試修補程式所花費的時間，卻也讓不知情的使用者們暴露於潛藏的危機中。

在 IEBlog 發表該篇文章後，有網友嘗試使用 Microsoft 去年提供的 Public bug database for IE 來檢驗報告的正確性，但卻得到「Thank you for visiting the IE feedback site. The site is temporarily closed. It will re-open in the future ......」的結果。真是巧合啊？

另外，順便去 Secunia 查了 IE 7、Fx 2、Opera 9 的 Vulnerability Report，發現 IE 7 尚未修補的漏洞最多。

IE 7
Firefox 2
Opera 9

一樣都是商業公司，我最讚許 Opera 對安全性的態度，從 5.xx 到現在，Opera 對於 Secunia 提出的漏洞幾乎全部都有修補！

_________________
:::: 簽名檔分隔線 ::::
免費好用又自由的輸入法 gcin Windows | 勸大家以後不要再買 ATI