| MozTW 討論區 https://forum.moztw.org/ |
|
| IE 7 週年回顧 https://forum.moztw.org/viewtopic.php?f=22&t=21100 |
第 1 頁 (共 1 頁) |
| 發表人: | coolcd [ 2007-12-02, 16:19 ] |
| 文章主題 : | IE 7 週年回顧 |
距離 IE 7 正式發布 (2006.10.18) 已經超過一年,IEBlog 在 11 月 30 日發表了一篇紀念短文,該文依據一份測試報告,宣稱 IE 7 的漏洞 (vulnerability) 比之前的版本都少,除此之外,在這第一年,無論是已修復或未修復的漏洞,都比其他瀏覽器少。(後來才發現,這份測試報告其實是 Microsoft 自家人做的測試) 為此,Mozilla Corporation 的 Security strategy 頭頭 Window Snyder 在 Mozilla Security Blog 表示,數漏洞多寡是沒用的,原因如之前在她的 blog 所言,軟體都是有臭蟲的,重點是如何在短時間內修補臭蟲。漏洞數量的多寡雖與臭蟲多寡有關,但也跟尋找漏洞的人、及他們的能力有關。除此之外,這份安全報告所包含的漏洞資料只是 Microsoft 有公開的漏洞資料,例如接受外部人員回報、或在 Security Updates 公開的資訊,對於內部開發團隊 QA process 或簽約的安全測試人員所發現的漏洞,沒有包括在裡頭。所以其實報告中所包含的 IE 7 安全漏洞只是所有漏洞中的一部分而已。 為什麼 Microsoft 不將這些內部發現的安全漏洞都公開呢?Window Snyder 認為他們可能害怕人們將焦點擺在 IE 7 出現多少安全漏洞,而非這些漏洞是否已被修復。如果上述的報告可以把所有安全漏洞都算進來的話,也許 Microsoft 所修復的漏洞與未修復的漏洞比 Fx 還要多 (漏洞修得多不是壞事)。但因為這些資訊沒有公開,所以這種漏洞常被放到 Service Packs 或 Major updates 才修復,這對 Microsoft 而言,他們有足夠的時間可以完整測試修補程式,可以確保修補程式的品質,確保他們的使用者有好的產品使用經驗,但在測試修補程式所花費的時間,卻也讓不知情的使用者們暴露於潛藏的危機中。 在 IEBlog 發表該篇文章後,有網友嘗試使用 Microsoft 去年提供的 Public bug database for IE 來檢驗報告的正確性,但卻得到「Thank you for visiting the IE feedback site. The site is temporarily closed. It will re-open in the future ......」的結果。真是巧合啊? 另外,順便去 Secunia 查了 IE 7、Fx 2、Opera 9 的 Vulnerability Report,發現 IE 7 尚未修補的漏洞最多。 IE 7 Firefox 2 Opera 9 一樣都是商業公司,我最讚許 Opera 對安全性的態度,從 5.xx 到現在,Opera 對於 Secunia 提出的漏洞幾乎全部都有修補! |
|
| 第 1 頁 (共 1 頁) | 所有顯示的時間為 UTC + 8 小時 |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|