IEとFirefox、どちらが安全? 116
ストーリー by nabeshin
重要度や、旧バージョンの扱いを仲間はずれにしないで! 部門より
重要度や、旧バージョンの扱いを仲間はずれにしないで! 部門より
prankster 曰く、
ITmediaの記事IEとFirefox、どちらが安全? セキュリティ担当者がブログで火花によると、MSは「Internet Explorer(IE)よりもFirefoxの方が脆弱性の件数は多い」(だからIEの方がFirefoxより安全)と主張しており、Mozilla側は「脆弱性の数を数えるよりも、セキュリティ問題が見つかってから修正されるまでにどのくらい時間がかかるかの方が重要だ」(脆弱性が公開されてから対応するまでの日数はIEが計284日だったのに対しFirefoxは9日だったのでFirefoxの方が安全)と主張している。
脆弱性の数の多さと対応の早さは評価軸が違うので両者の主張は平行線をたどるしかないのですが、あなたはどちらに軍配を上げますか?
取り上げてすらもらえないブラウザ (スコア:5, おもしろおかしい)
#脆弱性が見つかってから修正まで300日近くかかったら意味ないと思うのでAC
Re:取り上げてすらもらえないブラウザ (スコア:2, 興味深い)
IE7.x/6.x,Firefox2.0.x/1.x,Safari2.x,Opera9.xで未修整の脆弱性がないのはOperaだけらしいです。
Re:取り上げてすらもらえないブラウザ (スコア:1, おもしろおかしい)
Re:取り上げてすらもらえないブラウザ (スコア:1, おもしろおかしい)
Safari3.xを忘れないであげてください・・・・・
Re:取り上げてすらもらえないブラウザ (スコア:1)
w3m最強 (スコア:4, すばらしい洞察)
Re:w3m最強 (スコア:2, 参考になる)
# まさか0.5.2より古いバージョンを使ってる奴はいるまいな?
Re:w3m最強 (スコア:1, 参考になる)
オリジナルの報告の時点で既にパッチ(1行!)が含まれていますからリリースを待つ必要もないでしょう。
Re:telnet 最強 (スコア:2, おもしろおかしい)
だが、場合によっては、一番安全とは言い難いのでは?
例えば、オンラインバンキングを利用したりする場合はどうだろう?
証明書の確認や暗号化、パスワード入力時の隠蔽等、telnetでは難しかったり、逆に危険になったりしないだろうか?
Re: telnet 最強 (スコア:1, すばらしい洞察)
それができない人は,オンラインバンキングは利用しないという選択肢もある(今のところは).
そういう意味では,「telnetでは難し」いということが安全性を高めているとも言える,かもしれない.
しかし,セキュリティ全般についていえることだけど,どんな場合でも最も安全ってものは存在しないですね.
少なくとも利便性やコストとのトレードオフは付いて回るわけだし.
利用者次第 (スコア:4, すばらしい洞察)
どっちが!?っていうレベルまでいかないと思う
#ACは価値ある発言してください
Re:利用者次第 (スコア:1, 興味深い)
ユーザーが『故意に』セキュリティレベルを下げるようなことも可能なんですね。
http://carbonfairy.org/note/coding/071114-shinseiwand.html [carbonfairy.org]
また枯れてないマイナーな拡張が脆弱制の原因になることもあります。
と思ったら、IE7でも可能なんだ。(IE6は??)
http://d.hatena.ne.jp/kminoru/20071129/1196310069 [hatena.ne.jp]
ということで、この勝負は引き分け?
どっちも、じゃ駄目なのか (スコア:4, 興味深い)
しかし、ライバルが一定のシェアをとったら、「安全性にも配慮、W3Cの標準にも準拠、先進のIE」という姿勢を強く見せるようになりました。
要するに、ライバルがいないとどうしても進化が落ちると思います。
(競争する必要がありませんから)
ですからIEを良くするためには大いにfirefoxにコミットするべきだ、という事でどうでしょうか。
MSを愛すればこそ、firefoxに注力すべきですよ、一般ユーザーは。
MSの中の人はまたべつでしょうけど。
-----------------
#そんなワタシはOS/2ユーザー:-)
どっちも同じ (スコア:3, おもしろおかしい)
FireFox(Mozilla)がIEと同等の機能を実装してみるとやっぱりバグの山だった。
結局、複雑になればバグは増えだけで、
MSの品質が著しく低いわけでもないし、オープンソースが高品質でもない。
そんなわけで、こんなくだらない議論を続けないで、
さっさと、刺身の上にタンポポを乗せる仕事に戻るんだ。
Re:どっちも同じ (スコア:2, 興味深い)
どれだけ説明しても「Firefoxは安全だと本でもWebでも書いてある!」と聞く耳を持ちません。
逆にIEを使っている上司はセキュリティ関係の更新に熱心です。
その意味では、「素人に無根拠な安心感を与える」Firefoxブラウザの方が危険な気が激しくします。
また社内でシステムに深刻なトラブルを起こすのは、必ず英語キーボードとFirefoxの組み合わせを使っている自称「通」だという調査結果まで出る有様です。
これでも上場中の証券会社なんですけどね(苦笑)
nabeshinのコメントが馬鹿丸出し! (スコア:3, すばらしい洞察)
評価軸が違うだと?
そもそも脆弱性には既知のものと未知のものとがあり
既知の脆弱性の数だけ比較しても無意味。
脆弱性の数が多い少ないに関わらず対応の早い方が良いに決まってるだろ!
対応が迅速なほうが良いに決まっている (スコア:1, すばらしい洞察)
> 脆弱性の数が多い少ないに関わらず対応の早い方が良いに決まってるだろ!
には同意。
極端な話、
・1件の脆弱性しか発見されていないがこれがいつまでたっても修正されないブラウザA
・10件の脆弱性が発見されたがすべて修正済みのブラウザB
このどちらのほうがいいかは考えるまでもないと思います。
タレコミ者から一言 (スコア:1)
実をいいますと、前のタレコミで色々書いたら「シンプルなほうが良い」とのコメントをいただいたので今回は自分の意見を差し控えました。そしたらこの反応。
本来は「平行線をたどるしかないのですが、私は迅速に対応してくれる方が脆弱性は少なくとも対応が遅いより良いと思います。あなたはどちらに軍配をあげますか?」と締めるつもりだったのですが削りました。
自分の意見はコメントでつけようと思ってたのですがタイミングを逸した次第です。
# 世の中ままならないものですね(T-T)
どっちもどっち (スコア:2, 興味深い)
えっと何がいいたいかというと Safari on Mac に軍配。
マイナーは正義。
# Operaユーザも声を上げていいと思うぞ~
# 利用者にとって気になるのは単なる脆弱性というより
# 利用者自身の気配りで防げる脆弱性かそうではないのかが
# 「脆弱性」の気になる尺度ではあります
Re:どっちもどっち (スコア:2, 興味深い)
私はマイナーな物こそ、誰も見つけていないとんでもない脆弱性が残っていたりするのではないのかと思います。
最近では国産ワープロの一太郎の脆弱性の報道もあるように、
ユーザ数が少ないから狙われないと思うのは危険なのでは?
# もちろん、私がひねくれてるだけかもしれまえんが(苦笑)
Re:どっちもどっち (スコア:2, すばらしい洞察)
っていうかメジャーだから検証者が圧倒的に多いというわけじゃない
狙うほうは効率を考えるからより多いほうを狙うが、つつく人は満遍なくつついてます
Re:どっちもどっち (スコア:2, すばらしい洞察)
ブラウザに限らず、アプリケーションのシェアの低さが、
セキュリティの相対的な高さを担保した時代は、
終わったと見ていいのではないでしょうか。
どんなにマイナーなアプリでも、netに絡んで動作するものであれば
脆弱性を衝かれるリスクは、小さくは無いと思います。
// だから、ほら、みんなでrynxで幸せになろうよ
Re:どっちもどっち (スコア:1, おもしろおかしい)
おお,聞いたことすらないマイナーなブラウザ登場カッ!
#lynx のパチモノとお見受けしたが
Re:どっちもどっち (スコア:1)
Safari on Mac なんですけど、このごろとみにスコンスコン落ちるんですけど、みなさまいかがでしょう。
# TeraStation の Web 設定画面でネットワーク管理画面を開くと確実に落ちる
# という現象に苛まれております。
Hiroki (REO) Kashiwazaki
この程度のハナシで (スコア:2, すばらしい洞察)
フレームのもと (スコア:2, すばらしい洞察)
件数の比較はフェアなのか (スコア:2, 興味深い)
>「IEの脆弱性がいくつ存在していたかは、Microsoftの社員以外には知る術がない」
という主張にも一定の説得力があると思いますがいかがでしょうか。
そのような「MS が知っていて公表していない欠陥」の他にも、
「MS 自身もまだ知らない欠陥」がもしあればそれは当然カウントされませんし。
脆弱性を発見する手法、というか環境が異なる以上、
この程度の差であればその数を比較してもあまり意味は無いでしょう。
Re:件数の比較はフェアなのか (スコア:4, すばらしい洞察)
そういうくだらない穴がプロプラで修正されてるのはあんまり見たこと無いです。
よくGNU/LinuxとWindowsの穴の数なんかも比べられますけど、修正おってると付属ゲームのsymlink攻撃とかまで直してるわけですよ。
そりゃ数も増えるのは当り前の話で、数で比較するなんてのは愚の骨頂。
Operaは未修正脆弱性が無いといって話題になってる記事がありましたけど、それとてそういった穴まで発見・修正した上でその数なのか疑問ですね。
Re:件数の比較はフェアなのか (スコア:1, 参考になる)
でも現実には一部のGeekにソースコードを公開している。例えばMicrosoft MVP [microsoft.com]とか、一部の企業の社員 [microsoft.com]とか、一部の大学の学生 [microsoft.com]とか・・・・
Re:件数の比較はフェアなのか (スコア:1)
Re:件数の比較はフェアなのか (スコア:1)
いくらオープンソースであっても、全てのコードを完璧に調べる事は不可能。
だからこそ、脆弱性が後から見つかる訳だし。
従って、もじら関係者が見つけた脆弱性とかを公にせず秘匿してるなら、「もじらが知っていて公表していない欠陥」もありえる。
そんな事してるとは思わないけど。
Re:件数の比較はフェアなのか (スコア:1, 参考になる)
Re:件数の比較はフェアなのか (スコア:1)
今回話題になっている危険なのだから、
それを含めての話でしょうか。
いざとなったら (スコア:1)
OSに融合してる為排除できないIEよりも
アンインストールして排除できるFireFoxの方が安全。
# 評価方法が後ろ向き?
Re:いざとなったら (スコア:2, おもしろおかしい)
Linuxの場合、IEはインストールすらできないので、IEのほうが安全ですね!
Re:いざとなったら (スコア:1, 参考になる)
Re:いざとなったら (スコア:1)
Re:いざとなったら (スコア:1)
明確に削除してしまえるものと、
OS起動してる間は裏で動かれる恐れがあるのとでは
危険度はともかく安心度が違うのですよ。
ぶっちゃけPC起動しないとか、オフラインのみで使うとかなら関係ないですけどね。
普通は別のブラウザで対応とかするでしょ。
# インターネットの無い生活はできるかもしれんが
# インターネット無しで仕事をするのは難しい時代だ。
Re:いざとなったら (スコア:1)
Re:いざとなったら (スコア:1)
> #メディアにインストーラ保存しといたって脆弱性は残ったままだし
・ブラウザは複数を用意する
・最新バージョンと過去バージョンを残しておく
・脆弱性が発見されて対処法がないブラウザは穴が塞がれるまで使わない
・全滅した場合は個人情報等の入っていない隔離環境(エミュレータ等)で個人情報を利用せず注意して利用
・どうしようもなくなったらネットの利用を諦める
# 最後まで残るブラウザが一番安全?
# wget + テキストエディタ+目レンダリングかな・・・・・
Re:いざとなったら (スコア:1)
それだと(一番大事な)画像のレンダリングが出来ないので、バイナリエディタも必要です。
Re:いざとなったら (スコア:1)
複数の方法が使えることが望ましい (スコア:1, 興味深い)
:wq
PV稼ぎもほどほどにね (スコア:1, すばらしい洞察)
>両者の主張は平行線をたどるしかないのですが、
>あなたはどちらに軍配を上げますか?
自分で書いてんじゃん。意味無いんだって。
そんなにフレーム起こしてアクセス数稼ぎたいのか?
そうじゃないなら、独自の視点ぐらい示してから記事にしてくれ。
# /.Jの劣化ってコメント側だけじゃないよな・・・
タレコミ者より(Re:PV稼ぎもほどほどにね) (スコア:1)
# PV狙いの投稿をしてるわけじゃありません。
Re:PV稼ぎもほどほどにね (スコア:1, すばらしい洞察)
全く極端な解決策だよそれは。
必要不要とかいう視点で編集すると、みんなでタレコミする意味が無い。
極端に取る取らないだけでなく、トピを選んだりする事でも充分対応できる。
「皆さんは~ですか?」って聞いたら、問答無用で「スラドに聞け」にするとかね。
もっとベストなのは、皆がより良いタレコミをする事。
おなじネタで沢山タレコミがあれば、両論併記とか集合知が形成できる。
自分は何もせず、他人の行動結果の責任を追及したり愚痴ったりでは世の仲良くならない。
なにより見苦しい。
比較でもやってみたら? (スコア:1, 興味深い)
もちろんブラウザは最新版で。
安全か?の比較はしにくいが、危険度の測定なら簡単にできるじゃないか。
(もちろん専門家の協力は必要でしょうけどさ、試験環境揃えるのは難しいから)
#意外と安全だと思ってたウイルス等で簡単に引っ掛かったりしてね。
#(デグレード(笑))
そもそも… (スコア:1)
もっとマイナーなCPUの上で動かしてごらん、どちらだって同じぐらいに安全だから。
# PowerPC とかさ… orz
fjの教祖様
Re:言ってしまうと (スコア:1, すばらしい洞察)
その上で動くOSに多少の違いがあってもあまり意味はない。
# メタって言いたいだけちゃうんか
Re:言ってしまうと (スコア:1, おもしろおかしい)
他のOSにアンチVirusソフトが要らないぐらい。