www.MegaLab.it

Qualche giorno fa, navigando tra i feed di Google Reader mi sono imbattuto in questo intrigante post pubblicato sul blog di Adblock Plus: Wladimir Palant, autore di una delle estensioni fondamentali per ogni utente di Firefox che si rispetti, interviene sulla questione sicurezza dei browser web, corroborando con alcune interessanti considerazioni le sue idee a riguardo. Il messaggio di Palant è netto: mettere sullo stesso piano Internet Explorer e Mozilla Firefox è semplicemente ridicolo.

Un anno pericoloso

Il post cita prima di tutto il blog del Washington Post on-line, che osserva impietosamente come, per tutta la durata del 2006, Internet Explorer sia stato insicuro per 284 giorni all'anno: durante questo arco di tempo il browser più usato del pianeta ha esposto vulnerabilità di sicurezza di livello critico, e in 98 di questi giorni le suddette falle sono state attivamente sfruttate dai cracker e dai siti web malintenzionati.

Al confronto, Firefox ha messo in mostra una sola falla, pubblicamente annunciata, prima che i programmatori di Mozilla ci mettessero una pezza: in totale, fanno 9 giorni di esposizione al crimine telematico, e ad oggi non si hanno notizie di exploit progettati per sfruttarla in maniera concreta.

Non che Firefox sia esente da bachi, tutt'altro: la differenza, dice Wladimir Palant, è che Mozilla mette le pezze al codice prima che le falle vengano rese pubbliche, eliminando alla radice il pericolo che qualcuno possa sfruttarle per i propri loschi scopi. Mozilla poi pubblica e aggiorna una lista di tutti i bug con relativi fix per ognuno dei suoi prodotti.

Le vulnerabilità di IE invece, una volta scoperte, divengono subito di pubblico dominio. Le società di sicurezza, dice sempre Palant, sono costrette ad agire in questo modo per via della politica di Microsoft, che tende a sottostimare i rischi reali delle falle, producendo fix dopo anni dalla scoperta o addirittura definendole delle "feature aggiuntive", come dimostra il caso del bug del tasto Ctrl, scoperto nel 2002 e rimasto tale e quale fino ad ora. È una continua caccia al bug, possibilmente con la pubblicazione di un exploit funzionante, in modo da stanare Microsoft e costringere i suoi pachidermici ritmi di gestione dei software a reagire.

Mozilla, al contrario, ragiona in modo opposto: ogni falla che gli viene comunicata viene considerata critica fino a prova contraria, e i tempi di risposta non superano la settimana.

I bug non muoiono mai... in IE

Certo, si potrebbe obiettare che in fondo sono considerazioni pre-IE 7, e la sicurezza del nuovo browser Microsoft è tutta un'altra cosa: a tal proposito, Wladimir Palant ritorna sull'argomento dopo qualche giorno, riportando l'esempio di una vulnerabilità potenzialmente pericolosa per la privacy e i dati dell'utente presente anche nella nuova main release del browser.

Definita, inspiegabilmente secondo il coder, less critical da Secunia, la vulnerabilità elimina alcuni controlli di origine, permettendo ad ogni sito web di leggere i contenuti di un altro sito. Palant ha realizzato un esempio di codice che sfrutta la falla per controllare se l'utente è loggato su Google o Yahoo!, leggendo in tal caso il nome utente - a patto ovviamente di usare IE.

Potenzialmente, il codice sarebbe in grado di leggere le mail nella inbox e modificare la password di accesso, o peggio ancora penetrare nell'account della banca dell'ignaro utente qualora si fosse loggiati in esso. Le informazioni su questa gravissima falla sono state pubblicate ad aprile, e a tutt'oggi questa risulta non patchata. Sia in Internet Explorer 6 che nella nuova versione 7.0.

Se a queste considerazioni si aggiunge il fatto che già cominciano a fare capolino le prime patch anche per IE 7, e la summenzionata politica di trattare superficialmente la gravità delle falle in quel di Redmond, il quadro completo è abbastanza chiaro: Firefox è indiscutibilmente più sicuro di Interne Explorer.