Firefox FUD Dud
Under veckorna innan jag skrev den här kolumnen har webben exploderat med FUD (Fear, Uncertainty and Doubt, en annan användbar TLA), tack vare ett fel i Suns Java Virtual Machine. Denna brist påverkade JRE och SDK 1.3x/1.4x och innebar att JavaScript-kod under vissa omständigheter skulle kunna både skapa och överföra objekt till opålitliga appletar. Detta blev en magnet för det spionprogram som skriver så snart felet tillkännagavs. Lyckligtvis reagerade Sun Microsystems snabbt genom att utfärda en patch och bygga in denna i versioner från 1.3.1_13 och 1.4.2_06 av både SDK och JRE.
Inte för att du skulle märka Suns svar från tunnlanden av skärmgods som har ägnats åt problemet i bloggar, nyhetsgrupper och på många informationssajter online som verkligen borde veta bättre. När du läser dessa då, och även nu, kan du bli förlåten för att du tror att detta är ett Firefox-problem. Det verkar som att frestelsen att slå ner denna stigande stjärna, särskilt när den utvecklas genom handel med säkerhetsbristerna i Internet Explorer (IE), var för mycket att motstå. Vissa försökte sprida skulden genom att säga att Firefox-användare var oskyddade mot ett spionprogram som var ett IE-fel (vilket var lika fel, naturligtvis), men jag fruktar att skadan redan har skett, med tanke på antalet mina klienter och läsare som har hört av sig för att fråga om de ska sluta använda Firefox.
Låt oss förklara en sak här: det här är inte, och var aldrig, ett Firefox-fel. Bara för ordens skull, det var inte heller en IE. Det är inte ens OS-specifikt, eftersom Sun har medgett att det kan utnyttjas under Windows, Linux eller Solaris. Alla webbläsare som använder Suns Java-plugin är lika utsatta, men bara från ”idiotanvändare”-syndromet, för för att felet ska kunna utnyttjas måste en användare gå med på att köra osignerade Java-applets via myren -standardsäkerhetsdialoger. Det faktum att sådana dialogrutor bara skulle dyka upp när man surfar på en viss webbplats, där den ursprungliga exploateringen som orsakade allt väsen i första hand var värd, borde säkert vara en röd flagga för alla utom de mest tragiskt odugliga. Det fungerar dock som en bra ursäkt för mig att än en gång slå på med mitt ”Klicka inte på det”-meddelande, särskilt när ”Det” kommer med varningar om att vara osignerad, otillåten och potentiellt skadlig.
Till vilket jag också skulle vilja tillägga att den enda 100 procent säkra webbläsaren, eller PC, är en som inte körs. Firefox förblir min favorit webbläsare, inte för att det är mindre sannolikt att det kommer att utsättas för säkerhetsbrister i framtiden, utan för att själva naturen hos den öppen källkodsgemenskap som står bakom den, och den relativa enkelheten i webbläsarens kod, innebär att de sårbarheter kommer sannolikt att korrigeras mycket snabbare än vad som är möjligt för den mycket mer kodkomplexa IE.
Nya hot
Precis samtidigt som all denna Firefox FUD cirkulerade råkade jag besöka en kund i Marlow och passade på att unna mig en ganska trevlig lunch med ett par killar från Symantec, för att prata om det senaste Symantec Internet Security Threat Rapportera. Dessa två gånger årliga rapporter, nu på sitt sjunde år, har blivit något av ett landmärke för konsulter som arbetar inom säkerhetsområdet, eftersom de har en historia av att vara spot-on när det kommer till trendspotting.
Den senaste rapporten, som täcker perioden 1 juli till 31 december 2004, bekräftar inte överraskande att det är dina personuppgifter som är målet för de flesta attacker. För att citera från de viktigaste resultaten: ”skadlig kod skapad för att avslöja konfidentiell information representerade 54 procent av de 50 bästa proverna av skadlig kod som mottogs av Symantec, upp från 44 procent under årets första sex månader och 36 procent under andra hälften av 2003. Detta skylls delvis på spridningen av trojaner, som representerade cirka 33 procent av de 50 främsta skadliga koder som rapporterats till Symantec. Chockerande nog blockerade antibedrägerifilterkomponenten i Symantecs antispamtjänst 33 miljoner nätfiskeförsök varje vecka under andra halvan av förra året, upp från ”bara” nio miljoner under de föregående sex månaderna. Det är en ökning med 366 procent, och Symantec tvivlar inte på att trenden kommer att fortsätta på sin uppåtgående klättring i år. Webbapplikationer är också på uppgång: cirka 48 procent av alla dokumenterade sårbarheter föll i denna kategori, jämfört med 39 procent under första halvåret. Dessa två trender hänger naturligtvis ihop, eftersom webbapplikationssårbarhet används för att komma bakom brandväggar och för att återigen komma åt personuppgifter.
