Internet Explorer è più sicuro di Firefox. Questo è il risultato (scontato?) di uno studio presentato da un senior executive di Microsoft, che ha eseguito un confronto basato sulle vulnerabilità trovate (e corrette) nei due browser. Il report, come già detto da Webnews e Blog di PMI.it, è stato presentato daJeff Jones su blogs.technet.com, e naturalmente non manca chi critica lo studio, sia sul blog dove è stato presentato che sui nostri blog.
Uno degli aspetti indicati nello studio è il numero di falle trovate, in periodi di tempo equivalenti, nell’uno e nell’altro browser. Mozilla ha dovuto tappare, a quanto pare, molti più buchi rispetto a IE.
Scrive Jones:
“Dalla release di Firefox 1.0 (Novembre 2004), Mozilla ha corretto 199 vulnerabilità nei prodotti supportati. 75 di queste di alta gravità, 100 di media e 24 di gravità moderata. Nello stesso periodo Microsoft ha corretto 87 vulnerabilità totale, contando tutte le versioni supportate di IE. Di queste 54 ad alta gravità, 28 a media e 5 a bassa priorità.”
Comparing Microsoft’s 2004 release, IE6 (Service Pack 2), to Firefox 1.0, Jones said Microsoft fixed 79 flaws while Mozilla fixed 88.
Confrontando poi IE7 con Firefox 2.0, in un periodo di 12 mesi, il numero di patch rilasciate da Mozilla è 56 contro le 17 di Microsoft.
“Il trend dimostra che entrambi i prodotti stanno migliorando, quanto a sicurezza, nella loro ultima versione. Ma, contrariamente a quanto si crede, Internet Explorer ha incontrato meno vulnerabilità di Firefox”
D’altro canto, Jonathan Oxer, direttore tecnico e fondatore di una ditta che sviluppa web application in Australia, dichiara che lo studio è di parte. Microsoft, secondo lui, tende a raggruppare i propri “bug fix”, che riducono il conto delle patch rilasciate. Questo è parzialmente vero, nel senso che una stessa correzione può risolvere più problemi, ma le patch sono comunque singole voci dei bollettini di sicurezza MS.
Un alto aspetto che potrebbe svantaggiare Firefox è il mancato conto degli exploit veri e quelli teorici. Anche questo è un aspetto controverso: con molti browser in circolazione la probabilità che una vulnerabilità venga sfruttata per IE è effettivamente molto maggiore che per Firefox, ciò sia perché chi attacca presuppone che gli utenti di Firefox sono più competenti, sia perché IE è ancora più diffuso del browser Mozilla.
Questi studi sono sempre controversi, dare un voto alla sicurezza di un browser è un compito delicatissimo.
Di una cosa sono convinto: Microsoft si è scottata talmente tanto con l’esplosione di worms ai tempi di XP (pre SP2, per intenderci) che i nuovi prodotti implementano una cura per la sicurezza mai vista prima.