10 giorni: è questo il tempo necessario al team Mozilla per risolvere qualsiasi vulnerabilità emerga nel browser Firefox, anche se di gravità critica, anche se annidata nel codice del più complesso dei componenti. La coraggiosa dichiarazione è stata fatta di fronte all’esigente platea della Black Hat Conference da Mike Shaver, nome ai vertici del management Mozilla.
Secondo Shaver il tempo di intervento del proprio team è quantificabile e la cifra indicata è stata da più parti però contestata. In primis è Graham Cluley, per Sophos, a storcere il naso. La dichiarazione proveniente da Mozilla sembra infatti essere ai più superficiale in quanto non considerante tutta una serie di variabili necessarie ad una analisi esatta dei problemi e dei relativi tempi di intervento.
Secondo Cluley ogni vulnerabilità va analizzata a fondo e soprattutto ogni patch va testata ampiamente e con scientifica attenzione. La qualità dell’intervento, la stessa qualità che Microsoft ha messo ai vertici del proprio operato con Internet Explorer 7, sarebbe un elemento fondamentale per fare in modo che gli interventi correttivi si concretizzino come effettivamente risolutivi e non portatori invece di problemi indiretti. Una patch mal progettata, infatti, potrebbe causare bug ulteriori, incompatibilità, scarse performance o comunque un peggioramento dell’esperienza di browsing.
«Roma non è stata fatta in un giorno»: così chiosa un commento privato alla vicenda, postato sul blog Ha.ckers.org di Robert Hansen, CEO of SecTheory.com, e ripreso dalla stampa specializzata. Lo stesso commento, però, ricorda che Firefox non è Roma e che 10 giorni non sono 1 soltanto: se il team fa una promessa, i giudizi possono essere postumi e la fiducia sulla parola Mozilla potrebbe meritarla. «Mettiamo 20 geek davanti a un computer per 10 giorni e guardiamo cosa succede».