Je Internet Explorer bezpečnější než Firefox?

Ačkoliv Microsoft s přehledem drtí konkurenci v oblasti operačních systémů pro osobní počítače a dalšího různého softwaru, existují rozličné bezplatné aplikace, které náskok softwaru od Microsoftu smazaly a těší se čím dál větší oblibě. Jedním ze zářivých příkladů je právě i webový prohlížeč Firefox, který si za dobu své krátké existence (první stabilní verze 1.0 byla vydána až na konci roku 2004) získal obrovskou oblibu a hlavně vysoký podíl na trhu (u nás mu patří kolem 30 %, ve světě pomalu 20 %).

Když nebudeme uvažovat různé vlastnosti, které Firefox od počátku používal (jako je prohlížení webu v panelech), jedním z hlavních důvodů, proč se od svého zrodu těšil velké oblibě, je jistě to, že je mezi lidmi prezentován jako aplikace velice bezpečná a oproti děravému Internet Exploreru (software od Microsoftu se nálepky „děravý“ asi jen tak nezbaví, byť se mu někdy křivdí) své uživatele nevystavuje riziku infikování systému.

Zde je ovšem problém. Ač Firefox obsahuje různá zabezpečení, nesmíme zapomínat na to, že je to obyčejný kus softwaru, který nevyhnutelně obsahuje chyby, jak je tomu i u dalších programů. Spousta uživatelů, jak jsem si mohl všimnout i sám, se svezla na vlně pocitu neoblomné bezpečnosti, a přestala ctít základní pravidla bezpečného chování na webu. Někteří dokonce absenci antivirového programu nebo kvalitního softwarového firewallu komentovali slovy: „Na co? Děravý Internet Explorer nepoužívám, mám Firefox.“ To je samozřejmě špatně, protože Firefox je prostě webový prohlížeč, který interaguje s webovými aplikacemi vesměs stejně jako ostatní prohlížeče; pokud někdo na pofidérních webových stránkách otevře spustitelný soubor, který je infikovaný nějakou havětí, Firefox nemá šanci zabránit tomu, aby se předešlo nakažení systému. A co víc, někteří méně zkušení uživatelé si myslí, jak jsem se opět mohl přesvědčit, že pokud mají Firefox, už jim žádné bezpečnostní riziko nehrozí, ačkoli si Windows „asi kdysi přes Internet Explorer“ nakazili ― „Firefox to prostě dále nepustí.“ Na takové věci by se mělo myslet a kromě halasných marketingových hesel o bezpečných prohlížečích by se neustále měly zdůrazňovat základní pravidla bezpečného pohybu na internetu.

Jak je to s počtem děr

Žádný prohlížeč sice není odolný vůči lidskému faktoru (otevírání a spouštění každého možného souboru na internetu, i kdyby se jmenoval virus.exe), přesto opravdu člověk může snížit riziko infikování systémů různými škodlivými kódy, jež využívají známé bezpečnostních díry v prohlížečích a jež nepotřebují ke svému šíření lidskou akci „Ano, opravdu spustit.“ A to jednoduše tím, že bude aktualizovat jak operační systém, tak i prohlížeč.

Zde již otázka zabezpečení je jiná a zásadní. Kolik děr daný prohlížeč obsahuje a jak rychle je výrobce opraví? Kolik zranitelností bylo kritických a kolik nezávažných? Na tyto otázky se těžko hledají odpovědi. Není to tak, že by neexistovaly weby, které se tímto zabývají, ale problém je s interpretací výsledků a s tím, jakou důležitost jim kdo přikládá.

Například Microsoft na konci roku 2007 vydal zprávu, která se zabývala bezpečnostními dírami v Internet Exploreru (různých, stále podporovaných verzí) a Firefoxu od Mozilly. Netřeba říkat, že výsledky hovořily ve prospěch IE a taky není nutné zmiňovat, že výsledky zprávy se okamžitě setkaly s nevolí jak lidí z Mozilly, tak i uživatelů Firefoxu, kteří prostě Microsoftu nevěří.

Pokud umíte anglicky a srovnání Internet Exploreru a Firefoxu vás zajímá, zprávu o chybách v zabezpečení si můžete stáhnout. Závěry zkoumání Jeffa Jonese, který práci sepsal, jsou jasné. „Za poslední tři roky podporované verze Internet Exploreru trpěly méně zranitelnostmi a méně vysoce nebezpečnými zranitelnostmi než Firefox,“  stojí v úvodu hlášení. „Od vydání Firefoxu verze 1.0 v listopadu 2004 Mozilla [do prosince 2007] opravila 199 zranitelností v podporovaných produktech Firefox ― z toho 75 bylo závažných, 100 středně nebezpečných a 24 málo nebezpečných. Během stejného období Microsoft opravil celkem 87 zranitelností, které se týkaly všech podporovaných verzí Internet Exploreru ― 54 bylo závažných, 28 středních a 5 málo nebezpečných.“ Výsledky vidíte na přiloženém grafu.

Zdroj: Jeff Jones, Browser Vulnerability Analysis of Internet Explorer and Firefox

Zpráva o bezpečnostních otázkách souvisejících s těmito dvěma prohlížeči se poté točila kolem toho, jak dlouho Microsoft a Mozilla podporují své produkty a co z toho plyne pro uživatele. Na další detaily v našem článku není místo, takže pokud někoho tato problematika zajímá, nechť si přečte zmíněnou zprávu.

Jak je řečeno výše, lidem z Mozilly se závěry zaměstnance Microsoftu nelíbily. Kdo by čekal, že přijdou s podobným rozborem, musel ale být zklamán. Jakési odezvy se na blozích zaměstnanců Mozilly objevily, ale vesměs šlo jen o to, že Microsoft srovnává hrušky s jablky a hlavně, že souhrnný počet bezpečnostních děr nehraje žádnou roli, takže jejich sčítání, jaké předvedl Jeff Jones, je nesmyslné. Tak se dostáváme zpět k problému s interpretací bezpečnostních zranitelností a tomu, jakou jim kdo přikládá váhu.

Přesto z těchto tahanic plyne jedna důležitá věc, která je už zmíněna výše, ale která se musí opakovat stále dokola. Žádný software není natolik bezpečný, jak tvrdí reklamy. Ať už jde o Internet Explorer, Firefox, nebo Operu (která dle stejných měřítek z toho vychází vlastně jako nejbezpečnější prohlížeč ― viz Secunia.com nebo Webdevout.net), uživatel se nemůže spoléhat jen na to, co kdo říká nebo neříká o zabezpečení prohlížeče. Prohlížeč není antivirový software ani firewall. Pokud se obyčejný člověk na webu chová rozumně, nežije pornostránkami a warezem, aktualizuje operační systém, má kvalitní firewall a antivirový program, pak se pravděpodobnost infekce nějakou havětí zásadně snižuje, a to bez ohledu na to, jestli web prohlíží v Internet Exploreru nebo Firefoxu. A platí to i opačně: pokud nedodržuje pravidla bezpečného procházení webu, nezachrání ho ani žádný prohlížeč, který dle jednoho nebo druhého člověka „je nejbezpečnější“.