Mellékleteink: HUP | Gamekapocs
Keres
Felhőből visszaköltözéstől egészen egy banki malware evolúciójáig. Üzemeltetői és IT-biztonsági meetupokkal érkezünk!

A lopakodó szoftverfrissítések a leghatásosabbak

Bizó Dániel, 2009. május 06. 14:39
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Sok felmérés vizsgálta már, hogy az egyes szoftverfejlesztők milyen gyakran adnak ki újabb verziókat, vagy milyen gyorsan reagálnak a biztonsági fenyegetésekre. A patch megjelenése önmagában azonban még nem elég, azt szét is kell teríteni a felhasználói bázison. Egy frissen publikált, a Google közreműködésével készült kutatás alapján ennek leghatásosabb módja, ha az a felhasználók tudta nélkül történik -- éppen ezért a szerzők erősen javasolják, minden szoftverfejlesztő fontolja meg a csendes patchelés bevezetését, mint amilyen a Google Chrome-ban is található.

hirdetés
Google svájci leánya és a zürichi Számítógépmérnöki és Hálózati Laboratórium együttműködésében zajlott le 2008 második felében egy globális kutatás, melynek részeként a Google által kiszolgált oldalakat meglátogató böngészők verziójából építettek idősoros adatbázist. A felhasználóknak csak 55 százaléka használta az adott böngésző legújabb verzióját, 45 százalékuk tehát fokozott biztonsági kockázatnak tette ki magát. Az egyes böngészők közt azonban hatalmas eltérések mutatkoznak a felhasználói bázis frissessége terén.

A kutatás arra a következtetésre jutott, hogy a széles körben használt böngészők közül a Firefox rendelkezett a leghatásosabb frissítési mechanizmussal, de a felhasználóknak itt is mindössze 83 százaléka futtatta a legújabb kiadást. A kutatók úgy gondolják, hogy ezt a mechanizmus módosításával tovább lehetne fokozni, amire a legjobb példa a Google Chrome -- a tanulmány így azzal a feltételezéssel is él, hogy a patchdisztribúció mikéntjétől függ leginkább a szoftverek frissessége.

A Google Chrome böngészője úgynevezett csendes frissítést alkalmaz, vagyis a felhasználó közreműködése nélkül, a háttérben keres, tölt le és telepít patcheket, anélkül, hogy ezt bárhol jelezné. Ez a mechanizmus különbözik bármelyik másik böngészőjétől, de egyben a legtöbb, széles körben alkalmazott szoftverétől is. A Chrome bázisa ennek eredményeként példátlan frissességet tud elérni a statisztikák szerint: egy alverzió három hét után eléri a 97 százalékot, ha időközben nem érkezik újabb frissítés.

Érdekes, hogy a Firefox update rendszere az első héten még lépést tud tartani a Chrome-mal, sőt az első napokban még gyorsabb is nála, ezt követően azonban kifullad, a Google statisztikái szerint a legfrissebb verziót használók aránya soha nem haladta meg a 85 százalékot. Ez arra utal, hogy bár a Firefox a felhasználók többsége felé rendkívül gyorsan szétteríti a patcheket, egy jelentős, nagyjából 15-20 százalék útját állja a frissítésnek. A Firefox kezdeti gyorsaságára magyarázat, hogy agresszívebb letöltési politikát használ és szemben a Chrome-mal, feltűnő módon értesíti a felhasználót a folyamatról és az újraindítás szükségességéről, így a kooperatív felhasználók hamarabb állhatnak át a frissített verzióra.

A Chrome ezzel szemben bár rendkívül gyakran, 5 óránként ellenőrzi a frissítéseket, annak meglétét a szerver csak egy bizonyos valószínűséggel "vallja be", hogy ezzel elkerülje a szerverek túlterhelését, valamint nem hívja fel a figyelmet arra, hogy frissítés történt, és újraindítás volna szükséges. Ez magyarázza, hogy a Firefox eleinte gyorsabb, végül azonban a Chrome teljesen észrevétlen megoldása bizonyul hatásosabbnak. Mindez azt jelenti, hogy a Chrome gyorsabbá válhatna azáltal, hogy felhívja a figyelmet a frissítés szükségességére, míg a Firefoxnak nem kellene megkövetelnie a felhasználói aktivitást, amire láthatóan sokan nem hajlandóak.

Szégyenfal: Safari, Opera

Érdemes néhány szót ejteni a többi vizsgált böngészőről is, melyek kiábrándító eredményeket mutatnak. Az Internet Explorer bázisát webes statisztikával nem lehet felmérni, ugyanis a böngésző nem jelenti le a pontos verziószámot, csak a főverziót, vagyis a generációt. A Microsoft indoklása szerint minderre biztonsági okokból van szükség, hogy a támadók nehezebben aknázzák ki támadó kódjaikat.

A safarisok közelében sincsenek a Firefox vagy a Chrome által mutatott frissítési sebességnek. A Safari novemberben kiadott 3.2.1 verzióját három hetet követően mindössze a Google oldalait látogatók 33 százaléka telepítette. Ezt leginkább az magyarázza, hogy az Apple a MacOS részeként kezeli a Safarit, olyannyira, hogy egyes verziót az operációs rendszer verziójához köti -- vagyis addig nem léphetünk tovább a Safarival, míg az egész rendszert be nem frissítettük.

A safarisoknál is kiábrándítóbbak azonban az Opera-felhasználók, akiknek a trehánysága ordító -- az új kiadás penetrációja a megjelenést követő három hétben még a 25 százalékot sem érte el. Ezt leginkább az magyarázza, hogy az Opera frissítési módszere mai szemmel rendkívül körülményes: a szoftverben nincs automatikus frissítés, egy weboldalról kell letölteni és feltelepíteni az új változatot, miközben a felhasználónak nagyjából egy tucat kérdésre kell válaszolnia, például hogy hová települjön a szoftver vagy hogy elfogadja-e a licencfeltételeket.

Ilyen kontextusban kevéssé van értelme arról beszélni, mennyi biztonsági sebezhetőség van az Opera aktuális verziójában, vagy milyen gyorsan javítja azokat a cég, miközben a felhasználók nagy része régi, támadható változatokat futtat. Nem véletlen, hogy a jelenleg tesztelés és fejlesztés alatt álló Opera 10 automatizált frissítési rendszert fog bevezetni.

Szabadon vihető a Chrome megoldása

A Chrome frissítési mechanizmusát a Google nyílt forrásúvá tette az Omaha kódnevű projektben, így szabadon felhasználható bárki számára. A vállalat arra biztatja a fejlesztőket, próbálják ki és implementálják azt saját szoftvereikben is, ami számos előnnyel szolgál. A felhasználók számára biztonságosabb, stabilabb szoftvert eredményez közreműködés nélkül, ami elégedettebb ügyfeleket, kevesebb támogatási és tesztelési erőforrást jelent.

Mindez természetesen felveti a kérdést, hogy kinek a kezében van az irányítás. A csendes, teljesen automatikus patchelési mechanizmus elveszi a kontrollt a felhasználótól, hogy melyik verzióját használja a szoftvernek. A tanulmány szerzői úgy vélik, mindennek valójában nem szabadna számítania, míg minőségi és biztonsági problémák nem merülnek fel -- ideális esetben a felhasználó valóban nem vesz észre semmit, legfeljebb annyit, hogy egy gyorsabb, stabilabb, használhatóbb szoftvert kapott. Opcionálisan természetesen lehetővé lehet tenni, amire a Chrome jelenleg nem ad lehetőséget, hogy az alapértelmezett csendes automatizmust ki lehessen részlegesen vagy teljesen iktatni -- ahogyan a Windows Update esetében is.

A teljes tanulmány elolvasható a techzoom.net biztonsági weboldalon.

4-4 klassz téma a HWSW júniusi üzemeltetői és IT-biztonsági meetupjain. Nézz meg a programot!