A Microsoft la sicurezza sta parecchio a cuore: anche se a volte i numeri tendono a confondersi e succede come nel caso di Jeff Jones, security evangelist di Redmond, che ha messo a confronto “mele e arance” ed è incappato nelle aspre critiche di Brian Krebs del Washington Post . Con quest’ultimo che smentisce la presunta maggiore sicurezza di Internet Explorer rispetto a Firefox , al netto di falle e buchi assortiti.
La tesi di Jones è che il browser di default del mondo Windows non sia in realtà quel colabrodo che tutti considerano e da cui Google consiglia di stare quanto più lontano è possibile: per sostenerla si basa sul fatto che, sommando il numero di vulnerabilità di sicurezza registrate nel 2006, IE sia stato minacciato da rischi per 284 giorni su 364, mentre tale numero sarebbe di 285 nel caso di Mozilla Firefox.
Krebs risponde a Jones smontando la “tesi accusatoria” nei confronti del panda rosso: la metodologia di scelta delle vulnerabilità comprendeva qualsiasi cosa, mentre se si contano soltanto quelle potenzialmente in grado di permettere l’esecuzione di codice da remoto il rischio per gli utenti Mozilla sarebbe stato di soli 9 giorni in un anno . IE insomma, è questa l’opinione di Krebs, è tutto fuorché più sicuro di Firefox: se si aggiungono anche i rischi da codice rosso come quello della vulnerabilità zero-day che ha messo a rischio gli utenti Microsoft verso la fine dell’anno scorso, ce n’è abbastanza per riflettere lungamente sulle ipotesi di Jones.
A Redmond, in ogni caso, la faccenda la stanno prendendo decisamente sul serio: come nel caso di Web Sandbox , una tecnologia sperimentale che intende favorire l’isolamento dei componenti aggiuntivi all’esperienza di browsing base in modo da eliminare i rischi insiti nel codice remoto eseguito con pieni privilegi in locale. Disponibile come tech-preview, Web Sanbox è stata rilasciata sotto licenza open source Apache 2.0.
D’altronde per i browser la sicurezza è una caratteristica che non smette mai di essere testata sul campo, una prova che non risparmia nessuno come dimostra l’ennesimo update che Google ha dedicato a Chrome: un aggiornamento che sistema due falle, una delle quali relativamente pericolosa, e prova a migliorare la compatibilità con le webmail di Yahoo! e Microsoft (Hotmail) con uno stratagemma invero curioso.
Nel caso di Hotmail, infatti, il problema risiede nell’incapacità del sistema remoto di riconoscere correttamente Chrome: ragion per cui, in attesa di un fix lato-server da parte di Microsoft, il G-browser bypassa la questione restituendo una stringa di riconoscimento che lo fa “entrare” nel servizio sotto le mentite spoglie di Apple Safari .
Alfonso Maruccia