Z pohledu některých IT odborníků je normální, že jsou chyby v počítačových programech mnoho let. Podle jejich názoru je to normální odjakživa, to ve skutečnosti znamená asi posledních 15 – 20 let.

 Před časem mne syn překvapil otázkou : „Tati, jak jste si domlouvali rande, když jste neměli mobily, e-mail ani Facebook?“ Úsměvná otázka člověka, podle kterého tady byl e-mail a mobil vždycky.

 Synova otázka se mi vybavila při zamyšlení nad tím, proč někteří IT specialisté berou dlouhodobé chyby jako samozřejmost. Je to již téměř 20 let, co výstavu Invex´94 navštívil tehdejší šéf Microsoftu Bill Gates. Microsoft zde za tu dobu udělal v oblasti obchodu a propagace svých řešení velký kus práce. Současně za tu dobu vyrostla celá nová generace IT odborníků, IT architektů a úředníků, kteří berou jako samozřejmost, že jsou v počítači Windows, že Microsoft nerad dodržuje cizí pravidla a bezpečnost řeší podle svého.

Bohužel tito kolegové, ať úmyslně nebo nevědomky, ztratili svůj názor a schopnost pochybovat. To ve výsledku znamená, že někdy sami vystupují jako hlasatelé toho jednoho správného řešení. To už není problém technologií, ale lidských vlastností. Ostatně, v historii jsme již poznali hlasatele jediné správné víry a později jediné správné strany. Ani v jednom případě to neskončilo dobře.

 V případě slepé důvěry v IT technologie to mělo a má jasné důsledky, mimo jiné v názoru, že si má uživatel  zabezpečit na 100% svůj počítač. Domy tu jsou mnoho staletí, automobily sto let a přesto nikdo nepochybuje, že je možné vykrást i dobře zabezpečený dům nebo auto. Počítače se masově používají necelých 20 let a přesto si má uživatel zabezpečit počítač proti novým hrozbám lépe než dům nebo automobil. Nesmysl, a viry Stuxnet i Flame to jasně ukázali. Mimochodem, průnik Stuxnetu i Flame byl umožněn právě slabinami ve Windows - na iHNed.cz   nebo na stránce Kaspersky Lab

 Druhým důsledkem slepé důvěry v dokonalost řešení a v přijetí názoru, že jinak to nejde udělat, je přístup k chybám v programech a modernizaci zdrojových kódů. Reakce na minulý příspěvek mne přiměly k tomu přinést další důkazy o tom, že je to možné.

 V prostředí operačních systémů není jednoduché nalézt odpovídající konkurenci proti Windows. Řešení se nabízí v prostředí prohlížečů. V tomto prostředí funguje konkurence. Jednotlivé prohlížeče od různých tvůrců mají podobné vlastnosti a je to jedno z mála míst, kde i Microsoft musí dodržovat obecné standardy a nemůže si určovat vlastní.

 Z porovnání chyb zveřejněných v roce 2012 jasně vyplynulo, že je možné vytvořit a dále rozvíjet program, aniž by v něm byly chyby deset a více let. Jasnou ukázkou toho, že to jde, je Google Chrome, ve kterém byly v průběhu roku 2012 chyby maximálně 2 měsíce. Ve Firefoxu to byl maximálně rok a v Opeře 2 roky (chyba byla společná pro verzi, která byla zveřejněna na konci roku 2010). Internet Explorer je na tom stejně jako Windows, tedy jsou v něm chyby staré víc jak deset let. Přesněji řečeno, v roce 2012 byly zveřejněny a popsány chyby, které se týkají i verze IE 6 z roku 2001.

 Průměrná doba existence chyby v prohlížeči :

Google Chrome - méně než 60 dnů
Mozilla Firefox   - asi 350 dnů
Opera               - asi 800 dnů
MS Internet Explorer - asi 4000 dnů

Skalní zastánci Windows a Microsoftu se budou cítit dotčeni. Uživatelé prohlížeče Chrome by naopak mohli usnout na vavřínech. Ani jeden přístup není správný.

Tvůrci Chrome, Firefoxu a z části i Opery ukazují, že je možné vytvářet programy takovým způsobem, že si sebou neponesou deset let staré dědictví.

Pro běžné uživatele představují informace o slabinách ve Windows i v prohlížečích jasný důkaz toho, že svět IT není lepší a bezpečnější než zabezpečení automobilu nebo domu. Pokud někdo staví důvěryhodnost IT řešení na bezchybném zabezpečení uživatelského počítače, tak možná dobře opakuje názory, které za posledních 15-20 let získal jako posluchač při obchodních prezentacích nových IT řešení. Ve skutečnosti však zneužívá postavení organizace, kterou zastupuje, nerespektuje realitu současného světa ICT a nastavuje nerovné podmínky mezi provozovatele aplikací a uživatele. To je ale téma pro další příspěvek v blogu.

 JN

---

Pokud se nespokojíte s prostým popisem chyb, tak na následujících řádcích neleznete více. Pokud i to bude pro vás málo, doporučuji navštívit stránky http://cve.mitre.org  nebo http://www.cvedetails.com

 Google Chrome

V roce 2012 bylo vydáno 8 nových verzí prohlížeče Chrome, přičemž všechny chyby se týkaly vždy pouze jedné verze prohlížeče. V současnosti je aktuální verze Chrome 23 a zpátky až po verzi 9 se zjištěná chyba týkala vždy pouze jedné z verzí (9 -23). Takže „životnost“ konkrétní chyby byla v roce 2012 necelé dva měsíce.

 Opera

V případě prohlížečů Opera byly v letech 2012/2011 vydány pouze tři verze. V případě verze 12 bylo z 12 chyb 5 společných s předchozí verzí 11. V případě verze 11 bylo z 36 chyb 8 společných s verzí 10 (5 s verzí 12), ale již ne se staršími verzemi. Takže „životnost“ chyb byla u verze 12 okolo 800 dnů . Tedy od současnosti zpět do konce roku 2010, kdy byla vydána verze 11, která měla 5 společných chyb s aktuální verzí č.12.

 Mozila Firefox

V roce 2012 bylo vydáno 8 nových verzí prohlížeče Mozilla Firefox. Chyby zjištěné ve verzích 11- 15 se týkaly vždy pouze jedné konkrétní verze Firefoxu. V případě verze 16 bylo zjištěno 36 chyb a z toho byly 34 chyby společné s verzí 10 prohlížeče Mozilla Firefox. Žádná ze slabin zjištěných v posledních verzích prohlížeče se netýkala starší verze než 10. V poslední verzi prohlížeče Firefox existovaly tedy chyby maximálně 350 dnů. Přesněji od napsání tohoto blogu zpět až k vydání verze 10 prohlížeče Firefox, což bylo na konci ledna 2012.

 Microsoft Internet Explorer

V prohlížeči MS Internet Explorer verze 9 bylo v roce 2012 zveřejněno 37 chyb, to je na první pohled výrazně méně proti ostatním prohlížečům. Jenže pouze 5 z těchto chyb se týkalo pouze poslední verze 9, ostatních 32 chyb se vztahuje i k verzím 8,7 a 6. Přičemž verze 6 byla zveřejněna v létě 2001. Takže „životnost“ chyb je okolo 4000 dnů.  Informace o jedné ze slabin naleznete například cvedetails.com  nebo na stránce Mitre.org