Varför det?
Jo, därför att... även när vi lägger allt det tekniska åt sidan med arkitektur och säkerhetsfunktioner, så är Google's hantering av rapporterade sårbarheter helt enkelt av toppklass. Skillnaden mot exempelvis Microsofts hantering har vi blivit påminda om än en gång under de senaste veckorna.
Michael Zalewski har skrivit ett par fuzzers och hittat mängder med brister i webbläsare. Redan 2008 började han med det, och fick bra samarbete från bland annat Mozilla. Microsoft däremot, gick det inte så bra med. Lite märkligt att Microsoft inte tar Zalewski på allvar, när han trots allt är ett av toppnamnen inom säkerhetsforskning. Han gör mycket gratisjobb åt dem och tröttnar till slut på att Microsofts inte tar i problemen och publicerar därför sina resultat.
Jämför det med Google's hantering, där man i den senaste releasen betalar ut nästan 14500 dollar till personer som rapporterat in sårbarheter. Enbart han som rapporterade in flest fick nästan 7500 dollar.
Vad tror ni om skillnaden i incitament att rapportera sårbarheter? Om du hittar något i IE, så kan du välja mellan att antingen stånga huvudet i 2½ år mot Microsoft - utan att få ens ditt namn nämnt för det. Eller så kan du få cirka 50 000 SEK för det, om du hittar samma brister i Chrome. Vilket program kommer du ägna mest tid åt att testa? Var är det mest sannolikt att du spelar schysst och ens pratar med tillverkaren, eller att du säljer dina exploits på svarta marknaden?
... det kanske inte är en slump att Internet Explorer sitter med 0-day sårbarhet ute i det öppna. Hur ofta händer motsvarande för Chrome? Aldrig? Samtidigt har IE råkat ut många gånger förr. Därför är Chrome ett bättre val ur säkerhetssynpunkt.
P.S. Ser man på det ur Google's perspektiv så får de en faslig massa högkvalificerad säkerhetstestning för en billig peng. Alla vinner.
Inga kommentarer:
Skicka en kommentar