Несерйозні розробники: Microsoft та Opera
19:15 13.11.2010Торік в записі Як Mozilla виправляє дірки в своїх браузерах, я вже розповідав про одного несерйозного розробника браузерів - Mozilla - який приховано виправив (ще в 2008 році) декілька з уразливостей, про які я їм повідомив. А зараз розповім про ще двох несерйозних розробників браузерів - Microsoft та Opera.
В 2007 році я виявив Cross-Site Scripting уразливість в Internet Explorer, про що повідомив Microsoft (в 2007 стосовно IE6, а в 2008 стосовно IE7), але вони тоді не виправили цю дірку в своїх браузерах. І як я вчора зазначив, оприлюднивши нову дірку в IE, яку Microsoft забула виправити, коли втихаря випраляля попередню дірку - у травні я виявив, що Microsoft виправила попередню уразливість в IE8. Тобто спочатку проігнорувала дану уразливість в IE6 та IE7, про яку я їм повідомляв в 2007-2008 роках, а потім тихенько виправила її в IE8.
Що є несерйозною і доволі ламерською поведінкою для Microsoft. І починаючи з уразливості в IE, оприлюдненої вчора, для даної компанії я буду використовувати лише Full disclosure і одразу буду публікувати деталі всіх виявлених уразливостей в їх програмних продуктах. Але при цьому буду їм повідомляти по емайлу. Але ще один такий випадок від Microsoft і тоді я не будуть навіть по емайлу їм повідомляти, і їм доведеться дізнаватися про дірки в їхніх програмах з багтреків.
У випадку Опери маємо два таких інциденти. Тобто вони повели себе ще більш несерйозно, ніж Майкрософт.
Як я виявив ще в жовтні, Opera виправила уразливість в своєму браузері (в версії Opera 10.63), про яку я їм повідомив - про XSS на сторінці браузера про помилку. Причому зробила це вона приховано: спочатку вони проігнорували моє повідомлення (на початку серпня), зовсім не відповівши на мого листа, а в середині жовтня виправили дану XSS в своєму браузері (без спасибі і без жодного посилання на мене).
А вже вчора я перевірив, що XSS уразливість в Opera, про яку я повідомляв в 2008 році, не працює в Opera 10.62. Тобто, якщо в Opera 9.52 компанія не стала виправляти дану уразливість, то в Opera 10 вони її тихенько виправили. Офіційно ніде про це не повідомивши й мені не подякувавши.
Тобто компанія вже двічі продемонструвала несерйозний підхід до виправлення уразливостей в своєму браузері. І подібна ламерська поведінка Opera Software є дуже несерйозною, як і вищезгадана поведінка Microsoft.
