Pojalvjajo se razne objave, ki trdijo, da je določen brskalnik bolj varen od drugega. Resnici na ljubo, so le-te večinoma pristranske. Zgodi se namreč da podjetje X plača varnostno raziskavo neodvisnemu podjetju Y. Včasih se lahko zgodi, da podjetje Y prikaže rezultate v prid pdjetju X, ker si želi zagotoviti naročila za dodatne raziskave tudi v prihodnje. Opisana praksa je stalnica, raziskave priznanih in manj priznanih podjetji običajno krasijo objave PR in služijo, kot podporni material na prosojnicah med seansami, ki jih za svoje verne privržence organizira podjetje X. Obiskovalci seans PPT kimajo in ploskajo, kar se tudi za vernike spodobi. Neverniki naj se cvrejo v peklu sovražne vere, če si drznejo podvomiti v dogmo in postaviti vprašanje.

Verjetno je dovolj nadzorno nakazano, da gre za izrazit boj med tabori, ki včasih spominja kar na religijo. Sam se raje postavim v vlogo nevernika, pogana. Včasih nevernega Tomaža, ki mora sam preveriti in izkusiti resnico. Na svojem računalniku tako uporabljam različne brskalnike in izbiram na podlagi lastnih izkušenj. Seveda, ker običajno ne obiskujem nepoznanih strani, se moram na področju varnosti zanesti tudi na kazalce, ki jih lahko prepozna vsakdo, ki je računalniško pismen.

Mogoče vam bo kdo rekel, da je kazalec lahko število varnostnih nasvetov (security advisory) oziroma objavljenih ranljivosti (vilnerability) za določen izdelek v določenem obdobju. Dodaten pokazatelj so lahko podatki o rešenih in nerešenih primerih na podlagi le-teh objav. Pomemben je tudi podatek o preteku časa med objavo poročila o ranjivosti in objavo popravka oz. odprave ranjivosti. Resnici na ljubo, tudi zdaleč ne pove vsega. Poročila lahko zajemajo tudi več ranljivosti ali popravkov, seveda tudi izdelovalci programske opreme izkoriščajo tovrstna sredstva za dokazovanje lastnih prednosti. Tu vam mora zazvoniti zvonček! Objave so namenjene ozaveščanju uporabnikov, da nameščajo popravke, nikakor niso namenjene, kot vodilo za odločitev za nakup ali prenos ene ali druge programske opreme.

Če vam duhovni vodje seanse govorijo drugače, jih opomnite, da noben sistem ni varen. Grafi varnostnih popravkov v zadnjih letih ne povejo ničesar konkretnega o številu le-teh jutri in pojutrišnjem. Druga zgodba so povečane investicije v razvoj za povečanje varnosti, takih grafov vidimo bore malo.

Vrnimo se na raziskave varnosti. Microsoft nam preko raziskave dokazuje prednosti svojega brskalnika. Pozornost usmerjajo na novo nevarnost, ki je v porastu v svetu spleta 2.0: družabno načrtovane grožnje (Social Engeniering Threats).  Družabno načrtovani napadi pokrivajo predvsem ne-tehnične varnostne grožnje. Hekerji za družabno zasnovane napade izkoriščajo lahkovernost, lenobo, kot tudi lepo vedenje ali navdušenje posameznikov ali zaposlenih v družbi z namenom pridobitve podatkov. Tovrstnih napadov se je težko braniti, ker se jih bodisi težko zavemo, bodisi ne želimo priznati, da smo bili prenešeni. Področje tovrstnih napadov je zelo široko in temu primerno tudi testiranje zelo kompleksno. Prvi tovrstni napad sem doživel med delom pri Microsoftu, ko je uslužbenka odelka za upravljanje z človeškimi viri poslala vsem zaposlenim v podružnici e-pošto z navodili za namestitev programa, ki stike iz programa za elektronsko pošto izvozi v neko zunanjo storitev. Auč! Koliko visoko usposobljenih ljudi je namestilo to zadevo ne vem, niti ne želim vedeti. Sam sem opozoril osebo, ki je pošto pošiljala. In to je bilo pred Spletom 2.0. Koliko nas danes razmisli, preden klikne "DA - prenesi moj imenik v storitev XZY in povabi pošlji vsem stikom vabilo..."? Sedaj obstaja raziskava, ki dokazuje, da je IE8 najboljše orodje za obrambo pred tovrstnimi napadi. Vsaka čast! Končno učinkovita obramba pred lahkovernostjo, lenobo, dobrimi nameni...

Kot ponavadi sem se izgubil v toku misli. Vmes skuhal in pojedel večerjo, prebral pošto in posodobil programe na svojem računalniku. Da, tudi moj računalnik ni bil posodobljen, čeprav uporabljam samodejne posodobitve! In prav posodabljanje je ključna zaščita pred varnostnimi luknjami. Posodobljen brskalnik? Ne pomaga, če je vtičnik Adobe Flash Player 10 z veliko varnostno luknjo. Podobno če nikoli niste posodobili programa Adobe Acrobat Reader. Ali odstranili ActiveX programa, ki je služil za namestitev popravka za Adobe Flash Player. Seveda si za tovrstne preglede sistema lahko pomagamo z orodji, ki so običajno brezplačna za osebno uporabo. In prav eno od teh orodij mi javlja naslednje za enega izmed brskalnikov: "At least 1 attack vector exists when using this browser, see criticality rating below" 

Saj ne boste verjeli, kateri brskalnik je "nevaren - ni rešitve"...

Na srečo je nevarnost ocenjena kot "nizka" in verjetno se je temu primerno tudi Microsoft, ob najbolj varnem brskalniku Internet Explorer doslej, odločil, da lahko odprava le-te ranljivosti počaka na boljše čase.