Nemrég több helyen is megjelent az a hír, hogy az Opera titokban javított két súlyos biztonsági hibát, és erről elfelejtette értesíteni a felhasználókat. A száraz tényeket nézve ez valóban így történt: az Opera 9.02-ben fény derült két biztonsági hibára, amelyeket az Opera 9.10-ben kijavítottak, viszont erről egy szó sem szerepelt a változások listájában (a listát azóta már frissítették).
Világos, hogy ez az eljárás nem volt túl szerencsés a felhasználókra nézve, de szó sincs semmilyen eltitkolásról ebben az esetben. Valószínűleg sokan olvastátok már az Opera Desktop blogon megjelent írást erről az esetről, ahol megmagyarázzák, hogy miképpen fordulhatott elő ez a balszerencsés eset. Fontos amúgy megjegyezni, hogy semmilyen tragédiáról nincs szó: egyrészt a hibát már a nyilvánosságra kerülés előtt javították, másrészt azok, akiket érdekelnek a biztonsági hibák, valószínűleg amúgy is frissítik a böngészőjüket, ha új verzió jön ki.
A fenti cikk alapján röviden össze lehet foglalni, hogy mi történt. Az Opera a biztonsági hibák esetében ugyanis nem úgy jár el, hogy megjelenik a hiba, aztán megnézik, hogy mi lehet a gond. A hibákat többnyire valamelyik biztonsági hibákkal foglalkozó szervezet fedezi fel, és ők még a hiba nyilvánosságra hozatala előtt értesítik a fejlesztőt a hibáról. Ők ketten aztán megpróbálják felderíteni, hogy a hiba mennyire súlyos, milyen esetekben lehet kihasználni, stb. A hiba felfedezője sokszor megszab egy határidőt is, ameddig ő vár a hiba nyilvános bejelentésével. Ha még a határidő előtt elkészül egy javítás, akkor mindketten nyilvánosságra hozzák a hibát, és elérhetővé teszik a javítást. Az Opera sok kisebb verzióváltása ilyen biztonsági hibák javításából fakad.
Jelen esetben az történt, hogy az Opera még a határidő előtt elkészített egy gyors javítást, de tovább vizsgálták a hibát, hogy más hasonló esetekben is jelentkezik-e, ezért még nem hozták nyilvánosságra a sebezhetőséget. Ettől teljesen függetlenül megjelent az előre betervezett Opera 9.10 az adathalász védelemmel, és belekerült az a két javítás is, amiket még nem teszteltek le kellőképpen. (Közben jöttek az ünnepek, és telt az idő.) A tesztelés végén az iDefense nyilvánosságra hozta a hibákat, és közölte, hogy az Opera 9.10 már javította ezeket. Ekkor derült ki, hogy a változások listájában ez a javítás nem szerepelt.
Szóval ne felejtsd el frissíteni az Operát a 9.10-es verzióra, és böngéssz továbbra is biztonságosan.
A bejegyzés trackback címe:
Kommentek:
A hozzászólások a vonatkozó jogszabályok értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a Felhasználási feltételekben és az adatvédelmi tájékoztatóban.