Hlavní navigace

Zrušil jsem aktualizace, konečně můžu používat děravý prohlížeč

2. 2. 2012 21:00 (aktualizováno) Petr Krčmář

Někteří uživatelé jsou nepoučitelní a odmítají aktualizovat svůj prohlížeč, protože se jim nelíbí změny v uživatelském rozhraní novějších verzí. Koledují si tím ale o malér.

Nebojte, nezbláznil jsem se. To jen obšírněji reaguji na to, co jsem si přečetl pod dnešními články o Firefoxu 10 na Lupě a na Rootu. Odcituji oba příspěvky, které mají mnoho společného:

„…automatickou aktualizaci, doufám, že nebude nucená jak v Chromu. Podařilo se mi ji zrušit a můj Chrome vesele jezdí ve verzi 12.“

„Jinak bych na něm běžel klidně rok… nevím co mají všichni s těma nejnovějšíma verzema.“

Podobných příspěvků jsem už četl desítky a kráčí v nich o totéž. Dalo by se to lapidárně shrnout asi takto: „Proč mi všichni pořád cpou aktualizace? Já jsem si je zablokoval a konečně jsem šťastný, můžu používat verzi prohlížeče, která mi vyhovuje.“

Uživatelé, kteří takto postupují, jsou (alespoň podle svých slov) konzervativní a nemají rádi, když se jim mění některé vlastnosti prohlížeče: tu se objeví jiné tlačítko, tohle se zase přemístí, jiné se automaticky schovává, támhle zmizí ikona, tady se celé menu skryje do jednoho tlačítka. Takových změn se hlavně ve Firefoxu událo během posledního roku poměrně hodně. Samozřejmě rozumím tomu, proč to citovaným uživatelům vadí. Rozumím tomu, ale nechápu jejich řešení „nebudu aktualizovat“.

Střih.

Webový prohlížeč je dnes jednou z nejohroženějších aplikací, mnoho útočníků se snaží do operačního systému dostat právě přes prohlížeč a napadenou webovou stránku. Cílem obvykle je do počítače nainstalovat nějaké odposlouchávadlo, bota, automatický rozesílač spamu a podobně. Prohlížeč a web jsou ideálním místem šíření, bezpečnostních děr je hodně a web používáme všichni.

Proto je poměrně zásadní (nejen) prohlížeč udržovat v kondici, to jest záplatovat jeho bezpečnostní díry. U těch kritických se to snaží vývojáři zvládnout v řádu hodin, u těch méně nebezpečných je to otázka dnů. Díry jsou ve všech prohlížečích (a aplikacích), důležité ovšem je, aby na ně vývojáři a uživatelé správně reagovali. Aktualizacemi.

Střih.

Dostáváme se k meritu věci: vývojáři prohlížečů neudržují starší řady svých aplikací. Prostě se vydá další verze, ta opravuje předchozí chyby a jednou za čas (major verze) k tomu přidá nějaké další novinky a jede se dál. Proto není možné zůstávat u starší verze prohlížeče. To je to, co „všichni mají s těma nejnovějšíma verzema“.

Poznámka: Výjimkou je samozřejmě nový Firefox ESR či Firefox 3.6. To jsou verze, které jsou (budou) podporovány rok, takže je možné u nich „oficiálně“ počkat a není třeba stahovat každou novou verzi (kromě bezpečnostních aktualizací). Nutno poznamenat, že ESR je novinka a řada 3.6 bude v dubnu končit. Tenhle článek je ale o lidech, kteří zůstanou u libovolné verze, která se jim zrovna líbí.

Naopak je tu snaha tyhle bezpečnostní aktualizace nacpat i ignorantským uživatelům, kteří o aktualizacích nemají ani páru. Kolikrát jsem k někomu přišel a on tam měl rok starý Firefox a stěžoval si, že na něj vyskakuje nějaká otravná hláška, kterou zavíral bez přečtení. Proto Chrome už dávno a Firefox čerstvě používají tiché aktualizace, kdy se uživatelů na nic neptají a prostě se aktualizují „pod rukama“.

Ano, je možné to jistě vypnout a tím zamezit automatickým aktualizacím. Stejně tak v linuxových distribucích je možné zablokovat aktualizace konkrétních balíčků (viz aptitude hold v Debianu). Takový postup je ale naprosto sebevražedný, protože tím přijdeme nejen o nové funkce, které se nám nelíbí, ale hlavně o bezpečnostní záplaty.

Poznámka: Nehledě na to, že s Chrome se aktualizuje i Flash, což je další z velmi ohrožených (a velmi děravých) aplikací, kterou je nezbytně nutné udržovat v kondici.

Střih.

Uveďme si konkrétní příklad. Dejme tomu, že používáte Firefox 4. Ten ještě není starý ani rok (přesněji březen 2011) a přinesl některé novinky jako Firefox Sync, nový vzhled, vylepšenou práci s panely a podobně. Je to už celkem nový prohlížeč, z technického hlediska obsahuje všechny běžně používané technologie, takže uživatelsky vám nic nebrání jej používat.

Problém je ovšem ve zmíněných bezpečnostních aktualizacích. Do dnešního dne bylo ve Firefoxu 4 objeveno a novými verzemi záplatováno 44 bezpečnostních děr, z toho 9 je vážných a 27 kritických.

A to je rok starý (mladý) prohlížeč. Prakticky každý týden od vydání v něm byla objevena jedna bezpečnostní díra a polovina z jich je kritická. Používali byste aplikaci, o které bych vám řekl, že obsahuje 44 známých a zdokumentovaných bezpečnostních chyb, z nichž část je možné použít pro průnik do systému? Pravděpodobně ne.

To je také důvod, proč není možné ignorovat aktualizace prohlížečů a přehlížet jejich nové verze. I když se nám některé změny v uživatelském rozhraní třeba nemusí líbit.