Browser, patch a confronto

La fine di un anno e l’inizio di un anno nuovo implicano la possibilità di fare bilanci: nel mondo del browsing ogni confronto è spesso una pesata netta di oggetti solo apparentemente omogenei, ma in realtà difficili da confrontare in modo compiuto. Quel che si può fare, però, è utilizzare i numeri per sgombrare il campo da qualche distorsione di troppo, per pesare così le varie offerte al netto di quello che è semplice chiacchiericcio.

Quello che dice la realtà è che i browser divergono in primis per il modo in cui concepiscono il rapporto con la sicurezza: l’utente realmente consapevole degli strumenti che utilizza deve essere pienamente conscio di tutto ciò e giudicare così in base alle verità che il mercato propone, al di là delle apparenze.

Con il finire del 2012 si è potuto ad esempio fare un computo approssimativo delle patch e delle vulnerabilità che i principali browser sul mercato hanno contato. I numeri non sono omogenei, non rappresentano in modo esaustivo il quadro della sicurezza del relativo software, ma consentono quantomeno di ribaltare qualche errore di troppo. Google Chrome, ad esempio, è stato il browser più “corretto” dell’anno con oltre 200 vulnerabilità revisionate dai tecnici di Mountain View; Mozilla Firefox conta per contro poco più di 100 vulnerabilità corrette; Internet Explorer si limita a circa 40 bug corretti nelle varie patch mensili rilasciate. Per quest’ultimo va inoltre considerata anche una grave vulnerabilità scoperta a fine anno (in correzione fin dai primi update del 2013), ma relativa alle vecchie versioni del browser lasciando immuni tanto IE9 quanto IE10.

[nggvideo id=243727]

La disomogeneità dei numeri nasce dalla difformità nella natura degli stessi: mentre per Chrome e Firefox trattasi di bug corretti su di una sola versione (l’ultima), IE è stato corretto nelle varie versioni disponibili sul mercato e per i prossimi mesi la dicotomia sarà ancora forte tra IE9 ed IE10. Tale divergenza si fa evidente nel nome stesso delle release: Chrome è passato dalla versione 17 alla versione 23 in appena 12 mesi, mentre nello stesso lasso di tempo Firefox è passato dalla 10 alla 17, utilizzando così i numeri progressivi come indicatore dell’avanzamento dei lavori; IE è passato invece dalla versione 9 alla versione 10, identificando in ciò più un cambiamento di orizzonte che non fotografando il lavorìo continuo di correzione che sta dietro al codice del browser. Inoltre il semplice computo quantitativo non è in grado di vagliare la gravità dei bug risolti, anche se la promiscuità dei problemi sembra in tal senso compensare gli alti e bassi dei singoli browser.

Diverso, molto diverso, è inoltre il rapporto con i professionisti della sicurezza e con i cosiddetti “bug hunter”: mentre Google e Mozilla hanno messo in piedi un progetto dedicato che porta ad una retribuzione diretta delle segnalazioni degli hacker responsabili interessati (Google ha versato in un anno quasi 150 mila dollari), Microsoft tende a dar maggior valore agli aspetti etici della sicurezza vietandosi l’acquisto dei bug per riportare su di un piano extra-lucro il dialogo con la community dei ricercatori.

Chrome ed IE10 hanno inoltre ora in comune un rapporto più “olistico” della sicurezza, identificando il browser come  un software responsabile della garanzia all’utente anche nella protezione di Adobe Flash: sia Google che Microsoft correggeranno d’ora in poi il player nel flusso di patch canonico, sincronizzandosi con Adobe per far sì che la navigazione sia sempre e comunque tutelata e protetta.

Nel caso di Internet Explorer, inoltre, gli aggiornamenti sono ritmati sulla base dell’impulso dettato da Microsoft: il secondo martedì del mese, tutti i mesi, il servizio automatico di update può trovare eventuali patch correttive, che il gruppo tende inoltre a concentrare all’interno di patch cumulative, così che l’update sia facilitato e reso quanto più rapido ed efficiente possibile. Così facendo IE9 ha recuperato terreno sul piano della sicurezza ed Internet Explorer 10 rappresenta un forte balzo in avanti in grado di dare nuove garanzie al navigatore (tanto a quello più attento alle vulnerabilità, quanto a quello meno informato).

IE10 ha iniziato il proprio percorso di patch a fine 2012 con il primo aggiornamento dedicato, ma il 2012 si è chiuso con una sola vulnerabilità all’attivo ed un immediato update in distribuzione. La bontà delle procedure costruite attorno all’architrave della sicurezza, progettato nel corso degli ultimi anni, potrà essere giudicato fin dai primi mesi del 2012, quando con l’aumento della presenza di Windows 8 tra gli utenti anche il nuovo browser di Redmond potrà essere messo alla prova sotto questo punto di vista. Ove il gruppo ha forti ambizioni per dimostrare cosa, e quanto, si è fatto per migliorare Internet Explorer e l’esperienza dell’utente su ogni device in grado di attivare il browser.