Táto otázka ma prenasleduje už niekoľko rokov. Pokladajú mi ju pri každej príležitosti programátori, administrátori, ale aj bežní užívatelia. Otázka je tak stará, ako sám internet. Od počiatku existujú dva tábory, ktoré majú výrazne protichodné odpovede na túto otázku.
Otázka sa týka výlučne softvéru, hardware môžete obmieňať bez obáv, len málokedy má priamy vplyv na bezpečnosť počítača. Softvér je však iná kategória. Od vzniku internetu a prvotných pokusoch tvorcovia softvéru zistili, že nie je vôbec zlé využiť internet pre distribúciu nových verzií, ktoré už nie je potrebné kupovať v masívnych krabiciach v počítačových obchodoch. Nielen že sa tvorcom rapídne znížili náklady, ale bolo im umožnené priamo komunikovať so zákazníkmi a flexibilne reagovať na ich požiadavky, či sťažnosti. Vďaka internetu sa však objavili aj ľudia, ktorí sa “šprtajú” v jednotlivých aplikáciách a systémoch, a hľadajú ich chyby. Podľa toho, do akej skupiny sa títo hackeri zaraďujú, sú potom tieto chyby buď nahlásené tvorcom a publikované ako článok, či v niektorom zo špecializovaných webov (White Hat), zdieľané medzi komunitou nadšencov a na chyby sú vytvorené exploity (Gray Hat), alebo sú chyby, či priamo exploity predávané na čiernom trhu (Black Market) za obrovské sumy (Black Hat).
Čo to teda znamená pre používateľa takejto aplikácie? Každý, kto vlastní počítač je určitým spôsobom ohroziteľný. Nie je teraz dôležité, aký má OS na svojom počítači, každý totižto obsahuje chyby. Taktiež má snáď každý nainštalovaných niekoľko aplikácií (často desiatky). Dokonale bezpečná aplikácia neexistuje. Tvorcovia prakticky neustále opravujú chyby, či už po nahlásení, alebo vďaka vlastnému odhaleniu. Súčasne však neustále vylepšujú svoje aplikácie, pridávajú nové funkcie, vylepšujú vzhľad a snažia sa obmedziť interakciu užívateľa na potrebné minimum (zjednodušovanie práce s aplikáciou). Vďaka tomu sa však dopúšťajú ďalších chýb, ktoré v menšej či väčšej miere môžu ohroziť počítač ich zákazníka. Takže napriek tomu, že tvorcovia niekoľko chýb opravia, kopec ďalších vytvoria a takto dookola. Vďaka tomu vznikli dve skupiny, ktorých názor na aktualizáciu je úplne odlišný. Prvá skupina volí vyčkávaciu taktiku, čo znamená, že aktualizujú len na dlhodobo overené verzie, ktoré sú odskúšané paradoxne druhou skupinou. Práve druhá skupina poukazuje na skutočnosť, že už odhalené chyby sa majú okamžite ošetriť a pokým niekto objaví novo vzniknuté, je užívateľ v relatívnom bezpečí. Pravda je však niekde v strede.
Skupina proti aktualizácii
Určite poznáte niekoho z tejto skupiny. Často to bývajú administrátori, alebo znalí používatelia, ktorí si vytvorili určitú teóriu. Softvér by sa mal aktualizovať až po jeho dostatočnom otestovaní (najčastejšie minimálne pol roka po jeho uvoľnení). Skupina argumentuje tým, že je nutné poznať všetky úskalia, ktoré môže nová verzia spôsobiť, aby mohli byť odstránené, alebo aby sa na ne mohli pripraviť. Tvorcom sa často nedarí ošetrovať aplikácie flexibilne (hlavne keď musia prepísať veľkú časť kódu a oprava tak trvá niekoľko týždňov, občas dokonca i mesiacov) a tak táto skupina vyčkáva. Problém však je, že ich aplikácie sú zastaralé, neposkytujú nové možnosti, ktoré by mohli výrazne uľahčovať prácu a taktiež obsahujú závažné chyby, ktoré však nemôžu zaplátať, pretože by už museli prejsť na novšiu verziu, po ktorej oni vôbec netúžia.
Skupina pre aktualizáciu
Aj z tejto skupiny určite niekoho poznáte. Občas sú považovaní za bláznov. Snažia sa aktualizovať aplikácie do posledných možných verzií vždy, keď sa objavia. Ich OS je zaplátaný a vynovený poslednými aktualizáciami, ktoré zaberajú viac miesta, ako samotný OS. Skupina argumentuje tým, že je potrebné mať ošetrené všetky chyby a keď je ako bonus doplnená funkcionalita, je to len dobré.
Obe skupiny majú úplnú pravdu a zároveň sa veľmi mýlia. Držať softvér v posledných aktualizáciách sa občas nevypláca. Možno si spomínate na chybu objavenú pred pár týždňami postihujúcu linuxové jadro, ktorá umožňuje prevziať práva roota. Táto chyba postihuje však len novšie verzie jadra. Prvá skupina okamžite poukázala na nelogickú aktualizáciu neoverených verzií. Za druhú skupinu však hovoria prakticky tisíce zraniteľností nájdených každý rok naprieč rôznymi verziami softvéru. Veľmi pekný príklad je Apache, ktorý umožňuje funkčnosť webového rozhrania na počítači. Pri testovaní rôznych stránok som sa stretol práve s tým, že väčšina serverov má staršiu verziu Apachu, ktorá obsahuje niekoľko desiatok chýb, ktoré môžu spôsobiť obrovské problémy. Väčšina správcov týchto serverov sa však bráni, že nové verzie ešte nie sú dostatočné otestované a tak sa ich boja nasadiť.
Dokonalý stav
Najlepšie by bolo, zobrať si z oboch skupín časť. Aktualizovať aplikácie do tej verzie, na ktorej nie sú objavené závažné bezpečnostné a funkčné chyby a čakať, kým sa aj na túto verziu neobjavia nové zraniteľnosti a opäť postúpiť o verziu, či dve vyššie. Je však prakticky nemožné sledovať niekoľko stoviek webov, ktoré reportujú nové zraniteľnosti a taktiež sledovať vývojárov všetkých aplikácií, ktoré máte nainštalované. Ďalšou možnosťou by bolo, keby tvorcovia aplikácií nevydávali súčasne balíčky, ktoré obsahujú opravy a zároveň aj nové funkcie, ale úplne ich oddelili. Takto by bolo možné “zaplátať” si aktuálnu verziu bez nutnosti prejsť na novú. Tvorcovia by však museli vynaložiť obrovské úsilie, aby spravovali niekoľko verzií aplikácií súčasne. Preto sa k tomuto stavu asi nikdy nedostaneme.
Nech už patríte ku ktorejkoľvek skupine vedzte, že je dôležité mať aktualizované aplikácie v tej verzii, ktorá obsahuje čo najmenej objavených zraniteľností a neobsahuje žiadnu závažnú zraniteľnosť. Najlepšie je mať vždy tú, ktorá je komunitou používaná niekoľko dní, alebo týždňov. Ak sa však objaví závažná zraniteľnosť (o ktorej väčšinou informuje mnoho internetových médií a blogov), je treba okamžite aktualizovať.
Ku ktorej skupine patríte vy a aký máte názor vy?
ja som nazoru, nieco ano nieco nie.
Firefox aktualizujem ked sa len da, ale prehravac filmov pripadne winamp som neaktualizoval uz roky a som s tym uplne spokojny :)
no tak ja som presne tak skupina blaznov, teda nie uplne, ale z velkej casti, opierku mam kazdy tyzden novy build, os a office pravidelne zaplaty, prehravace vzdy nove, utorrent vzdy nova alpha zostava…ked tak nad tym rozmyslam…asi som naozaj blazon… :)
aktualizovat.
Stary kod je vacsinou uz analyzovany a chyby su zname. Novy kod si vyzaduje este len analyzu, takze viacmenej ziskavas prechodom na novsie verzie urcity cas. Paradox. Tak ci tak sa objavia chyby, ktore je nutno zaplatat. Takze aktualizovat.
Existuju chyby, ktore sa dedia od verzie na vezriu, ako sam pises chyby sa predavaju na ciernom trhu, samozrejme este neobjavene/nepublikovane, s toho vypliva, ze ak ju niekto masivne vyuzije hned po prvy krat nepomoze ziadna aktualizacia :)
to je sice pravda, ale pri tych novych verziach sa ani tak velmi nejedna o bezpecnostne bugy ako bugy programov.
Napriklad FTPRUSH mal jedneho casu novu verziu ktora dost casto zhadzovala windows, pripadne sposobovala pretekanie ramky ked rush bezal viac ako 300hodin a podobne. v starych verziach tieto bugy neboli ale v novych uz ano.
Nove featury prinasaju nove bugy, nielen tie, ktore sa daju zneuzit, vo velkej casti tie, ktore sa zneuziju same.
pripajam sa k ayslix.. napriklad Photoshop CS3 mam bloknute aktualizacie pretoze nic nove mi netreba.. winamp to iste.. 5.35 4ever :] ale napriklad TuneUp Utilities, Operu/FX aktualizujem stale pokial je nova verzia.
Zvazit, co aktualizovat hned a co prilezitostne. Vyplynie to najskor z praxe a skusenosti. Ako bolo spomenute vyssie: Vadny Winamp ma ohrozuje menej (nekomunikuje smerom von, prehravam lokalne subory, ktore nestahujem z internetu atd) ale vadny Firefox zasahuje siroku skupinu pouzivatelov (a preto je nachylny k infiltracii), nejde ho nepouzivat na spojenie s internetom.
Do uvah spada aj fakt, ze mozem pri pouzivani pocitaca spadnut do nekonecneho kruhu, kedy pre same funkcne a bezpecnostne aktualizacie sa uz nevenujem praci s pocitacom ale takmer vyhradne jeho aktualizaciam :-) (spomente si ako fascinovane sme sledovali checkdisk kym skonci). Dalsi fakt je aj nakolko je moje spravanie sa rizikove. Jednym extremom je postoj majitela pocitaca: “mne nevadi, ze mam na pocitaci virusy, ked to skolabuje, preinstalujem to” a opacny extrem je 2 antiviry na pozadi, 2 dalsie rezidentne ochrany, neustale laborovanie a cakanie na stiahnutie aktualizacii pricom k poslednemu nahlasenemu incidentu si neviem vybavit ani to, v ktorom desatroci to bolo :-)
Celkom urcite ani clanok dilemu nevyriesil a nestane sa to ani nasimi komentarmi :-)
Aktualizovat pouze s vědomím co se aktualizuje, v žádném případě neaktualizovat automaticky. Už jsem se setkal s proframy co se u nich po zakové aktualizaci změnila licence jp powertools, přibyl yahoo toolbar spyware terminator, nebo takové windowsy to už je extrém. Zkuste si na čisté instalaci windows stáhnout xp antispy poladit systém, povyoínat zprávy o chybách, vypnout integrovaný firewall a pak si jděte na ms vyladit cleartype písem microsoft.com/typography/cleartype/tuner/Step1.aspx. Pak se znovu mrkněte co máte spuštěné za služby atd. Tuhle jsem se v práci moc divil proč se zaboha nemůžu dostat na http://ftp. Důvod byl prostý, ladil jsem cleartype a to activeX zaplo jaksi navíc pár služeb a firewall. Doma jedu na xp sp1 spokojeně od roku 2002 s vypnutými aktualizacemi, právě kvůli tomu, že ms si myslí, že ví líp mež já co potřebuji. Na druhou stranu často používám nejnovější Minefield. Pokud aktualizuji sw, vždy stáhnu a otestuju movou verzi na paralerním os, abych otestoval zda neobsahuje nějaké nechtěné dárečky. Jsem asi fakt paranoidní.
rony: tuto otazku nevyriesi snad nikdy nikto. komentare vsak mozu uzivatelom pomoct rozhodnut sa, ako budu k aktualizaciam pristupovat. toto nie je len o aktualizacii os, ale trebars aj open-source web aplikacii ako je napriklad joomla, drupal, ci ine. vsetko funguje na rovnakom principe.
suhlasim, ze si musi clovek zvolit priority pre update a samozrejme je dolezite nastavenie systemu. ak poznam zranitelne miesta, mozem ich dostatocne zabezpecit. proti private exploitom sa vsak uz nic robit neda, ale to je ina. malokedy sa stane, ze exploit je funkcny, ak ma uzivatel odstavene sluzby, ktore nepouziva a nepotrebuje a ma dostatocne zabezpecene vstupy (niekade sa musi dostat utocnik dnu). tzn, ak aj ma funkcny exploit, ktory sa dostane nepozorovane dnu v podobe virusu, alebo len sa priamo pouzije, no pred nim je napriklad router s firewallom, je velmi obtiazne sa dostat dalej.
kazdopadne je velmi dolezite drzat softver v tej najlepsie vhodnej aktualizacii (rozhodnut ktora to je je uz na inu debatu, nekonecnu)
X: s tou analyzou stareho kodu nesuhlasim. malokedy sa kod doslova rozobera, vacsinou sa jedna o testy na jednotlive miesta. vezmi si len open-source web aplikacie. po mesiacoch su objavovane nove a nove chyby. nie preto, ze by bol niekto ovela lepsi a dokazal najst akukolvek chybu, ale preto, ze len malokto cita zdrojovy kod do poslednej bodky. proste skusi na par miestach, ci by to neslo a ide dalej.
Este je jeden pohlad na vec: Server vs. Workstation. To co si dovolim na WS a to, co pri pripadnom probleme tam dokazem akceptovat sa javi uplne inak v produkcnom prostredi na serveroch, kde kazdy vypadok je realna strata. Na serveroch sa skor klonim k tomu aktualizovat len vyslovene nutne veci a veci, kde hrozi realne riziko zneuzitia. Pokial dokazem to riziko odfiltrovat firewallom, ci na aplikacnej urovni radsej ostavam pri stabilnej (aj starsej) verzii.
akurat ze na serveroch bezi vacsina aplikacii kt spolupracuju s internetom tj su riskantne. vlastne ma ani nenapada vela programov ktore maju co robit na servery a nemaju priamy pristup k netu .. mozno nejaky converter na videa na servery typu youtube nema priame napojenie, ale predsa, vsetko s vsetkym nejak suvisi a aplikacie typu winmap/hry/photoshop by na servery nemali co hladat.
2ayslix: ja sa skor staram o unixove servery a tam veci, ktore na serveri su a nie su priamo v kontakte s netom najdes dost. (O tom, ze na server nepatri to, co si pisal nema zmysel diskutovat. To su fakty :-{))))
no, debiana updatuju vicemene kazdej den, pouzivam unstable, takze to uz takovej rozdil neni. Windows uptatuju jak se mi chce, ale mam nastavenej rucni update (predevsim proto, ze automatika umi restartovat pocitac v momente, kdy je to nejmin cekat. Software updatuju podle typu, jak rekl ayslix, multimedialni prehravace temer vubec, software co se nejak tyka spravy HW (tv tuner, drivery apod) updatuju jak casto je mozne, protoze v 95% se odstrani zase par chyb…
ja rad vsetko updatujem. asi kazdy soft co mam na compe sa snazim updatovat. za prve ma to bavi a za druhe mam lepsi pocit :D win je treba urcite aktualizovat ale je otazne ktore aktualizacie su treba ako tu uz niekto napisal… zrejme je mi zbytocna aktualizacia Outlooku ked ho vobec nepouzivam :) jedneho dna si na tie aktualizacie posvietim.
dalsia vec : AV soft treba urcite updatovat.
Ja používam soft od secunia https://psi.secunia.com/ ktorý mi pomáha rozhodovať o tom, čo aktualizovať a čo nie.