Wnioski: Nie lubimy klikać
W Operze do aktualizacji niezbędne jest ręczne pobranie i instalacja pakietu, co wiąże się z przechodzeniem przez wiele okien dialogowych. W wyniku tego wśród obserwowanych użytkowników jedynie 24% miało zainstalowaną najnowszą wersję oprogramowania. Inaczej wygląda sytuacja w przypadku Chrome'a: nowa aktualizacja jest pobierana i instalowana bez powiadamiania użytkownika (Silent Update). Dwadzieścia jeden dni po przygotowaniu aktualizacji 97% obserwowanych użytkowników tego browsera korzystało z najbardziej aktualnej wersji. W stworzonej przez Google'a przeglądarce wyłączenie automatycznej aktualizacji nie jest w ogóle możliwe.
W przypadku Firefoksa w 21 dni po wydaniu aktualizacji 85% użytkowników używało najnowszej wersji, wśród użytkowników Safari ten odsetek zamknął się w 53%. Eksperci nie mogli przeprowadzić za pomocą swoich serwerów pomiarów dla Internet Explorera, albowiem ta przeglądarka przesyła niewystarczającą ilość informacji o stanie patchy.
Zalecenia
Opierając się na wynikach swoich badań, autorzy analizy zalecają producentom przeglądarek implementowanie tak zwanych cichych aktualizacji, ponieważ ich zalety są widoczne jak na dłoni. W kolejnej 10. wersji przeglądarki takie aktualizacje planuje wprowadzić Opera, aczkolwiek uaktualnienie programu nie będzie się odbywać bez zgody ze strony użytkownika.
Poza tym autorzy opracowania sugerują także zmodyfikowane strategie i cykle łatania. Dla przykładu za comiesięczny cykl Patch Day Microsoftu odpowiadają w głównej mierze klienci korporacyjni, którzy chcą mieć stały termin aktualizacji swojej infrastruktury. Trudno jednak zrozumieć, dlaczego w momencie pojawienia się krytycznych luk w Internet Explorerze miliony innych użytkowników miałyby przez dłuższy czas pozostawać bez ochrony i czekać aż do kolejnego dnia łatania. Jeszcze w lutym działająca w branży zabezpieczeń firma Qualys krytycznie oceniała to, że dystrybucja łat dla IE nie jest oddzielona od pozostałych aktualizacji zabezpieczeń, w wyniku czego wprowadzanie poprawek w przeglądarce Microsoftu ciągnie się przez wiele tygodni.
Wprawdzie z punktu widzenia zabezpieczeń takie ciche aktualizacje oznaczałyby niebagatelne korzyści dla użytkownika, ale z drugiej strony istotna jest też kwestia utraty kontroli nad programem. Nie każdy chce, aby po jednorazowej dobrowolnej instalacji podsuwano mu cichaczem i bez pytania o zgodę nowe wersje. Poza tym niezbędne jest jasne określenie, czy takie ciche aktualizacje mogą się ograniczać jedynie do kwestii bezpieczeństwa, czy też w ten sposób można skrycie instalować w systemie nowe funkcje.
Z analizą można zapoznać się pod tym adresem .
Czytaj więcej na technologie.gazeta.pl
