- Sikkerheten best med stille oppdatering

Helautomatiske oppdateringer er det eneste som virkelig fungerer, hevder forskere.

Google er relativt fornøyde med selskapets valg av løsning for å laste ned og installere oppdateringer til selskapets nettleser, Chrome.

Googles sveitsiske av deling har sammen med Computer Engineering and Networks Laboratory i Zürich undersøkt i hvor raskt brukerne av de mest populære nettleserne tar i bruk den ferskeste oppdateringen av nettleseren. Helt objektiv kan man nok derfor ikke si at undersøkelsen er.

Undersøkelsen er basert på Googles weblogger og tall om nettlesere med aktivert støtte for informasjonskapsler (cookies). De fleste nettlesere oppgir hele versjonsnummeret i agent-informasjonen som sendes til webservere, men dette gjelder ikke Internet Explorer. Det er derfor ikke mulig å se av webloggene i hvilken grad brukerne benytter IE med alle sikkerhetsoppdateringer installert.

Etter å ha studert de tilgjengelige tallene, mener rapportforfatterne at det er en stor fordel at programvare oppdateres i det stille, uten at det kreves noen form for interaksjon med brukeren. Ikke overraskende er det nettopp en slik tilnærming Google har for oppdatering av selskapets nettleser, Chrome. Oppdateringssystemet til nettleseren sjekker om en oppdatering er tilgjengelig hver femte time og installerer den neste gang nettleseren startes.

Firefox har en lignende oppdateringsrutine, men sjekkingen skjer vanligvis bare ved oppstart av nettleseren. Brukerne har dog en rekke muligheter for å stille inn hvordan oppdateringene skal utføres. En oversikt finnes på denne siden. Endringene gjøres i skjemaet som vises når man skriver about:config i adressefeltet til nettleseren.

Opera varsler når det foreligger en oppdatering, men hele installasjonsprosessen skjer manuelt, inkludert nedlastingen fra Operas nettsted.

Internet Explorer oppdateres sjelden mer enn én gang i måneden, gjennom Windows Update-tjenesten. Viktige oppdateringer kan installeres uten at brukeren må gjøre noe, men i blant krever oppdateringene av Windows startes på nytt.

Apples oppdateringssystem for Safari har mye felles med Google sitt, men installerer i utgangspunktet ikke oppdateringene uten at brukeren svarer ja til dette. Brukeren kan stille inn hvor ofte det skal sees etter oppdateringer, men det er ikke mulig med høyere frekvens enn én gang i døgnet.

Diagrammet nedenfor viser hvor stor andel av brukerne av de ulike nettleserne som har tatt i bruk den nyeste versjonen, avhengig av antallet dager etter at oppdateringen ble utgitt.

Andelen av brukerne som har tatt i bruk den nyeste oppdateringen av sin nettleser, opptil 21 dager etter utgivelsen av oppdateringen.
Andelen av brukerne som har tatt i bruk den nyeste oppdateringen av sin nettleser, opptil 21 dager etter utgivelsen av oppdateringen.

Etter 21 dager benyttet 97 prosent av Chrome-brukerne den nyeste versjonen, mens tilsvarende tall for Firefox, Safari og Opera var henholdsvis 85 prosent, 33 prosent (for versjon 3.2.x) og bare 24 prosent for Opera.

Tar vi en titt på gårsdagens nettleserstatistikk for digi.no, også den levert av Google, viser den at ikke mer enn 72 prosent av Chrome-brukerne benytter den nye versjonen, 1.0.154.59. Menganske mange av dem som leser digi.no med Chrome benytter en testversjon av Chrome 2. Tallene viser dermed at nesten 95 prosent av Chrome 1.0-brukerne benytter den nyeste versjonen når de leser digi.no. Denne versjonen ble utgitt den 23. april, altså for tolv dager siden.

Firefox 3 ble oppdatert to ganger på under en uke i slutten av april. Den siste oppdateringen ble gitt ut den 27. april. I går, en uke senere, hadde knapt 43 prosent av dem som leste digi.no med Firefox 3.0.x tatt i bruk versjon 3.0.10. Andelen som benyttet versjon 3.0.9 var høyere, drøyt 44 prosent.

Safari oppgis med versjonsnummeret til WebKit i stedet for til selve nettlesere i statistikken til Google. På topp ligger versjon 528.16, som i praksis er Safari 4 beta (en oversikt finnes her). Hele 59 prosent av de som leste digi.no med Safari i går, benyttet denne nettleseren.

De andre tallene for Safari er ikke like enkle å trekke ut, siden Windows- og Mac-versjonene med samme versjonsnummer ikke alltid benytter den samme versjonen av WebKit. Akkurat nå benytter den nyeste Windows-versjonen (3.2.2) en nyere WebKit-versjon enn den nye Mac-versjonen (3.2.1).

Andelen som benytter en Safari 3.x-utgave som også er basert på WebKit 525.27.1 - altså Safari 3.2.1, er nå på 83 prosent. Denne versjonen ble utgitt i november i fjor. Fem prosent av Safari 3-brukerne som benytter Safari 3.2.2 til Windows, noe som betyr at de resterende 12 prosent, benytter en versjon som blitt ansett for å være usikker å bruke i minst seks måneder.

Bare 73 prosent av Opera 9.x-brukerne benytter den nyeste versjonen, 9.64, til tross for at den ble gitt ut i begynnelsen av mars.

Mange av digi.nos leser er opptatt av teknologi og sikkerhet, så at andelen som benytter den nyeste versjonen av sin favorittleser er gjerne er noe høyere her enn hos Google, kommer ikke som noen overraskelse.

Til tross for at Google Chrome benytter den oppdateringsmetoden som forfatterne av undersøkelsen anser for å være best, er det fortsatt noen prosent igjen etter tre uker som ikke har oppdatert.

Ifølge rapporten kan det være flere årsaker til dette. Blant annet varsler ikke nettleseren brukeren om at en ny oppdatering har blitt installert. Dette betyr at så lenge brukeren ikke starter nettleser på nytt, så vil den forrige versjonen benyttes. Mye tyder på at en betydelig andel ikke starter nettleser på nytt i løpet av de tre ukene som undersøkelsen omfatter.

I noen tilfeller vil nettleseren kunne være installert på en virtuell maskin som ikke har skriverettigheter. I andre tilfeller kan det være begrensninger som brannmurer eller i brukerens rettigheter som hindrer oppdateringen. Men Chrome kan installeres og oppdateres uten at brukeren har root-tilgang eller administratorrettigheter.

Det vil også alltid være en del som rett og slett skrur av oppdateringstjenesten som kjøres i bakgrunnen på maskinen. Flere misliker at denne typen tjenester «ringer hjem» til leverandøren, men alle de nevnte nettleserne gjør dette, på en eller annen måte.

Selv om undersøkelsen fokuserer på nettlesere, som er en av de typene programvare med sårbarheter som oftest utnyttes av ondsinnede, kan trolig erfaringene fra nettleserne også overføres til andre typer programmer som er utsatt for sårbarheter. Samtidig, i mange bedrifter, ønsker driftsavdelingene gjerne å rulle ut oppdateringer etter eget tempo, gjerne etter at oppdateringene først har blitt testet på egnede datamaskiner.

Hele rapporten er tilgjengelig her.

Til toppen