Apple łata przeglądarkę. Jak zwykle ostatni

Apple z kilkoma rzeczami radzi sobie fantastycznie. Projektowanie produktów – idzie doskonale. Tworzenie spójnego ekosystemu sprzętu i softu – na medal. Zarabianie pieniędzy – obłędnie. Ale z paroma rzeczami firma nie radzi sobie zupełnie. Szkoda, że jedną z nich jest coś tak ważnego, jak łatanie własnych produktów.

Firma od kilku dni dostarcza użytkownikom Safari aktualizację, usuwającą z listy zaufanych dostawców certyfikatów SSL holenderski DigiNotar. Został on ostatnio zaatakowana przez włamywaczy, którzy przejęli pakiet certyfikatów (wydanych m.in. dla Google, Microsoftu, a nawet CIA i Mossadu) i próbowali wykorzystywać je do atakowania internautów.

Co więcej, DigiNotar absolutnie nie poradził sobie z tym kryzysem i zamiast uspokoić sytuację, tylko ją zaognił. Firma szybko poinformowała, że wszystkie skradzione certyfikaty zostały anulowane i użytkownicy są bezpieczni – problem w tym, że krótko później okazało się, że o kilku zapomniano. W tym, bagatela, o certyfikacie wydanym dla Gmail.com.

Co do tego wszystkiego ma Apple? To, że w tej sytuacji zabezpieczenie użytkowników przed atakami znalazło się po stronie producentów przeglądarek – ich zadaniem było zaktualizowanie listy zaufanych dostawców certyfikatów w poszczególnych programach (innymi słowy wywalenie z tej listy Diginotar). Autorzy wszystkich czołowych przeglądarek zrobili to praktycznie natychmiast – już pod koniec sierpnia pojawiły się stosowne poprawki dla Firefoksa, Chrome’a oraz Internet Explorera (równie szybko poradził sobie producent Opery).

A Apple jak to Apple – niespiesznie. Oficjalna poprawka dla Safari (Mac OS X oraz Windows) pojawiła się dopiero 9 września i od tego czasu jest dostarczana do użytkowników. Choć to i tak nieźle, bo użytkownicy iOS nie dostali jej do dziś. Aczkolwiek odnotować trzeba, że ten sam problem mają wciąż użytkownicy Androida (mobilnej przeglądarki Microsoftu problem nie dotyczy, bo Diginotar nie znajdował się na jej liście zaufanych wystawców SSL).

Dodajmy, że taka postawa Apple nie jest niczym nowym. Firma przez lata przyzwyczaiła nas do tego, że nad poprawkami pracuje długo i nie ogląda się przy tym na innych. Specyfika Mac OS X sprawia, że Apple dostarcza aktualizacje nie tylko dla swoich aplikacji, ale także dla produktów innych firm, które są standardowo dołączane do Mac OS X. I dzięki temu możemy wyraźnie zobaczyć, że Apple potrafi zwlekać z przekazaniem użytkownikom jakiejś poprawki nawet po kilka tygodni od momentu, w którym przygotuje ją producent danego programu (tak bywało np. z Javą, Flashem itp). Niewiele lepiej jest z aktualizowaniem własnych produktów – co dobitnie pokazuje przykład Safari i DigiNotar.

Dlaczego? Tego tak naprawdę nigdy się nie dowiedzieliśmy – koncern na temat zagadnień związanych z bezpieczeństwem nie wypowiada się praktycznie wcale. Dodajmy, że Apple w ogóle ma wysoce niestandardową politykę w tej dziedzinie – jest to chyba jedna z ostatnich firm, które nie zdecydowały się na przyjęcie powszechnie obowiązującego w branży systemu określania zagrożenia danym błędem (firma nie używa terminu „luka krytyczna”). Co więcej – Apple lubi robić niespodzianki. Podczas gdy inni producenci (z Microsoftem na czele) dawno już przeszli na system aktualizowania oprogramowania w stałym cyklu lub przynajmniej informowania o planach udostępnienia poprawek, to Apple wciąż działa na zasadzie niespodzianki – raz na jakiś czas bez zapowiedzi huknie pakietem kilkudziesięciu poprawek.

Dla użytkowników domowych to nie jest może sprawa życia i śmierci. Klikną kilka razy i już mają zaktualizowany system. Jednak w firmach wdrażanie poprawek to dużo bardziej skomplikowane przedsięwzięcie, które trzeba odpowiednio zaplanować i poprzedzić testami. Jeśli więc ktoś się zastanawia, dlaczego Maki mimo tylu zalet wciąż nie są popularne w firmach, to przynajmniej częściową odpowiedź znajdzie powyżej…