Discussion :

[Hinault Romaric]

Internet Explorer 10 moins vulnérable que ses concurrents
Microsoft détaille les fonctions de sécurité du navigateur


Le mois dernier, une étude du cabinet NSS Labs a montré qu’Internet Explorer 10 était plus sûr que n’importe lequel de ses concurrents, en ce qui concerne la protection des utilisateurs contre les téléchargements dangereux.

L’analyse, portant essentiellement sur la fonction SmartScreen du navigateur, a permis de constater qu’IE 10 sous Windows 8 était capable de bloquer près de 99,96 % des téléchargements de programmes malveillants.

Le navigateur dispose cependant de plusieurs autres évolutions dans le domaine de la sécurité qui n’ont pas été évaluées. Dans un récent billet de blog, Microsoft présente un peu plus en détails les fonctionnalités de sécurité qui ont été intégrées au navigateur.

Pour protéger les utilisateurs contre les attaques, Internet Explorer utilise une fonction de filtrage d’URL baptisée SmartScreen, combinée avec une méthode d’analyse de réputation des applications et un filtre XSS qui empêche automatiquement certains types d’attaques.

En plus d’être meilleur dans le blocage des logiciels malicieux, Internet Explorer 10 disposerait également de moins de vulnérabilités que les autres navigateurs. Ceci notamment grâce aux mises à jour automatiques, des fonctions de protection mémoire qui rendent difficile l’exploitation de certains types de vulnérabilités et l’ajout d’une nouvelle couche Enhanced Protected Mode.

Microsoft cite par exemple les rapports d’analyse « Secunia Vulnerability Review 2013 » et « Symantec's 2013 Internet Security Threat Report » qui montrent qu’Internet Explorer 10 a beaucoup moins de failles de sécurité que ses concurrents sur Windows.

L’étude de Secunia, par exemple, révèle que le navigateur de Microsoft n’a eu que 10 alertes de sécurité et 41 vulnérabilités contre 28 alertes pour Chrome et 291 vulnérabilités. Firefox pour sa part a enregistré 21 alertes et 257 vulnérabilités.

Source : Microsoft


Et vous ?

Que pensez-vous de la sécurité d'Internet Explorer 10 ? Et de ces études ?

Utilisez-vous Internet Explorer 10 ou envisagez-vous de migrer sur le navigateur ?

[Invité]

Que pensez-vous de la sécurité d'Internet Explorer 10 ? Et de ces études ?
Je pense que je n'ai plus confiance en IE donc ils peuvent dire qu'il est meilleur, malheureusement je ne les crois pas.

Utilisez-vous Internet Explorer 10 ou envisagez-vous de migrer sur le navigateur ?
Juste pour tester mes sites, et le plus souvent je m'énerve contre ce navigateur !!!

[Neckara]

Le mois dernier, une étude du cabinet NSS Labs a montré qu’Internet Explorer 10 était plus sûr que n’importe lequel de ses concurrents, en ce qui concerne la protection des utilisateurs contre les téléchargements dangereux.

Faux, cette étude ne montre en aucun cas cela ( il manque des données pour établir de vraie conclusion, cf ma réponse dans ce sujet ).

L’étude de Secunia, par exemple, révèle que le navigateur de Microsoft n’a eu que 10 alertes de sécurité et 41 vulnérabilités contre 28 alertes pour Chrome et 291 vulnérabilités. Firefox pour sa part a enregistré 21 alertes et 257 vulnérabilités.

Ces chiffres ne donnent en aucun cas un indicateur de sécurité des logiciels, en effet, le fait d'avoir plus d'alertes signifie simplement que plus de failles ont été trouvée (et donc seront corrigée) pas que l'application possède plus de failles. Sinon ces alertes sont comptée comment ? Sur quelle durée ?? (La même durée pour chaque navigateur ? )

Pourquoi n'a-t-on pas les versions des navigateurs testés ?

Source : Microsoft

La source nous fait douter quant à l'objectivité de ces études

Que pensez-vous de la sécurité d'Internet Explorer 10 ? Et de ces études ?

Pour la sécurité, je ne peux rien dire vu qu'on a aucun élément concret à se mettre sous la dent. Quant à ces études, je ne suis pas vraiment allé creuser les sources pour voir si certains éléments ont été "oublié", etc. Mais tel que présenté ici, ce n'est que de la publicité maquillée pour internet explorer 10

Utilisez-vous Internet Explorer 10 ou envisagez-vous de migrer sur le navigateur ?

Il ne me semble pas que IE10 soit disponible sur Ubuntu, je ne me pose donc même pas la question

[arnolddumas]

Que pensez-vous de la sécurité d'Internet Explorer 10 ? Et de ces études ?

Une étude de Microsoft ventant un produit Microsoft.

Utilisez-vous Internet Explorer 10 ou envisagez-vous de migrer sur le navigateur ?

Non et non. Le naviguateur ne propose rien d'innovant par rapport à la concurrence.

[elias551]

IE bloque par défaut beaucoup de sites même s'ils ne sont pas malveillants, ca lui donne un avantage niveau sécurité.

Je pense que chrome + notScripts ou FF + noscript sont loin devant niveau sécurité, même si niveau confort de navigation c'est beaucoup plus... ennuyant.

[Mr_Exal]

Que pensez-vous de la sécurité d'Internet Explorer 10 ? Et de ces études ?

Je pense que c'est du flan.

Utilisez-vous Internet Explorer 10 ou envisagez-vous de migrer sur le navigateur ?

Comme Master-NiKo uniquement pour tester des sites webs et il m'arrive un tas de bizarreries (du genre un width qui est redimensionné à 954px et des poussières alors qu'il fait normalement 960px sur tous les autres navigateurs testés (opéra,safari,chrome,firefox) du coup tout mon design saute je n'ai toujours pas trouvé la solution ...)

[kolodz]

IE bloque par défaut beaucoup de sites même s'ils ne sont pas malveillants, ca lui donne un avantage niveau sécurité.

Ca me rappel à pop-up "Êtes-vous sur de vouloir lancer ce programme ?"
Qui devait amélioré la sécurité. Ceux qui sont capable de répondre à la question l'ont désactive et les autres répondent "oui" systématiquement.
Ce qui rend la protection inefficace...

[Schouss]

Que pensez-vous de la sécurité d'Internet Explorer 10 ? Et de ces études ?

En test, si vous testez une boite noire, vous ne pouvez pratiquement que tester les fonctionnalités attendues. Si vous avez accès au code, vous testez les fonctionnalités attendues et les loups qui sont visibles en lisant le code.
Ce que je pense de l'étude : Le résultat d’IE peut être mis à la poubelle, et c'est intéressant de voir que chrome et firefox sont similaires.

Utilisez-vous Internet Explorer 10 ou envisagez-vous de migrer sur le navigateur ?

Parce qu’IE a une part de marché, alors je dois le prendre en considération dans les tests. Pour info dans la même logique, safari n'est pas testé. Seul IE/Firefox et chrome sont significatifs. Les plans de test sont déjà suffisamment long avec ceux-là.

[Uther]

Que pensez-vous de la sécurité d'Internet Explorer 10 ? Et de ces études ?

Que developpez.com nous fait malheureusement encore passer de la publicité au minimum trompeuse, sinon mensongère, pour une news.

Tout d'abord, ces chiffres ne sont juste pas comparables vu que Firefox et Chromium sont open-source avec un suivi de projet ouvert au public, Toute les corrections de sécurité sont visibles pour tous. Le développement de IE est fermé, en général, seules les failles de sécurités révélées au public sont connues.

De plus, même si IE avait un développement ouvert, on peux difficilement comparer les failles de sécurité de manière uniquement quantitative. Les problème de sécurité ont des niveaux de risque et des délais de correction variable.

Enfin, comme dit plus haut, ça n'est que la liste des failles annoncées et donc corrigées. Ça peux aussi bien vouloir dire que Microsoft a beaucoup mois cherché de failles que Mozilla et Google et que par conséquent il est plus vulnérable.

[stardeath]

à quand l'étude objective et sans biais des critiques de développez ici présent?

bref beaucoup de critique sans aucune action.

[tontonnux]

à quand l'étude objective et sans biais des critiques de développez ici présent?

bref beaucoup de critique sans aucune action.

A quand des pubs Microsoft non maquillées en news sur DVP ?

Sérieusement, ça fait combien de fois que vous nous demandez si on pense migrer sur IE10 ?

[Ble4Ch]

Chiffres bidons. Pas forcément faux, mais pas forcément vrai.

Quelques pistes de réflexion :

- fonctionnement du smartscreen par rapport aux API Google utilisées par Chrome et Firefox.

- Open source vs licence

- Fréquence des MAJ (comparé à Firefox) empêchant le maintien d'une sécurité optimale (à moins qu'IE10 soit livré sans failles HAHAHAHA)


Ceci suffit à décrédibiliser cette étude, soit incomplète, soit mal menée.

[stardeath]

A quand des pubs Microsoft non maquillées en news sur DVP ?

Sérieusement, ça fait combien de fois que vous nous demandez si on pense migrer sur IE10 ?

sujet de philosophie :

personne ne peut change d'avis? ie ne peut pas évoluer pour une fois dans le bon sens? le seul fait que ça soit marqué microsoft fait perdre des valeurs de jugement? la concurrence ne fait pas de pub tout aussi stupide?

vous avez 2 heures.

j'attends toujours l'étude objective et sans biais d'ailleurs. (bonne chance au passage )

[Neckara]

sujet de philosophie :

personne ne peut change d'avis? ie ne peut pas évoluer pour une fois dans le bon sens? le seul fait que ça soit marqué microsoft fait perdre des valeurs de jugement?

Là n'est pas la question.

Que ie ai évolué pourquoi pas, que ie soit "supérieur" aux autres navigateurs, admettons.
Mais toujours est-il que ces chiffres ne signifient rien et n'ont aucune valeur sans compter les conclusions hâtives et injustifiables par ces chiffres.

Pour que ces chiffres aient une quelconque valeur, il faut avoir un minimum d'informations sur les conditions des expériences. Sans compter que parfois des chiffres complémentaires sont nécessaires (cf ma réponse dans le sujet http://www.developpez.com/actu/55427/ ).

On peut faire dire tout et n'importe quoi aux chiffres, c'est trop facile de jouer à ce jeu là.
J'ai une application A sortie en 1900 qui a eu 200 alertes de sécurité depuis sa sortie. A côté j'ai une application B sortie en 2012 qui a eu 40 alertes de sécurité.
200 alertes contre 40 alertes, l'application B serait-elle plus sûre ?
D'ailleurs, en quoi le nombre d'alertes est un indicateur de sécurité ?

Mon navigateur nommé TheSuperWebBroswerOfTheGeniusNeckara demande à chaque page une confirmation/montre une alerte et a alors un taux de blocage de... 100% (quelle sécurité !). Mais voilà, les utilisateurs ont désactivés ces messages ou ne les regardent plus, au final, aucune efficacité (cf paradoxe des faux-positifs).

Ces chiffres sont trop facilement contestables (et on ne va pas chercher bien loin pourtant). Tel que présenté ici, ce ne sont pas des études, mais de la publicité.

[stardeath]

Ces chiffres sont trop facilement contestables (et on ne va pas chercher bien loin pourtant).

c'est bien pour ça que ça m'étonne, ça a l'air si facile à démontrer le contraire sans même faire une vraie étude en réponse pour bien montrer comment on fait une étude, désolé si ça me semble louche ...

Tel que présenté ici, ce ne sont pas des études, mais de la publicité.

non, sans déconner? microsoft, comme google, mozilla, opéra, etc. n'espèrent ne pas faire de pub quand ils sortent une enquête, un produit ou autre qui arrive dans une news.

je pense que dans ce cas on peut rayer de la carte la page accueil de développez.

je tacherai, en tout cas, de m'en rappeler quand un concurrent sortira une mise à jour révolutionnaire de son moteur javascript qui fera gagner 150% de vitesse, on pourra pas me repprocher de crier à la pub

[Neckara]

c'est bien pour ça que ça m'étonne, ça a l'air si facile à démontrer le contraire sans même faire une vraie étude en réponse pour bien montrer comment on fait une étude, désolé si ça me semble louche ...

Là n'est, encore une fois, pas la question.

On ne démontre pas le contraire, on démontre que ces chiffres ne valent rien car il manque des données importantes à leur interprétation. Les conclusions de ces études peuvent très bien être vrai (personnellement je n'y crois pas trop ), ce qui n'empêche pas le raisonnement d'être complètement bancal.
Et si une entreprise a besoin d'une étude aussi bancale, pour vanter les mérite de son produit, on est en droit de douter fortement de la "supériorité" de ce produit.

Et puis je pense que la majorité des lecteurs ici présents n'ont pas le temps ni même l'envie de faire de telles études.

non, sans déconner? microsoft, comme google, mozilla, opéra, etc. n'espèrent ne pas faire de pub quand ils sortent une enquête, un produit ou autre qui arrive dans une news.

Il y a une différence entre faire de la publicité pour un produit et payer de fausses études (?) afin de rabaisser sa concurrence.

je tacherai, en tout cas, de m'en rappeler quand un concurrent sortira une mise à jour révolutionnaire de son moteur javascript qui fera gagner 150% de vitesse, on pourra pas me repprocher de crier à la pub

Attention, je n'ai pas dit que l'actualité en elle-même est une publicité, mais que l'étude n'en est pas une et constitue une publicité.

Personnellement, je trouve que ce genre d'actualité peut être intéressante, mais que généralement elles manquent souvent de reculs et de regards critiques.

Pour le moteur qui fait gagner 150% de vitesse, on peut certes contester le chiffre (c'est peut être 147% dans des conditions "particulières"), mais on montre bien une avancée grâce à une nouvelle technologie ce qui constitue une actualité.

Par contre, une pseudo-étude n'ayant pour but que de rabaisser sa concurrence. C'est de la publicité.
En revanche, si on prend du recul face à cette étude et qu'on adopte un regard critique, on peut considérer l'article écrit comme une actualité. Le fait que Windows se lance dans une telle campagne est une actualité car elle peut faire réagir ses concurrents et entraîner de nouvelles actualités.

Le but d'une publicité, c'est de faire acheter. Le but d'une actualité, c'est d'informer.
On s'en moque que le constructeur X sorte un nouveau modèle d'ordinateur. Par contre si c'est un ordinateur avec 1 To de Ram pour 2€, là c'est une actualité.

Parfois publicité et actualité peuvent être très proche, c'est surtout le recul et le regard critique qui fera la différence.

[stardeath]

bah c'est bien ce que je dis, il y a beaucoup d'ardeur car c'est estampillé microsoft, par contre dès que c'est les autres, il n'y a plus grand monde.

quand google améliore son moteur v2505 javascript, je ne remarque pas grand monde qui critique le fait que la page google fait plusieurs centaine de ko et qu'il n'y a pas besoin foncièrement de faire un moteur plus rapide, et surtout plus rapide dans un écart qui était déjà dans le domaine du non visible.

combattre la boulimie des page est autrement mieux pour tout le monde, mais ça, parait il que c'est l'avenir.

et j'en passe et des meilleurs.

sur cette page la seule chose que vous retenez c'est que c'est de la pub, mais pas le contenu ; moi quand je lis cette étude je vois un truc, il y a 70% d'écart entre le meilleur et la fin.

alors soit le biais de crosoft est en fait un gouffre, soit il y a quand même quelque chose à creuser sur le pourquoi du mauvais résultat.

mais ça, encore, je n'ai pas vu la moindre trace dans les commentaires avant ...
et même pire, certains le disent clairement qu'ils n'ont pas creusé.
faut pas s'étonner si je m'amène et que je demande wtf...

et au passage, si c'est bien là la question, sinon je vois pas bien pourquoi tout le monde ici vient dire que ce n'est que de la pub.

[Neckara]

bah c'est bien ce que je dis, il y a beaucoup d'ardeur car c'est estampillé microsoft, par contre dès que c'est les autres, il n'y a plus grand monde.

quand google améliore son moteur v2505 javascript, je ne remarque pas grand monde qui critique le fait que la page google fait plusieurs centaine de ko et qu'il n'y a pas besoin foncièrement de faire un moteur plus rapide, et surtout plus rapide dans un écart qui était déjà dans le domaine du non visible.

combattre la boulimie des page est autrement mieux pour tout le monde, mais ça, parait il que c'est l'avenir.

et j'en passe et des meilleurs.

Quel rapport ?
D'un côté on a une étude dont on critique les raisonnements erroné, de l'autre, tu critiques la politique d'une entreprise.
Personnellement qu'une page fasse plusieurs ko, je m'en moque complètement (ce qui est peut-être le cas d'autres lecteurs), mais qu'on nous prennes pour des "naïfs" avec une étude aussi grossière, on apprécie pas vraiment .

N.B. La vitesse n'est peut être pas utile pour les utilisateurs lambda, mais elle l'est peut être pour certaines entreprises (?).

sur cette page la seule chose que vous retenez c'est que c'est de la pub, mais pas le contenu ; moi quand je lis cette étude je vois un truc, il y a 70% d'écart entre le meilleur et la fin.

alors soit le biais de crosoft est en fait un gouffre, soit il y a quand même quelque chose à creuser sur le pourquoi du mauvais résultat.

Parce que ces chiffres ne veulent rien dire et on l'a déjà montré. Et que ce n'est pas parce que IE a 70% de plus que les autres, qu'il est meilleurs dans ce domaine (cf paradoxe des faux-positifs).

et au passage, si c'est bien là la question, sinon je vois pas bien pourquoi tout le monde ici vient dire que ce n'est que de la pub.

Le raisonnement étant faux, nous n'avons pas une étude et donc une information mais une publicité, ( et rabaisser dans le même temps sa concurrence n'aide pas trop dans ce cas là )

[stardeath]

Quel rapport ?
D'un côté on a une étude dont on critique les raisonnements erroné, de l'autre, tu critiques la politique d'une entreprise.
Personnellement qu'une page fasse plusieurs ko, je m'en moque complètement (ce qui est peut-être le cas d'autres lecteurs), mais qu'on nous prennes pour des "naïfs" avec une étude aussi grossière, on apprécie pas vraiment .

tu trouves qu'ils sont erronés, je n'ai pas vu de preuve indiscutable du contraire.
on vous prend pour des naifs? c'est une blague, avancer des performances supérieures c'est pas le comble de prendre des gens pour des débiles?

N.B. La vitesse n'est peut être pas utile pour les utilisateurs lambda, mais elle l'est peut être pour certaines entreprises (?).

possible, ce n'est qu'un exemple parmi tant d'autre.

Parce que ces chiffres ne veulent rien dire et on l'a déjà montré. Et que ce n'est pas parce que IE a 70% de plus que les autres, qu'il est meilleurs dans ce domaine (cf paradoxe des faux-positifs).

c'est ce que j'appelle ne rien montrer du tout, le seul truc qu'on peut en tirer c'est qu'il y a toujours moyen de contester quelque chose, et que donc les personnes qui réclament sans cesse des études objectives ne sont pas près d'en trouver.
et quant à vouloir critiquer le fait de faire dire n'importe quoi aux chiffres, il ne faudrait pas non plus soit même utiliser des chiffres, et je te cite :

Bref, je peux aussi obtenir un taux de détection de 100% en bloquant tout bonnes comme mauvaises URL, mais quel intérêt? Au final cela ne sert à rien.

si ça ne sert à rien, on a 0% de chance d'essayer de montrer quelque chose.

résultat : soit on fait rien, et on est critiqué, soit on fait quelque chose, et on a la même conclusion.

Le raisonnement étant faux, nous n'avons pas une étude et donc une information mais une publicité, ( et rabaisser dans le même temps sa concurrence n'aide pas trop dans ce cas là )

pareil, tu appelles ce raisonnement faux, moi j'appelle ça : faute de mieux, je vais essayer de creuser moi même pour voir ce qu'il y a en dessous.

si cette étude est tellement mensongère, je ne me fais pas de soucis, google devrait pouvoir sortir une étude qui réjouira tout le monde.

[Neckara]

tu trouves qu'ils sont erronés, je n'ai pas vu de preuve indiscutable du contraire.

Ah? Relis bien alors.
Pour prouver qu'un raisonnement est faux, on ne doit pas prouver que les résultats sont faux (ils peuvent très bien être juste). On doit juste montrer que le raisonnement ne tient pas, ce qui a déjà été fait
On a déjà avancé plusieurs points comme :
- le paradoxe des faux-positif ;
- des informations manquent au niveau du dénombrement des alertes ;
- le nombre d'alerte n'est pas directement lié à une "sécurité" de l'application, pour pouvoir utiliser le nombre d'alerte, il faut d'abord prouver le lien.

EDIT : Pour prouver qu'un raisonnement est faux, il suffit d'un seul contre-exemple par contre pour prouver qu'un raisonnement est vrai, c'est bien plus compliqué.

on vous prend pour des naifs? c'est une blague, avancer des performances supérieures c'est pas le comble de prendre des gens pour des débiles?

Ce n'est pas parce que je dit que mon logiciel prend 10% de CPU en moins parce que j'utilise plus le GPU que je prend mes interlocuteurs pour des "naïfs". Ton raisonnement ne tient pas.

c'est ce que j'appelle ne rien montrer du tout, le seul truc qu'on peut en tirer c'est qu'il y a toujours moyen de contester quelque chose, et que donc les personnes qui réclament sans cesse des études objectives ne sont pas près d'en trouver.

C'est aux études de faire en sorte qu'elle ne puissent pas être contestée. Pour cela elle doivent suivre des démarches scientifiques très précises.
Si une étude est trop facilement contestable, elle ne vaut rien.
Je prend dix personnes dans la rue, elles parlent toutes français, j'en conclue donc que tous les hommes et femmes de la planètes savent parler français ?

et quant à vouloir critiquer le fait de faire dire n'importe quoi aux chiffres, il ne faudrait pas non plus soit même utiliser des chiffres, et je te cite :

si ça ne sert à rien, on a 0% de chance d'essayer de montrer quelque chose.

résultat : soit on fait rien, et on est critiqué, soit on fait quelque chose, et on a la même conclusion.

????
Es-tu sûr d'avoir compris le raisonnement ?
Si je bloque toutes les URL sans distinction, je vais bloquer les "mauvaises URL" donc je serais considéré comme "sûr". Mais comme je bloque aussi les "bonnes URL", au final, le dispositif sera soit ignoré soit désactivé ce qui au final n'apporte aucune sécurité supplémentaire.

EDIT : Je souligne donc l'effet du paradoxe des faux-positifs.

pareil, tu appelles ce raisonnement faux, moi j'appelle ça : faute de mieux, je vais essayer de creuser moi même pour voir ce qu'il y a en dessous.

si cette étude est tellement mensongère, je ne me fais pas de soucis, google devrait pouvoir sortir une étude qui réjouira tout le monde.

Donc tu crois tout ce que tu lis sans te poser de question tant que tu ne lis pas quelque chose qui dirait le contraire ?
Si je te sors une pseudo-étude disant que les tomates sont comestibles parce qu'elles sont rouges comme les fraises, tu ne critiquerais pas cette étude (même si la conclusion est juste) ?
Je pourrais même atteindre le point godwin en parlant de certaines pseudo-études scientifiques...