Enllaç a l'article original: SecurityFocus.


És hora de deixar l'Internet Explorer

És hora de dir-los als nostres usuaris, als nostres clients, als nostres associats, a les nostres famílies, i als nostres amics que deixen l'Internet Explorer.
Per Scott Granneman 17 de juny de 2004 07:54 AM PT

Una de les moltes debilitats meues és un afecte per les bromes estúpides. Ací teniu una que m'agrada:
Per què els ànecs tenen els peus en forma de palma?
Per a treure els focs del bosc.
Per què tenen els elefants els peus plans?
Per a treure els ànecs que es cremen.

No és molt sofisticat, ho sé, però em fa riure cada vegada que ho llegesc. Ací teniu una altra de clàssica, una que està relacionada directament amb molts usuaris d'Internet:
Un home va al metge. "Doctor, cada vegada que alce el meu braç esquerre, tinc un gran dolor al meu muscle. Què serà això?" El doctor respon, "Para d'alçar el braç esquerre."
Pense que molts de nosaltres estem en la mateixa situació que aquest home, i m'agradaria actuar avui com el vostre metge. Excepte que no vaig a parlar sobre braços esquerres i dolors al muscle, vaig a parlar sobre una part del programari que ens causa dolor en una part diferent del cos - l'Internet Explorer.

La darrera versió de l'Internet Explorer és la 6, i ha acumulat certament un impressionant rècord de forats: 153 des del 18 d'abril de 2001, segons l'arxiu de vulnerabilitats de SecurityFocus. Han hagut alguns d'ells d'extraordinaris. Per exemple, el passat agost, Microsoft va publicar un pedaç que solucionava un forat que la companyia descrivia així: "Podria ser que un atacant que s'aprofitara d'aquesta vulnerabilitat executara codi arbitrari en el sistema d'un usuari. Si un usuari visitara la web d'un atacant, seria possible per a l'atacant aprofitar-se d'aquesta vulnerabilitat sense cap altra acció de l'usuari." Oh, és això tot? Bo, això és meravellós - simplement visita una pàgina Web, i estàs fotut.

Fa un poc més d'una setmana, la base de dades de Vulnerabilitats de SecurityFocus va informar d'una "Microsoft Internet Explorer Modal Dialog Zone Bypass Vulnerability," la qual "pot permetre l'accés a la cross-zone, permetent que un atacant execute codi de funcions malicioses en una Zona Local". Aquesta era una de les sis informades aquest mes - i estem sols a la meitat d'ell.

De fet, és tan roin que ara els creadors del spyware (AKA, scumbags) estan usant defectes en el IE per a instal·lar subreptíciament la barra de cerques I-Lookup (o una de qualsevol altra) en el navegador. De nou, l'usuari no necessita fer res - sols visita una Web o fa clic en una URL en un email. Els resultats? La teua pàgina d'inici es canviada, un munt d'adreces d'interès apareixen en els teus Favoritos, i s'obren constantment finestres emergents de llocs pornos.

I podria continuar i continuar. Mireu, siguem honestos. Tots nosaltres coneixem la veritat: IE és una errònia, insegura, perillosa peça de programari, i font de molts maldecaps que els especialistes en seguretat han d'aguantar (no vaig fins i tot a aprofundir en el seu pobre suport dels estàndards del Web; això serà per a un altre dia). Sí, sé que Microsoft va trobant pedaços per als forats. Molt bé. Però falten molts altres. I sí, sé que Microsoft ha promès canviar les seues maneres, i que ara es centrarà en la "Informàtica de Confiança". Però he escoltat tantes promeses de Microsoft i vist els resultats també moltes vegades. Ja saps, si m'enganyes una vegada, t'avergonyeixes; si m'enganyes dues, m'avergonyeixes. Qui és l'enganyat quan és "enganyat la 432 vegada"? Qui és el neci?

Nosaltres som professionals de la seguretat, i coneixem com va la cosa. És hora. És hora de dir als nostres usuaris, als nostres clients, a les nostres famílies, als nostres amics que deixen l'Internet Explorer. 

Un navegador millor: Firefox

El dilluns, la Fundació Mozilla llançà la seua última versió del Mozilla Firefox, disponible per a descarregar i llest per executar. Com la majoria de vosaltres segurament ja sabeu, el navegador Mozilla és excel·lent, però és també un projecte de programari enorme, que conté un navegador Web, un client de correu, una llibreta d'adreces, un editor de pàgines Web, i més i més. El Mozilla Firefox és un esforç per a separar el navegador, aconseguint un més ràpid, més concret i més innovador. I saps què? Funciona.

He estat usant el Firefox durant més d'un any, i funciona admirablement. He notat uns quants errors ací i allà - després de tot, per ara sols està la versió 0.9, i s'espera la versió 1.0 sencera al final de l'estiu - però en conjunt està sent excel·lent, certament el més bo per a un ús a temps complet. El seu conjunt de característiques és envejable: bloqueig de finestres emergents, pestanyes, cerca integrada, un nivell impressionant de personalització, i suport excel·lent per als estàndards de la Web. Però realment ha brillat (com el Projecte Mozilla en la seua totalitat, realment) en l'àrea de privadesa i seguretat.

Tot el programari té errors, i cap d'ells és totalment "segur". Tal com s'ha dit moltes vegades, la seguretat és un procés, no un producte. M'he assabentat que el Firefox ha tingut problemes de seguretat, i tindrà més en el futur seguríssim. Però els resultats amb el Firefox estan sent positius. Els problemes de seguretat no són comuns, però quan es troben, són obertament discutits i fixats ràpidament. Açò és molt bo, i els professionals de la seguretat han d'apreciar tal resposta.

A més a més d'un bon antecedent en el passat, el Firefox i la Fundació Mozilla estan prenent un enfocament actiu per a assegurar el navegador Web del futur. Les opcions de privadesa i seguretat que hi ha en Preferences (Eines en la versió catalana...) són intel·ligents i efectives, i el navegador per ell mateix no accepta controls Activex, una clau de la vulnerabilitat de l'IE. El Firefox usa els fitxers XPI per instal·lar els temes, les extensions i altres afegitons. Recentment, nous canvis en la manipulació dels fitxers XPI del navegador s'han introduït, incloent un tercer compte enrere quan instal·les els fitxers XPI, perquè done temps a l'usuari per a llegir el quadre de diàleg, i una opcional llista blanca de XPI, que permetrà les instal·lacions dels fitxers XPI solament des de servidors aprovats. Ambdues són bones idees; en particular, com més tard es puga per els professional de la seguretat en les màquines que controlen, més reduiran la probabilitat de males instal·lacions (l'enllaç de dalt implica que al Firefox no està implementada la llista blanca del XPI; l'error 240552 del Mozilla contravé això).

Com a gent que té cura en qüestions de seguretat - i que treballa sovint amb gent que no té gens de cura en qüestions de seguretat- és la nostra responsabilitat difondre informació sobre un navegador Web millor que no compromet la seguretat bàsica dels nostres ordinadors i xarxes. Per què és IE el més àmpliament navegador Web de la Xarxa? No és per la seua qualitat, i certament no perquè sia millor que les alternatives. De fet, l'IE no ha estat realment millorat durant anys, i altres navegadors ofereixen ara moltes més característiques innovadores i capacitats. És perquè Microsoft consolidat el seu monopoli va forçar l'IE gola avall del usuaris. I en el cas d'usuaris colpejats mentre estaven batuts, Microsoft ha promès enllaçar l'IE encara més al sistema operatiu Windows garantint un munt de problemes de seguretat en el futur.

Tot gira al voltant del màrqueting. Microsoft posseeix l'escriptori, i així pot afegir l'IE amb cada còpia de Windows. Per a combatre això, els professionals de la seguretat van a haver d'ocupar-se del contra-màrqueting. Seu-te amb els usuaris dels ordinadors que supervises, i explica'ls els problemes de seguretat associats amb l'IE, i els beneficis de canviar al Firefox. Si necessites ajuda, un petit fragment titulat "Per què has de canviar-te al Firefox" pot ajudar-te. Si et sents nerviós de l'estat no-encara-acabat del Firefox, sols espera un poc més, i llavors comença a evangelitzar-lo, però sigues conscient que molts l'han estat usant durant bastant temps, feliçment i amb èxit.

Ja sé una de les objeccions que van a fer-me arribar per email els meus lectors: "El meu banc, ací-tens-el-seu-nom, necessita l'Internet Explorer per a treballar!" Deixeu-me pactar aquest punt ara, en un intent de reduir els emails que tindré. Primer de tot, aquest problema està disminuint. Fa uns anys, la majoria dels llocs Web estaven escrits per a treballar amb l'IE solament, però ara, gràcies als esforços de la Fundació Mozilla, Opera, i Apple (que contactarà amb els propietaris de llocs web i els ajudarà a fer que funcionen els seus portals amb altres navegadors), juntament amb l'increment del coneixement dels estàndards de la Web entre els desenvolupadors, la immensa majoria dels llocs Web funcionen amb tots els navegadors moderns.
 
Segona, si el teu banc (o lloc de e-comerce, o qualsevol lloc que et done problemes) no funciona amb el Firefox, envia un email, crida per telèfon, i escriu-los (totes tres poden ser una combinació efectiva) i, en to educat, informa'ls que el seu portal no està funcionant i demana'ls que ho solucionen. Si un portal funciona amb el Firefox, envia un email, crida'ls i escriu als propietaris per agrair-los-ho. Reaccions positives poden fer meravelles.
 
Finalment, si has de usar l'IE, has d'usar-lo. Però fes-lo servir solament en el(s) portal(s) que ho necessiten. La gent que llig açò és bastant elegant com per a usar el Firefox un 98% de les vegades, i llavors canviar a l'IE quan és necessari. Però i ta mare? Ací tens una suggeriment per a ajudar ta mare: instal·la Firefox i li dius que el faça servir quan vulga "usar Internet". Canvia el nom de la icona de l'Internet Explorer amb el nom del teu banc i canvia la pàgina d'inici a la del banc. Llavors li dius a ta mare que el Firefox és per Internet, però que hi ha un nou programa sols per al banc, i la seua icona està just a l'escriptori. Quan haja acabat amb el banc, que tanque el "programa del banc" i torne al Firefox.

Estic cansat de les vulnerabilitats del navegador web de Microsoft que aconsegueixen el control dels ordinadors, instal·len spyware i Déu sap què més, i darrerament fan que gastem hores netejant desastres en els computadors dels clients, dels amics i de la família. Quants diners, quantes hores i energia hem gastat arreglant els problemes causats per l'IE? És hora que els professionals de la seguretat - la gent que ho deuen conéixer millor- comencem a deixar l'IE i comencem a promocionar el Firefox, un navegador millor. Ja n'hi ha prou. Quantes vegades anem a apagar els focs que l'IE comença, sols per a continuar estant cascat, una i altra vegada?

Scott Granneman és un consultor amb experiència de la companyia Bryan Consulting de St. Louis. Està especialitzat en Serveis d'Internet i desenvolupament d'aplicacions Web per a l'empresa, l'ensenyança i les institucions.

Copyright © 1999-2004 SecurityFocus

Enllaç a l'article original: SecurityFocus.