|
Enllaç a l'article original: SecurityFocus.
És hora de deixar l'Internet
Explorer
És hora de dir-los als nostres usuaris, als
nostres
clients, als nostres associats, a les nostres famílies, i als
nostres
amics que deixen l'Internet Explorer.
Per Scott Granneman 17 de juny de 2004 07:54 AM PT
Una de les moltes debilitats
meues és un afecte per les bromes estúpides. Ací
teniu una que m'agrada:
Per què els
ànecs
tenen els peus en forma de palma?
Per a treure els focs del bosc.
Per què tenen els elefants els peus plans?
Per a treure els ànecs que es cremen.
No és molt sofisticat, ho sé, però em fa riure
cada vegada que ho llegesc. Ací teniu una altra de
clàssica, una que està relacionada directament amb molts
usuaris d'Internet:
Un home va al metge. "Doctor, cada vegada
que alce el
meu braç esquerre, tinc un gran dolor al meu muscle. Què
serà això?" El doctor respon, "Para d'alçar el
braç esquerre."
Pense que molts de nosaltres estem en la mateixa situació que
aquest home, i m'agradaria actuar avui com el vostre metge. Excepte que
no vaig a parlar sobre braços esquerres i dolors al muscle, vaig
a parlar sobre una part del programari que ens causa dolor en una part
diferent del cos - l'Internet Explorer.
La darrera versió de l'Internet Explorer és la 6, i ha
acumulat certament un impressionant rècord de forats: 153 des
del 18 d'abril de 2001, segons l'arxiu
de vulnerabilitats de SecurityFocus. Han hagut alguns d'ells
d'extraordinaris. Per exemple, el passat agost, Microsoft va publicar
un pedaç que solucionava un forat que la companyia descrivia
així: "Podria ser que un atacant que s'aprofitara d'aquesta
vulnerabilitat executara codi arbitrari en el sistema d'un usuari. Si
un usuari visitara la web d'un atacant, seria possible per a l'atacant
aprofitar-se d'aquesta vulnerabilitat sense
cap altra acció de l'usuari." Oh,
és això tot? Bo, això és meravellós
- simplement visita una pàgina Web, i estàs fotut.
Fa un poc més d'una setmana, la base de dades de Vulnerabilitats
de SecurityFocus va informar d'una "Microsoft
Internet
Explorer Modal Dialog Zone Bypass Vulnerability," la qual "pot
permetre l'accés a la cross-zone, permetent que un atacant
execute codi de funcions malicioses en una Zona Local". Aquesta era una
de les sis informades aquest
mes - i estem sols a la meitat d'ell.
De fet, és tan roin que ara els creadors del spyware (AKA, scumbags) estan usant
defectes en el IE per a instal·lar
subreptíciament la barra
de cerques I-Lookup (o una de qualsevol altra) en el navegador. De nou,
l'usuari no necessita fer res
- sols visita una Web o fa clic en una URL en un email. Els resultats?
La teua pàgina d'inici es canviada, un munt d'adreces
d'interès apareixen en els teus Favoritos, i s'obren
constantment finestres emergents de llocs pornos.
I podria continuar i continuar.
Mireu, siguem honestos.
Tots nosaltres coneixem la veritat: IE és una errònia,
insegura, perillosa peça de programari, i font de molts
maldecaps que els especialistes en seguretat han d'aguantar (no vaig
fins i tot a aprofundir en el seu pobre suport dels
estàndards del Web; això serà per a un altre dia).
Sí, sé que Microsoft va trobant pedaços per als
forats. Molt bé. Però falten molts altres. I sí,
sé que Microsoft ha promès canviar les seues maneres, i
que ara es centrarà en la "Informàtica de
Confiança". Però he escoltat tantes promeses de Microsoft
i vist els resultats també moltes vegades. Ja saps, si
m'enganyes una vegada, t'avergonyeixes; si m'enganyes dues,
m'avergonyeixes. Qui és l'enganyat quan és "enganyat la
432 vegada"? Qui és el neci?
Nosaltres som professionals de la seguretat, i coneixem com va la cosa.
És hora. És hora de dir als nostres usuaris, als nostres
clients, a les nostres famílies, als nostres amics que deixen
l'Internet Explorer.
Un navegador millor: Firefox
El dilluns, la Fundació
Mozilla llançà la seua última versió
del Mozilla
Firefox, disponible per a descarregar
i llest per executar. Com la majoria
de vosaltres segurament ja sabeu, el navegador Mozilla és
excel·lent, però és també un projecte de
programari enorme, que conté un navegador Web, un client de
correu, una llibreta d'adreces, un editor de pàgines Web, i
més i més. El Mozilla Firefox és un esforç
per a separar el navegador, aconseguint un més ràpid,
més concret i més innovador. I saps què?
Funciona.
He estat usant el Firefox durant més d'un any, i funciona
admirablement. He notat uns quants errors ací i allà -
després de tot, per ara sols està la versió 0.9, i
s'espera la versió 1.0 sencera al final de l'estiu - però
en conjunt està sent excel·lent, certament el més
bo per a un ús a temps complet. El seu conjunt de
característiques és envejable: bloqueig de finestres
emergents, pestanyes, cerca integrada, un nivell impressionant de
personalització, i suport excel·lent per als
estàndards de la Web. Però realment ha brillat (com el
Projecte Mozilla en la seua totalitat, realment) en l'àrea de
privadesa i seguretat.
Tot el programari té errors, i cap d'ells és totalment
"segur". Tal com s'ha dit moltes vegades, la seguretat és un
procés, no un producte. M'he assabentat que el Firefox ha tingut
problemes de seguretat, i tindrà més en el futur
seguríssim. Però els resultats amb el Firefox estan sent
positius. Els problemes de seguretat no són comuns, però
quan es troben, són obertament discutits i fixats
ràpidament. Açò és molt bo, i els
professionals de la seguretat han d'apreciar tal resposta.
A més a més d'un bon antecedent en el passat, el Firefox
i la Fundació Mozilla estan prenent un enfocament actiu per a
assegurar el navegador Web del futur. Les opcions de privadesa i
seguretat que hi ha en Preferences (Eines en la versió
catalana...) són intel·ligents i efectives, i el
navegador per ell mateix no accepta controls Activex, una clau de la
vulnerabilitat de l'IE. El Firefox usa els fitxers XPI per
instal·lar
els temes, les extensions i altres afegitons. Recentment, nous canvis
en la manipulació dels fitxers XPI del navegador s'han
introduït, incloent un tercer compte enrere quan instal·les
els fitxers XPI, perquè done temps a l'usuari per a llegir el
quadre de diàleg, i una opcional llista blanca de XPI, que
permetrà les instal·lacions dels fitxers XPI solament des
de
servidors aprovats. Ambdues són bones idees; en particular, com
més tard es puga per els professional de la seguretat en les
màquines que controlen, més reduiran la probabilitat de
males instal·lacions (l'enllaç de dalt implica que al
Firefox no està implementada la llista blanca del XPI; l'error 240552
del Mozilla contravé
això).
Com a gent que té cura en qüestions de seguretat - i que
treballa sovint amb gent que no té gens de cura en
qüestions de seguretat- és la nostra responsabilitat
difondre informació sobre un navegador Web millor que no
compromet la seguretat bàsica dels nostres ordinadors i xarxes.
Per què és IE el més àmpliament navegador
Web de la Xarxa? No és per la seua qualitat, i certament no
perquè sia millor que les alternatives. De fet, l'IE no ha
estat realment millorat durant anys, i altres navegadors ofereixen
ara moltes més característiques innovadores
i capacitats.
És perquè Microsoft consolidat el
seu monopoli va forçar l'IE
gola avall del usuaris. I en el cas d'usuaris colpejats mentre estaven
batuts, Microsoft ha promès enllaçar
l'IE encara més al sistema
operatiu Windows garantint un munt de problemes de seguretat en el
futur.
Tot gira al voltant del màrqueting. Microsoft posseeix
l'escriptori, i així pot afegir l'IE amb cada còpia de
Windows. Per a combatre això, els professionals de la seguretat
van a haver d'ocupar-se del contra-màrqueting. Seu-te amb els
usuaris dels ordinadors que supervises, i explica'ls els problemes de
seguretat associats amb l'IE, i els beneficis de canviar al Firefox. Si
necessites ajuda, un petit fragment titulat "Per
què has de canviar-te al Firefox" pot ajudar-te. Si et sents
nerviós de l'estat no-encara-acabat del Firefox, sols espera un
poc més, i llavors comença a evangelitzar-lo, però
sigues conscient que molts l'han estat usant durant bastant temps,
feliçment i amb èxit.
Ja sé una de les objeccions que van a fer-me arribar per email
els meus lectors: "El meu banc, ací-tens-el-seu-nom, necessita
l'Internet Explorer per a treballar!" Deixeu-me pactar aquest punt ara,
en un intent de reduir els emails que tindré. Primer de tot, aquest
problema està disminuint. Fa uns anys, la majoria dels llocs
Web estaven escrits per a treballar amb l'IE solament, però ara,
gràcies als esforços de la Fundació Mozilla,
Opera, i Apple (que contactarà amb els propietaris de llocs web
i els ajudarà a fer que funcionen els seus portals amb altres
navegadors), juntament amb l'increment del coneixement dels
estàndards de la Web entre els desenvolupadors, la immensa
majoria dels llocs Web funcionen amb tots els navegadors moderns.
Segona, si el teu banc (o lloc de e-comerce,
o qualsevol lloc que et
done problemes) no funciona amb el Firefox, envia un email, crida per
telèfon, i escriu-los (totes tres poden ser una
combinació
efectiva) i, en to educat, informa'ls que el seu portal no està
funcionant i demana'ls que ho solucionen. Si un portal funciona amb el
Firefox, envia un email, crida'ls i escriu als propietaris per
agrair-los-ho. Reaccions positives poden fer meravelles.
Finalment, si has de usar l'IE, has d'usar-lo. Però fes-lo
servir solament en el(s) portal(s) que ho necessiten. La gent que llig
açò és bastant elegant com per a usar el Firefox
un
98% de les vegades, i llavors canviar a l'IE quan és necessari.
Però i ta mare? Ací tens una suggeriment per a
ajudar ta mare: instal·la Firefox i li dius que el faça
servir quan vulga "usar Internet". Canvia el nom de la icona de
l'Internet
Explorer amb el nom del teu banc i canvia la pàgina d'inici a la
del banc. Llavors li dius a ta mare que el Firefox és per
Internet, però que hi ha un nou programa sols per al banc, i la
seua icona està just a l'escriptori. Quan haja acabat amb el
banc, que tanque el "programa del banc" i torne al Firefox.
Estic cansat de les vulnerabilitats del navegador web de Microsoft que
aconsegueixen el control dels ordinadors, instal·len spyware i Déu
sap què més, i
darrerament fan que gastem hores netejant desastres en els computadors
dels clients, dels amics i de la família. Quants diners, quantes
hores i energia hem gastat arreglant els problemes causats per l'IE?
És hora que els professionals de la seguretat - la gent que ho
deuen conéixer millor- comencem a deixar l'IE i comencem a
promocionar
el Firefox, un navegador millor. Ja n'hi ha prou. Quantes vegades anem
a apagar els focs que l'IE comença, sols per a continuar estant
cascat,
una i altra vegada?
Scott Granneman
és un
consultor amb experiència de la companyia Bryan Consulting de
St. Louis. Està
especialitzat en Serveis d'Internet i desenvolupament d'aplicacions Web
per a l'empresa, l'ensenyança i les institucions.
Copyright ©
1999-2004
SecurityFocus
Enllaç a l'article original: SecurityFocus.
|
L'encisam