martes, febrero 09, 2010

Sorprendente

A veces, cuando hablo de Microsoft Internet Explorer 8.0 me siento con en la canción de Rosendo Mercado: "Navegando a Muerte". Parece que se ha instalado en el hipotálamo popular que MS Internet Explorer 8.0 es malo en seguridad y todo el que no siga la doctrina es un vendido. De hecho, llevo enzarzándome con este motivo con Sergio Hernándo, viejo conocido desde su etapa en Hispasec - dónde ya nos empezamos a enzarzar - porque, aunque él diga que no, en sus artículos se nota la vena reaccionaria anti-Spectra y, especialmente, anti MS Internet Explorer.

La verdad es que después de estar trabajando en el documento que veréis publicado en breve sobre la seguridad en los navegadores me sorprenden los datos que he visto y que a nadie le importa demasiado. Haré una breve relación de algunas preguntas:

1) ¿A nadie le sorprende que Mozilla, durante este año, haya tenido más del doble de vulnerabilidades de seguridad que cualquiera del resto de los navegadores? ¿A nadie le sorprende que la enorme mayoría hayan sido highly critical?

2) ¿A nadie le soprende que Opera ejecute los widgets que vengan de una URL "widgets.opera.com" sin comprobar nada más y que sea tan fácil como suplantar el nombre para calzar un troyanaco?

3) ¿A nadie le soprende que habilitar y deshabilitar javascript en Google Chrome sea arrancar una nueva instancia sin ninguna posibilidad de configuración de parámetros? ¿Cuántos sabéis como se hace? ¿Qué no se pueda configurar políticas de seguridad sobre los plugins?

4) ¿A nadie le sorprende que desde Firefox sea la segunda vez que distribuyen malware desde el sitio oficial mediante plug-ins contaminados?

5) ¿A nadie le sorprende que Google Chrome cambie de versión cada cuatro meses y algo? ¿Y que en la versión 4.0 la actualización haya sido silenciosa sin contar con el consentimiento de administradores de sistemas?

6) ¿A nadie le sorprende que Apple Safari deje vulnerabilidades en versiones anteriores con menos de 1 año de antiguedad sin parchear con la excusa de "upgrade next versión"?

7) ¿A nadie le sorprende que los que hablan de navegadores en Internet Explorer, con los fallos de las versiones 6 o con DEP deshabilitado, que su recomendación sea "usar otro navegador" en lugar de poner "upgrade next version" existiendo la versión IE7 e IE8?

8) ¿A nadie le sorprende que alguien que habla de seguridad en empresas recomiende por seguridad utilizar navegadores no administrables centralizadamente?

9) ¿A nadie le sorprende que Internet Explorer sea el que permita diferentes configuraciones de seguridad en función de 4 zonas de seguridad? ¿A nadie le sorprende que Internet Explorer sea el único que permite configurar permisos por sitios y usuarios en los componentes?

10) ¿A nadie le sorprende que los que se rasgan las vestiduras con un fallo explotable sólo en IE6 con el DEP deshabilitado no se las rasgen con estas otras cosas y recomienden "utilizar otro navegador"?

A mi me parece, como dice Rosendo "Sorprendente"! Si no te gusta IE, ¡no lo uses coño! Puedes descargarte cualquiera de estos:

- Descargar Google Chrome 4.
- Descargar Mozilla Firefox 3.6
- Descargar Apple Safari 4
- Descargar Opera Browser 10.

...y no hagas que me sorprenda.

Saludos Malignos!

72 comentarios:

Anónimo1 dijo...

Veo que te han tocado la moral... Internet Explorer creo que perdió su cuota de mercado o "credibilidad" hace bastante tiempo, no creo que tenga nada que ver con IE 8 (que muchos despotrican y no recomiendan su uso sin ni siquiera haberlo probado)...
Pero bueno, el tiempo pone a cada uno en su sitio, creo que también es aplicable a la informática...
Saludos

Anónimo dijo...

IE 6, Lanzamiento inicial: 27 de agosto de 2001.

Es como si se recomendase dejar de usar firefox por haber encontrado un bug en firefox 1.5 (en 2001 no había nacido el zorrito).
Es cierto que el exploit también funcionaba en IE 7 y 8, pero ¿en su configuración por defecto son explotables?

Fdo: Bill Gates

Percu dijo...

Totalmente de acuerdo, en el mundo empresarial nada como Microsoft pese a quien pese.

Anónimo dijo...

Solo por recordarte, no es necesario que critiques las debilidades de los competidores de IE8 para asi enaltecerlo.
Un producto no es bueno solo porque sus competidores sean muy malos, según tu.

Cuando hablas de Firefox, cuentas su número de fallos de seguridad reportados desde que salió su primera versión, sin embargo, para referirte a Internet Explorer, cuentas los fallos de seguridad desde la versión 8.
Buen truco pero no somos tontos.

Con Chrome supongo que haras lo mismo.
Se justo con las estadisticas.

Creo que tomaría más en serio tu post si hicieras una revisión de las caracteristicas de IE8, y mostraras las funcionalidades que lo diferencian de otros productos disponibles en el mercado.

Empezar a atacar a los otros productos no creo que sea una estrategia inteligente, además, como ya han dicho, el tiempo pondra cada navegador en su sitio.

Juan Antonio Calles dijo...

Si te interesa un punto mas para destacar la seguridad de Internet Explorer 8, hace un rato me enviaron un correo con un intento de phising a los clientes de Caja Madrid, y el IE8 me lo detecta como una página con un phising (tambien probé desde IE7 y Firefox y al revés que IE8, estas me dejaban entrar sin problemas):

http://elblogdecalles.blogspot.com/2010/02/intento-de-estafa-mediante-phising-los.html

saludos

globalillo dijo...

Y a mi que me sorprende la poca implantación de kde, konqueror, kiosk... ¿Seré un raro? ¿Cándido tal vez?

Y la de gnome, epiphany, gconf... ^H^H^H^H^H^H^H^H^H^H^H^H^H^H^H^H

http://www.groklaw.net/article.php?story=2010011422570951

Saludos.

Javier Díaz Carballeira dijo...

Soy ing. téc. informático pero reconozco que, en materia de seguridad (y en otras muchas) estoy bastante desactualizado, de ahí que me haya suscrito al blog.

Pecaré de ingenuo pero... ¿Qué relevancia tiene que la mayoría de malware se diseñe especialmente para IE? ¿O no es así? No lo sé.

Saludos

Javier Díaz Carballeira dijo...

Soy ing. téc. informático pero reconozco que, en materia de seguridad (y en otras muchas) estoy bastante desactualizado, de ahí que me haya suscrito al blog.

Pecaré de ingenuo pero... ¿Qué relevancia tiene que la mayoría de malware se diseñe especialmente para IE? ¿O no es así? No lo sé.

Saludos

Anónimo dijo...

Creo recordar que todos esos fallos highly critical de firefox tienen parche. ¿Puede IE8 decir lo mismo?

Seifreed dijo...

Hola

Bueno, creo que también hay que diferenciar dos tipo de uso de navegador.
El primero sería el uso doméstico.
Usa el que te salga de los cojones, total, si te sale un error crítico serás tú quien asuma las consecuencias.
El segundo caso sería el de a nivel empresarial.
Yo estoy agradecido que se puede centralizar la administración y granular los permisos.
Además de la explicación que ha dado Chema sobre ASLR y demás de los navegadores.

Un saludo

Maligno dijo...

@Anónimoa de Mediamark "porque yo no soy tonto", hablo de las del último año. No te he engañado vete a Secunia y cuenta.

Hemos hecho un Whitepaper de 33 páginas, tendrás para leer a gusto...

@Javier Díaz, el malware se diseña para IE y para FF que son los que más cuota tienen. Tienes un informe de Symantec de FF y el malware.

@Anónimo "highly crítical". Sí, IE puede decir lo mismo y metiene infinitos menos fallos de regresión.

@Seidfreed, bien dicho!

Anónimo dijo...

No metas a Rosendo en esto.jajajjaja! El no tiene la culpa!jajajaja IE empezó a ser un asco desde hace tiempo. Que ahora sea una bendición?? pues no lo sé, hace siglos que no lo utilizo, gracias a lo "sorprendente" que fue en el pasado jajajaja

ramandi dijo...

Jeje, a mí la verdad es que ya no me sorprende nada, pero debe ser que me estoy haciendo viejo XP.

El gran problema de Internet Explorer es que estuvo abandonado durante tanto tiempo, que cualquier aficionado a Internet se vio forzado a cambiar de navegador para tener una experiencia razonable. Y ya se sabe, cría fama y échate a dormir... una vez que un tópico se instala en nuestras cabezas no es fácil sacarlo de ahí.

Por otra parte, aunque entiendo que este blog está centrado en la seguridad, hay que recordar que (para bien o para mal) no lo es todo, por lo que dudo que todas las recomendaciones de cambio de navegador sean por motivos de seguridad... principalmente porque es algo que al 90% de la gente le importa un rábano hasta que tiene un virus, y exactamente lo mismo después de que el pringao de turno se lo limpie.

Saludos!

Maligno dijo...

@ramandi, es cierto que no lo es todo, pero es que últimamente lo leo en blogs de seguridad.... ;)

Christian Hernández dijo...

Vamos a ver, la pregunta era "a nadie le sorprende?..."

La respuesta: a mi si que me sorprende, se mire por donde se mire

Saludos.

Anónimo dijo...

anda mira...
para los nuevos,
para los viejos,
para los inseguros,
para los seguros,
y.. para todos los públicos:

http://www.microsoft.com/technet/security/advisory/980088.mspx

Chema, el problema que tienes, es que estás tan cegado con Microsoft, que no eres del todo objetivo. No digo que IE8 no sea bueno, pero como el resto, también tiene sus cosas malas.. y esas no las comentas..
Pasa como cuando estás todo un año dando el coñazo con que Windows Vista es lo mejor de lo mejor.. y luego Microsoft reconoce que es una gran cagada.. ahí, no dices nada ;)

Maligno dijo...

@anónimo, si te hubieras leído el advisory no hubieras puesto ese comentario. Es precisamente del que hablo en mi post.

Y el intento de "ir al detalle" olvidándote del grueso es muy triste.

Hemos hecho un Whitepaper de 33 hojas, ya te lo lees todo.

Saludos!

FilEMASTER dijo...

fuente de microsoft diciendo que vista es una cagada, o anónimo tachado de crédulo taliban :)

zhemn dijo...

Reconozco que soy un claro usuario de mac y me niego a volver a windows pero... compañero, te doy toda la razón, tanto quejarse, tíííííííííííííío si no te gusta internet exporer no lo uses!!!!!!

Raúl Moratalla dijo...
Este comentario ha sido eliminado por el autor.
Raúl Moratalla dijo...

Tal vez también habría que tener en cuenta además del número de vulnerabilidades existentes el tiempo que se tarda en parchear y sacar una nueva versión que la corrija. Saca también números de ahí.

Ah, y soy usuario de IE8, FF y Chrome, incluso en varios sistemas operativos a lo largo del día. Cuando me apetece uso uno u otro.

Leo mucho tu blog, pero como te comentan a veces te centras en criticar a los demás y no ver las debilidades de IE.

Porque temas de seguridad aparte, que me encanta el poder administrar su seguridad a nivel empresarial, se pasa por el forro los estándares y todavía está muy por detrás a nivel de implementación de un buen motor html. Es lento como el que más y es desquiciante diseñar webs y comprobar que en ciertos navegadores se ven correctamente pero en IE no.

Esperemos que IE9 consiga tener un motor html y javascript a la altura de los demás, pues Microsoft dispone de excelentes recursos para poder llevarlo a cabo.

garbas dijo...

¿Vista una cagada?
No será tanta cagada cuando con un lavado de cara/interfaz y un cambio de nombre lo está vendiendo como churros...

Scan dijo...

Si Spectra siguiera a rajatabla los estándares en vez de intentar que todo se haga "por que yo lo valgo" otro gallo os cantaría...

No hay software que no tenga fallos.

Anónimo dijo...

Defender a IE atacando el comportamiento de otros navegadores, no es demasiado coherente.

Maligno dijo...

A ver si me explico. No estoy defendiendo a IE, estoy diciendo que te bajes el navegador que te dé la gana.

Este post sólo es para ver si soy el único que está harto de que un bug menor de IE cope las portadas de todos los blogs del mundo y cagadas enormes de otros no salgan en ningún sitio.

Nadie defiende nada, pero compara tú mismo.

Saludos!

Anónimo dijo...

Pues esto sigue funcionando

http://www.securitybydefault.com/2009/09/troyanos-titiriteros.html

Anónimo dijo...

Buenas chema.

Tienes razón en que hay mucho odio contra el internet explorer. A mi el 8 me gusta mucho (por lo menos en el curro, que es donde tengo windows).

Alguna recomendación de lectura para llevar la seguridad de internet explorer en un entorno empresarial centralizado?

Algún otro consejo para evitar estas vulnerabilidades mientras no haya un parche oficial?

Siento ser preguntón, pero me conciencié un poco con muchos de tus posts de seguridad en navegadores jeje

un saludo

Maligno dijo...

@Anonimo de troyanos titiriteros, si el ejemplo que se hizo con IE te llevó a pensar que sólo funciona con IE, es que no lo entendiste... Esto funciona con otros navegaroes al uso. ¿Nunca has visto la injección de dlls en troyanos?

Maligno dijo...

@Anonimo, para mitigar los cero days con iE, creo que voy a dedicarle un buen post, porque me parece muy intersante tu pregunta.

Pronto tendrás información de esto por aquí.

Saludos!

Anónimo dijo...

Al tema: ni IE8 es tan malo como la gente cree ni tan bueno como lo pone Chema. Mucho tiene que ver con la configuración y las zonas de seguridad, de las que la mayoría de la gente no tiene ni p... idea.

Espero con muchas ganas ese Whitepaper.

Ahora vamos con la gramática y con la ortografía:
- ¿"rascar" las vestiduras?
- ¿rasgen?, será rasguen

No es igual gitano que guitarra.

Fdo. Talibanor

aser1 dijo...

En los tiempos que corren si no usas FF y odias wVista no eres nadie...

Me recuerda esto a las conversaciones de puristas del futbol...

Esta clarisimo que para uso personal en casa, practicamente da completamente igual lo que uses, siempre y cuando no estes usando la version mas antigua, pero para uso en nuestra segunda casa, vease empresa, esta claro que toda seguridad es poca, y hoy por hoy, ie tiene un buen castillo montado, y sino para muestra un boton, coger un mes al azar y mirar reporte de errores y ya no solo nos referimos a criticos...

Aun asi esta clarisimo que esto de los navegadores es una moda, que los ordenadores para nada y que esto de la informatica es para frikis!! que os pasais el dia tocandoos!

tayoken dijo...

http://batmancomic.info/gen/20100209052104_4b716140ed067.jpg

Anónimo dijo...

Capullito de alelí...
"no administrables centralizadamente".

Que sepa yo Firefox es administrable centralizadamente. Pregúntale a tu compañero Silverhack.

¿Fue esto deliberado?¿Prensa rosa? ¿o amarilla?

Saludos bella flor.

ShadowChild dijo...

No esperaba volver a ver posts así en tu blog, creí que ya se les habia pasado la boludes a todos los niños de pelearte. Joder si no es por el so también discuten por el navegador? Cada uno hace de su computador una flor ( ref: cada uno hace de su culo una flor ) y que el de alado no diga nada.

FilEMASTER dijo...

jue macho.. leo comentarios de anónimos y cada vez entiendo menos...

¿no estabamos aqui porque para hacer buenos otros navegadores se critica a IE?

Por cierto muy cachondo el tema de los estándares... ¿te has leido algún estándar de la W3C?

Maligno dijo...

@anónimo botánico, yo no he dicho que no se pueda con FF, de hecho lo hemos probado, pero es con plugins y sw externo....

Nos ha jodido mayo con flores y tallo...

Maligno dijo...

@Shadowchild... a veces pierdo la noción de la realidad
;)

José María dijo...

Y cuando podremos leer ese whitepaper?

Saludos ;-)

Despistado dijo...

¿Donde está el bugtracker o el código fuente de Internet Explorer 8?.

Maligno dijo...

@Despistado, está en el MSRC.

Saludos!

Anónimo dijo...

Soy el jardinero y te digo ¿el punto 8 no va por el Firefox?

Entonce seguro que va por Epiphany.

Claro que el FF necesita plugins para centralizarlo. No veo problema. También hay soluciones SW que no vienen con el SO y que hay que comprar aparte, tanto de MS como no. ¿Y?

Por eso ahora pregunto ¿amarillismo?

Maligno dijo...

Hola Botánico, pues no, no iba por FF porque de hecho, como te digo lo hemos puesto en el paper.

Pero si añades plugins debes contabilizarle también sus actualizaciones, parches, adminsitración, etc... todos esos "detallitos".

saludos!

Chen dijo...

Bueno, pues estoy deseando leerme ese paper de 33 hojas. ¿Cuándo dices que tendremos el placer de meterle mano?

Anónimo dijo...

Supongo que esto es una competición a ver quién es más cansino, si los del bug de IE8 o tú.

Si de verdad te interesa comparar la seguridad de los navegadores, mira tú qué curioso, existe el browser security handbook escrito por un tal Michal Zalewski que creo que algo sabe de esto y que, a pesar de ser de Google, pone a cada uno en su sitio.

Me recuerdas a una tira de Mauro Entrialgo en "El Jueves", que básicamente acababa diciendo "chico, si con todos los condicionantes que les has puesto a tu estadística no acabas el primero, es que eres muy malo".

Y por favor, no sigas diciendo que las políticas de seguridad centralizadas no son posibles con firefox: pégale un vistazo a este artículo en mozillazine sobre herramientas de configuración de Mozilla y piensa un poco si se puede o no integrar con las GPO de Active Directory. Que MS no haya hecho un menú para ello no significa que no se pueda o que no sea fácil.

Maligno dijo...

@Anónimo MZ habla de código no de políticas. No he dicho que FF no pueda ser admnistrable, de hecho digo lo contrario en mis charlas.

Por lo demás... Saluditos Malignos!

PD: Sí, las cosas que miro son de seguridad corporativa. Si no te gustan las pruebas puedes descargarte el que quieras de los links ;)

Anónimo dijo...

Internet Explorer 8 es, ante todo, INSOPORTABLEMENTE LENTO.

fer21unmsm dijo...

Yo era hincha de Firefox, pero en la actualidad no me convence, su consumo de memoria, parece que estuviera jugando pacman come y come, y he de decir que la otra vez me salió el mensajito "Esto es embarazoso" y crash se cerró, sin mencionar que algunas páginas no las abre.

Nunca fui hincha de IE, pero me he dado cuenta de que ha mejorado un montón, ahora tengo la version 8, hasta el momento ningún problema.

Lo que quisiera saber es porqué cuando se utiliza el script (javascript) window.open, me abre y me cierra el popup, y tengo que presionar el control para que se quede abierto, ¿es acaso algún mecanismo de seguridad que a implementado IE?, no pasaba esto con la versión 6

Saludos cordiales.

Seifreed dijo...

Hola

Madre mía puse el una contestación esta mañana y no veas la que se ha liado...

Es sùper sencillo criticar a Microsoft y a sus productos ya que, pasa cualquier cosa y es publicado en miles de sitios. En cambio otros errores que han tenido otras compañías, no salen en portada muchas veces, porque no da jugo jajaa.
Microsoft se ha puesto las pilas en seguridad y en sacar cosas bien echas. Que conste que, me encanta el software libre, pero se ver que errores y que virtudes tienen las demás plataformas, y repito lo dicho, quieres usar Chrome, pues úsalo, haz lo que te salga de los cojones, nadie te dirá nada.
Pero.. Quieres ser un buen encargado, o responsable en seguridad o en informática? Pues fíjate en los advisory, revisa los parches, fíjate que productos han caído mas veces durante el año y da una razón técnica de porque te gusta o no te gusta un producto.

Es fácil decir,
Microsoft no mola
IE Apesta
IE va lento..

A lo mejor lo que te va lento es tu ordenador.
A mi Internet Explorer me va de coña. Y me gusta mirar Secunia para ver que Firefox ha tenido cosas jodidas cada mes, y no por eso he dejado de utilizarlo, me encantan sus plugines, pero en mi casa. Si he de hacer deployment ne empresa, me gusta hacer el trabajo centralizado y que se, que está más que testeado.

Buenas Noches Maligno y compañía.

LeGNa dijo...

Como este sí es un blog de seguridad y una parte, la de "criticar" al resto de navegadores ya está hecha(en espera de las 33 pag), tan sólo faltaría la otra... mojarse.
(Alguno ya lo ha hecho con su comentario y se agradece)

Así que lanzo 2 preguntas:

1-¿cual de todos recomiendas tu?

2-¿Cual/es utilizas?

"Haz lo que yo diga pero no lo que yo haga"

Un saludo,

Maligno dijo...

@LeGNA, pues a riesgo de envenenarme al escribir esto....

1) Le doy la razón a Pedro Laguna de que para auditoría Hacking FF y sus plugins es la bomba.

2) Le doy la razón a Manu "The Sur" que el editor HTML en tiempo real de Google Chrome y lo rapido que va para navegar con prisas buscando cosas constantemente es genial en ciertos aspectos.

3) Le doy la razón a dab de opera parece más ligero.

4) Safari es... de Apple.

Pero para una empresa y en seguridad me quedo con IE8 durmiendo.

Mi página de inicio es Google y mi navegador por defecto es IE8, si alguien ha venido a una charla mía lo ha visto. Si tengo que usar FF lo uso para hacer alguna cosa de auditoría, pero mi uso mayoritario es IE8.

Saludos!

Matias dijo...

Es claro el tema, estas orgulloso porque IE8 es "mas seguro" que los otros, yo creo que al ser MS una empresa que gana millones y millones, les tendria que dar verguenza competir con software libre, y lo menos que podria hacer es hacer un navegador seguro. Lo hizo? Supongamos que si, pero no esta mal no confiar en una empresa que desde que nacio la computacion no hizo nada por ser seguro. Entonces nadie pone las manos en el fuego. Y quedate tranquilo, que el software libre, es menos "apetitoso" que el IE, y esto se deberia tener en cuenta a la hora de hablar de seguridad. Supongo que tanto Mozilla como Google no van a tardar en presentar un software que sea igual o mas seguro que el IE8. Que verguenza.

Maligno dijo...

@Matías el avergonzado, pero ¿qué cojones tiene que ver la seguridad con el merito que tenga algo en una empresa cuya misión es la rentabilidad económica? ¿Te imaginas al responsable de una farmaceútica diciendo: "Si el programa de gestión que usamos es una puta mierda, pero tiene mucho mérito porque lo ha hecho mi primo Pablo que no ha estudiado nada"?

En fin, dejemos de avergonzarnos y comportemonos como técnicos que no hay nada peor que un político metido a informatico o un informático metido a político.

Saludos!

Ivan dijo...
Este comentario ha sido eliminado por el autor.
Ivan dijo...

Yo solo pongo el enlace, el que no quiera ver la realidad es problema suyo cada cual saca sus conclusiones...

http://acid3.acidtests.org/

id142857 dijo...

No te preocupes... No sos el único que se sorprende de estas cosas...
Digamos que no me preocupo porque no es mi negocio directamente, pero me enferma el grado de estupidez virtual que hay...
Todos se cazan con firefox.. Todos se cazan con Apple.. Todos se cazan con Nikkon...
Sin darse cuenta de los baches de seguridad que tienen, o que son empresas que no se sostienen economicamente por si mismas. (las banca el senado de los estados unidos para que cierren.. Asi tener Apple, o Nikkon, es tan americano como leer National Geographic. Si la gente usa esas cosas con esos baches, es por politica, moda, pero no porque sean mejores.

xneo72 dijo...

Cálmate Chema que te va a dar algo. Ya sabes que la verdad solo tiene un camino por muchos atajos que quieras coger. Tengo IE8 instalado en la compu pero prefiero Firefox. Es de cajón el porque muchos prefieren utilizar programas el cual su code no sea propietario, ¿no crees?.

MagnoBalt dijo...

Yo por suerte ni lo udo a IE ni aunque venga parcheado..

Pedro Laguna dijo...

Chema, ains... No pensaba comentar en esta entrada, pero que hables bien de Firefox me ha llegado, soy asi de sensible :P

Yo en una empresa no pondria otra cosa que no fuese IE8 con plugins minimos y actualizados a la ultima. Eso si, sin extensiones como Firefox que no cuenten con mi User Agent.

Al resto, relax... Ahora os podeis meter con el Paint, que es mucho mas divertido de comentar :)

Saludos!

zorion dijo...

¿A nadie le sorprende que IE no guste a la gente que entiende (en ninguna versión?
¿A nadie le sorprende que los webmasters sigan despotricando de IE6 cuando ya está anticuado?
acid3.acidtests.org/

Maligno dijo...

@zorion, ¿los que saben? ¿los que saben de qué?

Para los amgios del test acid3, este test prueba una versión de Javascript basada en la versión ECMAScript. En el año 2007 introdujeron unos cambios que no daban soporte a las versiones anteriores de ECMAScript, es decir, sin compatiblidad hacia atrás. Las empresas que tenían mucha tencnología implantada (como Microsoft y Yahoo!) decidieron pasar de su culo y se quedaron en ECMAScript 3.1. Ahora, debido a que hay que pensar más en el cliente y menos en tocar los huevos, se está creando ECMAScript Harmony. Ya veremos quien pasa el test ACID4.

Saludos!

Krius dijo...

Al parecer la discusion ha estado un poco acalorada, cada navegador tiene su meritos, que el ie8 ha mejoarado bastante en el ambito de la seguridad y que a la hora de recomendar un navegador para una empresa le digo que con el IE8 es mas que suficiente perfecto, que muchos usuarios piden la zorrita tambien es cierto pero cuando le explico que en caso de algun problema el unico responsable es el usuario en la zorrita me dicen deja el IE8 aunque sea mas lento... para mi todos van a la misma velocidad que utilizo en mi caso mas la zorrita si pero a los clientes le recomiendo lo que menos riesgo tenga hacia su data cuando estos salen ha la jungla del internet.

Pd: Chemita no te apaciones ni te incomodes con los comentarios que le tocates los huevos algunos con el tema.

UsuarioPricipiante dijo...

Krius,

"pero cuando le explico que en caso de algun problema el unico responsable es el usuario en la zorrita"

JaJA. Y cuando hay un problema con IE8 microsoft te indemniza?. Un usuario OEM ni siquiera puede llamar para preguntar por una incidencia!!

Krius dijo...

Mi Querido UsuarioPricipiante

Aqui te dejo unas paginas que te podrian ayudar con tu OEM.

http://support.microsoft.com/gp/commnews/es-es

http://support.microsoft.com/gp/hublist/es-es

En las paginas que te dejo te pueden ayudar pero recuerda que es para IE8 no para la Zorrita que usamos mucho...


Pd: Comprate una licencia que tenga soporte, para que deje de gritar.

UsuarioPrincipiante dijo...

Gracias por los links, pero me queda claro que el nivel de responsabilidad de Microsoft es el mismo que con la Zorrita (arrégleselas como pueda !!!). Aunque sí hay que reconocer que la documentación es mejor.

Por otro lado, te recuerdo que una licencia OEM no es gratis! Además, ninguna licencia de Windows te indemniza, o si???

Sergio Hernando dijo...

Ups, me pitaban los oidos. Siento la tardanza :)

Sobre IE todo lo que tengo que decir está dicho en mis posts, y repetirme sería aburrido. No es ni de lejos el navegador perfecto, como tampoco es una mal navegador. Simple y llanamente hace poco sufrió un grave problema y como es habitual en mí, recomendé no usarlo hasta que dicho problema fuera solucionado. Acabo de hacer lo mismo con Firefox. Y créeme que lo seguiré haciendo. Y estoy seguro que dentro de 10 años seguirás diciendo que soy antiMS y cosas similares :)

No hay navegador perfecto, y por eso es tan absurdo encumbrar a FF como tratar de encumbrar a Internet Explorer. Es ridículo. Es por eso que perder el tiempo haciendo este tipo de comparativas es eso, una mera pérdida de tiempo. Lo que hay que hacer, y es mi humilde opinión, es hacer saber claro a los usuarios en todo momento qué productos pueden usar y cuáles entrañan riesgos. Yo al menos es a lo que quiero dedicarme y a lo que llevo dedicándome años, dada mi condición de "vendor independent", ya que no me dan de comer ni la fundación Mozilla, ni Opera ni Microsoft. ¿Es también tu situación?

Hay muchas cosas sorprendentes en esta vida. Ya que tengo el honor de ser citado, permíteme citarte a tí diciendo que a mí también me sorprende que cuando IE tiene un problema del carajo sin parchear, y te cito, "alguien que escribe sobre seguridad en empresas" recomiende soluciones inviables como crear listas blancas de ejecución de Javascript, o que hagas referencias a cosas como "sólo en IE6 con el DEP deshabilitado" o que no recomendemos al mundo empresarial subir de versión, cuando sabemos de sobra que en el mundo empresarial hay millones de clientes que siguen empleando esta versión y que no pueden permitirse el lujo de subir de versión alegremente, y ya te puse de ejemplo Oracle y SAP, entre otros muchos. Sube de IE6 a IE 7 o IE8 en una corporación prototipo y es probable que dejes a la mitad de los empleados mirando la pantalla rascándose la coronilla.

Sorprende también mucho que un tío con tus conocimientos no haga referencia alguna a lo fácil que es empaquetar un Firefox configurado a nuestro antojo y mandarlo a una red de clientes vía SMS o WSUS con la más absoluta de las comodidades para que los usuarios tengan algo con lo que salir a Internet el día que IE esté sufriendo exploits in the wild que contaminan los equipos en un mero drive-by, y que te quedes en un comentario tan ambiguo como "no administrables centralizadamente".

También es sorprendente que en la lista no haya referencias a la apetencia por IE que sienten los creadores de troyanos, y a sus posibles causas más allá del manido "cuota de mercado". Tampoco veo en la lista una explicación detallada de las limitaciones de DEP, que existen, como tampoco veo nunca en tus posts alertas claras que conciernen a la seguridad de Internet Explorer en las que se describa meridianamente claro qué hacer cuando IE sufre un problema. Pero ya te lo dije en mi blog: afortunadamente somos libres de escribir y opinar donde, como y cuando queremos. Y lógicamente, somos libres de sorprendernos.

Por cierto, graves problemas en Firefox. Al loro.

http://bit.ly/cVAqSa

Siempre es un placer enzarzarme contigo, aunque creo que prefiero discutir en el plano técnico y no en el FUD :)

Maligno dijo...

Holaaaaaaaaa Sergio,

mira que te cito en este post y tardas tanto en aparecer.... en fin, porque sé que estas ocupado que si no pensaría que ya no me quieres "como antes".

Sí, a mi no me da de comer IE, ni Micro me obliga a nada, por eso mi blog está en Google pero... ejem, que ya son muchos años Sergio, y no sólo soy yo el que piensa que eres un poco... digamos... de que Micro no es santo de tu devoción. ¿Tiro de hemeroteca, contactos y referencias para demostrar este hecho o confiesas que te gusta mucho lo que te gusta?

Respecto a lo de empaquetar Firefox está muy bien, si pudieras restrigir la configuración al usuario, si no es así, está muy bien que lo empaquetes y que te lo curres, pero tendrás que volver a gestionarlo y, si pasar de IE6 a IE7 te parece difícil (que muchas veces lo es por las aplicaciones corporativas) imagínate, por un momento, lo que sería cambiar el navegador.... ufff no debe ser chulo. ¿Has planteado en tu empresa alguna de estas migraciones suicidas de una semana a otra?

Si lo de las listas blancas te parece inviable, te voy a invitar a alguno de nuestros proyectos, para que lo veas realizado. Donde sí que es inviable es en Firefox tal y como viene, que no tiene zonas. Sí, hay noscript, para hacer algo similar, pero.. ¿es noscript administrable centralizadamente?

Me alegra que recomiendes usar SMS, (System Center, que hace ya 3 años que cambió de nombre) el lado del mal te lo agradecerá. En cuanto a la apetencia por IE para troyanos, supongo que has dicho IE6, y también Firefox, o... ¿ahora que ya no estás en hispasec has perdido el punch de la actualidad troyanil en navegadores?

Lo dicho, sino vienes tú a madrid, iré y o a Amsterdam ;)

Saludos Malignos!

Sergio Hernando dijo...

@maligno,

(divido en dos, esta maravilla de blogger me dice que Su HTML no es aceptable: Must be at most 4,096 characters)

Perdona por la tardanza, en serio. Me encanta participar en estos debates, así que hago lo posible por atender en cuanto puedo. A veces tardo, pero acabo llegando.

Creo que el origen de esta discusión esta en que te empeñas en que yo soy el típico que pretende que de un día para otro las empresas tiren a /dev/null el IE y se pongan todas con Firefox, Chrome, Opera o lo que les venga en gana. Pues nada más lejos de la realidad, y te invito a que repases los post recientes para que me digas en que punto hago esa aseveración.

Lo que defiendo es que una corporación inteligente y proactiva en la seguridad debe tener un navegador alternativo en la recamara para que el día que haya problemas en IE o con su navegador principal, sus usuarios puedan hacer uso del producto alternativo sin incurrir en riesgos innecesarios que luego pueden resultar en problemas reales, y ahí esta el problema de Aurora y el eterno problema del legacy que obliga a usar IE6, y que a la hora de la verdad se traduce en asuntos delicados como el robo de la propiedad intelectual, el espionaje industrial, la liberación incontrolada de información confidencial, la troyanizacion de equipos, etc. Por la misma razón, el día que sea FF el que sufra los problemas, debe tenerse un navegador alternativo que minimice los riesgos, y ese navegador claro que puede ser IE. Por que no iba a serlo si en ese momento no sufre problemas declarados de seguridad y esta configurado correctamente.

La seguridad en el mundo real, en el día a día de 10.000, 20k o 100k usuarios a veces es muy distinta a la domestica, donde importa un bledo todo porque todo funciona sin problemas. En el mundo real hay que tener a un equipo de release probando los parches, que por muy probados que vengan de fábrica siempre hay que someterlos a prueba, hay que hacer infinidad de pruebas para determinar si un cambio de versión te deja con el pandero al aire o no con los CRM, los ERP, las aplicaciones de HHRR, con las Intranets, con las Extranets ... hay que gastar mucho dinero y recursos en programar los cambios de este tipo. Ninguna corporación esta en condiciones de tirar un parche a los equipos en el momento en el que están disponibles, con lo que generalmente, entre lo que tarda el fabricante y lo que tardan las pruebas, la ventana de exposición es alta. Que hacemos entre tanto? Es tan malo recomendar que se usen alternativas para que se minimicen los riesgos? Pues eso es lo que yo defiendo.

A veces tengo la sensación de que se pretende convencer a los usuarios de que solventar la papeleta de un 0 day en una red corporativa es como en casa: dosparches, reboot y a otra cosa mariposa. Y ese es el gran error. Yo por eso cuando veo un advisory para un HP-UX donde se dice que por un problema de escalado local de privilegios hay que subir de versión, pues ya tengo claro que el autor del advisory y de uso real del mismo no tiene ni idea. Primero porque el riesgo no compensa la mas que probable parálisis del sistema de producción, los costes de upgrading y la pasta que cuesta hacer un rollback. Si hablamos de Oracle ya me tengo que descojonar, porque ahí si que se ven cafradas del tipo actualiza, como si eso fuera actualizar el Winamp. Basta con leerse las matrices de riesgo del fabricante para comprender lo delicado que es subir de versiones. Hablamos de millones de euros en juego. Pues con IE pasa lo mismo. Y eso es lo que me fastidia del asunto.

Por cierto, SMS (bueno, ya que te pones quisquilloso tampoco es System Center, es Systems Management Server) es un gran producto, como lo es WSUS. Microsoft tiene productos muy buenos, podríamos incluir aquí SQL server (con sus limitaciones), SharePoint (por su enorme productividad), Infopath ... la lista es larga, y yo al menos no tengo problema en reconocerlo. Aunque probablemente solo recordaras que como en casa tengo un FreeBSD y me gusta compilar fuentes, soy un talibán Anti-MS :))

Sergio Hernando dijo...

(continua del anterior)


Te daré un toque cuando me deje caer por Madrid. Tengo ganas de que "nos partamos la cara un poco". Es mas podríamos hacer un copas-debate en steaming para los lectores del lado del mal y del lado del bien. El evento del año, hoygan.

PD: Del otro post, me espero a que el Dabo publique el libro para enganchar el de Forefront, que los de Correos me quieren violar con los gastos de envío al extranjero. Y contrata con tu banco un TPV virtual, leches, que no es tan caro :)

Un saludo

Maligno dijo...

@Sergio hernando, eso de la duplicidad de navegadores me ha encantado. Es como el CPD de respaldo o tener dos paquetes ofimáticos de respaldo, dos firewalls de respaldo, dos SAIS de respaldo, etc... Apoyo la moción!! Ahora sólo nos falta convencer a todo el mundo que duplique sus infraestructuras de sw y hw en estos bonitos tiempos de inversión económica. ;)

Bueno, me pongo quisquilloso, pero es System Center 2007 Configuration Manager, también llamado SCCOM y System Center Operations Manager 2007 (el otro) ;)

Nos vemos para "partirnos la cara" amigo del bien ;)

PD: Vamos a poner TPV por Paypal.

Sergio Hernando dijo...

@Maligno,

Comparar el CPD de respaldo o la alta disponibilidad en FWs con tener dos suites ofimáticas me ha llegado al alma :)

Borra eso antes de que venga el FBI y te detenga.

Un saludo, y na, a pasarlo bien!

Maligno dijo...

@sergio, es que me has motivado. Eso de la duplicidad de navegadores me ha encantado. Imagino que en tu empresa ya lo habréis implantado, no? Realmente deberíais porner un sistema VDI con dobles máquinas para los usuarios. L-X-V MaC, Martes Windows y Jueves Linux ;)

Anónimo dijo...

Hola Chema.

El whitepaper del que hablas... lo tienes subido en algún sitio ya?. Se puede consultar?.

Gracias

Eleven Paths Blog

Seguridad Apple

Entradas populares