A Explorer 7 no le gustamos

Enviado por JMG el 14. Febrero 2006 - 11:49.

¡Hasta el punto de recomendar a nuestros usuarios que no creen una cuenta y abandonen este sitio cuanto antes!

Increíble, pero cierto.

Hace meses dimos cuenta en estas páginas de las diversas iniciativas de Microsoft dirigidas a proteger la versión 7 de su navegador contra el phishing, entre ellas el famoso código de colores que tanto parece gustarle al mismísimo Schneier.

Como consecuencia de todo ello, y en lo que parece un evidente exceso de celo, la beta pública de Explorer 7 despliega un colorido abanico de alarmas (incluyendo hasta un aviso sonoro) cada vez que un usuario intenta crearse una cuenta en Kriptópolis o acceder a ella. Y, por si tal despliegue de avisos no fuera suficiente para detener al navegante más osado que arribara a esta orilla, Explorer 7 lo acompaña de un amenazador mensaje de texto, en negro sobre blanco:

"Le recomendamos que cierre esta página y abandone este sitio"

Pero, ¿qué convierte a Kriptópolis en un sitio tan peligroso a los ojos de Microsoft? ¿Qué falta imperdonable hemos cometido? Fácil...

Nuestro "delito" consiste en no haber comprado nuestro certificado SSL a alguna de las empresas que Microsoft considera "fiables". Mi inexcusable falta estriba en haber obtenido un certificado gratuito de CA Cert, en lugar de haber abonado 100 dólares por año para poder disfrutar de todas las bendiciones de Microsoft. Tan tremendo acto de desacato tiene un precio: Explorer 7 se dedicará, por los restos, a asustar sin motivo a nuestros futuros visitantes. Pasen y vean:

Y por si, pese a todo, insistes en proseguir con tu suicidio virtual, IE7, insistente, te avisa de nuevo:

Como recordaréis, no hace mucho ya estuve a punto de cerrar las puertas de Kriptópolis al caprichoso navegador de Microsoft. Confieso que hoy se me ha vuelto a pasar esa idea por la cabeza pero, en vez de enojarme, he decidido controlar ese impulso tan visceral y racionalizar un poco más la situación.

Para ello, he descargado e instalado Opera 9.00 PR2, en busca de un competidor a la altura del navegador de Microsoft en cuanto a novedad. Al igual que Explorer 7, se trata también de una versión preliminar, y el fabricante europeo participó también en la iniciativa conjunta que antes comentamos.

Dejando de lado por el momento la agradable impresión que me ha producido Opera 9 (frente a la sensación de dèja-vu, pero en feo, que me ha dejado IE7), iremos al núcleo de la prueba: ¿Se comportará igual que Explorer 7 el futuro navegador de Opera cuando alguien trate de acceder a su cuenta en Kriptópolis?.

En absoluto. Como muestra la imagen, Opera 9 adopta una actitud mucho menos discriminadora, mucho menos monopolística y -sobre todo- mucho menos alarmista frente a una autoridad de certificación desconocida. Como entiendo que debe ser, Opera 9 permite al usuario decidir qué hacer: cancelar, aceptar o incluso instalar el certificado propuesto. Nada que ver -por tanto- con el intimidador mensaje ("Error de certificado. Navegación bloqueada.") que exhibe Explorer 7 en idénticas circunstancias.

A modo de conclusión... Dudo mucho que la paranoica desconfianza exhibida por Explorer 7 hacia todo lo que no venga firmado previo cuantioso pago, ayude a ese navegador a resultar más seguro que el resto. El tiempo lo dirá.

Lo que sí me queda cada vez más claro es que existen navegadores, sistemas operativos y -en general- software, cuya filosofía se fundamenta en limitar la libertad de elección del usuario, al que se considera -por definición- un ignorante, proclive a tomar siempre las decisiones equivocadas.

Afortunadamente, existe también la filosofía opuesta: el usuario manda sobre el software.

Según uno prefiera considerarse (un niñito imbécil o un adulto responsable) puede elegir entre uno u otro modelo.

¿Sencillo, no?

‹ Más información en "novedades" Peticion: foro sobre seguridad ›
»

Comentarios

Selecciona arriba tu forma preferida de visualizar
los comentarios y pulsa el botón para guardar tus
preferencias. Éstas sólo se recordarán para tus
próximas visitas si eres usuario registrado.

Espero que usted no ceda y siga usando un certificado gratuito

Enviado por monty_oso el 14. Febrero 2006 - 13:20.

Espero que usted no ceda y siga usando un certificado gratuito pues si le compra el certificado a Microsoft los estaría incentivando a continuar con este trato discriminatorio, monopólico, e inmoral.

Y espero que se le pase la piedra con lo de firefox debería segirle haciendo publicidad, aunque no de una forma tan fanática como lo hacia antes. Pues las otras alternativas son propietarias y mire hasta donde son capaces de llegar.

Monty_oso :)

Varias precisiones...

Enviado por admin el 14. Febrero 2006 - 15:28.

1) "fanática" no, vehemente sí.

2) Microsoft no vende -creo- certificados de este tipo.

3) No se trata de que se me pase ninguna "piedra", sino más bien de la sospecha de que Firefox empieza a tomar el mismo camino equivocado, que puede acabar llevando a este tipo de cosas. Recuerda: "Hasta el camino más largo empieza por un simple paso".

4) Respecto a que yo "debería" seguir haciendo publicidad (gratuita) de Firefox, no estoy de acuerdo: ahora Firefox es otro anunciante más; si quiere publicidad, que la pague. Y aún en tal caso iría en la zona etiquetada como "Publicidad", no en la de artículos.

Pues a mi me parece correcto

Enviado por ocsp el 14. Febrero 2006 - 13:51.

Puede que el mensaje sea alarmista, ¡pero es que no es para menos! Si el certificado de kriptopolis ha sido emitido por una CA en la que el navegador no confía es normal que salten las alarmas. Si no confías en la CA, implica que no confías en que la conexión sea segura. Imaginate que el certificado emitido por esa CA desconocida se utiliza para en una web que hace phising de un banco.

Si se muestran mensajes alarmistas quizá la gente se concience más de los temas de seguridad. Si sólo te aparece un mensaje donde te dice que instales un certificado-de-no-se-qué para continuar, pues la gente pulsa al botón, instala una CA de la que no sabe nada (ni siquiera lo que es) y pa'lante.

Otro tema es porque el certificado de CA de cacert.org no está dentro de las CAs de confianza que Windows tiene al instalarse.

Fácil...

Enviado por admin el 14. Febrero 2006 - 15:31.

Otro tema es porque el certificado de CA de cacert.org no está dentro de las CAs de confianza que Windows tiene al instalarse.

¿Tal vez porque es una entidad sin ánimo de lucro, que extiende sus certificados de forma gratuita?. Bueno, en realidad no: se trata de que no paga derecho de pernada.

No hay validación de datos

Enviado por ocsp el 15. Febrero 2006 - 13:13.

También puede ser porque te entregan el certificado sin realizar ninguna validación de los datos de la petición. Te puedes crear un certificado con cualquier nombre.

Supongo que CA Cert está bien para cacharreas y para algún uso interno, pero al no haber validación de la autenticidad de las peticiones de certificado no creo que valga para ningún sistema 'serio'.

PD: Perdón si este post sale repetido

No es cierto

Enviado por admin el 15. Febrero 2006 - 13:54.

CA Cert sí comprueba que posees el dominio para el que pides certificación.

Bueno..., y si no te la pide

Enviado por Enriquez el 15. Febrero 2006 - 14:11.

Bueno..., y si no te la pide da igual, solo vale para ese dominio ;)
Lo tienes mas baratito, los 3 primeros meses gratis y 38 euros el año siguiente, o 69 dos años:
http://certses.ipsca.com/contenido.htm
Estos si que cuelgan de un raiz reconocido por Microsoft.

Por cierto, Microsoft no mete a cualquiera en los raices, te piden un montón de pasta y te auditan periodicamente la CA, además tienes que esperar al 2010, y con mucha suerte. Imagino que es mas barato comprar una CA secundaria a uno ya reconocido. No se como lo haran con el nuevo eDNI, puede que utilicen certificación cruzada para que la cadena termine en el de la FNMT, o que intenten meter el raiz, cosa que tendría que hacer Microsoft a base de un Update Root Certificates, ya que no se puede hacer con caracter retroactivo ;)
PD: OCSP="Online Certificate Status Protocol"

No estoy de acuerdo

Enviado por admin el 14. Febrero 2006 - 15:37.

Semejante alarmismo (ante un mero "hueco" en la cadena de certificación, que no ante una discrepancia de URLS, que aquí no se da) no está justificado en ningún caso (por eso presento el contraejemplo de Opera), y menos todavía cuando tan tremendo mecanismo de seguridad fracasa si el proscrito decide aflojar 100 dólares/año a Verisign o similar.

O si mi autoridad certificadora decide pagar la cuota que a ella le corresponda.

Es decir, el navegador confía en quien paga el peaje.

Así nos luce el pelo...

Hay más que eso

Enviado por sildur el 15. Febrero 2006 - 22:59.

No se trata de aflojar 100 dólares. Se trata de enviar fotocopia del DNI vía fax si es una identificación para una persona o fotocopia de la licencia de apertura si es un negocio (además de lo que cuesten las transacciones).

El dinero se va en revisar que tú eres realmente tú, en auditorías de seguridad, y en mil medidas de seguridad (además de en enriquecer a los accionistas).

Verisign (por ejemplo) vende imagen de empresa segura. Imagina que mañana alguien roba las claves privadas de Verisign (y puedo asegurarte que habrá más de uno intentándolo). No sería una buena promoción.

Lo que pides es que el navegador no se alarme si sospecha que la fuente puede no ser la que dice ser (al no poder seguir la cadena de certificados hasta encontrar a alguien fiable). Es mas o menos como pedir que nuestro cliente de criptografía no ponga el grito en el cielo si el mensaje recibido está firmado por alguien desconocido (el mío lo hace, y con enormes letras rojas).

Por cierto, al final de tu artículo, supongo que tú, como adulto responsable, estarás en contra de niñerías tales como los seguros en las herramientas, los cinturones de seguridad, los avisos de peligro y todas esas cosas innecesarias para el estado de omnisapiencia y permanente vigilia que nos concede a los humanos el haber alcanzado los dieciocho años.

Disculpa pero no...

Enviado por admin el 15. Febrero 2006 - 23:09.

Disculpa pero no...

Yo no pido que el navegador no avise si detecta algo 'raro' (de hecho todos lo hacen). Lo que pido es que no alarme sin necesidad. Y decirle a un usuario de Kriptópolis, o a un denunciante ante la Policía o la Guardia Civil, que salga de esos sitios cuanto antes porque podrían intentar robarle información me parece mear fuera del tiesto, si se me permite la vulgaridad.

Los cinturones de seguridad no son niñerías, pero me parecería excesivo que el coche se inmovilizara, se pusiera a sonar el claxon y a encenderse las luces, y se activara una señal de aviso remoto a la jefatura de tráfico, por el mero hecho de que alguien intentara arrancar el coche sin habérselo puesto.

¿Entendemos la diferencia?

123siguientefinal