El nuevo Internet Explorer

 

 

Enviado por admin el 10 Febrero 2006 - 11:02am

Por Bruce Schneier

Estoy empezando a leer sobre las nuevas características de seguridad en Internet Explorer 7. Hasta el momento, me gusta lo que estoy leyendo.

IE7 obliga a que todas las ventanas del navegador muestren una barra de direcciones. Esto ayuda a combatir aquellos atacantes que operan haciendo emerger nuevas ventanas como si pertenecieran un sitio legítimo, cuando en realidad el sitio es fraudulento. Al ser obligatoria la barra de direcciones, los usuarios verán de inmediato la verdadera URL de la página mostrada, volviendo más obvio este tipo de ataques. Si crees que estás viendo www.microsoft.com, pero la barra de direcciones del navegador muestra www.tejaqueare.com, se debería sospechar.

Yo uso Opera, y hace mucho que utilizo la barra de direcciones para "verificar" URLs. Es una excelente idea. Lo mismo que esta otra:

A principios de Noviembre, se reunió un grupo de desarrolladores de navegadores Web y comenzaron a elaborar estándares para el coloreado de la barra de direcciones, de modo que ésta pueda orientar a los usuarios sobre los sitios seguros. A propuesta de Rob Franco, miembro del equipo de IE7, incluso los sitios que utilicen SSL mostrarán la barra de direcciones estándar de fondo blanco. Los sitios que utilicen un nivel de protección mayor, aunque todavía no determinado, mostrarán una barra de fondo verde.

...

Me gustan los indicativos visuales de lo que está pasando. Y me gusta sobremanera que SSL sólo proporcione el fondo blanco genérico, porque eso no demuestra que realmente se esté uno comunicando con el sitio que cree. Esta característica ayuda en ese aspecto, aunque:

Franco dijo también que al navegar por un sitio protegido con SSL, la barra de direcciones de IE7 mostrará el nombre del sitio y el de la autoridad de certificación en la barra de direcciones.

Algunas de las medidas de seguridad adoptadas en IE7 debilitan la integración entre el navegador y el sistema operativo:

La gente que utilice Windows Vista beta 2 encontrará una nueva característica, denominada Modo Protegido, que vuelve a Explorer 7 incapaz de modificar ficheros y configuraciones del sistema. Esto, lisa y llanamente, rompe parte de la integración entre IE y el propio Windows.

Piense en esto como en una especie de muralla entre IE y el resto del sistema operativo. No, el código no será perfecto, y sí, habrá formas de saltarse esta seguridad, pero se trata de una característica importante que se echaba en falta desde hace mucho.

La mayoría de los fallos de seguridad más destacados de IE provienen de su fuerte integración con Windows. Se trata de una característica que ningún otro navegador ofrece, y una capacidad que el Modo Protegido de Vista intenta mitigar. IE7 obviamente no suprimirá toda esa integración tan estrecha. En vez de cambios profundos de arquitectura, el esfuerzo se ha dirigido hacia dificultar o eliminar vulnerabilidades potenciales. Por desgracia, esta aproximación requiere que Microsoft se anticipe a todo lo que puede ir mal y lo bloquee por anticipado. Algo muy alejado de cualquier garantía a la hora de asegurar un navegador.

La última frase se refiere a la actitud generalizada en Internet de permitir todo lo que no se ha prohibido explícitamente, en vez de prohibir todo lo que no sea explícitamente permitido.

También, habrá que esperar a Vista para utilizarlo:

...esta capacidad no estará disponible en Windows XP, porque está directamente basada en el propio Windows Vista.

Hay otros cambios bajo la superficie:

IE7 elimina gran cantidad de código heredado que se remonta a la época de Explorer 4.

Y:

Microsoft ha reescrito gran parte del código principal de IE7 para ayudar a combatir ataques que se basan en URLs malformadas (que típicamente provocan un desbordamiento de buffer). Ahora se hace pasar todo el procesado de URL por una única función (reduciendo así la cantidad de código que "observa" URLs).

Todas buenas cosas, pero coincido con esta conclusión:

IE7 ofrece varias características de seguridad nuevas, pero no puede darse por hecho que la situación mejorará. Ha habido ya varias actualizaciones de seguridad para IE 7 beta 1 tanto en Windows XP como en Vista. Las vulnerabilidades de seguridad en un producto en fase beta no deberían resultar alarmantes (IE7 difícilmente podría considerarse "acabado" en este momento), pero podría ser una señal de que la arquitectura y diseño del producto aún tienen pendientes cuestiones de seguridad fundamentales.

No voy a abandonar Opera todavía, y mi segunda elección sigue siendo Firefox. Pero las masas aún utilizan IE y nuestra seguridad depende en parte de que esas masas mantengan sus ordenadores libres de gusanos y bots.

NOTA: Aquí hay alguna información sobre cómo conseguir su propia copia de Internet Explorer 7 beta 2.

Copyright por Bruce Schneier. Traducción autorizada al español por José Manuel Gómez para Kriptópolis.

Comentarios

Selecciona arriba tu forma preferida de visualizar los comentarios y pulsa el botón para guardar tu elección para próximas visitas (sólo si eres usuario registrado).
Envite's picture

¿El buen camino?

Enviado por Envite el 14 Febrero 2006 - 12:07am.

¿Quiza Microsoft ha decidido comenzar a andar por el buen camino?

Puede que se deba a las noticias no sobre sus fallos, sino sobre sus fallos en comparacion con la competencia, pero ojala que este camino que (parece) comienza Microsoft en su serie de productos para las masas no sea unicamente un espejismo.

No estoy de acuerdo con lo que dices, pero defenderé con mi vida tu derecho a decirlo.
- Voltaire -

No estoy de acuerdo con lo que dices, pero defendería con mi vida tu derecho a decirlo.
- Voltaire -

hStorm's picture

Duda sobre la primera proteccion

Enviado por hStorm el 14 Febrero 2006 - 12:40am.

Mi duda va sobre eso de las ventanas q engañan al usuario haciendolo creer q esta en una direccion mientras en realidad esta en otra, q es maliciosa (no recuerdo el nombre de esta tecnica..), acaso no seria posible mover la ventana mas arriba de lo q se muestra en pantalla, ocultando la barra de direccion y usar la misma vieja tecnica? (en realidad estoy casi seguro de q no serian tan descuidados... pero vale la pena intentarlo).

Chau!

Pelias's picture

No soy partidario del codigo cerrado pero...

Enviado por Pelias el 14 Febrero 2006 - 10:43am.

No soy partidario del codigo cerrado ya que la mejora de la seguridad del IE no nos pone a salvo del propio Microsoft y sus 'rootkits'. las actividades del Software de Microsoft siempre seran fiables para Microsoft haga lo que haga este en nuestro ordenador y sea esta actividad fortuita o premeditada.

Pero como se comentaba en el articulo, aun hay miles de personas que utilizan ese software y su mejora contribuye a la mejora de la Red.

-Pelias.

-Pelias.

jsalvati's picture

"El optimista"

Enviado por jsalvati el 15 Febrero 2006 - 4:16pm.

Yo soy partidario de las herramientas que ofrece Microsoft en particular (IE), y espero que con estos nuevos avances solucionen ciertos baches que tienen.

Como cierto optimista siempre espero lo mejor, asi que veremos que pasa.

Saludos
José