El pasado lunes acudimos, junto a otros bloggers, a un evento de Microsoft en el que, aparte de sorprendernos con la forma en la que se había montado, basado en Star Wars y con Chewbacca incluido, nos presentaron un estudio de seguridad sobre los navegadores más populares (Chrome, Internet Explorer, Safari, Opera y Firefox) en Windows Vista y 7. Este estudio corría a cargo de Chema Alonso, un importante experto en seguridad, y MVP de Microsoft.
Al contrario que anteriores estudios de Microsoft, como este o este otro, muy poco objetivos y bastante cuestionables, este no sólo está muy bien fundamentado sino también bien explicado. Aquí va un pequeño resumen de lo que podemos encontrar.
El primer aspecto que se compara es el uso que hacen los navegadores de las características de seguridad propias del SO. Estas son DEP, ASLR, Virtual Store, la arquitectura (monoproceso o multiproceso) y el MIC (Mandatory Integrity Control, similar a los privilegios de usuario en Linux). IE es el único que las integra todas, seguido por Chrome, que sólo carece de la Virtual Store. El p*eor parado es Firefox*, que sólo integra DEP y ASLR.
En cuanto a las características de seguridad propias, vemos que IE es el único con un filtro XSS integrado, aunque existe también el addon Noscript, cuya funcionalidad es la misma. Otra característica es la etiqueta X-FRAME-OPTIONS, soportada por todos menos por Firefox (*Actualización*: lo soporta gracias al addon NoScript) y que evita ataques de clickjacking. Para los que no sepan que es esto, es una técnica bastante curiosa, que consiste en la carga de un Iframe que contiene una página legal (Twitter o Google, por ejemplo) dentro de una página maliciosa. La página parece normal a primera vista, pero cuando se hace click en un punto, no se hace click en el elemento de la página real, sino en una capa invisible de Javascript que graba las pulsaciones del usuario.
Si nos vamos a la parte de SSL, todos los navegadores cuentan con el soporte correcto, incluido para certificados de validación extendida (aquellos expedidos por personas y con verificación de identidad del que lo pide). Sin embargo, cuando vemos el soporte de entidades que expiden certificados, nos encontramos con un pequeño problema. Sólo IE y Chrome reconocen a la FNMT, la entidad que expide los certificados SSL para organismos oficiales en España (por ejemplo, para la renta o el DNIe). Lo mismo pasa con CATCert, el análogo de la FNMT en Cataluña, que sólo lo reconocen Safari, IE y Chrome.
Otro aspecto son los filtros para URL maliciosas. Todos los navegadores cuentan con un filtro anti-phising y anti-malware, que se deben actualizar constatemente. En el estudio se comparó el tiempo que cada navegador tardaba en añadir una URL a sus filtros, y se comprobó como, mientras que los demás navegadores oscilan entre las 6 y 9 horas y las 14 de Chrome, Opera se aleja unos cuantos pueblos con 82 horas.
Y por último, llegamos a las vulnerabilidades. El que menos ha sufrido ha sido Opera, con 0,79 vulnerabilidades al més, y el que más, Firefox, con 6,3 vulnerabilidades al mes. En cuanto a los parches, Firefox tiene la mayor tasa de corrección (100%), y Opera la menor, con el 45,5% de vulnerabilidades corregidas. En el siguiente gráfico podéis ver las vulnerabilidades según el nivel de criticidad, en el que destaca Firefox con 56 vulnerabilidades “Highly Critical”, que conllevan acceso al sistema y ejecución de código arbitrario.
Como conclusión, queda Internet Explorer como el navegador más seguro, y Firefox con un importante varapalo en cuanto a seguridad, que veo que, por lo menos personalmente, se había sobreestimado hasta ahora en ese aspecto.
Desde mi punto de vista, Chrome es el que mejor parado sale para los usuarios comunes, ya que las diferencias con Internet Explorer no son muy notables en cuanto a seguridad, es más simple que éste, y además su seguridad se puede aumentar con complementos. Además, Chrome tiene a favor, que, al igual que Firefox y Opera, es multiplataforma.
Si queréis ver el documento completo, está colgado en Scribd, en el enlace inferior. Si tenéis alguna duda, podéis preguntar aquí o al principal autor del documento, Chema Alonso.
Comentarios
brillante
Wow, pues si que pagan bien a los analistas. Bueno, ahora que pasen los analistas de Google, Mozilla y Opera, y hacemos una media. Que aquí cada uno barre para la casa de quien paga.
Ahora viene cuando todo se llena de fanboys de firefox, diciendo que es el mejor y que IE sucks, (yo uso opera no la paguéis conmigo xD).
Entre las conclusiones mas relevantes a las que llega el estudio destaca que Firefox duplica en número de vulnerabilidades cualquier otro navegador aunque dispone de un equipo que parchea sistemáticamente todas(tasa de corrección del 100%), tiene una arquitectura que no optimiza las ventajas de los sistemas operativos Windows Vista y Windows 7 y se encuentra junto a Internet Explorer en el punto de mira de la industria del malware.
Internet Explorer 8 es calificado como el navegador con las mejores medidas de seguridad desde protecciones Anti XSS, técnicas de engaño o las mejores herramientas de configuración y ajuste de seguridad. No obstante es con diferencia el navegador objetivo numero uno de la industria del malware y de los navegadores analizados, es el único que se conoce ha tenido alguna vulnerabilidad catalogada como extremadamente crítica.
Chrome, el navegador de Google no permite configurar las opciones JavaSript, no admite diferentes zonas de seguridad, ni es administrable en remoto por un Active Directory por otro lado no existe mucho malware diseñado específicamente para atacarlo.
Creo que es basicamente el resumen del articulo. Muy Bueno
interesante
Por favor.. qué casualidad que siempre que se habla mal de Firefox, detrás haya alguien de Microsoft.
Que se ocupen de hacer que los desarrolladores web nos quedemos menos calvos desarrollando para su basura de navegador, y que se dejen de tanto estudio tendencioso y marketing de boquilla. Menos fardar de seguridad, que no se lo cree nadie, y más cumplir los estándares.
interesante
Que no se lo cree nadie, excepto los editores de Genbeta. Que desde que salio chrome siento como que hay una campañita anti Firefox... No entiendo porque. No soy de los que se vive quejando, pero y hasta yo lo estoy pensando. Todo el estudio fue para dejar bien parado a Internet Explorer, mas en genbeta sale beneficiado Chrome DE CUALQUIER MANERA.
Exacto, porque en esta grafica sale como si el IE fuera el mejor de todos jajjaja, casualidad?
interesante
Bueno, Chema Alonso lo lleva dificil para ser imparcial, pero es un tío que es un grande de su rama y siempre habla muy bien de lo que sabe, y en temas de seguridad es un experto.
Yo soy usuario de Firefox desde Ubuntu y sí, este tiene errores en algunas cosas, como todos. A la vez tiene la ventaja de respetar los estándares y de la solución de problemas críticos, algo que en Microsoft tendrán menos, pero aún se tardan un rato más en corregirlos.
Cada cual que use el explorador que le de la gana, todos tienen sus ventajas y desventajas. En seguridad Google Chrome demuestra bastante, cosa de la que nos han hablado en este blog.
interesante
Me he leído el post, yla única parte que me deja una duda es la de Firefox tiene la mayor tasa de corrección (100%), si esto se refiere a que arregla cualquier fallo de seguridad, entonce me parece contradictoria la conclusión porque en todo caso Firefox sería más seguro o si estoy mal corrijanme por favor. Saludos.
Se basa en el hecho de que tiene pocas protecciones frente a ataques externos. La tasa de corrección es en base a errores o bugs encontrados.
Opino lo mismo, porque si teniendo un 100% de tasa de corrección, ¿cómo puede tener aun 56 vulnerabilidades criticas? entonces alguno de estos dos datos es erróneo. Yo me pase a Chrome, pero desde que salio firefox lo use :D
Ser el que corrige todas las vurnerabilidades encontradas no te hace más seguro (no en el campo de los navegadores, en otros sí). Simplemente corriges los bugs que se han encontrado. La forma de interpretar esto es que Mozilla es la más profesional a la hora de mantener un producto.
Piensa que aún hay vulnerabilidades por corregir pero que aún no se han encontrado.
Ser seguro 100% implica tener 0 errores en tu software y eso amigo, es prácticamente imposible, y menos en el mundo de los navegadores (donde todo evoluciona constantemente).
mmm? Perdón? Hoy justamente acabo de leer una noticia donde decía que Opera era el navegador con menos vulnerabilidades y el que las corregía más rápido Las estadísticas son del 2009, pero vamos que no creo que hayan cambiado las cosas por 4 meses
Mas información aqui: http://translate.google.com/translate?js=y&prev=_t&hl=en&ie=UTF-8&layout=1&eotf=1&u=http%3A%2F%2Fwww.digi.no%2F840574%2Fingen-slaar-opera-i-sikkerhetsfiksing&sl=no&tl=en
En el concurso de hackeo a SO que hubo hace unas semanas (PWN2OWN), varios presentes hablaron muy mal de Firefox debido a que basa toda su seguridad en Windows en DEP y ASRL, y como el peor en seguridad comparado con el resto (hablando siempre en Windows). Si encuentro el enlace donde lo comentan, lo pongo por aquí.
interesante
Esta claro que las criticas al analista pueden ser tan tendenciosas como el analisis en si. Asi que para valorar todo esto correctamente habria que hacerlo desde el conocimiento del medio, valorando de paso otros analisis de diferentes fuentes.
En favor de IE un pequeño detalle; siendo el navegador mas escrudiñado en busca de fallas tambien es logico que sea el que mas agujeros tiene tapados en su jardin. O sea que aquello que le hace mas vulnerable es aquello que le acaba haciendo mas fuerte. Visto asi, este analisis podria tener algun sentido.
Yo por si acaso uso varios navegadores, cuestion de curiosidad...
Raro, Opera demora en promedio 1 dia para solucionar sus vulnerabilidades de las tan solas 16 que se le encontraron en el 2009.
Asi que es raro ver como en este test se deja mal parado a Opera siendo que es el que menos problemas en seguridad tiene..
Tambien es raro como dejan tan bien parado a IE que casualmente es el que mas problemas tiene..
interesante
Por regla general, cualquier estudio en el que se comparen varios productos en el que uno de los productos es del organizador, el estudio pierde completamente su credibilidad, por mucho que hayan metido a Chewbacca de por medio.
Mmmm... como dijo alguien arriba, todos llevan agua para su molino, sera muy seguro ie8 pero es el peor parado en cuanto a funcionalidad y estandares se habla, para los usuarios comunes y desarrolladores webs
A mi juicio y sin redondeos Chrome es el rey de los navegadores en muy pocos anios, lo veo y no me lo creo, google a pegado, tengo una web y las estadísticas no mienten, la web la tenia antes de que saliera a luz chrome, el segundo navegador detrás de ie era firefox, ahora le echo una ojeada y veo los papeles an cambiado, chrome en el segundo puesto, muy bien recibido por los usuarios simples, sera por la descarga directa desde youtube???
En lo personal me quedo con chrome, por simple y sencillo justo lo que necesito aun le falta muchas cosas pero mejorar, pero los chicos de google no sorprenden por cada cosita que ponen.
Aqui esta el informe de Symantec, publicado ayer http://bit.ly/aUMAOt
Opera
El reporte muestra que el navegador Opera tuvo menos vulnerabilidades documentadas el año pasado, pero también que la compañía fue las mas rápida en resolverlas. Ninguna vulnerabilidad estuvo activa por mas de tres días desde que fuera reportada, mientras que el tiempo de respuesta como promedio fue de menos de un día. En la practica, eso significa que las correcciones a los problemas de seguridad han sido lanzadas antes que las vulnerabilidades hayan sido hechas publicas. Opera tuvo un total de 16 vulnerabilidades reportadas en el 2009 contra 33 en 2008.
Safari
Del otro lado del espectro tenemos a Safari, con un promedio de 13 días para eliminar las 78 vulnerabilidades reportadas en 2009. En el peor caso, Apple necesito 145 días para eliminar una o mas vulnerabilidades conocidas. Comparativamente, Safari reporto 31 vulnerabilidades en 2008.
Firefox
Firefox fue el navegador con mas vulnerabilidades en el 2009 con 151 reportadas, de acuerdo con Symantec en parte debido a la revisión agresiva por parte de las comunidades de desarrolladores, unido al programa de premios de Mozilla's que provee compensaciones a aquellos que encuentran vulnerabilidades en los productos de la fundación. A pesar de la gran cantidad de vulnerabilidades, FF tuvo un promedio de un día para resolver los problemas, pero no todo es color de rosa, porque en el peor caso Mozilla tardo 75 días para eliminar una vulnerabilidad el año pasado. Comparativamente, en 2008 se reportaron 83 vulnerabilidades en Firefox.
Internet Explorer
Microsoft también experimento el año pasado menos casos de vulnerabilidades de cero día, por lo que la exposición como promedio fue de menos de un día, tardando un máximo de 18 días en corregir el peor caso, que estaba siendo explotado en el periodo. En total IE corrigió 28 vulnerabilidades documentadas en 2009 contra 31 en 2008.
Chrome
El tiempo de exposición promedio para Chrome en 2009 fue de dos días, y a Google le tomo 16 días resolver el peor caso reportado. Chrome reporto 29 vulnerabilidades en 2009 contra 6 reportadas en 2008 (en parte porque fue oficialmente lanzado en diciembre del 2008).
brillante
También hay que tener en cuenta que Firefox es el navegador que más empeño pone en descubrir sus propios errores, como dice el comentario anterior, hasta organizan concursos para encontrar vulnerabilidades.
Dudo mucho que IE tenga una comunidad tan activa, y menos a la hora de buscarle errores.
IE, danza con lobos. La comunidad de IE, es mal intencionada y no tarda en encontrar huecos en el sistema....y explotarlos.
Si miles y miles de hackers buscandole las pegas a IE mas que a ningun otro no te parecen bastante comunidad...
Para que se va a gastar la pasta Microsoft en investigar sus fallos, si de eso ya se encargan sus detractores?
El Reto Browser Schools se estudiaba el uso de vulnerabilidades XSS, y habia unos bonikos premiso de XBOX360 elite. Entre otros muchos.
Lo único que digo, dejando de lado quien se más seguro o inseguro, que no se puede hablar de seguridad en un evento el cual representa Microsoft, no es por alentar críticas al respecto, pero no se denota neutralidad alguna, dejando de lado que la persona que explica estos temas sea un experto, prefiero un análisis de alguien que no se decante por ningún bando y que ponga las cartas sobre la mesa, y eso si que sería un análisis para tener más en cuenta.
interesante
Pero crees que hay completa objetividad cuando se habla en contra de Ms.
Ms tiene un gran problema de imagen por lo general no creemos cuando estan haciendo las cosas bien. pero nos creemos todo cuando viene de google, de apple, etc. asi sea peor o no den toda la informacion al respecto.
por ejemplo el haking a a google en meses pasado se culpo a windows XP y IE 6, pero no se profundizo las fallas en google que permitieron el ataque. o en alguno de los medios leiste: google no tiene actualizados los sistemas operativos. google soluciona hueco de seguridad que permitio ataque en china. definitivamente no.
se escudaron en que fue XP y IE 6.
No niego las causas (no se mucho del tema), ¿pero cuales fueron los medios ? ¿que vulnerabilidad fue aprobechada? ¿que hicieron para mitigar el ataque?
Seguro que si el ataque fuera a MS, ahi si diriamos otras cosas.
interesante
En realidad con esa mentalidad no habría que creer en ningún evento organizado por alguna empresa cuando presenta sus propios productos o sus propios estudios sobre impactos y/o resultados. Y eso no sólo chocaría con Microsoft sino con Google, Apple, la FSF, Adobe... y un largo etcétera.
Los de Microsoft han elaborado un documento que sustenta sus conclusiones para que sea revisado y evaluado y quien tenga los conocimientos adecuados pueda decir si son válidos o no.
Hasta ahora, aparte de opiniones personales y una que otra cuestión que parece revelar que pocos aquí conocen el tema en profundidad.
Lo cual por cierto no tiene nada de extraño porque al fin y al cabo la mayoría solamente somos usuarios y precisamente venimos aquí a aprender.
No quería dar a entender que ninguna empresa haga ningún evento, si no no habría ninguno, pero "no me termina de gustar" que en un evento referido a algo que usamos todos a diario y a todas horas se exalte las bondades de IE y a los demás pues ... se deje "por los suelos" por así decirlo, exceptuando Chrome. Creo que se centraron más en buscarle las ventajas a IE y sacar sus cosas buenas y a los demás un análisis más, por encima. Tampoco quiero ni ser un fanboy ni mucho menos, ahora mismo te escribo desde un Wxp usando IE y sin ningún problema de admitirlo, solo que me gustaría un poco más de neutralidad al respecto, aunque si luego expertos en el tema, cogen con pinzas esta información y analizan estos exploradores para dar una versión más neutral, alabado sea el evento.
=)
Trabajas para Microsoft ? o eres simplemente un Fanboy?
Jajaja....y Caperucita roja amaba al lobo feroz, ademas comieron perdices y fueron felices !!!!!
Que mas RickHunter ? Alguna otra broma de calidad como la que escribiste.... Menos mal que no eres mujer, porque con esa ingenuidad ya tendrias con 40 hujos...jajajaja
Mientras dmery no es mas que un simple mortal que sigue a la masa y odia lo que la masa odia, darmfreak es una de las pocas personas en este planeta que piensan por si mismas
Firefox si que reconoce los certificados expedidos por la FNMT aunque no trae los certificados raíz instalados por defecto, pero se pueden obtener aquí:
http://www.cert.fnmt.es/index.php?cha=adm&sec=1&page=199
llevo 6 años utilizando firefox...., y reconociendo las virtudes de otros navegadores, tipo Crhome y Opera...., no cambio por nada del mundo. Por algo será, ¿no?
Todos los navegadores tienen sus pro y sus contras, creo que el que juega un papel decisivo es el usuario y cuan prudente sea cuando navega por la Web. ¡Saludos!.
El tema de los certificados es algo complejo. Los soportan, pero no los reconocen por defecto y esto hace que sea una pequeña molestia.
De forma generalizada también podrían soportar los certificados de http://www.CAcert.org, aunque probablemente no interesa. Existen muchos intereses en las grandes empresas emisoras de certificados.
Sobre la seguridad hablamos siempre de los navegadores, pero no olvidemos que el factor humano también es importante.
Precisamente hace unos días Mozilla bloqueaba una vulnerabilidad 0-day de JAVA que permitia ejecutar código arbitrario. La verdad ni sabía de dicho problema de seguridad pero Firefox me avisó y deshabilitó el plugin automáticamente.
La vulnerabilidad afecta a todos los navegadores incluidos IE, Firefox, Chrome, Opera e incluso bajo Linux
¿Qué hizo IE al respecto?
Aquí los enlaces:
http://blogs.eset-la.com/laboratorio/2010/04/15/propagan-malware-con-java/
Pueden checar si son vulnerables aqui:
http://blogs.eset-la.com/laboratorio/2010/04/09/vulnerabilidad-0-day-java/
-- editado por última vez a las 20:59
Para ser imparcial la pregunta también debiera ser ¿qué hicieron Opera y Chrome? Es decir, el estudio es sobre todos los navegadores no sólo sobre Firefox e IE.
Trabajas en Microsoft ? No lo tomes a mal es solo una pregunta... jajajaja
Como puede ser IE el mas seguro si es el único con 7 Extremly vulnerabilities.
-- editado por última vez a las 21:06
En el estudio salen muy bien librados Chrome y Opera y hablan mucho de las protecciones de lo navegadores, cada uno con sus pros y contras.... pero no es insensato...tanto que no niegan las fallas de IE 8
A este estudio le falta un componente, y la privacidad que te da el navegador elegido, donde a Chrome y IE se les a cuestionado el seguir los gustos del usuario y reportarlos en pro de una navegación mas cómoda; y en el mismo apartado esta la navegación comprimida que provee Opera dejando históricos fuera del alcance del usuario para su remoción. Al menos Firefox no cuenta con tan malas costumbres. Es cierto que Firefox es vulnerable, pero en gran medida es por las libertades que dio Active X y sus derivados, distinto es su comportamiento en una plataforma Linux, donde el sistema da pocos privilegios al que acceder.
La tecnología de "compresión" a la que te refieres, se llama Opera turbo, y es activable/desactivable a petición. Por omisión viene deshabilitado.
Y cuando te refieres a ActiveX... ¿Qué tiene que ver con FF? Este navegador ni si quiera lo soporta.
a pesar de todo, nadie usa IE
No hagas comentarios como esos o nadie te tomará en serio. IE es el navegador mayoritario con bastante diferencia, creo que con 65% atrás viene Firefox con 24% y con un solo dígito Chrome y Opera.
Mundialmente y según varias fuentes, Internet Explorer está a punto de bajar del 50% (ahora tendría un 53%, y bajando un punto por mes). Si hablamos de Europa, hace tiempo que bajó del 50% y ahora está más cerca del 40%.
interesante
No entiendo el propósito de tu intervención. Si lo haces para respaldar a un tipo que dice que "nadie usa IE", mal intervención haces.
Yo me apoyo en la estadística de Net Applications, aunque lo haga de memoria y haya errado por unos puntos. Esta fuente me parece más fiable que otras. En este caso tener "muchas fuentes" no aporta nada si alguna de ellas no son representativas.
Con todo igual IE sigue siendo el mayoritario y lo seguirá siendo mucho más tiempo porque Firefox está estancado y tanto Opera como Chrome están mucho más lejos. Y el mundo no es Europa.
Cuanto te pagan Rick? te regalan alguna aplicacion gratis? Que doble rasero tienen ustedes. Cuando se trata de productos Mocosoft lo unico que importa es el porcentaje de usuarios, pero con el "Bing" no utilizan el mismo parametro o con la Xbox. Basta de "marketing" Microsoft deberia poner mas empenio en sacer productos de buena calidad y no articulos de dudosa "credibilidad"
Aqui hay doble rasero en los criterios: Cuando algun producto Microsoft lidera las estadisticas, eso es lo que importa, nada mas debe considerarse....pero cuando no es asi, por ejemplo Bing, Xbox, el punto de las estadisticas no es tan importante, sino las "proyecciones" y un largo bla bla. Mas le vale a Microsoft crear productos de buena calidad y menos articulos de dudosa credibilidad.
Pero que fijacion con Fireexploter,es que lo mas curioso es que se dude todavia de que sea INSEGURO ,DESPUES DE MAS DE 2 AÑOS SIGUE PETANDO con los torpedos....asi que rapidez ninguna,solo se estaespabilando graciasa que su cuota baja no por los bugs que se reportan.
No sé, pero me atrevo a decir que tenemos enfrente una nueva guerra de navegadores, aunque por motivos diferentes a la primera. Ahora el factor seguridad está en el orden del dia, aunque es seguridad entendida en términos de ataques directos, virus etcétera.
Alguien ha mencionado el tema de privacidad (@26). O sea, el navegador que determina tus gustos para "mejorar" (ojo a las comillas) tu navegación. ¿Por que el informe no dice nada al respeto? ¿QUe pasa aquí, he de navegar en modo porno si no quiero que me hagan un historial de navegación? Eso para mi también es seguridad, y ya me gustaría saber algo de esto al respeto.
Por si acaso me voy a ir familiarizando con el chromium, que dicen que es como el chrome, pero sin los añadidos que reportan tu navegacion. Al menos creo que es así, corregidme, porfa!
Bueno lo cierto es que ya esta disponible la beta de Firefox 3.6.4 esperando poco a poco el resurgir del zorro de fuego (anda como chamuscado) y ligando las grandes mejores que prometen con menos cuelgues, mas rapidez y estabilidad y claro mas seguridad.
Según lo que entiendo en los comentarios es,"me importa un comino mi seguridad si las páginas se ven chulas de acuerdo a los estándares" es verdad que Internet Explorer tiene que mejorar mucho en varios aspectos pero si es mas seguro lo es y punto. Siii ya see que para lograr votos y un comentario interesante tengo que atacar a Microsoft pero lo siento todavía tengo sentido común y dinero para pagar licencias. =)
Si te crees este análisis sí, lo es, pero te tienes que creer este análisis.
Bueno datos hay bastantes, creo que el análisis está casi completo (para no ser absoluto) de todas formas en cuál análisis debo creer en el de apple, Debian Fundation, Canonical, Google? No hay peor ciego que el que no quiera ver.
La extensión No script provisiona a Firefox de la carencia de un protenctor de serie contra el clickjacking.
Lo digo por "Otra característica es la etiqueta X-FRAME-OPTIONS, soportada por todos menos por Firefox y que evita ataques de clickjacking..."
Saludos!!
Touché. Lo corrijo en un momento.
Es evidente que cuando quieren poner en mal a Fire Fox lo hacen sin hacer un buen analisis, creo que los escritores de este blog dan mas su opinion personal que una buena opinion profesional ya que en este post mencionan solo lo malo de Fire Fox pero no los puntos buenos como por ejemplo:
-Que es el que menos se tarda en añadir sitios bloqueados con solo 5.7 horas -Que es el unico que repara el 100% de las vulnerabilidades por ejemplo de las 56 vulnerabilidades que tuvo Fire Fox se repararon las 56 mientras que Opera tuvo solo 11 vulnerabilidades y se repararon solo 6... y las otras 5?? que las repare el usuario??, los otros desconozco los datos para hacer comparacion.
Adicionalemente el estudio lo hizo Microsoft... obvio quieren poner en buen puesto a IE aunque sea el peor en renderizado e incumplimiento de de estandares.
Por favor escriban de forma imparcial y objetiva y contenidos con buen analisis por que es muy facil escribir solo el numero de palabras que se necesita para lograr el pago mensual.
El estudio se refiere sólo a la seguridad, y aquí no estoy dando mi opinión personal sino que resumo un documento bien fundamentado y explicado.
Y que conste que, a pesar de esto, no considero a IE un navegador bueno para los usuarios comunes por un buen número de razones que no escribo para no alargarme más.
Quién pensaba que era seguro?
Aunque el rendimiento de Firefox deja mucho que desear para mi, y que no es nada nuevo que Firefox es uno de los navegadores que mas vulnerabilidades tiene, si hay que destacar que lo compensa con su comunidad que mantiene al dia la busqueda y correción de bugs de seguridad.
Yo lo que veo (ya que por desgracia tengo los 4 principales) es que microsoft hace sus correcciones cuano le da la gana, es una manera de maniobrar las estadisticas, a parte del tema de standares... al final en casa vendemos menos pero solo programamos para standard y lo sustuimos con formaciones para el publico final y las bondades de la standarización y el software libre... en fin
que a mi no me lo cambien
yo sigo con mi firefox
Bueno, quisiera romper una lanza a favor de Chema y de este estudio.
He de decir primeramente que este estudio no esta hecho solo por Chema, sino por todo el equipo de Informatica64 (para mas señas, mirad su web)
Primeramente, creo que se deberia mirar el articulo completo de seguridad escrito en su blog, para hacerse una idea mas precisa. (http://www.informatica64.com/recursos/seguridad_en_navegadores.pdf) y (http://elladodelmal.blogspot.com/2010/04/filtrado-de-urls-en-webbrowsers.html) y (http://www.slideshare.net/chemai64/seguridad-en-navegadores)
Una vez leidos estos articulos, en los que se explican las tecnicas con detalle., pasamos a lo siguiente.
Es un articulo de seguridad en Navegadores bajo Windows Vista y 7. Es decir, utilizando los elementos de seguridad de estos. Un software no puede ser seguro si el SO no lo es ni proporciona herramientas para ello. Por ejemplo, el ataque sufrido por Google en China afecto a IE6 bajo Windows XP. En Vista y 7 como podeis ver, no es posible gracias al ALSR.
En cuanto a comunidad de usuarios, IE tiene la suya claro esta. Otra cosa es que no sea tan conocida, pero aqui en España esta el equipo de Informatica64 el cual es muy bueno (presentes y ponentes en las DEFCON), y es conocido por sus retos de hacking.
Por ejemplo, tenemos el Reto Browser School, (http://elladodelmal.blogspot.com/2010/03/solucionario-reto-browserschool-i-de-ii.html)
"Se trataba de conseguir que los profesores nos aprobaran a su pesar, porque en realidad ellos no tenian mas intención que la de suspender a todos los alumnos sistematicamente. El alumno debía enviar su solucion, un texto que aparecía de forma literal en la pagina web que usaban los profesores para corregir, lo que lo hacía vulnerable a ataques XSS.
Había tres personas reales haciendo de profesores y cada uno de ellos usaba un navegador diferente para ver y corregir los exámenes. Todos ellos con la última versión instalada por defecto y sin complementos de estos navegadores:
- Profesor 1: Google Chrome 3 - Profesor 2: Mozilla Firefox 3.5 - Profesor 3: Internet Explorer 8
A su vez había tres asignaturas cuyo nivel de dificultad iba en aumento:
- Asignatura 1: Formulario sin contraseñas. - Asignatura 2: Una contraseña de aula; la misma para todos. - Asignatura 3: Cada profesor con su usuario y contraseña."
Como premios se entregaron una Xbox 360 Elite al primer clasificado, una Xbox 360 Arcade al segundo y un lote de 3 juegos para Xbox 360 al tercer clasificado.
Vemos que se hace con distintos navegadores, y si leemos el solucionario, gracias al fitro Anti-XSS, una tecnica tan de moda no es posible bajo IE8, lo cual lo hace mucho mas complicado. De hecho parte del solucionario hace una pequeña trampa, utilizando valores ya obtenidos por los profesores en Chrome y Firefox. Incluso hay alguna solución que hace que el enlace se carge bajo FF, y no IE, con lo cual también se consigue saltar la protección.
Basicamente, IE8 tendra mas vulnerabilidades (es el navegador mas usado, sobre todo en ambito empresarial, que es al fin y al cabo donde se mueve dinero) pero también implementa mas medidas de seguridad utilizando las propias del sistema. Muchos exploits no funcionaran gracias a DEP y ALSR. El filtro Anti-XSS nos avisara si nuestra pagina del banco carga otra pagina encima. SmartScreen es con diferencia quien mas sitios de phising detecta. Y bajo Active Directory nos permite fortificarlo a prueba de Usuarios bajo GPOs.
Tal vez no sea el navegador con mas estandares, o el que mejor rendimiento tiene, pero si es la compañia que mas versiones de navegador y sistema operativo debe mantener al mismo tiempo. Tampoco quiere decir que sea invulnerable, pero ningun navegador lo es. Ni ningun SO (ni siquiera Linux)
Aclarare cualquier duda que os surga lo antes posible.
PD. Basicamente, y despues del tocho....Seguridad? me quedo con IE. no todo son los exploits, menos si tienes un buen SO debajo (Y Windows XP no lo es...¿sabias que XP en el momento de su lanzamiento era vulnerable a todas las vulnerabilidades de Windows 2000?)
Trastear? Firefox cargadito de Plug-ins.
Escribir un comentario
Para hacer un comentario es necesario que te identifiques: ENTRA o conéctate con FacebookConnect