Ayer comentábamos que Mozilla había bloqueado un plugin y una extensión que Microsoft viene instalando en Firefox 3 sin consultar al usuario. Finalmente, y tras recibir muchas críticas, Mozilla ha dado marcha atrás y ha retirado ese bloqueo.
Apenas unas horas después del bloqueo, varios usuarios hacían notar a los responsables de Mozilla que la vulnerabilidad crítica que afectaba a Framework Assistant, el componente en discordia, no sólo no se encontraba en dicho plugin, sino que además había sido parcheada por Microsoft dos días antes.
En su momento, desde Mozilla se afirmó que tras comentar el asunto con Microsoft el pasado viernes, les habían recomendado tomar esta medida. Pero Microsoft ya les ha confirmado lo que algunos usuarios argumentaban, que Framework Assistant no está implicado en la vulnerabilidad, así que lo han desbloqueado. Poco a poco, los usuarios de Firefox irán recibiendo el aviso de desbloqueo y se rehabilitará la extensión, aunque sólo para aquellos que antes de todo esto lo tenían activado.
Aunque la medida de Mozilla ha demostrado ser precipitada y falta de acierto, esto no cambia las cosas: Microsoft no debería instalar plugins sin consultar al usuario, y lo que es peor, no debería ocultar el botón de desactivar/desinstalar. La excusa de “te lo instalo por tu bien” no vale, pues ni siquiera los parches críticos del sistema se instalan sin preguntar.
La excusa de que otros también lo hacen, como Adobe con Acrobat o Sun con Java, tampoco vale, porque eso no es una justificación válida: tan sólo sirve para añadir más entradas a la lista de empresas que no respetan al usuario. Y al instalar .NET Framework tampoco se avisa de que se va a instalar un plugin en Mozilla. ¿Tengo que imaginármelo?
Pero en realidad, Mozilla ha caído en el mismo error: bloquear una extensión sin preguntar al usuario. Hubiera sido mejor que en lugar de esta medida, hubiera activado los controles de desactivación y desinstalación de la propia extensión.
Así que desde primera hora, las cosas se han hecho mal, independientemente del traspiés que ha dado Mozilla en este caso. En los comentarios del anterior artículo se hablaba de Flash, pues resulta que no se instala por defecto. Y todo el mundo lo tiene, porque al pasar por centenares de sitios, como YouTube, se le indica al usuario: oye, te hace falta este plugin para ver el vídeo de la estedicán o del combate jedi entre Perry el Ornitorrinco y el Doctor Doofenrschmitz, y la gente lo instala, pero sólo si quiere.
Gracias a bendem, Lesan y el resto de usuarios que nos han enviado comentarios sobre los vaivenes de esta noticia.
Más información | Mozilla, Mike Shaver
En Genbeta | Mozilla reacciona frente a los plugins ocultos de Microsoft
Ver 20 comentarios
20 comentarios
rafael1193
Yo creo que tanto Microsoft como Mozilla lo han hecho fatal: El primero por instalar un complemento a un navegador, que si, aporta las funcionalidades del WPF que pueden ser útiles a muchos, pero si instala sin avisar y sin nuestro consentimiento. Por el otro lado, Mozilla se ha comportado igual, ¿Y si yo quiero o necesito el plugin? ¿Por qué lo tienen que bloquear sin mi consentimiento?
Por favor, señores de Mozilla y Microsoft, dejennos ser dueños de nuestros propios ordenadores.
Alkar
#1: En este caso, que veo completamente distinto, creo que es más un fallo de seguridad de la propia Mozilla: no debería ser posible instalar un plugin sin que el usuario tuviera constancia. Si Microsoft, Sun, Adobe, o cualquiera trata de instalar un plugin, al abrir Mozilla debería aparecer un aviso al respecto: "Una aplicación está intentando instalar el plugin Talycual, ¿desea permitirlo?"
#2: ¿Dices como el Bonjour, por ejemplo? Cierto, es lo mismo.
Alkar
#4: Tampoco creo que mi actitud haya sido en este caso en contra de Microsoft. Para dejar claro este aspecto, insistí en el artículo anterior y en este, que no estoy en contra de Microsoft en concreto, sino en la actitud de instalar añadidos al navegador sin avisar al usuario.
noctuido
#1 Que yo sepa se ha instalado en todos los navegadores, solo tienes que comprobarlo escribiendo about:plugins en la barra de tu navegador.
Sobre quién dispara primero. Aquí Microsoft "ha disparado primero" y luego han tenido que ponerse en contacto ambos (Mozilla y Microsoft).
El plugin de NET Framework ha salido de la lista negra de plugins bloqueados por mozilla tras hablar con MS, en lo que respecta a motivos de seguridad. Pero no olvidemos que en esa lista negra se mantiene Windows Presentation Foundation.
Digo lo mismo de siempre. El problema no viene de si MS obra bien o no, o si Mozilla obra bien o no. Todo surge de la aceptación del EULA que hacemos cuando instalamos Windows y eso solo es responsabilidad del usuario. Vamos que si en Microsoft deciden "calzar" todos los navegadores con los inseguros Active X lo pueden hacer. Lo que critican los medios es la hipocresía que han tenido siendo un caso similar con Chrome Frame y además sin preguntar siquiera.
noctuido
#8 Tienes alternativa que es desistalar el plugin aunque desde el navegador no se te permita.
Pero creo que lo que aquí se discute, es cómo se entera desde el último desarrollador de un navegador, hasta el último usuario de ese navegador sobre ¿qué es ese plugin que acaba de aparecer por arte de magia en el navegador? Porque únicamente lees quién es el remitente (MS), pero ni idea de lo que lleva, hace o si hace inseguro un navegador, ya que esa parte no la llevan los que desarrollan el navegador.
#15 Puede que seas dueño de tu ordenador, pero el sistema operativo Windows lo tienes bajo ciertas condiciones que te guste o no aceptaste. Sobre lo de desactivarlo Mozilla, tarde pero ya lo han resuelto tras hablar después, que no antes de instalar el plugin. que es lo que debieron hacer.
lesan
Lo que habría que hacer es leerse las licencias a la hora de instalar cualquier cosa. Que parece que todo el mundo se olvida de eso y tenemos el chip de Siguiente -> Siguiente -> Acepto -> Finalizar
lesan
8# ¿Y que no se entiende de eso? A ver, si tu no aceptas una licencia pues no lo instalas y punto. ¿Que te quedas sin poder ejecuta alguna aplicación? Pues entonces tienes dos posibilidades. Atenerte a la licencia e instalarlo, o no instalarlo y quedarte sin el. ¿Que lo quieres instalar y no aceptas parte del trato? Pues te lo tendrás que comer con patatas si lo instalas.
lesan
10# Entonces entraríamos en un bucle sin fin. ¿Que es ético?. Es complicado ver la diferencia entre lo bueno y lo malo, porque cada uno tiene su visión. Si no es lega ¿cual es el problema?.
Yo no veo que no sea ético el que te tengas que atener al contrato/licencia de un programa que tu instales. ¿Es ético que vodafone me obligue a pagar X € por irme de la empresa antes de finalizar el contrato? Yo acepte su contrato, así que es ético que me obliguen a pagar por irme.
lesan
14# Te recomiendo que leas mi comentario de nuevo, porque me da que te has confundido con 8#, que es el que habla de que no hay alternativas.
Carlos Fonseca
Con esta noticia ha pasado igual que con la de la filtración de cuentas de hotmail. Esta claro que cuando se habla de MS, hay una serie de iluminados para los que va a ser siempre disparo primero y pregunto despues.
Y una duda, a los que usamos Opera ¿no se nos instala nada?¿no hace falta que se instale o no se han preocupado de la gente que usa otros navegadores?
Adrian Grayson
"La excusa de que otros también lo hacen, como Adobe con Acrobat o Sun con Java" ...o Apple con iTunes, porque es instalarlo y aparecer 6 nombres más en la lista de programas...
Carlos Fonseca
#3 No hablo del problema en sí, sino de la actitud de los bloggers y comentaristas. La reacción inicial fué "Bien por Mozilla, mal por MS". Y al final resulta que quien lo ha hecho mal ha sido Mozilla, porque además a creado confusión y desconfianza.
Creo que os la estais cogiendo con papel de fumar, el 99,9% de usuarios de Windows vemos como en nuestro sistema se instalan 3000 parches de seguridad al año, y ni sabemos lo que contienen ni nos importa.
Adrian Grayson
#9 Que yo sepa se está debatiendo lo "ético" de estas prácticas, no se cuestiona la legalidad en ningún caso.
Ivan Pacheco
@9
Cuando yo leí por primera vez el EULA completo de Windows decidí que lo lo instalaba, así de fácil. No digas que no hay alternativa porque sí la hay y todos lo sabemos, que no las quieras usar es muy distinto.
Ahora mismo yo tengo Mozilla Firefox 3.5.3 y nada de complementos ocultos. Usa lo que quieras pero nunca digas que no tienes opciones, mejor di que no quieres cambiar.
phyramide
Suposición Inicial: Instalan un plug-in que pone en riesgo la seguridad de nuestra PC.
Actitud Tomada: Muy mal por Microsoft, porque nos instala algo sin preguntarnos. Bien por Mozilla por habernos avisado
Aseveración Actual: El plug-in instalado no es lo que pone en riesgo la seguridad, sino algo diferente (que aún no pueden saber que es).
Actitud Actual: De todas maneras que mal por Microsoft, porque nos instaló ese plug-in. Ni modo Mozilla, pero no te apures, aqui esperamos a que soluciones el problema de seguridad.
Ivan Pacheco
@19
Cierto, se me fue el dedo. En realidad el comentario era para @8.
gelo
#7, Qué más te da leerte la licencia o no, porque si no aceptas no te lo instala. Vale, me la leo pero no acepto ciertos puntos. ¿Qué hago? nada, porque no hay opción, o aceptas o no aceptas la licencia.
www.kuyle.info
Bien, por el dicho ese de más vale tarde que nunca.
danieh
Huele a caquita... XD
Wfox
"Y al instalar .NET Framework tampoco se avisa de que se va a instalar un plugin en Mozilla. ¿Tengo que imaginármelo?"
Te lo dice la lista de características del .NET framework 3.5.
De nuevo, si no te gusta desactiva actualizaciones automáticas y sobre qué es lo que viene con el software y que se instalará porque la tarea de un instalador no es mostrar cada qué DLLs se instalarán.