Ya hace años que llevo leyendo artículos malos en seguridad escritos por Víctor Pimentel en Genbeta. Es normal, él no trabaja en seguridad, se dedica a escribir en un blog sobre tecnología, que es distinto. Sin embargo, me ha sorprendido como asevera en su último post en el que critica nuestro documento sobre la seguridad en los navegadores algo como:
"Firefox es uno de los navegadores más seguros en la actualidad. En el Sistema Métrico Campofutbolero, diría que Firefox está en la Champions League de la seguridad si no hubiera más equipos participantes que navegadores."
Es curioso cómo ha aplicado todas las técnicas del técnicoless en una única frase. Es un crack. Después de haber currado cinco personas en mirar todo lo que hemos mirado en los navegadores, no nos hemos atrevido a hacer ninguna aseveración de que navegador es el más seguro de todos en entornos Windows y sólo hemos querido plasmar características técnicas. Así, su compañero de Genbeta, que sí nos brindó con el honor de asistir al evento de presentación del paper hizo un reporte mucho más ecuánime y técnico en Genbeta. Sobre ese mismo evento de presentación y el mismo documento técnico, otros periodistas tecnológicos sacaron más o menos las mismas conclusiones del trabajo, como Muy Computer, JavierPas, Incubaweb, Gizmodo o The Inquirer. Todos, más o menos, en la misma línea, mirando datos, aportando su visión y haciendo su trabajo con profesionalidad.
Sin embargo, Víctor Pimentel, que no vino al evento y que dudo que se haya leído (o entendido) el documento, nos sale con populismos. Muy bien Víctor, sobre tu artículo, como si me creyera que lo que tú querías hacer era un flame, te contesto desde aquí que registrarme en genbeta o darte mi facebook no me apetecía.
Más es mejor
Según nuestro experto técnicoless en seguridad:
“El modelo de desarrollo de software libre obtiene una mayor tasa de descubrimiento de fallos, sobre todo si la aplicación es popular entre los desarrolladores”
Vamos, decir esto, es como decir que todos los madrileños son unos chulos y que todos los catalanes son unos agarraos. Es una afirmación que te has sacado de la chistera sin ni tan siquiera mirar datos. Te puedo dar nombre de proyectos OpenSource con fallos de seguridad bajísimos porque tienen un código de calidad altísima.
" la seguridad por oscuridad no es la mejor de las compañeras de viaje"
Efectivamente, pero lo que tu propones, que es la seguridad por publicación del código es una absurdez como un piano. Si nadie revisa el código es una cagada XXL.
Ahí tienes el caso de OpenSSL: Software popular, usado por millones de personas y organizaciones alrededor del mundo (joder si hasta lo uso yo!) y tuvo un fallo gordísimo que tardó en descubrirse más de una año.
Según Víctor (este tipo debe ser humorista)
“contar el número de bugs encontrados [..] resulta más en un punto para Firefox que para Internet Explorer”
Mira, nosotros no lo hemos valorado, sólo lo hemos contado, pero pensar que porque haya más fallos es porque se ha mejorado más, es una chorrada. El número de fallos descubiertos es una buena inferencia del número de fallos cometidos por el equipo de desarrollo. Nada más. Y, haciendo un análisis global y de jefe de proyecto, es un síntoma del modelo de desarrollo que se utiliza.
Pero vamos, que si piensas que por tener más fallos es mejor, yo te recomiendo que uses Windows 95 que tiene más y seguro que es mejor.
Más comunidad
“Uno de los puntos por los que Firefox se puede considerar más seguro que otros es porque los mayores expertos en seguridad y los mejores desarrolladores del mundo pueden y han participado activamente en la búsqueda de fallos”
¿Tú no has ido a muchas conferencias de seguridad verdad? La mayoría de los bugs hihgly critical de Firefox no tienen presencia en las conferencias internacionales. Hay una comunidad enorme de empresas interesadas en la seguridad de Internet Explorer [Partners, MVPs, bug finders, security researchers que venden las vulnerabilidades a empresas, a ZDI o Tipping Point o Security Porn Stars que quieren dar una conferencia en Black Hat]
Además, piensas que para desarrollar en Spectra, sólo tienes que ir a una tómbola y que te toque el númerico. Que las, alrededor, de 10 entrevistas que hay que pasar se pasan con frases como las de tu artículo. Además, ¿quienes son Michael Howard, Mark Russinovich, Crispin Cowan o nuestro hispano Fermín J. Serna? Esta gente que trabaja en Spectra son unos paná seguro que no saben dar una patá a un bote. No sabén hacer el 0 day con un tubo.
Pero es que, según has ido escribiendo el artículo te has ido gustando y ahora, te contradices y pasas apuntártelo también como algo positivo.
“¿Qué creéis que es lo más probable, que reporten el fallo de seguridad a Microsoft o que vayan al mercado negro a vender un Zero Day Exploit?”
Según tu, irán a por el que tenga más pasta para pagar por las vulnerabilidades, que será Mozilla, seguro.
Sin embargo, esto ya es una falta de respeto a todos los que trabajan en la búsqueda de vulnerabilidades. Acabas de decir que la gran mayoría de los investigadores de seguridad son mercenarios. Creo que no es así, y hablo por mi caso, que nunca he vendido nada al mercado negro, he reportado varios casos a Spectra y múltiples veces a empresas y organismos a través de los cuerpos de seguridad del estado. Muchos prefieren cobrar menos por las vulnerabilidades y reportarlas a los que deben hacerlo.
Copio el siguiente párrafo entero porque no has leído el documento y te lo voy a volver a explicar:
“Lo más gracioso del informe de Microsoft es que reconoce que IE ha sido el único con vulnerabilidades extremadamente críticas, pero que no solo eran fallos de seguridad graves, sino que solo el último año hasta en siete ocasiones (conocidas) diversos maleantes se valieron de las mismas para atacar a usuarios con éxito.”
El informe es de Informática64, en primer lugar. En segundo lugar, las vulnerabilidades highly critical y extremly crítical, como pone en el informe son exactamente iguales en importancia, por eso en todos los informes salen juntas, pero… nosotros, para hacer honor a la catalogación de Secunia, hemos diferenciado. Si las unimos Firefox dobla las vulnerabilidades.
De esas 7 vulnerabilidades extremly crticial, como puedes comprobar en Secunia y mriando los CVE del documento, las 7 se reparten en dos advisories por el sistema de publicación de Microsoft. Se explotaron 2, pero las otras reciben el mismo nivel de gravedad ya que este nivel va a asociado al advisory.
De hecho, el informe dice “que se sabe a ciencia cierta que están siendo explotadas”. Algunas de las highly critcial de Firefox tenían exploit para ejecutarse antes del parche, pero como no lo habían querido meter en Secunia por que no supieron si se explotaron activamente, no lo hemos metido como extremly critical.
“al final los días que tarda Microsoft en actualizar su navegador no son tantos”
Creo recordar que FF ha tenido retrasado un parche este año varias veces, porque lo que no quiere una empresa es parchear 7 veces al mes (más o menos los bugs que viene teniendo de media FF). Y en media, creo que los días de Microsoft son bastante buenos.
Actualizaciones constantes
“Lo cierto es que las versiones de Firefox son mucho más constantes y cercanas en el tiempo, y al meter funcionalidad nueva también introducen nuevos fallos, pero corrigen bastantes viejos. Al mismo tiempo, el usuario de Firefox actualiza su navegador con mucha más frecuencia que el de IE.”
Macho si te lo dices tú todo. Nuevos fallos, y fallos de regresión que son muchos. Y sí, lo que quiere una empresa es estar parcheando todos los días, igual que el usuario final, actualizar todos los días.
Además de las actualizaciones constantes te has olvidado que ya no da soporte a las versiones anteriores a Julio de 2009, ahí es nada. 9 meses de parcheo. ¿Cuántas veces te has quejado tú del soporte de Microsoft a sus productos?
Lo que quiere el usuario y la empresa son productos estables que no interrumpan su uso y, a ser posible, que no tengan ni fallos ni parches.
“Aún teniendo todo esto en cuenta, IE sigue pareciendo estar a un nivel por debajo en cuestión de seguridad, y que se compare con Chrome en base a X características escogidas a dedo es una broma de mal gusto teniendo en cuenta que en concursos de seguridad como Pwn2own ha destacado por encima del resto. ¿Por qué siempre estos informes contienen afirmaciones que intentan que creamos aunque no tengan base en la realidad? Porque es su trabajo”
Esta es la parte que más me ha jodido. Léete el documento campeón y lo pruebas tú. Lo de las características escogidas a dedo, son las que nos han parecido de seguridad. ¿Alguna otra se te ocurre a ti o alguna te parece que no es de seguridad? Y lo del Pwn2own ya es el colmo de la gracieta en tu artículo.
Google Chrome uso su sistema de actualizaciones silenciosas (que es lo que quieren todas las empresas, que sus aplicaciones se actualicen solas si ningún control) para parchear Chrome 3 días antes de la Pwn2own y uno de los ganadores recurrente de la Pwn2own, Charlie Miller, dijo que el par más seguro es Windows 7 e Internet Explorer 8 o Google Chrome. Creo que del resto no dijo nada.
Está bien que aclares que en genbeta escribís varios, no vaya la gente a pensar que es una idea oficial. Pero es triste, que vengas a hacer un análisis del documento y te hayas olvidado de:
- La arquitectura de los navegadores.
- El informe de Symantec del malware en firefox.
- El informe NSS de detección de malware por URL.
- Las opciones de administración de seguridad.
Víctor tu post es la rabieta de un gato panza-arriba, pero de conocimientos de seguridad vas muy justito.
Y sí, Firefox es uno de los mejores en seguridad, de hecho es uno de los 5 mejores según nuestra opinion.
Saludos Malignos!
"Firefox es uno de los navegadores más seguros en la actualidad. En el Sistema Métrico Campofutbolero, diría que Firefox está en la Champions League de la seguridad si no hubiera más equipos participantes que navegadores."
Es curioso cómo ha aplicado todas las técnicas del técnicoless en una única frase. Es un crack. Después de haber currado cinco personas en mirar todo lo que hemos mirado en los navegadores, no nos hemos atrevido a hacer ninguna aseveración de que navegador es el más seguro de todos en entornos Windows y sólo hemos querido plasmar características técnicas. Así, su compañero de Genbeta, que sí nos brindó con el honor de asistir al evento de presentación del paper hizo un reporte mucho más ecuánime y técnico en Genbeta. Sobre ese mismo evento de presentación y el mismo documento técnico, otros periodistas tecnológicos sacaron más o menos las mismas conclusiones del trabajo, como Muy Computer, JavierPas, Incubaweb, Gizmodo o The Inquirer. Todos, más o menos, en la misma línea, mirando datos, aportando su visión y haciendo su trabajo con profesionalidad.
Sin embargo, Víctor Pimentel, que no vino al evento y que dudo que se haya leído (o entendido) el documento, nos sale con populismos. Muy bien Víctor, sobre tu artículo, como si me creyera que lo que tú querías hacer era un flame, te contesto desde aquí que registrarme en genbeta o darte mi facebook no me apetecía.
Más es mejor
Según nuestro experto técnicoless en seguridad:
“El modelo de desarrollo de software libre obtiene una mayor tasa de descubrimiento de fallos, sobre todo si la aplicación es popular entre los desarrolladores”
Vamos, decir esto, es como decir que todos los madrileños son unos chulos y que todos los catalanes son unos agarraos. Es una afirmación que te has sacado de la chistera sin ni tan siquiera mirar datos. Te puedo dar nombre de proyectos OpenSource con fallos de seguridad bajísimos porque tienen un código de calidad altísima.
" la seguridad por oscuridad no es la mejor de las compañeras de viaje"
Efectivamente, pero lo que tu propones, que es la seguridad por publicación del código es una absurdez como un piano. Si nadie revisa el código es una cagada XXL.
Ahí tienes el caso de OpenSSL: Software popular, usado por millones de personas y organizaciones alrededor del mundo (joder si hasta lo uso yo!) y tuvo un fallo gordísimo que tardó en descubrirse más de una año.
Según Víctor (este tipo debe ser humorista)
“contar el número de bugs encontrados [..] resulta más en un punto para Firefox que para Internet Explorer”
Mira, nosotros no lo hemos valorado, sólo lo hemos contado, pero pensar que porque haya más fallos es porque se ha mejorado más, es una chorrada. El número de fallos descubiertos es una buena inferencia del número de fallos cometidos por el equipo de desarrollo. Nada más. Y, haciendo un análisis global y de jefe de proyecto, es un síntoma del modelo de desarrollo que se utiliza.
Pero vamos, que si piensas que por tener más fallos es mejor, yo te recomiendo que uses Windows 95 que tiene más y seguro que es mejor.
Más comunidad
“Uno de los puntos por los que Firefox se puede considerar más seguro que otros es porque los mayores expertos en seguridad y los mejores desarrolladores del mundo pueden y han participado activamente en la búsqueda de fallos”
¿Tú no has ido a muchas conferencias de seguridad verdad? La mayoría de los bugs hihgly critical de Firefox no tienen presencia en las conferencias internacionales. Hay una comunidad enorme de empresas interesadas en la seguridad de Internet Explorer [Partners, MVPs, bug finders, security researchers que venden las vulnerabilidades a empresas, a ZDI o Tipping Point o Security Porn Stars que quieren dar una conferencia en Black Hat]
Además, piensas que para desarrollar en Spectra, sólo tienes que ir a una tómbola y que te toque el númerico. Que las, alrededor, de 10 entrevistas que hay que pasar se pasan con frases como las de tu artículo. Además, ¿quienes son Michael Howard, Mark Russinovich, Crispin Cowan o nuestro hispano Fermín J. Serna? Esta gente que trabaja en Spectra son unos paná seguro que no saben dar una patá a un bote. No sabén hacer el 0 day con un tubo.
Pero es que, según has ido escribiendo el artículo te has ido gustando y ahora, te contradices y pasas apuntártelo también como algo positivo.
“¿Qué creéis que es lo más probable, que reporten el fallo de seguridad a Microsoft o que vayan al mercado negro a vender un Zero Day Exploit?”
Según tu, irán a por el que tenga más pasta para pagar por las vulnerabilidades, que será Mozilla, seguro.
Sin embargo, esto ya es una falta de respeto a todos los que trabajan en la búsqueda de vulnerabilidades. Acabas de decir que la gran mayoría de los investigadores de seguridad son mercenarios. Creo que no es así, y hablo por mi caso, que nunca he vendido nada al mercado negro, he reportado varios casos a Spectra y múltiples veces a empresas y organismos a través de los cuerpos de seguridad del estado. Muchos prefieren cobrar menos por las vulnerabilidades y reportarlas a los que deben hacerlo.
Copio el siguiente párrafo entero porque no has leído el documento y te lo voy a volver a explicar:
“Lo más gracioso del informe de Microsoft es que reconoce que IE ha sido el único con vulnerabilidades extremadamente críticas, pero que no solo eran fallos de seguridad graves, sino que solo el último año hasta en siete ocasiones (conocidas) diversos maleantes se valieron de las mismas para atacar a usuarios con éxito.”
El informe es de Informática64, en primer lugar. En segundo lugar, las vulnerabilidades highly critical y extremly crítical, como pone en el informe son exactamente iguales en importancia, por eso en todos los informes salen juntas, pero… nosotros, para hacer honor a la catalogación de Secunia, hemos diferenciado. Si las unimos Firefox dobla las vulnerabilidades.
De esas 7 vulnerabilidades extremly crticial, como puedes comprobar en Secunia y mriando los CVE del documento, las 7 se reparten en dos advisories por el sistema de publicación de Microsoft. Se explotaron 2, pero las otras reciben el mismo nivel de gravedad ya que este nivel va a asociado al advisory.
De hecho, el informe dice “que se sabe a ciencia cierta que están siendo explotadas”. Algunas de las highly critcial de Firefox tenían exploit para ejecutarse antes del parche, pero como no lo habían querido meter en Secunia por que no supieron si se explotaron activamente, no lo hemos metido como extremly critical.
“al final los días que tarda Microsoft en actualizar su navegador no son tantos”
Creo recordar que FF ha tenido retrasado un parche este año varias veces, porque lo que no quiere una empresa es parchear 7 veces al mes (más o menos los bugs que viene teniendo de media FF). Y en media, creo que los días de Microsoft son bastante buenos.
Actualizaciones constantes
“Lo cierto es que las versiones de Firefox son mucho más constantes y cercanas en el tiempo, y al meter funcionalidad nueva también introducen nuevos fallos, pero corrigen bastantes viejos. Al mismo tiempo, el usuario de Firefox actualiza su navegador con mucha más frecuencia que el de IE.”
Macho si te lo dices tú todo. Nuevos fallos, y fallos de regresión que son muchos. Y sí, lo que quiere una empresa es estar parcheando todos los días, igual que el usuario final, actualizar todos los días.
Además de las actualizaciones constantes te has olvidado que ya no da soporte a las versiones anteriores a Julio de 2009, ahí es nada. 9 meses de parcheo. ¿Cuántas veces te has quejado tú del soporte de Microsoft a sus productos?
Lo que quiere el usuario y la empresa son productos estables que no interrumpan su uso y, a ser posible, que no tengan ni fallos ni parches.
“Aún teniendo todo esto en cuenta, IE sigue pareciendo estar a un nivel por debajo en cuestión de seguridad, y que se compare con Chrome en base a X características escogidas a dedo es una broma de mal gusto teniendo en cuenta que en concursos de seguridad como Pwn2own ha destacado por encima del resto. ¿Por qué siempre estos informes contienen afirmaciones que intentan que creamos aunque no tengan base en la realidad? Porque es su trabajo”
Esta es la parte que más me ha jodido. Léete el documento campeón y lo pruebas tú. Lo de las características escogidas a dedo, son las que nos han parecido de seguridad. ¿Alguna otra se te ocurre a ti o alguna te parece que no es de seguridad? Y lo del Pwn2own ya es el colmo de la gracieta en tu artículo.
Google Chrome uso su sistema de actualizaciones silenciosas (que es lo que quieren todas las empresas, que sus aplicaciones se actualicen solas si ningún control) para parchear Chrome 3 días antes de la Pwn2own y uno de los ganadores recurrente de la Pwn2own, Charlie Miller, dijo que el par más seguro es Windows 7 e Internet Explorer 8 o Google Chrome. Creo que del resto no dijo nada.
Está bien que aclares que en genbeta escribís varios, no vaya la gente a pensar que es una idea oficial. Pero es triste, que vengas a hacer un análisis del documento y te hayas olvidado de:
- La arquitectura de los navegadores.
- El informe de Symantec del malware en firefox.
- El informe NSS de detección de malware por URL.
- Las opciones de administración de seguridad.
Víctor tu post es la rabieta de un gato panza-arriba, pero de conocimientos de seguridad vas muy justito.
Y sí, Firefox es uno de los mejores en seguridad, de hecho es uno de los 5 mejores según nuestra opinion.
Saludos Malignos!
Jujujuju, ves, en este post ya te digo yo que van a haber muuchas respuestas!
ResponderEliminarYo no voy a posicionarme de un lado ni de otro, sin embargo, algunos quotes que comentas de este hombre si que parece que no se haya mirado ni las slides. Sobretodo con lo de la clasificación de vulnerabilidades.
Lo cierto, es que después de aprender un par de cosas por la Rooted me he vuelto mucho más consciente de que Microsoft está haciendo un gran esfuerzo por securizar, almenos, su sistema operativo. Y realmente lo está consiguiendo.
En cuanto a navegadores, la única referencia buena que leo sobre internet explorer es la que das tu, sin embargo, por unas y otras cosas estoy viendo que IE va avanzando muy rápidamente en el campo de la seguridad.
Aun así, hasta que la distancia entre navegadores no sea vasta, no voy a dejar mi firefox. Cuando cambio, soy fiel hasta que al cosa ya está más que clara :P
Saludos y no te sulfures!
yo siempre me cabreo al leer a personajillos como estos. con la de años que llevo dedicados de mi vida a estos temas (acabo de llegar de un examen de certificación) y que llegue un listo de estos a soltar estas cosas...
ResponderEliminary lo peor es la legión de inútiles que hay detrás que cree todo lo que lee sin cuestionar nada. yo no sé para qué estudio tanto xDD
saludos :)
A mí particularmente me gusta el sistema de actualizaciones de Firefox, y le echo de menos en mi Gentoo Linux (ahí tengo que descargar todo el fuente para una actualización menor). En cuanto al IE, me pesa actualizarme porque trabajo mayormente en servidores y no me gusta tocarlos sin necesidad. Mi experiencia es con el 7, en casa y sin conexión a internet y lo encontré bastante bueno.
ResponderEliminarGenial el comentario anterior. La mejor forma de probar un navegador: 'Mi experiencia es con el 7, en casa y ***sin conexión a internet*** y lo encontré bastante bueno'
ResponderEliminar"Y sí, Firefox es uno de los mejores en seguridad, de hecho es uno de los 5 mejores según nuestra opinion."
ResponderEliminarjajaja xD
Por mi parte:
sandbox vs no sandbox
filtro xss vs no filtro xss
(y otras cosas más, pero que conozco menos)
firefox pierde!! el filtro de xss creo que es mejor el de IE, aunque no tiene entorno de sandbox (que yo sepa). Por comodidad de uso en cuanto salió google chrome me cambié.
Con un poco de suerte me darás clase el año que viene Sr. Maligno :P
Personalmente soy de los que creo que Microsoft esta haciendo un gran esfuerzo en lo que respecta a seguridad, noto un lavado de cara en este tema.
ResponderEliminarDesgraciadamente este tipo de post del que hablas Chema, no hace más que remarcar lo difícil que le va a resultar quitarse esa imagen de "despreocupado por la seguridad" que trae desde hace tiempo, y la idea fija que tienen los "tecnicoless" de criticar a Microsoft por el simple hecho de ser Microsoft y de alabar a los "otros" por el mero hecho de ser la "competencia", aún cuando estos otros en la actualidad tengan iguales o más problemas.
Que difícil debe de ser estar en el "lado del mal", tu trabajando en seguridad te puedes currar un documento con detalles técnicos que solo algunos van a tomar en cuenta, pero un blogger puede escribir un post desde su punto de vista y serán muchos los que van a asentir con la cabeza.
Saludos
Como dicen ya algunos de los comentarios, este chico al verter su opinión le saldrán muchos incondicionales y gente que leyendo los datos no los interpreten por falta de conocimientos o ganas y también lo apoyen a el. Estas en minoría por gracia o desgracia.
ResponderEliminarPersonalmente me encanta el anterior articulo y este lo encuentro muy interesante .. Antes me lei el de Pimentel y me chocaron unas conclusiones tan populistas y sin contenido. Yo ando usando Chrome e IE pero la mejor seguridad como dices es la inteligencia propia del usuario.
Sigue así y no le des mas importancia de la necesaria a personas como esta.
Cuando empecé a leer el artículo en genbeta, no sé por qué me vino a la cabeza que iba a merecer una respuesta en este blog :P
ResponderEliminarPues parece que encontrar una opinion en contra te ha afectado bastante, como para dedicarle todo un post al de Victor Pimentel. En este mundillo vas a encontrar opiniones adversas a las tuyas y gracias a Dios por eso, porque asi uno puede sacar sus propias concluciones y no tratan de imponernos las cosas con argumentos banales.
ResponderEliminarA mi me parece que firefox es mucho mejor en muchas cosas que IE y simplemente para lo que YO personalmente necesito de un navegador, el unico que se acomoda es Firefox... uso todos los navegadores por cuestiones de desarrollo web, pero a la hora de navegar mi web browser favorito es Firefox y lo sigo recomendando en mis webs. Saludos!!
@makejo_D, me parece perfecta tu opinión y tu uso. Si consideras que debes recomendarlo, hazlo, pero me joden los que quieren convertir la seguridad informática en cuatro opiniones de bar.
ResponderEliminarSaludos!
@kane "...y lo peor es la legión de inútiles que hay detrás que cree todo lo que lee sin cuestionar nada. yo no sé para qué estudio tanto xDD..."
ResponderEliminarEstá claro para q lo haces, para no pertenecer a esa legión de inútiles:) sigue así.
@Maligno no te sulfures, que además baja el nivel de tus post (supongo que te puede al ansia viva:))piensa que de donde no hay no se puede sacar, no sufras tanto que no merece la pena.
Buen trabajo, creo que podéis mejorarlo un poco pero aun así me parece bueno, merece la pena dedicar un buen rato a leerlo con calma, no como ha hecho el tonto ese.
Un saludo.
Manolo.
Yo creo que el problema de base que tenemos un problema de visión obtusa basado en la necesidad de alinearnos como borregos en un continuo versus que no tiene fin. Windows vs Linux, Firefox vs Explorer, Open Source vs Codigo privativo ... y así hasta el infinito y mas allá.
ResponderEliminarEl día que la gente se de cuenta que la seguridad se valora en una implementación completa y concreta, con condiciones de contorno concretas y especificas, y no por productos separados, nos ira mejor. No es tan difícil de entender, es mas seguro un Volvo o un Panda? Pues mira, depende. Me fio mas de un Panda a 40 por hora en seco que de un Volvo a 200 por hora sobre hielo.
He visto soluciones Windows 2003 mas seguras que instalaciones Debian, he visto entornos donde jamas recomendaría usar IE por estar sujeto a ataques dirigidos o a problemas con legacy. Tambien he visto código abierto repleto de problemas (como por ejemplo, PHPNuke o PHPbb) y tambien he visto codigo abierto de calidad con apenas problemas, como el de OpenBSD.
Hay de todo pero muchos solo se obcecan con verlo todo de dos colores.
@Sergio Hernando, bien dicho.
ResponderEliminarCasualmente, Chema sólo publica casos en los que IE/Spectra sale bien parado. La verdad es que eso resta bastente credibilidad a sus artículos, y es el precio que va a pagar por estar del "lado del mal". Si hubiera más "autocrítica" (que por mucho que Chema quiera distinguir Informática64 de Spectra ya sabemos que la cabra tira al monte) en sus artículos, esto pasaría menos. Así que, en ese sentido, hay que joderse, Chema :)
ResponderEliminarEn mi pedante opinión, al estudio le falta rigor, y es bastante parcial: sólo se escoge para la comparativa lo que interesa, e incluso se "vende" algo que es una aberración desde el punto de vista de seguridad (los controles ActiveX) como algo que IE hace mejor (porque permite firmarlos, ¡ja!). Hay criterios absurdos, como el resalto de URLs para SSL EV, que tiene un impacto 0 en el usuario medio. Me recuerda en muchos aspectos a una tira de "El Jueves" de "Ángel Sefija", que venía a decir algo así como "Chico, si con la cantidad de condiciones que tú mismo le has puesto a tu estudio no quedáis primeros, es para preocuparse" :P.
Y Chema, de acuerdo que este tipo es un técnicoless y no proporciona datos, pero en una cosa ha acertado. Llamemos a las cosas por su nombre: publicar una comparativa (especialmente si no es exhaustiva y los criterios han sido decididos por uno mismo) en la que IE sale primero en todo, y todo es perfecto para él y un infierno para los demás es exactamente lo mismo que decir que IE es mejor, lo pongas como lo pongas. ¿Quién está soltando la pataleta aquí? :)
@Sergio Hernando +100... En realidad, lo que dices es lo que suele opinar la gran mayoría de la gente que ha empezado a "ganarse la vida" y ve que todas esas guerras no existen y mucho menos van con ellos...
ResponderEliminarPero para eso hay que salir del nido y madurar un poco, y no a todo el mundo se le puede pedir algo así.
Por otra parte, todo el mundo sabe que Firefox come niños :P
@anónimo de "pedante opinión",
ResponderEliminar"casualmente" los casos en que sale bien parado no son los que se eligieron. Hay tienes las vulnerabilidades extremly critical y la no existencia de gestor de cookies (creo recordar que estaban esas entre otras). La credibilidad, en ese caso, no es un tema de "percepción" sino de comprobarlo y ver si es algo importante para tí.
No se habla de controles ActiveX, sino de componentes en el artículo. En el caso de IE son ActiveX, en el resto no. Lo de los EV en verde absurdo...discutible. Bajo mi opinión para nada es trivial algo que tiene un proceso 20 veces más seguro. Pero... como el mundo es libre, puedes elegir tú los criterios y hacer el estudio. Todos los navegadores que hemos usado son gratuitos y están disponible para descarga.
Saludos!
@Tayoken, oye... dile a Messi que si tiene el diente de Maicon, que lo traiga, que le han puesto uno de chapa que pone "Coca-cola" }XD
Chema, tendrás que admitir que la estrecha relación de Informática64 con Microsoft y mismo la tuya (MVP) con microsoft dan lugar a muchas suspicacias.
ResponderEliminarInfluye también (como han comentado) que la mayoría de artículos siempre dejan mucho mejor a los productos de Microsoft que los de competencia.
Me he leído el artículo de Victor y está vacío de contenido. He leído el tuyo y no encuentro nada en contra de la rigurosidad que tiene.
Los datos están ahí y no sé cómo rebatirlos, por eso callo, y sólo puedo decir que es un buen informe.
Ahora viniendo la fuente de información de donde viene y el resultado me queda la duda de si me la están metiendo doblada, haciendo alguna cuenta o tomando algún dato de manera partidista por lo limitado de mis conocimientos, aunque no digo que sea así.
Ya sabes, nadie hace publicidad para dejarse quedar a sí mismo mal, eso levanta muchas suspicacias también.
Quitando al amigo Victor, supongo que entenderás que haya mucha gente que tenga ese pensamiento en la cabeza.
@anónimo, no quiero convencer a nadie de nada. De hecho escribí un post en el que decía que me da igual el navegador que use la gente. Yo tengo instalado todos. Lo que quiere el documento es que la gente, cuando hable de seguridad en navegadores, lo haga con un poco más de información.
ResponderEliminarSaludos!
@Sergio Hernando, en menos palabras que ese tal Victor, has dicho más cosas acertadas. :-)
ResponderEliminarEs el problema de que seamos informaticos, intentamos reducirlo todo a binario. :-)
De todas formas enhorabuena al señor del articulo de GenBeta que generó toda esta polémica. Lo de conseguir escribir algo que requiere información tan precisa, como análisis de arquitecturas y seguridad, basándose solamente en 3 bonitas gráficas de market share, denota que es un autentico crack y que si sabe de que va esto.
Una cosa que si me sorprende es que si los mejores desarrolladores del mundo y expertos en seguridad han estado involucrados en ese proyecto, que es un referente en la seguridad mundial (Firefox), porque c&#%@&s no le han cambiado ya la arquitectura monolitica que llevan arrastrando desde los tiempos de Netscape (sin querer nombrar a los abuelos de este).
hola!
ResponderEliminar* a mi padre (ya mayor) le recomendaría IE8.
* yo uso, principalemente, FF, pero tiro de IE cuando hace falta (y sí, hace falta...)
o sea, que no me posiciono en ningún bando: cada herramienta tiene su momento.
PERO (y esto parece haber pasado de puntillas y no debiera): "el caso de OpenSSL" ¿?
dirás "el caso de DEBIAN con OpenSSL"... Los de OpenSSL, qué tuvieron que ver?
debian's fail
al rey lo que es del rey! :)
un abrazo!
Victor.
ResponderEliminarPrimero: La beta de IE8 con coloreado de la barra de direcciones estaba publicada al menos 6 meses antes de que saliese a la luz Google Chrome Beta (te recuerdo que antes no sabíamos de su existencia), al igual que el multiproceso por tab que se le achaca a Chrome.
Segundo: Informática64 no es Microsoft! Hay MVPs en Google, Yahoo, Vodafone y más empresas del sector y no quiere decir que vendan productos de Microsoft sino que participan en la comunidad técnica.
Tercero: Y esto ya es opinión personal, uso Chrome, IE y Firefox en ese orden como navegadores principales. La estabilidad de Chrome deja mucho que desear, el Sandbox que tan bien nombras a mi no me funciona, si falla un tab se carga el Chrome entero sin recuperarlo. En cambio IE si falla un Tab ni me entero, se recupera antes de que sea consciente.
Cuarto: Yo no voy a hablar de seguridad porque no estoy especializado, pero si puedo hablar de calidad de Software: "Sobre el número de fallos: imaginemos una situación hipotética, que no es el caso. Imaginemos dos navegadores exactamente iguales, con el mismo número de bugs (no digo que el ejemplo sea realista). Imaginemos que uno pone a disposición el código y el otro no. ¿Cuál crees que serían los números de bugs encontrados en uno y en otro? Si tu respuesta es que en el libre se encontrarían más bugs, ¿cuál sería más seguro, el libre que tendría más bugs encontrados pero parcheados, o el privativo, que tendría menos bugs encontrados pero más sin descubrir/parchear? Si tu respuesta es el privativo... me dejas sin argumentos, la verdad. Evidentemente no creo que un software con más bugs que otro sea mejor, pero en este caso al comparar estos dos modelos de desarrollo los resultados no están tan claros. Eso es lo que dije y lo afirmo otra vez, no creo que ahora esté difícil de entender, estoy explicando toda mi postura con papilla.". Creo que hay cierto tipo de riesgo en el hipotético caso que planteas, igual que alguien quiere mirar el código para arreglarlo puede haber otro con intenciones de romperlo (e intentando no ser populista, seguramente con más conocimientos, medios para ello y ganas, motivado por su fin). A parte de eso me parece absurdo que plantees esa situación, todo Software tiene bugs, ningún software está a salvo de ello. Creo que la cuestión no es si está abierto o no, o si participa mucha gente o poca. Sino que tenga un proceso de desarrollo que cumpla una calidad aceptable, en su ciclo de desarrollo.
Y te lo resumo fácilmente, en IE no verás nunca un motor de javascript oculto en beta para por si acaso alguien quiere probar los estragos que hace pueda testarlo en una versión final ;-) Porque meter ese código poco testado en una release puede ser un agujero de seguridad bastante gordo.
Insisto que hablo desde el punto de vista del desarrollo de software con carácter general y no desde la perspectiva de la seguridad. Pero vamos la calidad del software lleva a productos más seguros.
@victor, el dominio ese de gul.es en donde blogeas y tienes colgada tu foto de perfil... quitar los directorios abiertos anda, ... y no trateis de arreglarlo con un index.html en cada directorio, que se os han olvidado un monton!!!, a ver si por ese fallo algun espabilao te va a 'defecacear' tu foto
ResponderEliminarts
EugenioEstrada, sobre la calidad del software recomiendo La catedral y el bazar para entender un poco "el otro lado" del desarrollo de software. Evidentemente no te voy a tratar de convencer de que el software libre es lo ideal (para muchas cosas no lo es), pero está bien conocer un poco las bases en que se asienta el desarrollo de software con ese modelo. Entiendo que es algo como la política, que cada uno tenemos nuestras ideas. No las intento imponer, solo comento que para ciertas cosas ofrece un resultado superior.
ResponderEliminarCoincido contigo en que una buen producto software se debe crear con una buena fase de Ingeniería, un buen diseño, pruebas, etc. El software libre no te ayuda con eso (no especialmente, o no más que otro modelo), pero al llegar a la fase de "mantenimiento" te puede resolver un problema muy gordo: el descubrimiento de bugs. Por diversas razones (ver el libro anterior), la masiva aparición de "ojos" suele ser más efectivo que la exhaustiva inspección por expertos.
Además si te dedicas a la calidad software sabrás perfectamente que un programa va a tener fallos sí o sí, y que encontrar algunos no es una tarea trivial. Tener la posibilidad que tiene el software libre de encontrar fallos (eso sí, solo si el programa es popular e interesa a los usuarios avanzados), es una muy buena solución a este problema. Además, al corregir rápido los fallos el ciclo de desarrollo se acelera. Por otra parte, normalmente el software libre sigue un desarrollo más progresivo: esto impide "revoluciones" en una misma pieza de software pero mejora la robustez del código. Pero sigo de acuerdo contigo en que la calidad es muy importante en un desarrollo software.
Sobre Chrome, es curioso, a mí me ha pasado (en contadas ocasiones) que se cuelgue una pestaña o (en más ocasiones) que se cuelgue el plugin de Flash, y sí que se consigue recuperar.
Sobre Informatica64, por lo que tengo entendido, es una empresa que se dedica a hacer negocio específicamente con productos de Microsoft. Si estoy equivocado corregidme, sinceramente no tengo mucha idea.
Sobre IE8/Chrome, es un periodo un tanto lioso por lo que comentas, ya que Chrome no estaba publicado pero ya andaba de pruebas. El proceso por pestaña sí es propio de Chrome, la arquitectura de IE8 es distinta (proceso por varias pestañas). Y sobre la dirección coloreada, la extensión que comentaba en el artículo bíblico de antes veo que tiene una versión de 2006, y ya llevaba bastante tiempo. De cualquier manera es un tema menor, solo un ejemplo.
Gracias por leer el comentario anterior (incluso si no haya sido entero) y por conversar constructivamente.
La verdad es que Víctor ha dejado bien claro en su repuesta lo que muchos notamos: que el informe tiene un tufillo a "pagado por Espectra" que echa hacia atrás. Ni un comentario malo sobre IE 8.
ResponderEliminarEl informe nombra lo que le interesa y lo que no lo omite, o lo hace parecer algo bueno. Y al contrario con los otros navegadores. Por ejemplo: las zonas de internet por las que saca tanto pecho, también tienen su lado malo, según MZ. Lo mismo pasa con la protección anti XSS de IE 8 (espero que le preguntaras a Sirdarckcat acerca de esto en la BlackHat, Maligno ;). Y como estas podríamos estar probablemente discutiendo todo el día.
El tema de los navegadores es muy complicado, y cualquier informe que pretenda distinguir entre "los buenos" y "los malos" lleva las de perder. A los realmente interesados en el tema os recomiendo (de nuevo) el Browser Security Handbook de MZ que, a pesar de trabajar para Google, da cera a todos los navegadores cuando se lo merecen, y deja bien clarito qué cosas hacen bien y mal unos y otros.
A los que sólo quieren hacer márketin y salir en las noticias, que sigan comparando las cuatro cosas que les convienen.
Hola Victor,
ResponderEliminarTe voy a contestar algunas de las cosas que dices.
El modelo de la catedral y el bazar intenta justificar, con una bonita metáfora, lo que no llega a ser un modelo de ingeniería del software. Es precioso todo, e incluso puedo llegar a disfrutar del espíritu de algunas partes.
Basado en un modelo de Bazar se intentó hacer un proyecto para auditar el software, pero el resultado fue este:
http://www.securityfocus.com/columnists/218
A consecuencia de esto, entrando en prácticas de "Catedral" se contrató a una empresa bajo presupuesto del proyecto americano para que buscara bugs en software libre, porque el bazar no funcionaba.
http://scan.coverity.com
Esta empresa, utilizado herramientas de análisis estático de código descubrió chorromil fallos que publicó:
http://scan.coverity.com/rungAll.html
Por favor, presta atención a los comentarios de Andrew Morton (si no sabes quién es busca en la wikipedia).
Después de analizar el modelo de seguridad de esos poyectos, el CTO de Coverity dio esta entrevista.
http://www.businessweek.com/technology/content/oct2006/tc20061006_394140.htm?chan=top+news_top+news+index_technology
La ingeniería del software y la disciplina de seguridad que Microsoft utiliza bajo su modelo SDL (que creo Michael Howard antes de trabajar en Microsoft) y que tienes publicado en el libro Writting Secure Code, está pensado para reducir el número de bugs, pero aun así, no es perfecto.
En tu artículo haces aseveraciones sobre como funciona el mundo de los investigadores de seguridad muy divertidas.
El resto de periodistas, a los que no se ha intentado lavar la cabeza sino responder a preguntas en la sesión, han mostrado su opinión, han mostrado que les gustaría que se hubieran metido más cosas en el documento, pero el documento no dice que IE8 sea mejor nunca. No es nuestra intención para nada.
La sandbox de Google se ve en el impacto de las vulnerabilidades, queda suficientemente claro que, a pesar de su sandbox, el número de hihgly critical CVEs de Chrome es alto. Pero aun así, que pidas que se compare la arquitectura interna de los navegadores, me parece hasta legítimo y es una crítica que puedo entender y hasta mejorar en la próxima revisión. Y hasta puedes sugerir puntos, me parece bien. Ni de coña pienso que el documento que hemos hecho sea la piedra roseta de los navegadores, es símplemente un ejercicio de superar la crítica fácil, eso es todo. Pero no tires nuestro trabajo por tierra como lo has hecho en ese post tuyo.
Lo que no entiendes es que tu post, con la aseveración del principio y la metafora de futbol, convierte esto en una guerra de comentaristas de telecinco y la seguridad de los usuarios es más importante que si me gusta más un producto u otro. Yo tengo instalado Firefox y lo uso como herramienta de pentesting porque IE8 no me da funcionalidades de Pentesting que a veces necesito.
Saludos!
@anónimo,
ResponderEliminarel informe no pretende demostrar que IE8 es mejor que los demás. No lo pone por ningún sitio. Normalmente se quejan de las carencias de IE8 y no de las de los demás, este doc sólo saca a la luz algunos aspectos que se omiten.
Respecto a lo del AntiXSS de IE8, por supuesto que no es perfecto y que ha tenido bugs, como NoScript creo. De hecho Micro tiene programada una actualización del filtro AntiXSS. Chrome no tiene nada.
Por tu comentario... casi diría que nos conocemos en persona.
Saludos!
Mi post empieza con estos dos párrafos:
ResponderEliminarFirefox es más seguro de lo que comenta Microsoft
"En el país de los ciegos, al principio al tuerto le hacen rey, pero al final casi le arrancan los ojos. Ese podría ser un buen resumen de la situación actual de la seguridad en los navegadores si la medimos en número de bugs detectados. Después de lo que comentó mi compañero Guillermo Julián basado en el estudio encargado por Microsoft, es hora de romper una lanza a favor de Firefox y rellenar los huecos que dejó ese informe con algunas indicaciones que no aparecen en el mismo.
Para el que no quiera leer el ladrillo que sigue (bonita forma de incentivar que le deis al Leer Más), lo resumiré en una línea: Firefox es uno de los navegadores más seguros en la actualidad. En el Sistema Métrico Campofutbolero, diría que Firefox está en la Champions League de la seguridad si no hubiera más equipos participantes que navegadores. Ahora, si quieres matices y otros rollos para nenazas, le das al Leer Más, de lo contrario no cierres la pestaña que tienes más entradas por ahi abajo."
Voy a explicar todo, aunque entiendo perfectamente que no guste. El título: no me meto con absolutamente nadie, literalmente digo que Firefox es más seguro de lo que se podía obtener del post que escribió mi compañero.
El primer párrafo: empiezo con la metáfora del país de los ciegos porque parece que encontrar bugs y corregirlos al 100% sea "malo", que es precisamente lo que ha hecho Firefox. El resto del primer párrafo es totalmente aséptico y explico lo que quiero hacer con esta entrada: rellenar los huecos que a mi juicio vuestro informe tiene. Si te ha molestado algo de ese párrafo coméntamelo.
El segundo párrafo, aparte de decir varias tonterías para que siga leyendo la gente (te sorprenderías), no me meto con nadie, lo único que digo es que Firefox en mi opinión sigue siendo un navegador relativamente seguro. Probablemente no el más seguro, pero sí muy seguro.
Sinceramente me sorprende hasta cierto punto que una floritura de una entrada de un blog os cause tanto revuelo (admito que no es lo mejor que he escrito), mientras que vosotros (o la agencia relaciones públicas de Microsoft, no sé exactamente) para vuestro evento organizarais una "fiesta" de Star Wars regalando espadas láser. No os estoy criticando por ello, solo me choca que sabiendo que hay ciertas cosas que se hacen "para llamar" al público, me critiquéis a mí por una metáfora.
Sobre el informe, me lo he vuelto a leer y veo por todas partes cuestiones de estilo, formato y redacción que cogen unos datos y los maquillan hasta que brillen. Lo siento pero que todas las cosas buenas de IE empiecen con él el primero y que en el resto de cosas que no destaca el primero sea aleatorio... canta mucho, pero vuelvo a admitir que es un muy buen trabajo y hasta sutil comparado con los anteriores movimientos de marketing.
Por cierto, solo por curiosidad, ¿los fallos de seguridad highly critical de Chrome significan que se saltaron la sandbox, no?
Oh no, no en persona. Quizás algún día podamos discutir delante de unas birras...
ResponderEliminar@Victor, corregir los fallos no es malo, es malo tenerlos (para todos). Los que no están corregidos de IE es porque no son críticos y se corregirán cuando se toquen esas partes del código. Pero aún así, el documento tampoco dice que FF sea peor por eso.
ResponderEliminarEl documento nuestro está escrito por técnicos, ni lo ha tocado nadie de ninguna agencia, hay mil fallos de estilo, y se nota.
Los fallos highly crítical de Chrome que permiten system access se saltan la sandbox en los puntos en los que se puede saltar. Ninguna medida de protección es 100% fiable. No lo es DEP, no lo es ASLR, no lo es la Sandbox.
Repito que cualquier crítica la documento lo podemos entender, pero lo hemos hecho nosotros. De hecho, los sables lasers fueron para vosotros y mi compañero, que escribió gran parte del trabajo, se quedó sin sable.
Y de verdad, de Chrome te puedo aceptar muchas cosas, pero, de verdad, como técnico, ¿crees que Firefox no está un poco por detrás de Chrome e IE8 en seguridad?
Si hasta hay entradas de la gente que trabaja con FF que dicen que tienen que cambiar y mejorar el modelo para adaptarse mejor a Windows.
https://wiki.mozilla.org/Mozilla_2/Protected_mode
Saludos!
Ah, sobre lo del bazaar: no estoy defendiendo todo el modelo de desarrollo, solo su potencial para encontrar bugs nuevos. Al fin y al cabo quién introduce nuevas funcionalidades o quién estructura los módulos es Mozilla y sus ingenieros, así que al tuntún no lo deben hacer.
ResponderEliminarNo creo que el bazaar sea lo ideal para la mayoría de proyectos de software. Especialmente, para las aplicaciones específicamente hechas para empresas (sin entrar en ERP y demás dónde sí es interesante porque es software "genérico" y lo importante es la implantación/personalización). Pero en proyectos tan grandes como estos, con millones de usuarios, con miles de desarrolladores dispuestos a aportar "por nada" y en un software infinitamente extensible sí es interesante liberar el código ya solo y exclusivamente por el descubrimiento de nuevos bugs.
Hacer auditorías y similares servicios me parecen perfectos para los proyectos específicos para empresa que comentaba anteriormente, e incluso de vez en cuando hasta para el software libre. Pero en este caso concreto, me parece que la "auditoría" contínua de miles de personas supera cualquier aproximación tradicional. Por supuesto es algo discutible, pero aún así es algo a tener en cuenta si queremos encontrar explicaciones a por qué hay más bugs en un software libre que privativo.
Y lo dejo que me repito :)
@Victor,
ResponderEliminarsí y no. La respuesta, segun Ben Chelf es la ingeniría del software (lo dice en su entrevista) y, más tangiblemente, no hay tales millones de usuarios. Mike Meeks, de OpenOffice lo decía de esta forma:
"Why is my bug not fixed ? why is the UI still so unpleasant ? why is performance still poor ? why does it consume more memory than necessary ? why is it getting slower to start ? why ? why ? - the answer lies with developers"
http://people.gnome.org/~michael/blog/ooo-commit-stats-2008.html
@anónimo, me apunto a las birras, que tu comentario ha despertado mi curiosidad ;)
ResponderEliminarSobre la arquitectura de Firefox: creo que ya lo he dicho alguna vez, pero vuelvo a decirlo: sí, me parece que Firefox tiene un problema con el código "heredado", creo que tiene que dar un salto y reestructurarse para ponerse a la altura de, por ejemplo, Chrome. Tampoco creo que la arquitectura de Chrome sea infalible están a varios pueblos del resto con solo un par de "cositas".
ResponderEliminarPero al mismo tiempo, sigo viendo que IE8 tiene también un problema de herencia, a mi entender un nivel peor que la de Firefox, y además se extiende a otros niveles diferentes (rendimiento, renderizado, etc). Aunque implementan algunas tecnologías interesantes relativas a la seguridad, les quedan varias puertas que abren la compatibilidad con tecnologías obsoletas que ya les causaron muchos problemas (¿alguien ha dicho ActiveX?). Si me dedicara a buscar exploits, iría a por Internet Explorer, no por tirria sino porque veo más posibilidades de éxito que con otros navegadores (y mira que a algunos como Safari se la sopla la seguridad), precisamente por su arquitectura.
Independientemente de lo anterior, también tienes que tener otro factor muy importante para la seguridad: los usuarios. Aunque sea poco políticamente correcto decirlo, existe un "desnivel" de experiencia entre el usuario medio de IE y los demás. Los usuarios de los demás navegadores tampoco es que tengan que ser unos hachas, ojo. Seria francamente interesante leer algún informe sobre el tema... ¿había algo por ahí o me lo estoy imaginando?
@Victor, los activeX en IE5 e IE6 dieron mucha guerra. Ahora pueden ir firmados (en Chrome no se firman digitalmente), Firefox tiene el mismo problema o peor con sus componetnes, con la salvedad de que no se pueden controlar por sitiio y usuario.
ResponderEliminarhttp://elladodelmal.blogspot.com/2009/10/activex-la-carta-en-ie8.html
En el informe tienes lincado el del trabajo de Symanec sobre FF y el malware.
IE8 lo usan algunos de los mejores exploiters de España e internacionales como navegador personal y, precisamente porque hay usuarios de perfil bajo, son importantes cosas como el filtro de malware dirigido por URLS (tienes los datos de NSS) y las opciones de ingeniería social.
Saludos!
Disclaimer: Soy empleado de Microsoft en España
ResponderEliminarVictor, por alusiones :-) Un par de temas:
1) La relación de Microsoft con Chema es excelente. Aporta mucho a la comunidad y es un auténtico crack de nuestras tecnologías. Pero es importante aclarar que este informe lo firma Informatica 64 donde por supuesto incluyo a Chema, no Microsoft. Yo personalmente le encargue a Chema un informe de seguridad en navegadores, a sabiendas que es una de nuestras fortalezas en el mercado, y sin especificar los puntos que debería o no tratar. El único requisito fue incluir los 5 navegadores con mayor cuota de mercado. El objetivo era precisamente elevar el nivel de las conversaciones de seguridad en navegadores. Por lo que leo parece que esto lo hemos conseguido . Por cierto, que me habría encantado costear a pachas el informe con los otros 4 competidores!
2)Sobre la “fiesta” que hicimos para presentar el informe, a la que estabas invitado (lástima que no pudieses venir como hemos coincidido en otras), sabes que es una práctica habitual en el mercado para hacer más amenas estás charlas y compensar en cierto modo la “molestia” de desplazaros para conversar con nosotros. Unos días se queda en unas cervezas, otros hay más suerte y toca una espada (en breve verás la campaña de IE8 con Yoda y lo entenderás mejor). Pero creo que si de algo podemos presumir en Microsoft en España es de ser muy abiertos con la comunidad y de verdad que te agradeceremos cualquier feedback que nos puedas dar al respecto.
Para cerrar, cuando querais nos tomamos unas cervezas los tres, y cualquiera que lea esto y se apunte. Vamos, que montamos un B&B sobre la marcha. Animaros, que pago yo!!
Por cierto Chema, si le cambie una sola coma al White Paper, dilo bien alto. Que hasta me regañaste por no maquetar una portada en condiciones :-)
ResponderEliminar@Sergio Hernando, amén. Por cierto, tu post (en tu blog) sobre el artículo de los navegadores es genial.
ResponderEliminar@Victor el ensayo de Eric Raymond ha sido criticado (en mi opinión con razón) por gente del mundo del software libre. El mismo Eric Raymond ha sido objeto de fuertes críticas, por ejemplo, por el mismo Richard Stallman, es fácil encontrarlas por la red.
La "ley de linus" se ha demostrado en más de una ocasión que no es necesariamente cierta. Ya te han dado un par de buenos ejemplos.
1000 ojos miopes no ven más ni mejor que 10 ojos con una muy buena agudeza visual. Te animo a que pruebes a "cazar" bugs en productos de código abierto. A veces los árboles no nos dejan ver el bosque, otras veces es al contrario. No es tan sencillo, más cuando el código no es muy legible que digamos (la "obsesión" por optimizar el código y por lo minimalista hace el código más dificil de debugear, aunque lo tengas delante)
"Si me dedicara a buscar exploits, iría a por Internet Explorer, no por tirria sino porque veo más posibilidades de éxito que con otros navegadores (y mira que a algunos como Safari se la sopla la seguridad)"
Te contradices, si como dices, a Safari se la sopla la seguridad, es en Safari donde más posibilidades tendrás. Una buena arquitectura (sobre el papel) mal implementada (bugeada a saco) es una mierda. Si los programadores la cagan la arquitectura maravillosa no sirve, y volvemos al famoso bug de Debian/openssl.
Ya que parece que no sabes bien a que se dedica informatica64, se dedican a la formación (si,mayormente Microsoft pero no es lo único), consultoría y auditorías de seguridad, y en mi modesta opinión son buenos. De todas formas, eso lo podías haber buscado tu sólo, no pasa nada por entrar en su web, no te van a comer :-)
@maligno Está bien tener un filtro anti-XSS pero lo que está mejor es programar bien para que no sea "necesario" que Microsoft "resuelva" un problema que no es necesariamente suyo, máxime cuando se ha demostrado varias veces que dicho filtro se puede saltar. En cualquier caso, menos es nada: http://www.hispasec.com/unaaldia/4196
"...Los que no están corregidos de IE es porque no son críticos y se corregirán cuando se toquen esas
partes del código..."
@Maligno, lo que es crítico y lo que no según Microsoft en muchos casos es cuando menos criticable. Te puedo enumerar unos cuantos exploits que se han publicado, precisamente porque Microsoft no consideraba crítico algo que a posteriori se ha demostrado que si lo era. Esa actitud no trae nada bueno para nadie, y para Microsoft menos aun. En cualquier caso, si de verdad no son críticos, en mi opinión es mejor agruparlos en una sóla actualización, para que los admins podamos vivir.
Un saludo.
Manolo.
@ otro anonimo:
ResponderEliminaryo me apunto a lo de las birras.... creo que esas dan mas juego al intercambio de pareceres XD
Clásico de Genbeta, post muy pobres, es normal cuando los escriben inexpertos que lo único que hacen es tomar noticias de sitios en inglés, resumirlas, agregar un par de palabras y ya.
ResponderEliminarHace tiempo dejé de leerlos, por suerte.
@Manolo, como te gusta llevarme al límite porque conoces las esquinitas de la política. Sí, es cierto, la catalogación de las vulnerabilidaes, como también márca el CVE Score System Calculator tiene un parte que depende de la facilidad o no de explotarse ... y cuando aparece un 0-day que demuestra eso de "ala, mira que facilico que es ahora de explotar" el grado aumenta.
ResponderEliminarSi hay que culpar de algo en le pasado ha sido de eso de "suponer que no sería fácil de explotar". En los últimos tiempos esto se hace con mucho cuidado ya }:))
Manolo, mañana Juan Luís te va a dar una colleja ...(y felicitale que hace 10 años en i64 el domingo) ;)
Saludos!
@Chema es cierto, me encanta, y también las réplicas de turno con las que suelo estar 100% de acuerdo :)
ResponderEliminarDe todas formas, a ti que te gusta el futbol, toma mis opiniones (a veces al límite:)) como que hay que seguir presionando hasta el final del partido, para que no se relajen y sigan en la línea actual, la del trabajo duro y el esfuerzo por mejorar porque queda mucho camino por recorrer. Hay muchas cosas que mejorar en el software en general y el de Microsoft no es una excepción. El giro que dió Microsoft en su momento se empieza a notar de verdad, pero arrastra mucha "carga" del pasado que costará mucho más esfuerzo dejar atrás. Marrrdita retrocompatibilidad...
Hay que seguir presionando.
Aceptaré de buen grado la colleja, se que va de buen rollo y por supuesto, felicitaré al gran Juan Luis por su "cumpleaños".
Un abrazo.
Manolo.
Chema y Víctor: Buscaos un hotel.
ResponderEliminarMe encanta la web de Chema. Pero al de Microsoft España: no sé de qué presumís tanto, aquí en España sólo sois instaladores e implantadores, no desarrolláis ni una puñetera línea de código del IE. Se podría que decir que habáis de oídas.
ResponderEliminarSaludos.
@Roque, eso no es necesariamente así. No digo que desarrollen todo el IE en España, pero de ahí a resumirlo como lo has hecho, creo que te equivocas.
ResponderEliminarMira a ver quien es Fermín J. Serna (por citar uno) y a lo mejor cambias algo de opinión:)
Saludos.
Manolo
Ya la has líado, Chemosky xDDD
ResponderEliminarLa verdad, está bien escuchar 2 posturas opuestas, y los argumentos que dais unos y otros son, en líneas generales, correctos (¡ambos!), ya que en muchos casos ni siquiera son mutuamente excluyentes: es sólo que cada cual resalta las virtudes de un navegador u otro, según le interesa jejee (quiero decir, según sea simpatizante de un navegador u otro).
Lo que no entiendo es por qué te has encendido tanto con Victor. Yo no le conozco pero lo que ha escrito no me ha parecido descabellado en absoluto }:-)
En fin, yo seguiré usando mi FF+NoScript, y temblando para que nadie me pete, cosa que también podría ocurrir con cualquier otro navegador. Es más, con IE tienes más papeletas, no porque sea mejor o peor navegador, sino porque es un target más apetecible/rentable para la malware-scene.
Saludos y no te acalores tanto xDD
@RoMaNSoFt, lo que hemos hecho aquí ha sido trabajar durante 1 mes para probar las cosas (de hecho lo probamos con la 3.5 de FF y la versión 3 de Google Chrome primero). Lo que ha hecho Vitor en su blog es populismo. Y sigue haciendolo, los comentarios sobre como funciona Zeus ahora están siendo grandiosos.
ResponderEliminarSigo con interés como contesta en sus comentarios y estoy haciendo un docx por si un día nos sentamos y explicarle algunas cositas.
Tú eres un luser perdido Román, sigues con tu XPeta };)
Saludos!
http://foro.elhacker.net/noticias/el_filtro_xss_de_internet_explorer_8-t291474.0.html
ResponderEliminarMi XPeta, mi Debian y en una semana, mi Ubuntu 10.04 LTS :P (y en un añito o así, cuando esté más rodado, Win7).
ResponderEliminar¡Lo mejor es no casarse con nadie! (y no estoy hablando de mujeres)
-r
Una vez leido todos los comentarios, repito todos, es la primera vez que veo verter opiniones, fundadas por ambas partes, sin insultos (sólo algún adjetivo, que puede molestar según el tono en que se quiera leer)
ResponderEliminarMe alegro que ambas partes se hayan centrado casi todo el tiempo en exposción de motivos, en lugar de atacar a las personas.
Simplemente felicitaciones, en serio. Que tengáis un buen fin de semana
En mi opinion, la seguridad corre mas a cargo de nosotros que de los propios programas... pero si quereis seguir debatiendo quien la tiene mas larga no os lo voy a impedir xD
ResponderEliminarNo estoy de acuerdo con las valoraciones que se estan haciendo de esta "contienda", si bien considero que el motivo fundamental de la aparicion del documento se esta cumpliendo, al menos en una pequeña parte.
ResponderEliminarSe siguen aportando vaguedades y populismos y se responden con datos concretos que luego podran ser reinterpretados, si, o que pueden pecar de tendenciosos o parciales, tambien, pero me parece hasta ofensivo referirse a la ley de linus o el bazar y la catedral cuando se habla de problemas concretos de un desarrollo concreto.
El hecho simple y llano es que se publica un trabajo con una serie de datos negativos y se contesta hablando del potencial del modelo de desarrollo sobre el que se sustenta (que ademas es muy cuestionable) cuando es claro el descuido por parte de Mozilla, que encima se nos intenta vender como virtud (buscar "la rapida reaccion de FireFox en cuestiones de seguridad", otro articulo made in GenBeta para vuestro disfrute personal) y asi van tirando, viviendo de "rentas" pasadas.
Esto no son dos partes bien documentadas y razonadas aunque si que es cierto que del articulo original de Victor a lo que ha vertido en estos comentarios va un trecho; aun con todo la unica respuesta valida al trabajo de informatica64 es otro documento que complete aquellas lagunas que se hayan podido introducir, bien deliberadamente, bien por la necesaria especializacion en tecnologias MS de los tecnicos que prepararon el doc.
Y si no hay voluntad, money, o capacidad de generar un informe de replica y hay que escribir si o si un articulo en una publicacion, por lo menos tener la decencia de valorarlo desde un punto de vista tecnico. Digo yo.
La cagada de Victor es no haber escrito es su blog la primera vez, la respuesta que ha hecho al blog de Chema. El primer comentario no era nada, no así como el segundo, que es razonado y bien argumentado.
ResponderEliminarPara mí la grandísima cagada de Chema es que yo sí creo que ha respondido de forma muy ofensiva. Cierto es que el primero post de Victor "no se puede casi leer", pero... Chema, has sido muy agresivo metiéndote con Victor y haciendo chascarrillos muy incorrectos, casi personales.
Lo has tratado, y sigues haciendo en los comentarios aquí, sin ningún respeto, y la respuesta que ha dado él se merecía otro tono porque también él tenía otro tono. No has salido de forma nada elegante en este punto.
Yo no conozco a Victor de nada, ni siquiera conocía genbeta, pero si por un sólo comentario vas a ponerte a ofender a la gente vas a tener un problema.
Y Chema, deberías tener en cuenta, que siendo como era de patético el primer comentario de Victor, no tenía nada en absoluto de ofensivo, no así como el tuyo, tremendamente agresivo.
Me ha gustado mucho también el comentario en el blog de Sergio. Muy bien razonado y argumentado y que muestra las carencias del infome de Informática64. Así todos tenemos más puntos de vista, y eso es grandioso.
Respecto a Iñigo Asiain me ha sorprendido enormemente su participación. No es la primera vez que se dan comentarios en este foro muy negativos hacia Microsoft, pero es la primera vez que un empleado de Microsoft comenta algo. Más vale tarde... te animo a que tú también participes más activamente, porque ha habido aquí discusiones de nivel y sería bueno contar con opiniones así, tú puedes contribuir activamente a aumentar el nivel de las discusiones.
por favor,victor es un pendejo de 25 años que no sabes nada de nada,que solo escribe de acuerdo a sus gustos,chema es un profesional no se compara,se le cree al que estudio y tiene algo que lo respalde,pero este victor sabe tanto como yo,sus argumentos son siempre los mismo,el odio hacia microsoft,es puramente un populismo barato lo que hace,pero no te aguanta diez lineas una discusion con argumento,solo hay que leer sus articulos o sus comentarios para daese cuenta que no sabe nada,solo es un comentarista venido a escritor de blog.
ResponderEliminariros a la mierda
ResponderEliminarBien hecho Chema, quienes lean Genbeta saben la clase de gente que es Víctor Pimentel, sus artículos en general están pésimamente redactados y sus respuestas malcriadas y ofensivas abundan.
ResponderEliminarDe manera que sorprende que aquí se presente como alguien mesurado, pero la explicación es sencilla: esto no es Genbeta, aquí Pimentel no tiene a su grupete de borregos que celebran todas sus majaderías.
Así que celebro que hayas puesto en su sitio a este patán.
Y lynx...?
ResponderEliminarCuan de seguro es? :P
ji ji