domingo, abril 24, 2016

Google Chrome: Al final era "Security & Privacy Bug" y no una "Feature" o un "Issue"

El próximo 25 de Mayo hará 6 años que, desde el equipo de Informática 64 reportamos al equipo de seguridad de Chromium que en Google Chrome 4 había un comportamiento anómalo de seguridad por como gestionaba las opciones de protección contra la carga del contenido que se hace en una página web. Básicamente, existía un caso en el que aún habiendo sido bloqueada la carga de contenido JavaScript desde un determinado dominio, si este se metía en un iframe se saltaba esta protección.

Figura 1: Google Chrome: Al final era "Security & Privacy Bug" y no una "Feature" o un "Issue"

Para estudiar aquel caso se abrió un ID en el sistema de reporte de bugs con el número 44985 donde dejamos toda la información. Al principio, algunos de los ingenieros defendieron ese comportamiento y lo llegaron a calificar como un problema en la explicación de la "Feature", por lo que en la clasificación le asignaron un "WordFix" y lo dieron por cerrado en una primera catalogación.

Figura 2: Primera catalogación como Feature y se cierra como un "WordFix"

Por supuesto, al poco, comenzó el debate cuando algunos ingenieros no tenían tan claro que ese debiera ser el comportamiento de Google Chrome ante el contenido cargado desde un iframe si el usuario había expresado claramente que no quería cargar ningún JavaScript desde un determinado dominio - viniera o no ese contenido en un iframe -, por lo que se volvió a abrir y se convirtió en una "Issue" en una segunda catalogación.

Tercera catalogación

Con el paso del tiempo, este "Issue" se unió con otras conversaciones que fueron apareciendo posteriormente durante el año 2014 y se le asignó el ID 444744 para que lo estudiaran. En ese momento, la catalogación de este Issue pasó a ser de Privacy & Security-UX Feature con prioridad 3 para ser arreglada.

Figura 3: Tercera catalogación como Privacy & Security-UX Feature

Con este tratamiento, ya se puso en la cola de tareas a corregir, pero aún no se pusieron manos a la obra a corregirla. Tendríamos que esperar aún un par de años para que esto se tomara de otra forma.

Cuarta catalogación

Como yo abrí el caso, cada vez que hay un cambio en el estado de este "Issue" recibo una alerta, y la última me ha traído como sorpresa que ha sido recatalogado esta vez como Security & Privacy Bug con prioridad 2

Figura 4: Cuarta catalogación como Security & Privacy Bug

Es decir, la Feature mal explicada que se catalogó inicialmente como un WordFix, que luego se catalogó como Issue, que luego se puso como Privay & Security-UX Feature, ha terminado como Security & Privacy Bug al cabo de 6 años. Hemos pasado de la versión 4 a la versión 49 de Google Chrome, pero nunca es tarde si al final lo acaban corrigiendo.

Saludos Malignos!

7 comentarios:

Unknown dijo...

Qué barbaridad... Estos son los que quieren la seguridad del usuario por encima de todo...

Unknown dijo...

Qué barbaridad... Estos son los que quieren la seguridad del usuario por encima de todo...

Raul dijo...

Hay que ver...

Unknown dijo...

Las cosas de palacio van despacio...¬¬
Congratulations! ;-)

Saludos!

Jose Luis López dijo...

Yo nunca he instalado y usado Google chrome en mis equipos informaticos, y no pienso hacerlo. No me gusta su interfaz, su insaciable sed de RAM, y los términos y condiciones que hay que aceptar (y que NADIE SE LEE por supuesto).

Yo soy de Firefox. Sin términos ni condiciones, sin sed de datos para beneficiarse económocamente

Software libre y de código abierto = Seguridad y tranquilidad de saber lo que realmente hace el programa.

Me parece indignante que una empresa tan grande como google tenga estos problemas y que duren tanto tiempo.

Unknown dijo...

@0Jose Luis López

Amen!

Unknown dijo...

entonces te has podido acoger al programa de notificación de bugs de seguridad o siguen pasando de pagarte por haber descubierto ese bug?

Entrada destacada

Tu Latch "Hack Your Innovation Contest": Haz un PoC & Hack por 1.000 €

El pasado Telefónica Innovation Day 2024 lanzamos oficialmente el " Tu Latch Hack Your Innovation Contest " en el que repartimos ...

Entradas populares