La configuración por defecto es un medidor EXCELENTE de cómo entiende el fabricante que tiene que equilibrar seguridad y usabilidad. Pero por desgracia, pocos usuarios saben configurar sus productos para ajustar mejor la seguridad, con lo que lo más sensato es valorar el despliegue por defecto.

Si tengo un bloqueador de javascript y sale una vulnerabilidad js para IE o para Firefox, no podemos escudarnos en decir “es que yo lo tengo bloqueado”. Sí muy bien, tú, ¿y el resto? El fallo sigue existiendo.

Tradicionalmente, Opera es el navegador más seguro, por defecto. Cuando se le detectan fallos, reacciona muy rápidamente, a diferencia de otros.

Opera es el navegador con menor número de vulnerabilidades descubiertas. Pero no es el más seguro. Un Opera “abierto de patas” por desconfiguración puede ser mucho menos seguro que otro navegador bien atado.

Pues eso, lo mejor es utilizar varios navegadores, especializándolos para navegaciones específicas (como K-Meleon se basa en Gecko, tan apenas abro el Firefox, esa es la verdad, antes utilizo Avant Browser (IE) -para esas poquitas páginas- y Opera). No nos pagan por utilizar uno u otro. Si mañana aparece otro mejor, se cambia y a otra cosa, mariposa.

Cierto. Yo soy el primero que no estoy casado con nadie. Si empleo Konqueror o Firefox es simplemente porque IE me parece muy malo y porque Opera no me gusta. Y como IE me parece muy malo, lo digo, y como Opera es bueno pero no me gusta, digo que es bueno pero no lo uso porque no me gusta nada.

Lo que no consiento es que (y no lo digo por nadie de aquí) te tachen de talibán o amarillista por opinar. ¿Que me meto más con IE que con FF? Pues sí, pero es que también IE es mucho más protagonista que FF en el tema vulnerabilidades, porque por algo es el producto mayoritario, y sobre todo, porque sigue siendo el blanco predilecto de los constructores de malware.

Te puedo asegurar que si en 5 años FF tiene el deprimente histórico de vulnerabilidades de IE y su gran cuota de uso, hablaré en los mismos términos. No te quepa la menor duda.

Teniendo en cuenta que el lanzamiento de IE 6.0 (Final) se produjo en Octubre de 2001, ahí tienes los 5 años a los que me refería. ¿Que sería más correcto decir que IE7 aparece 5 años después de la primera entrega final de IE 6? Sí, sería más correcto. ¿Que queremos entender que un ciclo de versión empieza tan pronto se entrega la versión anterior? Tampoco sería descabellado.

¿Puedo decir que Konqueror ha protagonizado una de las buenas?

Sí, y no estarás mintiendo :)

¿Que es espantoso el fallo?

Sí, porque provoca que tu sistema adquiera un grado crítico de vulnerabilidad y que sólo responde a errores de diseño.

Es un fallo y punto…

No, un fallo y punto es una vulnerabilidad local, o una remota que como mucho te deja frito el sistema. Aquí hablamos de cosas muy serias, como la ejecución de código arbitrario remoto. Debemos separar ambos conceptos.

Igual que no podemos ser polémicos (como yo) tampoco podemos pasar todo como “psa, da igual”. Existen graduaciones de criticidad, y las escalas más altas son siempre dignas de reseñar por el riesgo que comportan.

Salu2 :P

Insisto, con IE también se puede bloquear JavaScript y ActiveX, de forma igual de sencilla que con FF y desde hace años. Eso es bueno, si hay que demonizarlo, que sea por otras cosas. Por cierto, que IE7 no tiene 5 años de desarrollo… como mucho dos o menos.

“No nos pagan por utilizar uno u otro. Si mañana aparece otro mejor, se cambia y a otra cosa, mariposa.”
Sabia frase.

Por completar la información, hablar de que gracias a la vulnerabilidad Qt que permite ejecución de código, Konqueror también permite ejecución de código de forma remota… ¿Puedo decir que Konqueror ha protagonizado una de las buenas? ¿Que es espantoso el fallo? Es un fallo y punto… son estas pequeñas sutilezas las que dan una imagen u otra sobre un tema sobre el que mitifica-desinforma bastante.

También debería tenerse en cuenta de que la navegación puede configurarse para restringir los fallos de seguridad. Nadie comenta al respecto, se da por supuesto de que se respeta las configuraciones por defecto.

Por ejemplo, en Firefox, con el plugin que restringe el uso del peligrosísimo Javascript a las direcciones que queramos. El uso de un proxy local, etc.

Tradicionalmente, Opera es el navegador más seguro, por defecto. Cuando se le detectan fallos, reacciona muy rápidamente, a diferencia de otros.

Pues eso, lo mejor es utilizar varios navegadores, especializándolos para navegaciones específicas (como K-Meleon se basa en Gecko, tan apenas abro el Firefox, esa es la verdad, antes utilizo Avant Browser (IE) -para esas poquitas páginas- y Opera). No nos pagan por utilizar uno u otro. Si mañana aparece otro mejor, se cambia y a otra cosa, mariposa.

Más claro me lo dejas. Si un navegador se basa en un cliente de correo para interpretar HTML, más imputable todavía para al navegador, por emplear métodos chapuceros.

Secunia lo califica como de criticidad mínima. ¿Por qué es “espantoso”?

Quizás por ser un producto que lleva 5 años de desarrollo, y en pruebas una pila de meses. Si es poco crítico es porque puede conducir a la revelación de información sensible, pero lo realmente jodido es que es explotable remotamente. Una evidencia total y absoluta de que los procesos de QA por los que ha pasado el navegador son equivalentes a los que uso yo para detectar si el melón o la sandía que voy a comprar está maduro o no.

¿Por qué “volvió”? Suena a que es muy habitual ¿Es que se le detectan muchas cada año? En lo que llevamos de 2006, sólo 4 fallos, y algunos nada críticos. Sabes que FF e IE, si hablamos de “sospechosos habituales”, “vuelven” a tener fallos de forma mucho más habitual.

Nadie dice que protagonice más o menos incidentes. Sólo dije que volvió a protagonizar uno, y eso es cierto. También es cierto, y no te quito la razón, que Opera protagoniza menos incidentes que FF y que IE, pero yo no he hablado de eso :)

¿Una de las buenas? Es crítica, pero es sobre versiones que tienen más de seis semanas (y, aunque sean subjetivos, en la página de Opera ni siquiera están seguros de que sea explotable)

Yo considero que un problema de seguridad que conduce a que un atacante pueda tomar control de mi máquina vía ejecución de código arbitrario es un cagarro monumental, lo protagonice Ópera, el kernel Linux o el Buscaminas. Cualquier problema de seguridad explotable remotamente y que conduzca a la citada ejecucion de código es, a mi juicio, de extrema gravedad. Suerte tienen de que los que elaboran exploits están entretenidos con IE :)

No seas escandaloso, ¡tocayo!

Un saludo paisano ;)

Saludos

“A todas luces es imputable al navegador”
Pues no sé qué decirte, probablemente sea imputable a los dos, pues para interpretrar páginas HTML, uno se ayuda de recursos del otro. A mi entender, tanto MS como Secunia llevan razón, el fallo es de IE y de OE, pero cada uno tira para donde le interesa.

“espantoso fallo de seguridad”.
Secunia lo califica como de criticidad mínima. ¿Por qué es “espantoso”?

“Opera volvió a protagonizar”.
¿Por qué “volvió”? Suena a que es muy habitual ¿Es que se le detectan muchas cada año? En lo que llevamos de 2006, sólo 4 fallos, y algunos nada críticos. Sabes que FF e IE, si hablamos de “sospechosos habituales”, “vuelven” a tener fallos de forma mucho más habitual.

“Opera volvió a protagonizar una de las buenas”
¿Una de las buenas? Es crítica, pero es sobre versiones que tienen más de seis semanas (y, aunque sean subjetivos, en la página de Opera ni siquiera están seguros de que sea explotable). 9.02 no es vulnerable y lleva 6 semanas ahí fuera. ¿Sería relevante que sacara hoy un fallo crítico de FF 0.x? ¿Y de IE 5.x? Sí, es importante, pero no sería “una de las buenas”. Suena a cagada monumental crítica cuando no lo es.

No seas escandaloso, ¡tocayo!

Nunca te acuerdas del K-Meleon. El otro día subí una revisión, con cambio de nomenclartura: K-Meleon Nauscopico 1.02 181006.
http://kmeleon.sourceforge.net/forum/read.php?f=1&i=43756&t=43756

A falta de probar Firefox 2.0, puedo asegurar que es el mejor, más rápido, con más funcionalidades de serie y seguro en el entorno windows, salvo que en la última versión se detecte un fallo morrocotudo. Además, incorpora multitud de filtros (no sólo mediante AdBlock) para ignorar la publicidad, especialmente en la red española (blogosfera y medios digitales).