Blogia
navegaseguro

Diferencias

El sitio de seguridad Corsaire.co.uk ha hecho pública una vulnerabilidad que, en principio, afectaba a los navegadores más conocidos.

Esta vulnerabilidad permitiría a un atacante ver el contenido de las cookies de su víctima y, como muchas veces el contenido de éstas son nombres de usuario y contraseñas (por ejemplo, para acceder a servicios de webmail como Hotmail), usar éstos datos posteriormente para usurpar cuentas de correo (o cuentas bancarias, que usan el mismo sistema) o suplantar la identidad de otros. Microsoft ha otorgado a fallos similares una calificación de "Importante", su segundo nivel de peligrosidad, después de "Crítico".

Descubierto el bug el 8 de julio de 2003, entre el 12 y el 18 del mismo mes, todas las empresas y equipos de desarrollo de los navegadores fueron informados del problema. Esto nos va a permitir hacer una comparación de la velocidad de respuesta de los distintos navegadores ante un mismo problema. A continuación los datos:


  • Opera corrigió la vulnerabilidad en su versión 7.21, que apareció el 14 de octubre de 2003 (recientemente ha aparecido la 7.50 beta 3).
  • Mozilla hizo la corrección en su versión 1.4.1, el 10 de octubre de 2003 (la versión actual es la 1.6). Por su parte Mozilla Firefox corrigió el problema con la versión 0.6.1, el 29 de julio de 2003 (la versión actual es la 0.8).
  • Apple sacó un parche para corregir ésto en Safari el 5 de diciembre de 2003.
  • Konqueror, el navegador del entorno de escritorio KDE, corrigió la vulnerabilidad en la versión de KDE 3.1.4, que se liberó el 16 de septiembre de 2003 (la 3.2.1 está disponible desde hace unos días).
  • Microsoft por su parte, pese a que se ha confirmado que, al menos, las versiones 5.0, 5.5 y 6.0 de su navegador Internet Explorer son vulnerables, no ha sacado nueva versión ni parche de seguridad para corregir ésto, por lo que este problema se suma a la lista de más de 20 fallos de seguridad conocidos de este navegador que están a la espera de una solución.


Cada uno que saque sus conclusiones a la vista de los datos, pero está claro que la fama de velocidad en la resolución de problemas del modelo de software libre (Konqueror, Mozilla y Firefox), lejos de ser un tópico, es muy real y superior a la de los productos comerciales (Opera, Safari, Internet Explorer).

También tengo que hacer notar el trabajo de las distribuciones. Mandrake Linux (una distribución Linux de la que ya he hablado y la que uso actualmente), por ejemplo, puso a disposición de sus usuarios, el mismo día que se hizo pública esta vulnerabilidad (10 de marzo de 2004) una actualización para Mozilla 1.4 y un parche del paquete kdelibs que corrige el problema en Konqueror en versiones de KDE anteriores a la 3.1.4, para aquellos que no se hubieran preocupado de ir actualizando sus programas. Compárese la diligencia de Mandrake con la actuación del gigante Microsoft, pese a sus últimos anuncios de que su prioridad es la seguridad de sus usuarios y que han tenido, como todos, casi 8 meses para prepararse.

2 comentarios

D4 -

Fuera de la explicación de la simple inercia, es difícil explicar cómo IE puede mantener su porcentaje de usuarios. Está anticuado, es lento y es incómodo navegar con él.

El detalle de que además es inseguro hasta el punto de resultar peligroso le importa a poca gente por lo que se ve, porque tienen tanto o más éxito plug-ins para IE como Avant Browser o MyIE2 como los navegadores completos alternativos, mejor diseñados, más rápidos, modernos y seguros.

faemino -

Y aún así dale que dale a la gente con el IE.
Tanto en mi grupo de amigos como en el trabajo he conseguido convencer a que prueben alternativas al navegador de Microsoft.