navegaseguro

Si ayer hablaba de una vulnerabilidad de Word, hoy me toca hablar de otra que afecta a todas las aplicaciones Office que usan el módulo Visual Basic para Aplicaciones (y son un montón, ver la lista).

El empeño de Microsoft de incluir en sus productos fuegos artificiales sin utilidad alguna es muy a menudo la causa de sus agujeros de seguridad. Y éste es uno de esos casos. Pongamos por caso Word, por seguir con él. ¿Que utilidad tiene que sea capaz de poner puntitos de colores que se mueven en tus párrafos? ¿O hacer que el texto se vuelva borroso por momentos? Para crear esos efectos es para lo que Microsoft añadió Visual Basic para Aplicaciones a Word. El objetivo de un procesador de textos es que el texto que escribas con él pueda leerse y no parece que éstas cosas ayuden a cumplirlo. Vale, es muy divertido recibir por correo electrónico un documento de Word que diga: "La falta de sexo produce problemas de visión" con la frase borrosa. Divertidísimo. ¿Pero tiene alguna utilidad real?

La respuesta está clara.

Ah, y si ayer auguraba nuevos virus de macro en breve, podemos añadir los que usen esta falla, que también permite ejecutar código. Hay parche, pero ¿cuántas empresas/usuarios los instalan?

Hace años que no hay un virus de macro importante, el último de ellos pudo ser Melissa, de 1999, con su resurrección en el 2001.

Pero eso puede cambiar muy pronto, Microsoft ha admitido una vulnerabilidad que afecta a todas las versiones de MS Word y ha publicado los parches correspondientes. La vulnerabilidad permite que una macro de Word se ejecute sin pedir autorización al usuario. Aprovechando esta vulnerabilidad, un atacante puede conseguir permisos de lectura de ficheros y de ejecución de código.

Con el extenso parque de equipos que usan una u otra versión de Word, el código de antiguos virus de macro disponible para todo aquel que lo busque y esta vulnerabilidad, podríamos tener un virus de rápida y amplia expansión muy pronto.

Leer el informe técnico de Microsoft (en inglés).

Conseguir el parche adecuado.

Una razón más para migrar a OpenOffice.

Walter Kobylanski ha decidido publicar la plantilla CSS de su weblog Personal. Pero ha sido más generoso que yo y ha publicado la plantilla completa, lista para usar, en vez de sólo el esqueleto. Es una plantilla de dos columnas más cabecera con posicionamiento absoluto, pensada para bitácoras.

Gracias a iniciativas como éstas, pronto no habrá excusa para seguir usando tablas.

Parece que he convertido los viernes en el día de "vamos a toquitear el diseño". He mejorado ligeramente el efecto pestaña del menú de arriba, aparte de otros cambios más evidentes. Me he entretenido en validar el código y, como valida, pues he añadido los distintivos correspondientes.

Como lo prometido es deuda, aquí está explicada la plantilla sin tablas que he usado para la página principal de navegaseguro.cjb.net.

He intentado ser claro pero, si hubiera algún tipo de duda, puedes dejar un comentario aquí mismo y me extenderé más.

Esta vez he limpiado de tablas la portada de navegaseguro.cjb.net. También he aligerado algunos gráficos. Como resultado, ahora pesa un tercio menos y el tiempo de carga se ha reducido de forma notable.

Durante el día de hoy, o mañana como tarde, publicaré el layout (plantilla) que he usado.

He añadido a AntiVir a la lista de programas de seguridad recomendados.

Válido para todas las versiones de Windows, gratuito para uso personal, con una base de datos de 70.000 bichitos desagradables y con un consumo de recursos ligeramente inferior a Panda Titanium.

Lo instalé para probarlo y ya no lo he desinstalado.

Según IBLNEWS, la vuelta al trabajo ha traído como consecuencia que la presencia de Blaster se duplique, ya que muchos equipos habían permanecido desconectados. Esto es un repunte temporal, porque los administradores de las empresas parchearán pronto sus equipos.

Más interesante me parece el dato de que el 84% de los infectados sean usuarios domésticos.

Microsoft ha hecho durante mucho tiempo la vista gorda frente a la piratería de sus sistemas operativos siempre que fuera para un entorno doméstico, porque le permitía ampliar mercado y convertirse en un estándar de facto. Con el 90% del mercado en manos de Microsoft, esa práctica ya no es rentable y las dificultades que pone XP a ser pirateado demuestran el cambio de postura de la empresa.

A la ya clásica falta de preocupación del usuario corriente por la seguridad, se unen los obstáculos que ha puesto Microsoft para actualizar un equipo con Windows XP pirata. Y esto supone, sólo en España, un número enorme de máquinas vulnerables, que sus usuarios no saben como asegurar. Es una plataforma ideal para ataques DDoS como el que Blaster lanza contra windowsupdate.

No sólo tenemos Blaster para el resto del año, es que, además, es el primero de muchos, sino, al tiempo.

Desde páginas como barrapunto y minid.net se está dando impulso a la red Jabber de MI como alternativa a MSN. También yo quiero contribuir a ello desde aquí.

Voy a apuntar lo que, para mí, son los tres puntos más fuertes de esta tecnología. Uno de ellos es que está descentralizada, si un servidor se cae o tiene problemas puedes conectar con otro y continuar como si nada. Se acabo el tener que esperar a que MSN arregle el servicio. Otro punto fuerte es la seguridad, las conversaciones no pasan, sin encriptar, por los servidores de ninguna compañía, la red tiene soporte para SSL, los mensajes pueden viajar encriptados. Por último y, quizá, lo más importante, es una tecnología libre, no pertenece a nadie y nadie puede cobrar por su uso, como recientemente ha decidido hacer Microsoft con la suya.

Se puede acceder a esta red con multitud de clientes, uno u otro se ajustará a lo que necesitas. Aquí tienes una lista. Muchos de ellos pueden conectar a varias redes a un tiempo: Jabber, AIM, ICQ, MSN, IRC... y es muy sencillo importar los contactos de esas redes al cliente jabber.

Conseguir un JID es muy sencillo, se hace con el mismo cliente, sin necesidad de rellenar ningún formulario con datos personales, en unos pocos segundos. El identificador no es una cuenta de correo aunque se presenta de la forma estonoes@unmail.jid

Me atrevo a asegurar que los partidarios de la versión 6 del messenger de Microsoft encontrarán de su gusto el cliente Rhymbox, que dispone de avatar, pestañas (tabs), múltiples sets de "smilies", juegos... Si tienes algún problema después de instalarlo para hacerlo funcionar, lo más probable es que no tengas instalado MDAC, que no viene instalado con todas las versiones de Windows, aunque sí suele hacerlo con las más modernas. Descargar MDAC (sólo si lo necesitas)

Puedes encontrarme en d4mr0d@jabber.org

Hablaba ayer, en este artículo, sobre la nueva política de Microsoft con respecto a su red de mensajería instantánea, sus consecuencias a corto plazo y soluciones que se me antojaban razonables. Pues bien, acabo de ver algo que me ha bajado mucho la moral, aunque me de la razón en algunos puntos.

Estaba viendo los archivos de minid.net, sus primeros post y me he encontrado con éste, con fecha 24 de octubre de 2001, que habla sobre la versión beta que existía entonces del portal msn.com, mientras preparaban un cambio de diseño.

En esa época mini-d apenas tenía comentarios y ese post nunca tuvo ninguno, hasta el 19 de noviembre de 2002, fecha en que la magia de Google y las palabras beta y MSN en su artículo empezaron a hacer llegar despistados que buscaban la versión beta del MSN Messenger 6.0 desesperados.

Esto demuestra que hay gente que no ve más allá de Microsoft, pero también que va a ser muy dificil cambiar eso.

No viene a cuento, pero me pregunto si mini-d se ha dado cuenta de ésto.

Aprovechando que el movimiento sincanon ha cambiado el aspecto visual de su web, voy a tocar el tema, aunque sea de pasada.

La pregunta es ¿para qué sirve un CD-R?

Pues sirve para un bonito montón de cosas, tantas, que voy a terminar mi enumeración con puntos suspensivos porque sería interminable. Nunca ha habido un soporte tan vérsatil como éste. Sirve para grabar las fotos de tus vacaciones, tus videos caseros, la maqueta de tu grupo, almacenar y transportar presentaciones, informes, contabilidad, etcétera; grabar los programas que hayas hecho tú mismo, tu distribución Linux o FreeBSD, tu software libre, tus programas gratuitos o hacer la copia de seguridad de tu software comercial; hacer copias de seguridad de tu disco duro, guardar tus apuntes...

¿Es versátil o no? Pues según la SGAE sólo sirve para grabar música. Y no cualquier música, no. La de sus asociados exclusivamente.

¿Da risa la idea? Debería. Pero no me río porque los tribunales españoles les han dado la razón.

El día 1 de septiembre entrará en vigor el canon que han impuesto sobre los CD-R. Se especula con la posibilidad de que esto aumente su precio hasta en un 40%.

Visto como están las cosas, añado que hay quien piensa que es una suerte que mañana abran las grandes superficies comerciales.

Hacía ya días que quería hablar del tema del nuevo Messenger de Microsoft y la nueva política de su red de mensajería instantánea. Pero antes quería ver cómo reaccionaban los clientes de software libre. Y visto lo que hace Gaim (enlace en inglés), ya me imagino lo que harán los demás, puesto que no tienen recursos económicos para pagarle a Microsoft por el uso de su red. Implementarán el nuevo protocolo, pero si Microsoft insiste en cobrar lo deshabilitarán. Trillian, al ser una empresa que cobra por sus programas (aunque hay una versión reducida gratuita), quizá se avenga a pagar y así seguir ofreciendo conectividad con la red MSN.

Se puede pensar que Microsoft está en su derecho, ya que son sus servidores los que cargan con el trabajo que supone el servicio, pero ¿que pasaría si Telefónica decidierá cobrar por el uso de sus líneas? No hay otras así que habría que pasar por el aro (si un juzgado no lo impidiera). Afortunadamente, éste no es el caso (no totalmente) porque sí hay otras redes de mensajería instantánea, están Jabber, AIM, ICQ, Yahoo! y siempre tendremos el IRC de toda la vida. Por contra, para la mayoría de los usuarios de Windows no existe ninguna otra red, de ahí mi pregunta (retórica) sobre Telefónica. Microsoft se ha visto en esa posición de poder (el 90% solo conoce su red) y no ve impedimento alguno en cobrar por su uso, de momento sólo a su competencia, pero lo cierto es que terminará cobrando a los usuarios... ¿que cómo puedo estar seguro? Porque he visto el futuro. Si ya se cree en disposición de poder cobrar por el acceso a Internet y el uso de un simple navegador, ¿qué le impedirá cobrar por su mensajero instantáneo en un futuro? La respuesta es nada. El usuario debería contestar a esa actitud prepotente buscando soluciones gratuitas (mejor si son independientes, para que la misma historia no se repita más adelante) y de calidad (que ya hemos visto que las hay) ya mismo, porque cuánto más tarde en hacerlo, más retrasado se encontrará en el uso de la Internet real, que nada tiene que ver con el patio particular de Microsoft.

Hoy mismo leía en un periódico local que el FBI había detenido al presunto creador del virus Blaster, un joven de 18 años de Minnesota. Lo que me ha parecido muy raro porque el virus parecía provenir de China. Así que llego a mi casa, busqueda en Google, y me encuentro con esta noticia. Resulta que el joven en todo caso será culpable de una de las variantes de menos repercusión.

Es asombroso con que facilidad la prensa tradicional encuentra titulares y con que tranquilidad publican medias verdades cuando no saben de qué están hablando.

Ese es el problema de los medios de comunicación generalistas. No van a tener un experto en cada materia. No, es mucho más fácil (y más barato) oir campanas y publicar lo que parezca más noticiable.

Casos como éste se repiten a menudo cuando se trata de la Red, pero estoy seguro de que también suceden en otras áreas del conocimiento. Lo preocupante del caso es que el ciudadano medio se queda con lo que le cuenta la prensa y la televisión.

Otro ejemplo sangrante es con qué alegría se llama hacker a cualquiera.
Noticia de hoy para demostrarlo. Cracker hubiera sido el término correcto pero la confusión de los medios de comunicación respecto a quién es quién en el underground es ya de tal magnitud que muchos que antes eran hackers, ahora se autodenominan expertos en seguridad, analistas programadores, desarrolladores tecnológicos, etc. para poder decir a qué se dedican sin que su interlocutor salga corriendo.

En fin, que hace tiempo que no veo un telediario, pero a éste paso también voy a dejar de leer prensa tradicional, ya sea en papel o en sus versiones en la Red. La verdad está siempre un poco más allá.

Aprovechando que tenía la gorra de webmaster puesta he quitado las tablas. Ahora está todo posicionado desde la hoja de estilo. La plantilla se ha reducido de peso en una cuarta parte.

La he hecho desde cero en el bloc de notas por lo que no me extrañaría que hubiera errores de visualización con algún navegador. Sólo está probado con IE6 y Mozilla Firebird. Cualquier cosa rara que se vea, por favor, comentádmelo.

No sé si será de utilidad para alguien, pero ha sido divertido hacerlo.

Sigo con mis experimentos en XHTML 1.0 sin usar tablas. En esta ocasión, dos ejemplos:

En el primero, un menú similar al de aquí (arriba) pero con un efecto algo diferente.

En el segundo, una forma de posicionar párrafos usando bordes sobredimensionados.

Ver los ejemplos

Primero fue el cierre por vía judicial de Donkeymanía, más alguna otra del estilo que cerró por solidaridad y/o miedo a seguir su camino.

Luego el anuncio de una demanda colectiva contra miles de usuarios de redes p2p (leer la noticia en Kriptópolis).

Hace unos días se hicieron públicas una serie de vulnerabilidades en los clientes eMule/xMule/Lmule (leer la noticia en Hispasec).

Y ahora les ha tocado el turno a los servidores, las últimas versiones de servidor Lugdunum (p74, p75 y p76) muy utilizadas en la red eDonkey tienen un bug del que alguien se está aprovechando para tirarlos abajo continuamente. El bug en cuestión parece que tiene díficil solución y necesitará de mucha reescritura de código por lo que el parche o una nueva versión que lo corrija podría retrasarse (leer la noticia en Barrapunto).

¿Soluciones en este momento? Usar Overnet que no necesita servidores, MLDonkey que puede usar otras redes aparte de eDonkey o, directamente, cambiarse a otras redes como Soulseek o BitTorrent.

Para colorear una línea horizontal y que ésta se vea coloreada en todos los navegadores necesitas el siguiente código:

hr {
/* Netscape 6/7, Mozilla, otros navegadores Gecko */
background-color:#0ff;
/* IExplorer */
color:#0ff;
/* Opera */
border: #0ff;
}

¿Por qué hay que declarar tres reglas distintas, una para cada navegador? Pues porque cada navegador interpreta de una manera ese tag. Para Netscape/Mozilla es un bloque y, por lo tanto, se debe rellenar con color de fondo; también se puede usar una imagen, definir bordes, etc. como un elemento de bloque cualquiera. Para Internet Explorer es un tipo especial de texto y se comporta como tal. Por ejemplo, Internet Explorer representará centrada una línea definida así:

hr {
color: #0ff;
width: 75%;
text-align: center;
}

Para Opera, en cambio, es el borde superior e izquierdo de un elemento de bloque. Por lo que el único color que se puede definir es el de ese borde.

A ver cuándo aparece un estándar que les obligue a ponerse de acuerdo.

Los formularios son muchas veces los grandes olvidados del diseño web. No es extraño ver el estilo por defecto de los formularios incluso en páginas de cuidado diseño.

Pinchando en este enlace puedes aprender cómo personalizar todas las partes de tus formularios.

La gran mayoría usa Internet Explorer. Es indiscutible, basta con mirar las estadísticas de cualquier página. Viene instalado cuando compras el ordenador y por pereza o desconocimiento pocos son los que buscan alternativas. Pero hablando con la gente, ves que pueden advertir sus defectos. Lo ves porque se quejan.

Se quejan de los pop-ups, esas ventanitas de publicidad que se abren sin avisar. Hay quien busca soluciones a esto y se instala programas antipop-up (¡incluso de pago!) para no verlos.

Se quejan, aquellos que se preocupan de ello, de lo a menudo que hay que actualizarlo y del tamaño de esas actualizaciones. Por cierto,
toca otra vez.

Se quejan de que se cuelga a menudo y, de que cuando lo hace, muchas veces el resto del sistema le acompaña.

Se quejan de que cuando se interrumpe una descarga, no hay manera de reanudarla donde se cortó. Este punto también tiene solución, instalando nuevo software, los gestores de descarga.

Y se detienen ahí, porque no han probado ningún otro. Pero sucede que esos no son todos sus inconvenientes, es que además es el más lento en la carga de páginas. Otros navegadores modernos como Opera 7 o Mozilla Firebird son tres o cuatro veces más rápidos (en la carga y presentación de páginas, ojo, no en la descarga de archivos, que ahí ya cada uno con su conexión).

Aparte Internet Explorer tiene muchos errores en su programación, que no se advierten porque los diseñadores de páginas web nos preocupamos (¡que remedio!) de que nuestro código se vea bien en el navegador que usa la mayoría.

Cualquier otro de los navegadores modernos, valgan como ejemplo los dos que he nombrado no da ninguno de los problemas que he mencionado.

Es decir, muestran o no los pop-ups a gusto del consumidor (marcando o desmarcando una casilla).

No hay que arreglarles errores críticos cada dos por tres bajando la actualización correspondiente y cuando cambian de versión hay una mejora evidente. Internet Explorer 6, es practicamente el mismo programa en su versión 5.5 y esta es casi idéntica a la versión 5 (fallos de seguridad arreglados aparte).

Si el programa se cuelga (alguna vez tiene que ocurrir, si uno usa Windows), no se cuelga el ordenador y basta con volver a encender el navegador.

Tienen un gestor de descargas que permite reanudación.

Una vez mostrado todo esto, ya puedo explicar mi punto.

La mayoría de las trabas y peligros de Internet no son tales. Son producto de usar un navegador, lento, poco seguro, menos fiable y lleno de errores.

Hace mucho que la Red no es un territorio comanche, peligroso y lleno de sorpresas desagradables que hay que explorar. Ya se puede navegar por él velozmente, con toda seguridad y tranquilidad.

Y tú, ¿exploras o navegas?

Sólo anunciar que www.navegaseguro.cjb.net ya está funcionando. Ya lo sé, la publicidad que aparece es muy molesta. Estoy buscando alternativas. Mientras, solamente puedo recomendar aparcar Internet Explorer, que es justo lo que voy a hacer a continuación, en otro post.