Pros y contras de drástica decisión de Microsoft

08/02/2004 - 18:32 por Ille Corvus | Informe spam
Fuente: http://www.vsantivirus.com/ev-07-02-04.htm

-
Pros y contras de drástica decisión de Microsoft
http://www.vsantivirus.com/ev-07-02-04.htm

Por Enciclopedia Virus (*)
http://www.enciclopediavirus.com/

[Publicado con autorización de Enciclopedia Virus]

Algunos desarrolladores de páginas Web, se están quejando duramente de
que el último parche para el Internet Explorer, ha quitado algunos
usos, que según ellos, no significaban un riesgo para la seguridad.

La semana pasada, Microsoft anunció una modificación a su navegador
que pondría fin a la insegura práctica de incluir información
confidencial en los enlaces. La actualización liberada el martes, hizo
que algunos desarrolladores se levantaran en armas antes de las
primeras 24 horas, debido a que muchos usuarios no podían ingresar
correctamente a sus sitios.

"Microsoft podría tener muy buenas razones para hacer esto, pero la
forma en que lo resolvieron, quitando de raíz un estándar de la
industria, es algo muy molesto", dijo uno de los programadores
afectados. Él y otros, pasaron buena parte de la noche del martes
cambiando las páginas y la forma de conexión de muchos de sus sitios
que requieren este tipo de autenticación, que ya no es válido para
quienes han instalado el último parche del IE.

Curiosamente, hace ya más de dos años que Microsoft prometió dar
preferencia a la seguridad, antes que a alguna característica que
facilite el uso de sus programas, y ésta sería la primera vez que
cumple cabalmente con su promesa. Según muchos de sus críticos, desde
el anuncio de Bill Gates al respecto, no se habían visto muchos
resultados hasta ahora.

La respuesta de Microsoft a las críticas de los programadores, es que
la mayoría de sus clientes, a través de su centro de respuestas, han
pedido mayor seguridad, y eso es lo que le han dado con estos cambios.

El problema ocurre porque algunos programadores, desarrollan sus
sitios para que un usuario se autentifique ingresando sus credenciales
en el propio URL, algo como "http:/
/nombre:contraseña@sitio_y_página_web".

De ese modo, el nombre de usuario y contraseña se envían como parte de
la dirección de la página o recurso Web a acceder, sin ninguna clase
de cifrado. Esto se considera un grave riesgo a la seguridad, en
opinión de la mayoría de los profesionales del tema. "Además, hay
muchas otras formas de entrar a un sitio validándose correctamente",
opinan estos.

Pero la mayor presión para que Microsoft cambiara radicalmente esta
característica, es el uso fraudulento realizado de la misma por muchos
delincuentes que idearon la forma de hacer creer al usuario que estaba
ingresando a un sitio legítimo, y de ese modo obtener datos críticos
que le permitían conseguir importantes ganancias económicas, en
perjuicio de usuarios y organizaciones.

Por ejemplo, un enlace que parece apuntar a un banco, estaría llevando
al usuario, al sitio del estafador: http:/
/www.banco-verdadero@sitio-del-estafador.com.

En el sitio falso, un formulario puede pedir cualquier dato, desde
contraseñas a números de seguridad de tarjetas de crédito o cuentas
bancarias, con el consiguiente perjuicio para la víctima.

La técnica que utiliza la suplantación de un sitio o persona real por
uno falso, se llama "phising", y ha estado muy de moda desde que se
describió en Internet una forma de valerse con engaños de la
característica ahora quitada de raíz por Microsoft de su navegador.


(*) Este artículo, original de Enciclopedia Virus
http://www.enciclopediavirus.com, es publicado en VSAntivirus.com con
la respectiva autorización. Los derechos de republicación para su uso
en otro medio, deberán solicitarse en
http://www.enciclopediavirus.com/co.../index.php

Artículo original:
http://www.enciclopediavirus.com/no...a.php?id89
-



Ille Corvus. Hic et Nunc.

Meritorios de Filtrado (Kill-file):
jm tella llop (2003.10.25)

Preguntas similare

Leer las respuestas

#1 Jo
08/02/2004 - 21:50 | Informe spam

Saludos

Respuesta Responder a este mensaje
#2 abulafia
09/02/2004 - 19:02 | Informe spam
Ille Corvus wrote:

Fuente: http://www.vsantivirus.com/ev-07-02-04.htm

-
Pros y contras de drástica decisión de Microsoft
http://www.vsantivirus.com/ev-07-02-04.htm

Por Enciclopedia Virus (*)
http://www.enciclopediavirus.com/

[Publicado con autorización de Enciclopedia Virus]
etc



Lo que no entiendo yo es esa relación entre el fallo que presentaba el
I.Explorer y el problema de validación directa.

Yo no he instalado el parche todavía por lo que no he podido probar,
pero el bug de falseo de la URL que aparece en la barra de direcciones
del explorer nada tiene que ver (al menos yo no lo veo) con la
posibilidad de que se pueda hacer una identificación directa (aunque no
sea lo más recomendable) del tipo http://usuario:contraseñ

Si uno prueba el bug con algún otro navegador, por ejemplo Mozilla
Firebird, en cualquiera de los test, tales como:
http://www.hispasec.com/directorio/...deurl.html

observará que, en este caso, el bug no le afecta, mientas que la
posibilidad de validación directa con ese navegador sigue intacta.

Saludos.
Respuesta Responder a este mensaje
#3 Ille Corvus
09/02/2004 - 19:23 | Informe spam
El Mon, 09 Feb 2004 19:02:34 +0100, abulafia
escribio:

Si uno prueba el bug con algún otro navegador, por ejemplo Mozilla
Firebird, en cualquiera de los test, tales como:
http://www.hispasec.com/directorio/...deurl.html

observará que, en este caso, el bug no le afecta, mientas que la
posibilidad de validación directa con ese navegador sigue intacta.



Puede que la respuesta sea "Siempre Innovando", no va con este
"Proveedor" de software el seguir los estandares, simplemente los
rompe y punto.

Habra que esperar la respuesta de los diseñadores :-) y la W3C, RFC,
etc...aunque dara igual...


Ille Corvus. Hic et Nunc.

Meritorios de Filtrado (Kill-file):
jm tella llop (2003.10.25)
Respuesta Responder a este mensaje
#4 Javier Inglés [MS MVP]
09/02/2004 - 19:41 | Informe spam
El lema de algunos siempre es el mismo:

Siempre tergiversando...siempre quejándose, nunca ayudando :-)


Javier Inglés
MS-MVP

:
<<<QUITAR "NOSPAM" PARA MANDAR MAIL>>>

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho


"Ille Corvus" escribió en el mensaje news:
El Mon, 09 Feb 2004 19:02:34 +0100, abulafia
escribio:

>Si uno prueba el bug con algún otro navegador, por ejemplo Mozilla
>Firebird, en cualquiera de los test, tales como:
>http://www.hispasec.com/directorio/...deurl.html
>
>observará que, en este caso, el bug no le afecta, mientas que la
>posibilidad de validación directa con ese navegador sigue intacta.

Puede que la respuesta sea "Siempre Innovando", no va con este
"Proveedor" de software el seguir los estandares, simplemente los
rompe y punto.

Habra que esperar la respuesta de los diseñadores :-) y la W3C, RFC,
etc...aunque dara igual...


Ille Corvus. Hic et Nunc.

Meritorios de Filtrado (Kill-file):
jm tella llop (2003.10.25)
Respuesta Responder a este mensaje
#5 Ille Corvus
09/02/2004 - 22:04 | Informe spam
El Mon, 9 Feb 2004 19:41:42 +0100, Javier Inglés [MS MVP]
escribio:

El lema de algunos siempre es el mismo:

Siempre tergiversando...siempre quejándose, nunca ayudando :-)



Tiene algo que opinar sobre lo que ha realizado ultimamente su
proveedor de software...no esta nada bien saltarse las normas
estandar, para solucionar vulnerabilidades/errores/fallos/etc.

Otros productos como Mozilla y Opera no han "tenido" que quitar esa
funcionalidad, ¿me podria explicar porque? siendo usted la
credibilidad personificada en ser humano, rogaria por un momento se
bajase del pedestal, y me pudiera explicar esta cuestion.

¿O es que no desea darme soporte?




Ille Corvus. Hic et Nunc.

Meritorios de Filtrado (Kill-file):
jm tella llop (2003.10.25)
Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente Respuesta Tengo una respuesta
Search Busqueda sugerida