Fuente:
http://www.vsantivirus.com/ev-07-02-04.htm
-
Pros y contras de drástica decisión de Microsoft
http://www.vsantivirus.com/ev-07-02-04.htm
Por Enciclopedia Virus (*)
http://www.enciclopediavirus.com/
[Publicado con autorización de Enciclopedia Virus]
Algunos desarrolladores de páginas Web, se están quejando duramente de
que el último parche para el Internet Explorer, ha quitado algunos
usos, que según ellos, no significaban un riesgo para la seguridad.
La semana pasada, Microsoft anunció una modificación a su navegador
que pondría fin a la insegura práctica de incluir información
confidencial en los enlaces. La actualización liberada el martes, hizo
que algunos desarrolladores se levantaran en armas antes de las
primeras 24 horas, debido a que muchos usuarios no podían ingresar
correctamente a sus sitios.
"Microsoft podría tener muy buenas razones para hacer esto, pero la
forma en que lo resolvieron, quitando de raíz un estándar de la
industria, es algo muy molesto", dijo uno de los programadores
afectados. Él y otros, pasaron buena parte de la noche del martes
cambiando las páginas y la forma de conexión de muchos de sus sitios
que requieren este tipo de autenticación, que ya no es válido para
quienes han instalado el último parche del IE.
Curiosamente, hace ya más de dos años que Microsoft prometió dar
preferencia a la seguridad, antes que a alguna característica que
facilite el uso de sus programas, y ésta sería la primera vez que
cumple cabalmente con su promesa. Según muchos de sus críticos, desde
el anuncio de Bill Gates al respecto, no se habían visto muchos
resultados hasta ahora.
La respuesta de Microsoft a las críticas de los programadores, es que
la mayoría de sus clientes, a través de su centro de respuestas, han
pedido mayor seguridad, y eso es lo que le han dado con estos cambios.
El problema ocurre porque algunos programadores, desarrollan sus
sitios para que un usuario se autentifique ingresando sus credenciales
en el propio URL, algo como "http:/
/nombre:contraseña@sitio_y_página_web".
De ese modo, el nombre de usuario y contraseña se envían como parte de
la dirección de la página o recurso Web a acceder, sin ninguna clase
de cifrado. Esto se considera un grave riesgo a la seguridad, en
opinión de la mayoría de los profesionales del tema. "Además, hay
muchas otras formas de entrar a un sitio validándose correctamente",
opinan estos.
Pero la mayor presión para que Microsoft cambiara radicalmente esta
característica, es el uso fraudulento realizado de la misma por muchos
delincuentes que idearon la forma de hacer creer al usuario que estaba
ingresando a un sitio legítimo, y de ese modo obtener datos críticos
que le permitían conseguir importantes ganancias económicas, en
perjuicio de usuarios y organizaciones.
Por ejemplo, un enlace que parece apuntar a un banco, estaría llevando
al usuario, al sitio del estafador: http:/
/www.banco-verdadero@sitio-del-estafador.com.
En el sitio falso, un formulario puede pedir cualquier dato, desde
contraseñas a números de seguridad de tarjetas de crédito o cuentas
bancarias, con el consiguiente perjuicio para la víctima.
La técnica que utiliza la suplantación de un sitio o persona real por
uno falso, se llama "phising", y ha estado muy de moda desde que se
describió en Internet una forma de valerse con engaños de la
característica ahora quitada de raíz por Microsoft de su navegador.
(*) Este artículo, original de Enciclopedia Virus
http://www.enciclopediavirus.com, es publicado en VSAntivirus.com con
la respectiva autorización. Los derechos de republicación para su uso
en otro medio, deberán solicitarse en
http://www.enciclopediavirus.com/co.../index.php
Artículo original:
http://www.enciclopediavirus.com/no...a.php?id89
-
Ille Corvus. Hic et Nunc.
Meritorios de Filtrado (Kill-file):
jm tella llop (2003.10.25)
Leer las respuestas