Controlado desde el
19/10/97 por NedStat
|
Pros y contras de drástica decisión de Microsoft
|
|
VSantivirus No. 1311 Año 8, domingo 8 de febrero de 2004
Pros y contras de drástica decisión de Microsoft
http://www.vsantivirus.com/ev-07-02-04.htm
Por Enciclopedia Virus (*)
http://www.enciclopediavirus.com/
[Publicado con autorización de Enciclopedia Virus]
Algunos desarrolladores de páginas Web, se están quejando duramente de que el último parche para el Internet Explorer, ha quitado algunos usos, que según ellos, no significaban un riesgo para la seguridad.
La semana pasada, Microsoft anunció una modificación a su navegador que pondría fin a la insegura práctica de incluir información confidencial en los enlaces. La actualización liberada el martes, hizo que algunos desarrolladores se levantaran en armas antes de las primeras 24 horas, debido a que muchos usuarios no podían ingresar correctamente a sus sitios.
"Microsoft podría tener muy buenas razones para hacer esto, pero la forma en que lo resolvieron, quitando de raíz un estándar de la industria, es algo muy molesto", dijo uno de los programadores afectados. Él y otros, pasaron buena parte de la noche del martes cambiando las páginas y la forma de conexión de muchos de sus sitios que requieren este tipo de autenticación, que ya no es válido para quienes han instalado el último parche del IE.
Curiosamente, hace ya más de dos años que Microsoft prometió dar preferencia a la seguridad, antes que a alguna característica que facilite el uso de sus programas, y ésta sería la primera vez que cumple cabalmente con su promesa. Según muchos de sus críticos, desde el anuncio de Bill Gates al respecto, no se habían visto muchos resultados hasta ahora.
La respuesta de Microsoft a las críticas de los programadores, es que la mayoría de sus clientes, a través de su centro de respuestas, han pedido mayor seguridad, y eso es lo que le han dado con estos cambios.
El problema ocurre porque algunos programadores, desarrollan sus sitios para que un usuario se autentifique ingresando sus credenciales en el propio URL, algo como
"http:/ /nombre:contraseña@sitio_y_página_web".
De ese modo, el nombre de usuario y contraseña se envían como parte de la dirección de la página o recurso Web a acceder, sin ninguna clase de cifrado. Esto se considera un grave riesgo a la seguridad, en opinión de la mayoría de los profesionales del tema. "Además, hay muchas otras formas de entrar a un sitio validándose correctamente", opinan estos.
Pero la mayor presión para que Microsoft cambiara radicalmente esta característica, es el uso fraudulento realizado de la misma por muchos delincuentes que idearon la forma de hacer creer al usuario que estaba ingresando a un sitio legítimo, y de ese modo obtener datos críticos que le permitían conseguir importantes ganancias económicas, en perjuicio de usuarios y organizaciones.
Por ejemplo, un enlace que parece apuntar a un banco, estaría llevando al usuario, al sitio del estafador: http:/ /www.banco-verdadero@sitio-del-estafador.com.
En el sitio falso, un formulario puede pedir cualquier dato, desde contraseñas a números de seguridad de tarjetas de crédito o cuentas bancarias, con el consiguiente perjuicio para la víctima.
La técnica que utiliza la suplantación de un sitio o persona real por uno falso, se llama "phishing", y ha estado muy de moda desde que se describió en Internet una forma de valerse con engaños de la característica ahora quitada de raíz por Microsoft de su navegador.
(*) Este artículo, original de Enciclopedia Virus http://www.enciclopediavirus.com, es publicado en VSAntivirus.com con la respectiva autorización. Los derechos de republicación para su uso en otro medio, deberán solicitarse en
http://www.enciclopediavirus.com/contacto/index.php
Artículo original:
http://www.enciclopediavirus.com/noticias/verNoticia.php?id=389
Relacionados:
MS04-004 Actualización acumulativa para IE (832894)
http://www.vsantivirus.com/vulms04-004.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|