JMiur [E]

La guerra es el arte de la vida.
La guerra es el arte de la paz.
La guerra es el arte de introducir metal en la carne.
La guerra es el arte de destruir hombres, la política es el arte de engañarlos.
Internet también.

Si todo eso es cierto, la guerra entre navegadores no es una arte, ni siquiera una artesanía, apenas llega a superar el nivel de mera estupidez. Claro, la ignorancia en ciertas cosas puede ser una disculpa pero ¿y la mala fe? La mala fe puede ser parte una estrategia de guerra o sólo un modo de conseguir trascendencia, meneaditos, visitas, generar polémica ¡Pasen, miren y vean a los frikies despellejándose!

Ya pasó hace un tiempo con el GIF que colgaba los navegadores. Kriptópolis tuvo sus cinco minutos de gloria, algunos se asustaron, otros dieron respuestas, el mundo siguió girando. Ahora, el mismo sitio ¿casualmente? vuelve al ataque, probablemente haya habido otras bombas de humo entre este y aquel pero, he tenido la fortuna de no leerlos.

Mi peregrinaje empieza en Noticias-Tic.com y su título: Firefox sigue sin solucionar el robo de contraseñas. Los eternos bugs que nos hacen la vida más entretenida:

"Salvo los que navegan como si pasaran un día de playa, al resto de los cibermortales, sin obsesionarnos, nos inquieta la facilidad con que pueden obtener contraseñas varias, guardadas en ese útil gestor de contraseñas de los navegadores. Y cuando esto se nos demuestra visualmente, simplemente… nos da la risa."

Bueno, no voy a decir que me dio risa, tampoco me preocupó pero, me intrigó eso de "probarlo online". Así que me fui a ver el ejemplo que anuncia la demostración. La idea es sencilla, uno ingresa un nombre, una contraseña y le dice al navegador que guarde los datos. Luego, va a otra página que, milagrosamente, muestra el nombre y la contraseña ¡Horror, horror! ¡Me pueden robar todo!

fake name

fake password



Dicen: Firefox, permite guardar nombres de usuario y contraseñas para que, si se visita una página de login, no haya necesidad de entrarlas otra vez. Esto significa, que una segunda página, la maligna, ubicada en el mismo servidor, puede robar la contraseña.

¡Uno hace la prueba y es cierto! ¡Socorro!

En realidad, ellos mismo minimizan el problema pero, parece que a algunos sólo leen la parte que les sirve ¿lo hacen a propósito? La verdad, el sensacionalismo les funciona porque en unas horas, la noticia se extendió como reguero de pólvora. Claro, la web está llena de copypasteado y escasean los análisis rigurosos y desprejuiciados.

El truco es obvio, ambas páginas están en el mismo lugar y, por lo tanto, pueden intercambiar información. Cuando uno entra a un sitio a través de un login y navega, no es necesario poner la contraseña en cada página, nos hemos identificado y, mientras no salgamos de ahí o borremos las cookies, seguiremos siendo admitidos y el servidor, conocerá nuestros datos. Que los navegadores guarden esa información es una función elemental; de no hacerlo, la navegación por la red se nos haría engorrosa o imposible. En el ejemplo, ambas páginas son parte del mismo dominio que, por supuesto, conoce la clave ingresada, nos la pidió, se la dimos y la guardó.

Por supuesto, también es posible que algún hacker pudiera introducirse en el servidor y "leer" la información que contiene pero, eso sería responsabilidad del sitio en cuestión y no del navegador. Como si fuera poco, están utilizando un formulario simple, sin ningún tipo de encriptamiento, sin ningún tipo de seguridad, algo que ningún servidor más o menos respetable haría.

¿Es que Firefox tiene problemas con el administrador de contraseñas? claro. Es algo que está documentado, analizado y discutido hasta el hartazgo.

¿Es que Firefox es vulnerable? Claro. Lo será siempre, todos los navegadores siempre serán vulnerables a alguna clase de ataque. Si algo destaca a la raza humana es su capacidad de inventar atajos y de saltar barreras.

La pregunta no es si hay vulnerabilidades de contraseñas en Firefox 2.0.0.5. La pregunta, tampoco es si hay sitios que desinforman por ignorancia o por interés. La pregunta del millón es ¿estamos seguros?

La respuesta es sencillísima: no.

Ni lo estaremos nunca por que La Seguridad como termino absoluto no existe. El mundo virtual no difiere demasiado del mundo real. Si el mundo real no es ni será jamás absolutamente seguro, no veo por que debería serlo el mundo virtual. Por supuesto, siempre es más fácil que nos roben si dejamos las puertas de nuestra casa abiertas de par en par que si las mantenemos cerradas y sólo las abrimos bajo ciertas condiciones pero, tarde o temprano, aparecerá alguien que le encontrará una vulnerabilidad. Podremos hacerles las cosas más difíciles pero no hay manera de esconderse en una burbuja infranqueable.

"Hecha la ley, hecha la trampa", dice el refrán.

Es más, yo diría que, por suerte es así, la evolución de todo depende de esos fallos. El día que encontremos la perfección absoluta seremos dioses y no creo que exista algo mas aburrido que eso. Por si fuera poco, los dioses son celosos y no admiten competencia, dictan sus leyes y castigan arbitrariamente. Internet, en su esencia, es todo lo contrario.

Naveguemos seguros, con el navegador que nos resulte más cómodo, en el sistema operativo que nos guste y usemos la única herramienta de que disponemos, seamos prudentes, aprendamos que una computadora sólo es una herramienta y que es tan útil o peligrosa como un martillo.

REFERENCIAS:
  • zonafirefox.net
  • 4 comentarios:

    Anónimo  

    Yo también vi esos títulos sensacionalistas en mi feed y ni quise entrar a leerlos. No por defender a Firefox, el mismo rechazo me generan noticias similares sobre Windows, IE, etc.

    Como que si no arreglan la vulnerabilidad que puede ser explotada, se termina el mundo e internet.

    A veces soy presa de la trampa y lo termino publicando en mi blog, como hice con una del reproductor Flash de Adobe, en realidad son cosas que las publico sin saber que tan peligrosas son realmente, pero bueno y el mismo Adobe lo recomendaba, sería cierto más allá de las cosas que se decían en esos super blogs archiconocidos.

    "Hecha la ley, hecha la trampa", también por suerte es así... ya que si no fuera así... hoy no tendría Windows instalado en mi pc ni muchos otros programas.

    ;-)

    Responder
    JMiur  

    Suscribo todo lo que decís. Casi no habría que agregar nada más, sobre todo del último parrafo, por temor a violar leyes de copyright :D

    Lo que me hizo ir a ver es la parte de "probar" online, no lo hubiera hecho con IE porque simplemente no lo uso pero si hubiera hablado de Windows también lo hubiera mirado auqneu esas noticias de "se encontraron 453 nuevas vulnerabiidades en Windows" no suelo leerlas y soy bastante reacio a los patches de seguridad.

    Debo estar usando internet desde hace unos 10 años, he usado P2P desde siempre y compartido archivos por millares. jamás tuve un problema con virus o hackers y no me reconozco como paranoico, uso un antivirus y un firewall gratuitos.

    Claro, le hago caso a las viejas enseñanzas: ¡nene, no hables con extraños ni aceptes regalos de desconocidos!

    Responder
    Anónimo  

    Yo igual, es más... uso el firewall de XP, aunque digan que es como no tener nada.

    :-)

    Responder
    JMiur  

    No he llegado a tanto pero, sería cuestión de probar y ver qué pasa :)

    Responder

    ¿Quiere dejar un comentario?

    recuerde que los comentarios están siendo moderados y serán publicados a la brevedad ...

    Nota: sólo los miembros de este blog pueden publicar comentarios.

    Si le gusta ir a lo seguro utilice este botón para abrir los comentarios en una ventana modal en esta misma pagina.

    Si añora tiempos idos, use este enlace para agregar un comentario al viejo estilo ...

     
    CERRAR