error 500 Tecnología + Internet + Conocimiento

Apenas una mini nota para comentar que ha salido la beta 2 de Firefox 2. En mi caso - la versión 1.5 no dejaba de darme problemas y comerse los recursos - la opción era actualizarme a la beta o seguir con Opera 9, un magnífico navegador por cierto.

Ya hemos hablado de la beta 1 así que respecto a nuevas funcionalidades hay poco que añadir. Sólo comentar que la beta 2 de Firefox 2 es más comedida respecto al consumo de recursos respecto a su hermano mayor y que algunas de las nuevas características añadidas cada vez me gustan más. Es el caso del corrector ortográfico integrado (eso sí, el diccionario que he encontrado para descarga es de "español de Argentina), el manejo de canales RSS con el agregador que uno prefiera, la restauración de la sesión si el navegador se cae y las mejoras en el manejo de pestañas.

En definitiva, si lo quieres probar, ahí van los enlaces para la descarga para la versión en español:

• Windows
• Linux
• Mac

Por cierto, respecto al tema el polémico anti-pishing. Por defecto se utiliza una lista local para verificar la autenticidad de los sitios visitados, sin envío de las páginas que visitamos a Google ni a nadie. En las opciones se permite activar el envío de páginas a Google para que compruebe su autenticidad, con el siguiente texto de advertencia:

Si elige comprobar en Google cada sitio que visite, Google recibirá las URLs de las páginas que visite para su evaluación. Cuando pulse en aceptar, rechazar o cerrar el mensaje de advertencia que la protección contra phishing le ofrece sobre una página sospechosa, Google registrará su acción y la URL de la página. Google recibirá información de registro estándar, incluyendo una cookie, como parte de este proceso. Google no asociará la información que registra la protección contra phishing con otra información personal sobre usted. Sin embargo, es posible que una URL enviada a Google pueda contener información personal. Por favor, vea la Política de privacidad de Google para más información.

Pues eso, aunque el combo para seleccionador proveedor sugiere que habrá otros además de Google, la advertencia salta en cuanto pasamos de usar la copia local a utilizar un proveedor.

Etiquetas: firefox2, opera, explorer7, beta

No me gusta nada la idea. Firefox 2.0 vendrá con el anti-phishing de Google "de serie". Ya hemos hablado alguna vez de esto:

• Google Safe Browsing en Firefox

Aunque siempre se ha postergado la decisión afirmando "que sólo se estaba estudiando", ahora, según Internet News, se ha confirmado.

A priori esto convierte a Firefox 2.0 en un navegador más seguro, se comprobará que la página que se nos muestra es quien dice ser, se lo pondrán difícil a quien quiera engañarnos. Todo eso está muy bien. No habrá problemas de licencia, el componente (Google Safe Browsing) tiene licencia libre compatible con el navegador de Mozilla. Tampoco está nada mal, eso de poder verle las tripas a un elemento tan sensible de la navegación.

Pero Firefox sólo ofrecerá esta opción "de serie" con Google. ¿Por qué no con otros también? ¿Por qué no dejan una arquitectura abierta e incluyen a todas las posibilidades (Netcraft, Microsoft) como se hace con los buscadores? ¿Por qué viene instalado el envío de las webs que visito a Google y se le otorga el rol de juez independiente? ¿Y si yo no me fío de él y creo que puede tener intereses en marcar como sospechosas webs que no lo son? ¿Y si mi web es competidora de Google, también debo creer que son los chicos buenos y que me tratarán bien?

Claro que viene desactivado por defecto y que uno podría instalar como extensión cualquier otro anti-pishing (faltaría más), pero esta googlefilia antepuesta a ser una plataforma abierta no ligada a ninguna compañía - sobre todo en un tema tan sensible como es el enviar las webs que visitan sus usuarios - me parece una decisión estratégica equivocada para el navegador "libre".

Por cierto, ¿qué pensaríamos si hace lo mismo Microsoft? El tema es que lo planearon antes que Firefox+Google y vendrá en Explorer 7 (DRM, Antivirus y anti-phishing en Explorer 7).

Más sobre lo comentado en Google Safe Browsing en Firefox. Se confirma que la próxima versión del navegador de Mozilla traerá integrado el mecanismo anti-pishing como va a tener Explorer 7 y como ya traía Opera 8. Mike Shaver, de Mozilla, afirma que no se ha elegido aún un mecanismo ni una tecnología determinada (ZdNet). Espero que tengan el buen juicio de no entregarse a Google ofreciéndole las URL de los usuarios de Firefox por defecto. Si un navegador libre quiere proveer de un mecanismo anti-pishing, debe hacerlo de forma abierta de manera que el usuario puede elegir en quien confía.

Etiquetas: google, firefox

Ya hablamos de la extensión Google Safe Browsing en su momento (Extensión contra el phishing en Firefox de Google) comentando que:

Con esta extensión atacan al gran problema de los navegadores, la seguridad, siendo el pishing el gran peligro para navegantes. Como siempre, en este tipo de funcionalidades hay que mirar con lupa el tema de la privacidad. Hay que tener en cuenta que para que Google analice la veracidad de una web, debe ser informado de la visita. De hecho, con Google Safe Browsing guardan si una web ha sido aceptada o rechazada por el usuario tras el aviso de la extensión y, en modo "Enhanced Protection" envía cada url que visitamos a Google. Eso sí, la empresa del buscador jura y perjura que no asocia estos datos con ninguna IP.

Pues bien, la noticia es que Firefox integrará estudia integrar en su código este Google Safe Browsing. No ya como extensión para instalar a posteriori, sino como parte inseparable del navegador (vía Dirson). Curiosamente, este funcionalidad fue anunciada (y bastante criticada) por Microsoft para su Internet Explorer 7 (véase DRM, Antivirus y anti-phishing en Explorer 7).

Por un lado, está claro que si Explorer 7 va a proporcionar este tipo de tecnología anti-pishing "de serie", Firefox necesita dar esa seguridad para competir.

Ahora bien ¿por qué a través de Google? o, mejor dicho, ¿por qué sólo a través de Google? ¿No es mucho más razonable poder elegir proveedor de confiabilidad de la web que visito? ¿Y si alguien está cansado de la voracidad de datos de Google y no confía en él? ¿Y si prefiero que mis webs las autentique Microsoft o, mejor, una organización independiente? Hay que recordar que para que esto funcione, se envía cada web visitada para que sea verificada como auténtica. Google gana las estadísticas de visitas de millones de usuarios en el mundo ¡una información muy valiosa para el posicionamiento en buscadores!

No me gusta la pinta que tiene esto. Google se ha arrimado mucho a la fundación Mozilla e implementar el anti-phishing sólo mediante Google Safe Browsing es una traición a una filosofía abierta que deja elegir al usuario. Espero que lo aclaren y acaben diciendo que nos dejarán elegir a los usuarios (algo que ya hace hasta Microsoft en los buscadores de Explorer) porque sino acabaré preguntándome si tendrá algo que ver en este flechazo con Google los millones que este - dicen por ahí - les hace ganar cada año.

Etiquetas: google, firefox

Una de los grandes problemas de seguridad de los navegadores hoy día es sin duda el pishing. Opera 8 ya venía con un indicador de la confiabilidad de la página que estamos visitando, Explorer 7 vendrá con anti-pishing también y a partir de hoy tenemos safebrowsing, una extensión para Firefox de Google. Esta Google Safe Browsing alerta acerca de las páginas que piden datos personales/bancarios haciéndose pasar el banco sin serlo realmente.

Google sigue potenciando Firefox como herramienta para acceder a la web que están construyendo. Echando la vista atrás, podemos recordar algunos momentos más de este "idilio":

• Soporte en Google Desktop
• Fichaje de programadores de Mozilla
• El pago por instalaciones de Firefox
• La integración como página de inicio a partir de Firefox 1.0

Con esta extensión atacan al gran problema de los navegadores, la seguridad, siendo el pishing el gran peligro para navegantes. Como siempre, en este tipo de funcionalidades hay que mirar con lupa el tema de la privacidad. Hay que tener en cuenta que para que Google analice la veracidad de una web, debe ser informado de la visita. De hecho, con Google Safe Browsing guardan si una web ha sido aceptada o rechazada por el usuario tras el aviso de la extensión y, en modo "Enhanced Protection" envía cada url que visitamos a Google. Eso sí, la empresa del buscador jura y perjura que no asocia estos datos con ninguna IP.

Sitio oficial: Safe Browsing.

Nota: Parece que impide la instalación fuera de Estados Unidos, aunque con un proxy de ese país se podría realizar.

Etiquetas: google, firefox

Microsoft va a apostar fuerte, muy fuerte por Explorer 7. A las ya conocidas pestañas y soporte de RSS en la nueva versión de este navegador, anucia ahora que incluirá un mecanismo "Anti-phishing" de cara a detectar webs que se hacen pasar por otras, a la vez que integrará un antivirus procediente de la adquirida Sybari. Con estos dos elementos se perfila la estrategia de Microsoft: funcionalemente llegar al nivel de sus competidores con las pestañas y el RSS, pero intentando paliar a su vez el punto débil de Internet Explorer que no es otro que la seguridad. En lo primero, tanto FireFox con su legión de extensiones, como Opera con su navegación por voz van por delante, lo segundo está por ver, ya nos vendieron Service Pack 2 para XP como una panacea para la seguridad en Internet.

Tema aparte es el añadir administración de derechos digitales a nivel de aplicación en el navegador. Sin dar muchos detalles de qué pretenden con ello (la noticia es de Top Tech News), el DRM ya sabemos a qué conduce: control de acceso a los contenidos y qué se puede hacer con ellos, además de incompatiblidad entre navegadores, a no ser que Opera o FireFox se avengan a utilizar tecnología Microsoft para ello.

Hace unos meses se produjo una batalla en toda regla por establecer un estándar en las tecnologías antispam y anti phishing en el correo electrónico. Los candidatos eran el DomainKeys de Yahoo y Sender ID de Microsoft. Este último consitía en un mecanismo para luchar contra el spam a modo de plug-in en el servidor de correo, que permitirá autenticar que el servidor del emisor del email es quien dice ser. Así se logra un método eficiente para rechazar correos emitidos por los motores SMTP de virus y gusanos y evitar la técnica del phishing utilizada por la mayoría de los spammers. El rechazo desde el software libre a su licencia de uso que lo hacía imposible de implementar desde soluciones libres fue uno de los motivos que pesó para que fuese rechazado como estándar de la IETF.

Sin embargo, por un lado van los estándares de iure (controlados y reconocidos por una organización independiente) y por otro los estándares de facto, y Microsoft está dispuesta a que Sender Id prevalezca como tecnología antispam. Así pues ha anunciado que en Noviembre su servicio de correo electrónico Hotmail adoptará Sender Id(News.com).

¿Consecuencias de esto? Pues a priori es difícil saberlas. Si se aplica en un sentido estricto, todo aquél correo cuyo servidor no lo haya firmado con un identificador válido para el protocolo Sender Id, sería clasificado como spam. Dudo mucho que lo apliquen de una manera tan extrema, pensemos que así cualquier correo que venga de la competencia directa desaparecería de la bandeja de entrada ya que tanto Yahoo Mail como GMail apuestan por DomainKeys, además de que podría tener problemas para tratar los reenvíos de correos. La respuesta, en Noviembre.

Sacha Fuentes ha tenido el detalle enviarme una copia de su libro Defiende tu PC, recientemente publicado y que se puede obtener desde su web. Sacha es un experto en seguridad como demuestra en su blog de Madelman y con este "Defiende tu PC. Guía de seguridad para ordenadores personales" ha pretendido glosar un buen montón de consejos dirigidos principalmente a neófitos en la materia, típicos usuarios de ordenadores personales con Windows y pocos conocimientos técnicos. El libro cumple su función con solvencia, de una manera didáctica y tomando partido (de hecho hay un capítulo titulado "cambiando de navegador: Firefox"). Está bastante actualizado, con referencias al spim o al Pishing, aunque nunca perdiéndose demasiado en aspectos técnicos, que nadie espere en este libro una guía para configurar el IpTables. El único pero importante que le puedo poner es la manía cada vez más frecuente de no utilizar el símbolo "¿" para comenzar las frases interrogativas. Al margen de este detalle, una obra interesante para ponerse al día en el tema de la seguridad para ordenadores personales.

Si eres un usuario medio o avanzado de Internet es probable que te sientas a salvo del Phishing. Ya sabes que con navegador actualizado (mejor si es FireFox) y comprobando la URL que te muestra el navegador, puedes asegurarte de que estas en la web que confías y no en una de esas diseñadas para extraer los datos de los incautos haciéndose pasar por su banco o tienda online. Apenas con eso y no siguiendo los enlaces que te llegan por correo electrónico se puede uno sentir seguro del Phishing y de ser engañado por una web que no es de quien dice ser. Bueno, esto último, no del todo. Porque para los usuarios más avanzados está surgiendo el Pharming, que con iguales fines emplea técnicas más sofisticadas y efectivas para engañar al navegante, pasando de la ingeniería social del Phishing a mecanismos más sofisticados. Para entender el Pharming conviene recordar cómo funciona DNS. DNS es un protocolo de la familia TCP/IP que sirve básicamente para resolver la dirección IP del nombre lógico que se le suministra. Así si nuestro navegador quiere visitar "ww.error500.net", pedirá la dirección IP al servidor DNS que tenga configurado.

Imaginemos que se detecta un servidor DNS vulnerable y consiguen modificar su funcionamiento de manera que cuando se le solicite "www.mibanco.com" no devuelva la auténtica IP del banco, sino la de un sitio malicioso programado para tener la misma apariencia de este con el fin de obtener sus datos. Los visitantes que hayan llegado vía este servidor DNS verán en su navegador la URL del banco y la página tendrá la misma apariencia que este, con lo que caerían en el engaño. A partir de ahí pueden surgir variantes: gusanos que modifican el servidor DNS de los usuarios por otro configurado para reenviarlos a sitios donde no quiera ir o otras múltiples posibilidades. No me extrañaría que en los próximos meses oigamos hablar bastante del Pharming.

¿La solución? Pues cada vez más necesario un mecanismo en el navegador que asegure la identidad de una web. Parece ser que el próximo Netscape va a apostar por una solución de este tipo para luchar contra el Pharming y su antecesor (que no es más que la versión de ingenieria social de este), el Phishing, en Netscape 8 que se está desarrollando a partir de Firefox.

Más info en Gcn.com
Además en Netcraft tienen una barra anti-pishing para Explorer.

Yahoo ha presentado de forma oficial su tecnología Domainkeys, una arquitectura para luchar contre el spam, que Yahoo propone como estándar y cuya documentación ya ha remitido a la IETF para que sea reconocida como tal. La idea fundamental que hay detrás de Domainkeys es la de autenticación de servidores de correo entre sí mediante un mecanismo de clave pública. Cada servidor de correo SMTP que implemente este sistema de Yahoo deberá firmar con su clave privada los correos enviados por sus usuarios, de manera que el servidor que reciba los correos pueda contrastar que el correo proviene del servidor que aparece como emisor. De esta manera, para que Domainkeys sea efectivo, ha de ser adoptado por los dos servidores de correo, siendo todo el proceso transparente al usuario. Así el mecanismo ingeniado por Yahoo precisa ser adoptado por el software que actúa como servidor en los servicios de correo (sendmail, qmail) y el hacer público en DNS la clave pública (la generación del par clave pública/clave privada queda en el terreno de los administradores del servidor). DomainKeys utiliza RSA y al usar los DNS para acceder a las claves de los servidores, no precisa de una autoridad certificadora, como ocurre con la firma digital. Resumidamente podemos decir que el invento de Yahoo consiste en contrastar que la información recibida en la cabecera SMTP From: domain de un correo es auténtica.

Ante esta tecnología que Yahoo propone como estándar, cabe preguntarse dos cosas: sí seré efectiva en la lucha contra el spam y qué efectos adicionales tiene. Ante la primera, hay que señalar que Domainkeys autentica a nivel de servidor y no de usuario. Impide de forma directa que alguien declare en un correo que proviene del servidor "error500.net" si no proviene realmente de él. Eso de entrada es un avanze contra el denominado pishing, técnica de fraude por Internet que consiste en falsear la identidad de una institución de confianza para obtener datos e información del usuario. Contra el spam puede ayudar de forma indirecta y sólo si el sistema se adopta de forma generalizada, ya que permite trazar los servidores desde lo que realmente se envía el spam. No obstante habría que tener precaución en las políticas en torno a este mecanismo, ya que al ser a nivel de servidor y no de usuario, que haya spammers que utilicen el mismo servidor SMTP, llevaría a que este fuese señalado, perjudicando a los usuarios no spammers.

Ante la segunda pregunta, sobre si Domainkeys tendrá otros efectos, pues bien, de acabar implantándose por los servidores más importantes, aquellos otros que no lo adopten verían rechazados sus envíos a los primeros. Al publicarlo Yahoo como estándar no hay, en principio, ninguna dificultad para que los programas servidores de correo no lo añadan.

En todo esto queda por ver la reacción de Microsoft. La propuesta de Microsoft era el llamado CallerID, que prepara junto a SendMail. Además para Hotmail trabaja en un mecanismo de listas blancas junto a IronPort. Parece poco probable que apuesten por una tecnología de Yahoo por muy estándar que sea, los próximos días caerá alguna noticia de los de Redmon, si no, al tiempo.