Microsoft y las células académicas (y algunas aclaraciones sobre otros artículos)
José Ferrer, uno de los Microsoft Student Partners que forman parte del programa Académico se ha integrado al equipo de DattaMagazine, publicando su primer artículo sobre las células académicas. Felicitaciones José, muy buen trabajo!!!
Allí José describe el trabajo que realizan las células académicas, los MSP y otros eventos y actividades que realiza la comunidad tales como el CodeCamp y los CellsOnCamp.
Leyendo el resto de la revista encontré otros artículos muy interesantes, por ejemplo “Flisol” donde describe el trabajo que hace la gente de la comunidad Open Source. Sin embargo otros dos artículos que me llamaron particularmente la atención por algunos comentarios, que paso a describir a continuación:
Navegando por la web
Luis Altamiranda hace un muy buen repaso de cada uno de los navegadores más populares disponibles hoy en día: Internet Explorer 8, Mozilla Firefox, Opera, Chrome, Safari (y otros dos tal vez menos conocidos, Avant y Orca).
Me pareció muy buena la descripción de cada uno, en particular la de Opera, ya que se describe cada una de las funcionalidades en las que Opera fué precursor, mostrando gran innovación (tales como la creación de los mouse gestures o el Tabbed Browsing, hoy un must de todo browser).
Sin embargo, leí un comentario sobre Internet Explorer 8 que me gustaría aclarar. Paso a citarlo aquí:
“Su principal desventaja es la falla que tiene al momento de seguir los estándares de la web. Sobre tests realizados en este último tiempo, la versión 8 del navegador obtiene un puntaje de 20/100 cuando las últimas versiones de los principales contendientes no baja de los 79/100, llegando al 100/100 perfecto en las actuales versiones de prueba.”
Entiendo que Luis hace referencia al test Acid3 , el cual es un sitio que pone a prueba a los diferentes navegadores, verificando la forma en la que se implementan los diferentes estándares de CSS, DOM o Javascript. El número 3, es dado por la versión del estándard CSS el cual intenta probar, en este caso CSS 3.0. Vale decir que los navegadores basados en Webkit (motor de Javascript usado por Safari por ejemplo), superan el test Acid 3 en un 100%.
Al anunciarse Internet Explorer 8, las dos principales ventajas que fueron destacadas son su seguridad, y su modificación de los motores de rendering, implementando los estándares web.
Sin embargo IE8 al momento sólo pasa 20 de las 100 pruebas que se definen en ACID3. ¿Esto significa que no aplica estándares web como corresponde? La respuesta es NO. Paso a explicar por qué:
Estándares Web en Internet Explorer 8
La institución que define dichos estándares es la World Wide Web Consortium (W3C). Entre los estándares definidos, se encuentran estándares para CSS, HTML, XML, XPath, y demás. Al igual que los productos, cada uno de los estándares tienen diferentes versiones a medida que son liberados, así como diferentes estados (Draft, Released). Incluso una vez liberado, los estádares pueden ser revisados y modificados con correcciones (como el caso de CSS 2, revision 1).
Si bien es cierto que Firefox y Chrome hacen un mejor trabajo implementando estándares que están surgiendo (tales como HTML 5 o CSS 3), Internet Explorer 8 cuenta con un soporte consistente de la especificación CSS2.1 (la cual ya se encuentra liberada).
La versión 3 aún se encuentra en progreso, como puede verse aquí: https://www.w3.org/Style/CSS/current-work
Vale también aclarar que ACID3 no es desarrollado por la W3C, y que W3C ofrece sus propios casos de test: https://www.w3.org/Style/CSS/current-work#test
Por ello, si bien ACID3 es un test bastante reconocido por el mercado, es importante entender que este tipo de tests pueden estar sujetos a cambios ya que alguno de los estándares que abarca aún no están liberados.
La W3C ofrece su propio conjunto de tests de sus estándares (https://www.w3.org/Style/CSS/Test/) y de hecho al implementar el estándar CSS2.1 se trabajó en conjunto con la W3C para eliminar puntos que no estuvieran claros del estándard, agregando más de 3700 casos de prueba: https://blogs.msdn.com/ie/archive/2008/08/19/more-tests-submitted-to-the-w3c-css-2-1-test-suite.aspx
Seguridad en Internet Explorer 8
Sobre cómo se desenvuelven los navegadores en cuanto a seguridad existen múltiples reportes, NSS Labs realizó hace algunos meses un reporte en el cual se incluía IE7, IE8 (aún RC en ese momento), Chrome y Firefox, donde los resultados son muy claros.
Para citar un ejemplo, al verificar la efectividad al prevenir ataques por Malware, IE8 resultó claro ganador (notar donde quedó IE7, lo cual demuestra como la seguridad ha sido foco principal para el grupo de Internet Explorer en esta versión y los resultados obtenidos):
Los 10 mandamientos de la Seguridad Informática
Estándo nuestras vidas cada vez más involucradas con Sistemas Informáticos de Información, es clave poder ofrecer información clara y precisa sobre seguridad a los usuarios. Por ello, quisiera hacer algunas observaciones sobre el artículo publicado por Juan Gutmann:
1. Ciudarás la seguridad del Sistema Operativo
Citando el artículo:
“Si la información es crítica, lo ideal es emplear Sistemas Operativos muy seguros (como OpenBSD) o bastante seguros (GNU/Linux) y evitar a toda costa los menos fiables (todos los de la familia Windows, particularmente Vista y los anteriores a Windows 2000).”
Concuerdo en la importancia de elegir bien el sistema operativo a utilizar. Por ello me parece que decir que Vista es el sistema menos seguro de los de la familia Windows , es desinformado e incorrecto. Windows Vista fue diseñado para ser el sistema operativo más seguro posible, y muestras de esto son el User Access Control (el cual es muy criticado), Bitlocker, Windows Defender, Parental Control, Network Access Protection, entre otros. El blog de Windows Vista Security, muestra una comparación de cómo Vista ha tenido menos vulnerabilidades críticas detectadas que cualquier otra versión de Windows: https://blogs.msdn.com/windowsvistasecurity/archive/2008/01/23/windows-vista-security-one-year-later.aspx.
Y si comparamos vulnerabilidades con otros S.O:
Vista desde noviembre de 2006 (total 58)
https://secunia.com/advisories/product/13223/?task=advisories
Ubuntu 7.04 desde Abril de 2007 (total 180)
https://secunia.com/advisories/product/14068/?task=advisories
O tomando datos más recientes:
- Vulnerabilidades en 2009 de vista (total 7)
https://secunia.com/advisories/product/13223/?task=advisories_2009 - Ubuntu 9.04 (ultimo build salido en el 2009) (total 31)
https://secunia.com/advisories/product/21851/?task=advisories_2009
2 - Aplicarás regularmente las actualizaciones de seguridad
“Los S.O. de la familias *BSD y GNU/Linux suelen publicar actualizaciones de seguridad en forma diaria. Microsoft libera parches para sus S.O. bastante más sporádicamente.”
Juan aquí destaca lo importante de que se liberen parches frecuentemente, sin embargo mas adelante hace una recomiendación algo contradictoria:
“Nunca es buena idea configurar al equipo para que instale las actualizaciones de manera automática.”
3 - Emplearás chequeadores de integridad, antivirus y antispyware
Citando el artículo
“En cambio, la utilización de antivirus y antispyware es imprescindible solamente para los usuarios de Windows. No es que no existan virus para otros S.O. como GNU/Linux, por ejemplo, pero la cantidad de virus reconocidos para esta familia de Sistemas Operativos se encuentra alrededor de los ochocientos, mientras que los virus para Windows ya han superado el medio millón.”
No creo que sea bueno recomendar a los usuarios de otros sistemas operativos a no protegerse: https://www.zdnet.com.au/news/software/soa/Linux-hacked-more-often-than-Windows/0,130061733,139116229,00.htm
6 – Utilizarás únicamente navegadores seguros en la web
La recomendación que aquí hace Juan de evitar a Internet Explorer como el peor de los males me parece en principio jocosa. Mas arriba comento como IE8 es un gran avance en seguridad contra versiones anteriores, y creo que si estamos hablando de seguridad, la recomendación debería ser de utilizar la última versión del navegador (cosa que se hace más adelante en el artículo).
Citando más adelante:
“Firefox, por ser el más popular en este momento, es también el más atacado por los exploiters y se le han encontrado diversas vulnerabilidades.”
Entiendo este punto. Algo similar pasa con el uso de Windows por sobre otros S.O.
Ya cerrando el post, quiero insistir en que el espiritu del mismo es aclarar puntos en los que no estoy de acuerdo, dando una perspectiva distinta, siempre respetando la de los autores.
Saludos!
Comments
Anonymous
July 14, 2009
Miguel, el problema esta en cuanto el mito urbano pasa a ser realidades de muchos. Se asumo que es así, porque todos los dicen, pero en realidad nadie sabe muy bien porque lo esta diciendo, se lo contaron, o lo escucho por ahi. Esto Se lo veo todo el tiempo, incluso en el blog donde toco estos temas ;) Al final, la comodidad juega en contra y se prefiere escribir sobre el mito y no investigar sobre la realidad.Anonymous
July 17, 2009
The comment has been removedAnonymous
July 29, 2009
Efectivamente Miguel, el test al que hacía referencia en la nota es el Acid3. Como bien dices, es sobre nuevas tecnologías, sobre "lo que se viene". Está claro que son elementos en constante desarrollo, pero dejame acotar algo: el Internet Explorer 8 tiene unos pocos meses en el mercado, es decir "nuevo". ¿Parece razonable que un producto de última generación ofrezca tanta desventaja contra el resto en lo que se refiere a nuevas tecnologías?. No estoy hablando de unos pocos puntos de diferencia, no es que obtuvo 60/100, donde uno podría afirmar, sin temor a equivocarse, que al menos están encaminados: estamos hablando de 20/100. Cuando comiencen a utilizarse esas nuevas especificaciones, ¿qué sucederá? ¿Saldrá una actualización o una nueva versión? Porque, sin estar demasiado en el tema, me arriesgo a afirmar que ponerse al alcance de los demás navegadores no se tratará de un cambio menor en el código del motor del Internet Explorer. En cuanto a su compatibilidad con el estandar actual (el test Acid2), bastante cómico me resulta el hecho de que sea de esa manera, siempre y cuando al navegador no se lo configure para que sea compatible con la versión anterior. ¿Era necesaria la inclusión de ese modo de compatibilidad? Al menos rescato el hecho de que parecería ser que aceptaron que lo que habían hecho, antes definitivamente no lo era. En cuanto al tema de seguridad, no termino de comprender ese test que pones de ejemplo: ¿considera más seguro a un navegador que cada vez que descargue algo de la web te avise que puede ser algo peligroso?. Quizás sea mi opinión muy particular, pero creo que para eso está el menos común de los sentidos: el sentido común. ¿El criterio que se utiliza para marcar un contenido como "no seguro" es, básicamente, la opinión que tenga una empresa o un conjunto de empresas? No digo que no ayude, pero me parece poco "seguro" y realista, mañana se levanta uno con el pie izquierdo y dice "a este sitio no quiero que ingresen" y lo marca como malicioso. Tengo a Opera como navegador principal desde hace años y a pesar de ser, según ese test, el más vulnerable, jamás tuve problemas. En este mismo día que me entero de tu comentario, recibí un mail de la gente de Microsoft avisando de una importante falla de seguridad en el Internet Explorer (versiones 5.01, 6, 7 y 8 corriendo sobre versiones de Windows XP, Vista, Windows Server 2003 y Windows Server 2008) para la que debo descargar una nueva actualización. ¿Por qué pasa tan seguido? ¿Por qué salen nuevas actualizaciones que solucionan problemas de seguridad todos los meses?. A eso me refiero con "poca seguridad", da la sensación como que siempre hay algo, siempre encuentran otro error. ¿Está bien que lo publiquen y solucionen con la actualización correspondiente?. ¡Desde luego que si! Lo que critico, desde mi humilde punto de vista, es esa sensación que deja: el no tener nunca un producto acabado. Esta es mi opinión personal y desde luego agradezco que te tomaras el tiempo para leer la nota y dar tu punto de vista sobre el tema.Anonymous
January 12, 2010
Algunas cosas más para que puedas aclarar... http://www.telcommunity.com/microsoft-ha-corregido-190-vulnerabilidades-en-2009/