Tecnología

Redescubriendo Internet Explorer 8

·

No me gusta Internet Explorer 8. Las cosas claras, y el chocolate, con leche. No recuerdo haberlo usado nunca de forma habitual, ya que lo de ser linuxero de pro y defensor del software libre (aunque no de forma extrema) me ha hecho tratar de usar alternativas Open Source siempre que he podido… y que me han convencido, claro.

Y en el tema de los navegadores la cosa estaba clara. Primero fue Firefox, y ahora Chrome (bueno, este no es Open Source, pero se basa en Chromium, que sí lo es), y en ambos casos las prestaciones superaban en mucho -en mi modesta opinión- a las que podían ofrecer IE8 y las pasadas ediciones de Internet Explorer. Pero hay un apartado en el que mis conocimientos quedaron claramente a la altura del betún ayer: en los mecanismos de seguridad, que hacen que IE8 sea probablemente el navegador más adecuado si compras en Internet, accedes a tus cuentas bancarias o, simplemente, si quieres estar un poquito más a salvo de posibles ataques.

Eso es lo que se pudo entresacar de la rueda de prensa a la que asistí en un curioso garito madrileño en la zona de Delicias en el que Microsoft organizó un evento simpático, con rollo Star Wars para amenizar un tema que para muchos podría ser algo áspero. La idea cuajó y la verdad es que se agradece que en charlas como esta, que parecen bastante duritas, haya un componente divertido.

En la charla había un grupo de gente caracterizados como personajes de la saga, y la idea era la de que un maestro Yoda -que aparecía en pantalla aplicando realidad aumentada con un sistema curiosete aunque algo cutre en el aspecto visual- nos ofreciese a los “padawan” de la seguridad una especie de lección magistral sobre esto de la seguridad en navegadores sobre Windows.

Pero el maestro real (dudo que fuese un Jedi, pero igual sí) fue un pequeño descubrimiento: Chema Alonso, un MVP de Microsoft (esa gente que es muy experta en todo tipo de productos de los de Redmond, y que ganan esa distinción al colaborar con ellos sobre todo en tareas de comunicación) que nos habló a todos los presentes de un estudio en el que habían estado trabajando él -con blog propio, por cierto- y el equipo de Informática64, un portal de seguridad que yo no conocía -como digo, mi sabiduría en este campo es más bien limitadita- y que tiene muy buena pinta sobre todo para usuarios de Windows.

El caso es que Chema nos fue guiando por las principales diapositivas de una presentación que tenéis aquí debajo y que permite revelar los principales datos del estudio: qué mecanismos de seguridad están disponibles actualmente en sistemas Windows, qué tecnologías aportan los navegadores, y cómo funcionan esas tecnologías en distintos escenarios.

La charla fue realmente instructiva -y hasta divertida, todo un logro-, y la verdad es que el chico me convenció. Aparentemente Firefox es, de hecho, bastante inseguro por sus políticas de seguridad, y parece que Chrome es el único que se acerca en cierta medida a lo que Internet Explorer 8 ha logrado en materia de seguridad.

Lo comprenderéis mejor si echáis un vistazo a la presentación, y aunque lamentablemente no hay vídeo de la conferencia -que yo sepa- las diapos son bastante claras en la presentación de esos datos, aunque algunas cosas quedarían mejor con el vídeo, como la diapo en la que se muestran cuántas vulnerabilidades highly critical y cuántas extremely critical hay en cada navegador.

IE8 dispone de 7 de este último tipo, que parecen más peligrosas, pero como explicaba Chema, la única diferencia con las Highly Critical -y ahí gana lamentablemente de largo Firefox- es el hecho de que las Extremely son aquellas que además de ser highly critical, se sabe además que existe en la práctica un exploit para que los ciberatacantes se aprovechen de ellas. Tenéis más información en el post del propio Chema Alonso en su blog, que lamentablemente tiene un diseño algo cutre -al César lo que es del César- pero cuyo contenido es fantástico.

La post-conferencia fue también simpática, porque además de un pequeño cóctel y de un regalito fantástico -un sable-láser realmente chulo que me vendrá genial para carnvales 😉 – pude seguir hablando con Chema, que nos contó a unos cuantos cómo Microsoft no es tan mala como la pintan, y que ahora es Google la que también está moviendo hilos para tratar de forzar ciertos estándares a su favor y en contra de Microsoft.

Obviamente solo teníamos la versión de este experto, y mi experiencia en el tema es muy pobre, así que poco podría refutar. Habría que ver qué opinan los expertos en seguridad sobre otros navegadores con respecto a este tema, pero desde luego lo que está claro es que esos datos son bastante contundentes. Y si hacemos caso de ellos, desde luego, habría que darle una oportunidad a IE8.

Lástima que su interfaz sea más fea que un pie, y lástima también que su velocidad de renderizado o de ejecución de código JavaScript sean tan lamentables. Pero con todo y con eso, habrá que revisitarlo.


Incognichollos

Esta es una selección con las mejores ofertas tecnológicas actualizadas casi diariamente, como expliqué aquí. Aunque estés en un post “antiguo” las ofertas son de última hora, los Incognichollos los actualizo aparte. Aprovecha, que no suelen durar mucho tiempo:

  • Xiaomi Mi A2 Lite: el telefonazo chollo por excelencia, 5,84 pulgadas, Snapdragon 625, 4 GB de RAM, 64 GB de capacidad, cámara dual 12+5 MP, batería de 4.000 mAh, sin NFC eso sí pero aún así triunfada. Atentos porque el modelo de 3 GB y 32 GB es impresionante en precio: 142,32 euros en GearBest. Acaba de aparecer la actualización a Android 9.0 Pie para este móvil, lo que lo destaca aún más. Dos años de garantía en España, y recordad que tenéis que desactivar el seguro de envío predefinido.
  • Unidad SSD Crucial BX300: una unidad de 120 GB con prestaciones estupendas y que sale por un precio ridículo: 26,19 euros en Amazon.
  • Unidad SSD Samsung 970 EVO: genial con 250 GB y velocidades de transferencia brutales: está a 72,99 euros en Amazon, nunca la vi tan barata. Es la que tengo en mi PC, y me salió a 95 euros como súper ganga, así que imaginad. La versión de 500 GB está a 119,98 euros, gran precio también.
  • Motorola One: un smartphone basado en Android One con pantalla de 5,9 pulgadas, un Snapdragon 625, 4 GB de RAM, 64 GB de capacidad, cámara dual 13+13 MP. Está a 249 euros en Amazon.
  • Smart TV Samsung 65NU7405: una televisión gigante de 65 pulgadas 4K HDR con tres conectores HDMI, 2 puertos USB y todo lo necesario para disfrutar de la tele a lo grande. Está a 899,99 euros en Amazon. También tenéis un modelo Samsung de 55 pulgadas a 599,99 euros y otro modelo Samsung de 50 pulgadas a 499,99 euros.
  • Monitor LG UltraWide 29 pulgadas: un modelo muy curioso para vuestras sesiones de trabajo y juego. Con resolución 2560×1080, AMD FreeSync, conectores USB-C y HDMI. Está a 219 euros en Amazon.
  • Patinete Eléctrico Ninebot ES1 No. 9: otro patinete similar al anterior pero algo menos potente. Hasta 20 km/h y hasta 25 km de autonomía, muy bien también por su precio, 277 euros en GearBest con el cupón GB12ES1 con dos años de garantía en España. Desactivad el seguro de envío, eso sí.
  • Reloj inteligente Huawei Honor Magic: un reloj curioso con pantalla AMOLED, soporte GPS, autonomía de una semana, NFC (¡pagos móviles!), sensor de ritmo cardiaco, monitorización del sueño, barómetro, brújula y notificaciones. Muy curioso por 100 euros en GeekBuying con el cupón EGWQNPDV.
  • Tarjeta gráfica Zotac GeForce GTX 1060 6 GB: una gráfica estupenda para animar vuestras sesiones de gaming. Está a 230 euros en Amazon Alemania, gastos de envío incluidos.
  • Portátil Xiaomi Mi Air: el equipo que rivaliza con los grandes fabricantes del mercado a menor precio vuelve a ponerse interesante. Pantalla de 13,3 pulgadas, Core i5-8250U, 8 GB de RAM, 128 GB de SSD, gráfica NVIDIA GeForce MX 150, lector de huellas, todo por 710 euros en GearBest.
  • Smartwatch Huawei Watch 2: con WiFi y 4G nada menos, este reloj tiene también GPS, Wear OS 2.0 para gobernarlo y un precio fantástico de 199,99 euros en Amazon. Brutal por lo que ofrece, os lo aseguro que lo sé de buena tinta: lo analicé hace tiempo.
  • Auriculares Gaming Sennheiser Game Zero: calidad de
    sonido a lo bestia, reducción de ruido y un micrófono de calidad para las comunicaciones durante las partidas. De esta marca se puede uno fiar, y el precio es estupendo, 109 euros en Amazon frente a los +140 que cuesta normalmente.
  • Televisión Haier 4K 55 pulgadas: vale que no es una marca top, pero tener una Smart TV de 55 pulgadas con resolución  4K/UHD (sin HDR, parece por lo que he visto) por este precio es de locos. Cuenta con Netflix preinstalado, WiFi y TDT2, además de altavoces con soporte Dolby Digital+. Se envía desde UK con garantía de Haier, y está a 365,32 euros en Banggood EU con el cupón e2bcea.
  • Xiaomi Mi 8 (Global): con dos años de garantía en España, envío inmediato. Pantalla AMOLED de 6,21 pulgadas FHD+, Snapdragon 845, 6 GB de RAM, 64 GB de capacidad, cámara trasera 12+12 MP, cámara frontal de 20 MP, lector de huellas trasero, batería de 3.400 mAh. Está en color azul a 337,40 euros en GearBest con el cupón GBMPKBG2 y en color negro a 337,40 euros en GearBest con el cupón GBMPKBG3. Desactivad el seguro de envío, ya sabéis.
  • PocoPhone F1: telefonazo que Xiaomi se acaba de sacar de la manga. Un Snapdragon 845, 6 GB de RAM, 64 GB de capacidad
    (ampliables), pantallón de 6,18 pulgadas y dos cámaras de 12+5 Mpíxeles, además de batería de 4.000 mAh y conector de auriculares. Si no os importa que no tenga NFC, compra estrella de la temporada, sobre todo a este precio. La edición de 6 GB y 64 GB de capacidad está a 257,71 euros en AliExpress, uauh.
  • Xiaomi Mi 8 Pro: la versión más brutal del telefonazo de Xiaomi: 6,21 pulgadas, el célebre diseño con la carcasa semitransparente (de pega, pero es curiosa), Snapdragon 845, 8 GB de RAM, 128 GB de capacidad, cámara dual de 12+12 MP, cámara frontal de 20 MP, sensor de huella bajo la pantalla, en fin, de todo. Está a 452,83 euros en GearBest.
  • Xiaomi Mi Mix 3: el móvil de gama alta más reciente de esta empresa está ahora a precio llamativo. Con pantalla 6,39 pulgadas casi sin marcos (ni notch), Snapdragon 845, 6 GB de RAM, 128 GB
    de capacidad, cámara trasera 12+12, cámara frontal 24+2 MP  (deslizable, un sistema curioso para esconderlas), batería de 3.850 mAh, desbloqueo facial, soporte carga inalámbrica. Muy chulo, y está a 497,22  euros en Gearbest con 2 años de garantía en España. Desactivad el nuevo seguro de envío activado por defecto, ya sabéis.
  • Unidad SSD Netac 480 GB: mucho más barata que las que os pongo al final, casi medio terabyte a precio de 200 GB en unidades de marcas reputadas. Difícil no sentirse tentado porque cuesta 44,21 euros en JoyBuy. Para que veáis la diferencia, la Samsung 860 Evo de 250 GB (casi la mitad de capacidad) cuesta más: está a 56,90 euros en Amazon… y este último no es mal precio. El otro es ya la locura, aunque la marca, claro, no es muy conocida.

¿Quieres recibir un correo de aviso cuando publique nuevas entradas?

Standard

14 comentarios en “Redescubriendo Internet Explorer 8

  1. Yo sigo el blog de Chema Alonso tambien, pero este tipo de presentaciones sobre el IE realizadas por uno de los involucrados… me da mucho repelus.

    Solo se me ocurre un… “No muerdas la mano que te da de comer”

    Saludos

  2. Lobo dice:

    Me parece que en esa charla no trataron un punto, que es mar de importante, y es cuanto tiempo tarda las companias atras de cada browser en solucionar las vulneabilidades, para mi es mas que importante, y esos datos sabemos que microsoft nunca va a mostrar, ya que si mozilla tardo hace poco no mas de 3 o 4 dias en solucionar una falla grave, microsoft no tarda nunca menos de 1 mes en solucionarlos (claro que si lo soluciona).
    Y como esta escrito es un evento de microsoft, los numeros presentados seran cosas buenas para ellos y si ahi que manipularlos para que sea asi, lo haran asi que mucha confianza no me dan.

  3. Hola,

    por alusiones en este post voy a contestar a algunos de los comentarios.

    @Pablo, gracias por seguirme }:)) Hemos dejado el documento para que lo reviséis.

    @Salva, el link de wikipedia no es ni medio comparable con el CVE y Secunia, datos que tienes en el informe para comparar las vulnerabilidades. Nadie que trabaje en seguiridad diría lo que tu has dicho.

    Respecto a lo de ActiveX y ser un agujero es una opinión personal tuya. Los plugins de FF están demostrando ser la mayor fuente de malware en FF y tienes un estudio de Symantec titulado “FF y el Malware” donde lo analizan en detalle.

    Y respecto a lo de seguridad por oscuridad es cierto, pero te equivocas en la mayor. Microsoft basa su seguridad en TCI, Threat Modeling, Secure Development Lifecycle, etc… creados por algunos de los mayores expertos de seguridad, como Michael Howard, Crispin Cowan o Mark Russinovich.

    MS no publica el código por protección de sus activos, no por seguridad.

    Saludos!

  4. fartus dice:

    Hola Chema.

    Reconozco que no dispongo de la cualificación necesaria para basar mis argumentos en cosas como ‘TCI, Threat Modeling, Secure Development Lifecycle, etc€¦’ que, efectivamente, no se que significan y creeme no tengo ningún interés en conocer. Lo que si te diré es que por mi trabajo me paso horas y horas facturadas a mis clientes con su antivirus perfectamente instalado y actualizado y un sistema operativo perfectamente secuestrado por mil y una variantes de spyware, malware, gusanos y vete tu a saber que.

    Afortunadamente la solución es bien sencilla. Cambiar el navegador por defecto puesto que como todos sabemos es imposible desinstalar Internet Explorer. Sabe Dios que esta medida funciona.

    Lo de que ActiveX no es un agujero de seguridad y que son opiniones personales de Salva me hace gracia después de tantos y tantas actualizaciones de seguridad relativas a esta tecnología.

    Y recuerda: una vulnerabilidad en el navegador del 80 % de los internautas es una amenaza para el 80 % de los internautas. No se si compensarán esas supuestas ventajas.

    Saludos!

  5. Jose dice:

    A mi me hace gracia esto de las GPO. Eso de que son imprescindibles y ayudan a controlar posibles vectores de infección…. Me temo que en cualquier entorno empresarial lo primero que se va a encontrar un navegador es un proxy (o proxy transparente) filtrando todo lo que entra. Decir que un navegador es más seguro por soportar algún tipo de gestión centralizada como la de las GPO… en fin. Ponte un cortafuegos, y un proxy. Empieza a filtrar por ahí. Curiosamente esta solución tan empresarial permite controlar mucho más que “IEs” y sin un Windows de por medio.

    Una vez has acabado con los ataques más evidentes de los sitios conocidos, te queda que esos ActiveX, páginas o scripts, que han pasado el primer filtro no sean capaces de tomar el control de la pila. Flash es uno de los coladores más amplios e interesantes en este sentido, aunque también en otros muchos.
    Por si fuera poco, y a parte de los primeros ataques en la intercepción del arranque del sistema operativo (en los primeros RCs de Vista), DEP y ASLR (¿aleatorio? ¿no será pseudo-aleatorio?) están en el punto de mira (si no se los han cargado ya). ¿Le da esto más seguridad al navegador?

    Podría seguir así con gran parte del documento. ¿Es más seguro el navegador por destacar los certificados “de la barra verde”? Ja! Al menos una de las CAs que menciona Chema es, por decirlo suavemente, insegura. La virtualización de las claves del registro no es más que la resolución a un problema que el propio Microsoft ha creado, y el conteo de vulnerabilidades es una completa falsedad:

    Por un lado, Microsoft no publica las vulnerabilidades de forma regular (solo las que le da la gana), mientras que los abiertos si lo hacen (y aprovecha esta situación así como las discusiones abiertas para seguirlas de cerca y tomar buena nota). Y en el periodo de la muestra estadística los navegadores han cambiado de versión como el que cambia de ropa interior, todos excepto el de la compañía de Redmond. Por cierto, estos cambios de versión suelen servir para algo…

    Mientras que Mozilla o Chromium ponen sobre la mesa sus códigos, Microsoft se guarda los de IE (me da igual la finalidad) y los mantiene vivos durante años. BlackHat tras BlackHat aparecen pruebas de que todas estas medidas no son efectivas, y lo peor es que este tipo de conferencias son solo la punta del iceberg.

    Por mi parte procuraré seguir evitando IE como la peste e instalando Chrome e Firefox allá donde me dejen. Gracias a esta actitud he conseguido no ver uno de esos “Malwares” en mucho tiempo, a pesar de que Symantec diga que los más peligrosos sean los de Mozilla…

    Curioso que estos datos tan reveladores vengan siempre de gente relacionada intimamente con Microsoft (MVPs, empleados) o tengan productos en este mercado (Symantec).

    Por cierto, me quedo con la intriga, ¿Cuáles son esos estándares que Google promueve en contra de Microsoft?

  6. Manípulo dice:

    Pero Chema, ¿como se te ocurre lanzar una noticia a favor de un producto de Microsoft? ¿No sabías de antemano que se iban a lanzar como una jauría a por tu cuello? ¿Es que no sabes que está prohibido en estos tiempos decir algo bueno sobre un producto de MS?

  7. Manípulo dice:

    Yo creo que hacer caso de estudios especializados es poco de fiar. Es mucho más fiable la opinión de gente objetiva la de los expertos imparciales que todos sabemos que son los jovencitos linuxeros. Si hay que aceptar algún estudio serio que sea de Google.

  8. Bueno, parece que este tema se ha desmandado un poquito.

    En primer lugar, Chema, saludetes. Para que me sitúes, nos estuviste contando a Gus y a mí lo que había pasado con la salida de los estándares ECMA mientras nos trapiñábamos las bolas esas de chocolate Jedi.

    Para los demás, que parecéis bastante más informados que yo en este tema, es complicado debatir sobre algo tan delicado como la seguridad por correos o mediante comentarios en un blog: la presentación es interesante, pero está incompleta sin los comentarios que iba haciendo Chema sobre la marcha.

    Lo que está claro es que como dice Salva, aquí cada uno tiene su culo. Digo, su opinión. Veo que todos tenéis vuestros argumentos, pero los datos de Chema, por muy MVP de Microsoft que sea, proceden de estudios de organizaciones muy reputadas en este segmento, así que esa hipotética falta de objetividad parece complicada de argumentar. Vale, para alguien que trabaja y respira Microsoft probablemente barrer para casa sea lo más habitual (mirad a Thurrot, que es un crack en eso), pero yo sinceramente creo que este no es el caso.

    Pero también tengo que admitir que los comentarios de Jose (muy bien escrito, qué gozada no ver faltas de ortografía y todo bien separadito, majo) y Salva o fartus (buen punto lo del 80%) tienen su punto.

    Eso es lo grande de los blogs. Que invitan a la conversación. Y que aprendes. Yo ya con este post y sobre todo con los comentarios tengo un poquito más claro los conceptos en este tema, así que gracias 🙂

    Y Jose, Chema ha contestado antes a lo de los estándares, así que todo aclarado 😉

  9. ava dice:

    Javi, un detalle importante sobre el que no has hecho ninguna advertencia: el análisis se centra en navegadores sobre plataformas Microsoft Windows Vista y Microsoft Windows 7.

    Y me parece un detalle que no puede ser pasado por alto. Poner a competir, por ejemplo, a IE y Safari limitando el ámbito del análisis a Windows no me parece lo suyo; por no decir que da la sensación de pretender dar una visión sesgada y parcial de la realidad. Me quedo con la curiosidad, por ejemplo, de ver cómo quedarían los resultados pareando navegadores-SO de referencia (IE-Windows vs Safari-Mac OS, etc.)

  10. @ava, me parece muy interesante lo que propones, pero, al margen de las opciones dependiente de la plataforma, tienes en el paper toda la info sobre la herramienta en la parte de vulnerabilidades, ingeniería social, soporte a certificados nacionales, etc…

    Saludos!

  11. Felicidades Javi pues con el post la has dado de lleno. De Chema decir que es un gran comunicador y al resto gracias por el fantastico debate. La verdad es que cada uno tiene su razon y con el debate sono seguro que todos salimos ganando.

  12. Pingback: Google Chrome, vertiginoso e imparable | Incognitosis

  13. Pingback: TEDxRetiro, un evento gratuito que no tiene precio | Incognitosis

Comentarios cerrados