Tecnología

Redescubriendo Internet Explorer 8

·

No me gusta Internet Explorer 8. Las cosas claras, y el chocolate, con leche. No recuerdo haberlo usado nunca de forma habitual, ya que lo de ser linuxero de pro y defensor del software libre (aunque no de forma extrema) me ha hecho tratar de usar alternativas Open Source siempre que he podido… y que me han convencido, claro.

Y en el tema de los navegadores la cosa estaba clara. Primero fue Firefox, y ahora Chrome (bueno, este no es Open Source, pero se basa en Chromium, que sí lo es), y en ambos casos las prestaciones superaban en mucho -en mi modesta opinión- a las que podían ofrecer IE8 y las pasadas ediciones de Internet Explorer. Pero hay un apartado en el que mis conocimientos quedaron claramente a la altura del betún ayer: en los mecanismos de seguridad, que hacen que IE8 sea probablemente el navegador más adecuado si compras en Internet, accedes a tus cuentas bancarias o, simplemente, si quieres estar un poquito más a salvo de posibles ataques.

Eso es lo que se pudo entresacar de la rueda de prensa a la que asistí en un curioso garito madrileño en la zona de Delicias en el que Microsoft organizó un evento simpático, con rollo Star Wars para amenizar un tema que para muchos podría ser algo áspero. La idea cuajó y la verdad es que se agradece que en charlas como esta, que parecen bastante duritas, haya un componente divertido.

En la charla había un grupo de gente caracterizados como personajes de la saga, y la idea era la de que un maestro Yoda -que aparecía en pantalla aplicando realidad aumentada con un sistema curiosete aunque algo cutre en el aspecto visual- nos ofreciese a los «padawan» de la seguridad una especie de lección magistral sobre esto de la seguridad en navegadores sobre Windows.

Pero el maestro real (dudo que fuese un Jedi, pero igual sí) fue un pequeño descubrimiento: Chema Alonso, un MVP de Microsoft (esa gente que es muy experta en todo tipo de productos de los de Redmond, y que ganan esa distinción al colaborar con ellos sobre todo en tareas de comunicación) que nos habló a todos los presentes de un estudio en el que habían estado trabajando él -con blog propio, por cierto- y el equipo de Informática64, un portal de seguridad que yo no conocía -como digo, mi sabiduría en este campo es más bien limitadita- y que tiene muy buena pinta sobre todo para usuarios de Windows.

El caso es que Chema nos fue guiando por las principales diapositivas de una presentación que tenéis aquí debajo y que permite revelar los principales datos del estudio: qué mecanismos de seguridad están disponibles actualmente en sistemas Windows, qué tecnologías aportan los navegadores, y cómo funcionan esas tecnologías en distintos escenarios.

La charla fue realmente instructiva -y hasta divertida, todo un logro-, y la verdad es que el chico me convenció. Aparentemente Firefox es, de hecho, bastante inseguro por sus políticas de seguridad, y parece que Chrome es el único que se acerca en cierta medida a lo que Internet Explorer 8 ha logrado en materia de seguridad.

Lo comprenderéis mejor si echáis un vistazo a la presentación, y aunque lamentablemente no hay vídeo de la conferencia -que yo sepa- las diapos son bastante claras en la presentación de esos datos, aunque algunas cosas quedarían mejor con el vídeo, como la diapo en la que se muestran cuántas vulnerabilidades highly critical y cuántas extremely critical hay en cada navegador.

IE8 dispone de 7 de este último tipo, que parecen más peligrosas, pero como explicaba Chema, la única diferencia con las Highly Critical -y ahí gana lamentablemente de largo Firefox- es el hecho de que las Extremely son aquellas que además de ser highly critical, se sabe además que existe en la práctica un exploit para que los ciberatacantes se aprovechen de ellas. Tenéis más información en el post del propio Chema Alonso en su blog, que lamentablemente tiene un diseño algo cutre -al César lo que es del César- pero cuyo contenido es fantástico.

La post-conferencia fue también simpática, porque además de un pequeño cóctel y de un regalito fantástico -un sable-láser realmente chulo que me vendrá genial para carnvales 😉 – pude seguir hablando con Chema, que nos contó a unos cuantos cómo Microsoft no es tan mala como la pintan, y que ahora es Google la que también está moviendo hilos para tratar de forzar ciertos estándares a su favor y en contra de Microsoft.

Obviamente solo teníamos la versión de este experto, y mi experiencia en el tema es muy pobre, así que poco podría refutar. Habría que ver qué opinan los expertos en seguridad sobre otros navegadores con respecto a este tema, pero desde luego lo que está claro es que esos datos son bastante contundentes. Y si hacemos caso de ellos, desde luego, habría que darle una oportunidad a IE8.

Lástima que su interfaz sea más fea que un pie, y lástima también que su velocidad de renderizado o de ejecución de código JavaScript sean tan lamentables. Pero con todo y con eso, habrá que revisitarlo.


Incognichollos

Esta es una selección con las mejores ofertas tecnológicas actualizadas casi diariamente, como expliqué aquí. Aunque estés en un post «antiguo» las ofertas son de última hora, los Incognichollos los actualizo aparte. También puedes seguir los Incognichollos en Twitter o en el nuevo canal de Telegram 🙂 . Aprovecha, que no suelen durar mucho tiempo:

  • Lenovo Ideapad 330-15ICH: un portátil de 15,6″ FullHD con un Core i5-8330H, 8 GB de RAM, 1 TB de HDD y atentos, una GTX 1050 para jugar. Espectacular aunque no viene con Windows. Está a 499 euros en Amazon.
  • Windows 10 Pro: una licencia para el sistema operativo de Microsoft a 2,99 euros. Te la mandan por correo junto a algunas instrucciones. Está a 2,99 euros en eBay, perfecta para esos equipos que se venden sin sistema operativo.
  • Huawei Mate 20 Pro: telefonazo de 6,39″, Kirin 980, 6 GB de RAM, 128 GB de capacidad, lector de huella bajo pantalla y una triple cámara espectacular de 40+20+8 MP además de batería de 4.000 mAh. Está a 630 euros en GearBest.
  • Asus ZenFone 6: el nuevo telefonazo de Asus con pantalla sin marcos de 6,4 pulgadas, 6 GB de RAM, 64 GB de capacidad y esa cámara desplegable dual que funciona tanto como frontal como trasera. Está a 504 euros en GearBest
  • Xiaomi Redmi Note 7: 6,3» Snapdragon 660, 3 GB de RAM, 32 GB de capacidad (ampliables vía MicroSD), 4.000 mAh, minijack y cámara dual de 48+5 MP realmente estupenda. Todo por 148 euros en AliExpress. La versión con 4 GB de RAM y 64 GB está a 165 euros en Banggood con el cupón BG5RN7.
  • Steep (PC): el juego de esquí extremo de Ubisoft se puede conseguir gratis hasta el 22 de mayo. ¡A por él!
  • Western Digital 4 TB: un disco duro externo con una capacidad brutal de 4 TB a un precio igualmente brutal: 91 euros en Amazon Alemania, envío incluido.
  • The Division 2: la nueva entrega del famoso juego basado en las novelas de Tom Clancy. Está a 36,90 euros en Amazon para PS4, mismo precio para la Xbox One, 36,90 euros en Amazon.
  • Ratón gaming Logitech G602: modelo inalámbrico con tiempo de respuesta de 2 ms, sensor de 2500 DPI, 11 botones programables, estupendo a 36,90 euros en Amazon (baja desde los 50).
  • Tablet Amazon Fire 7: la renovada tableta de Amazon con mejor procesador y sobre todo con el doble de capacidad que el modelo de 2017. La versión de 16 GB (ampliable vía microSD) está a tan solo 69,99 euros en Amazon.
  • Xiaomi Mi 9: atentos a la bajada brutal de precio. 6,39», Snapdragon 855, 6 GB / 64 GB, cámara triple (48+16+12), lector de huella en pantalla, carga rápida e inalámbrica. Está a 366,70 euros en Banggood con el código BGMI964.
  • Samsung Galaxy S10e: el compacto de la familia: 5,8 pulgadas, Exynos 9820, 6 GB de RAM, 128 GB de capacidad, cámara doble (16+12 MP), 3.100 mAh, lector de huellas en el lateral. Está a 474 euros en eBay con el cupón PARATECH. Brutal.
  • Samsung Galaxy S10: si preferís el modelo estándar con pantalla de 6,1″, 8 GB de RAM y 128 GB de capacidad lo tenéis a 578 euros en eBay también con el código PARATECH.
  • Xiaomi Mi 9: el nuevo telefonazo de este fabricante. 6,39», Snapdragon 855, 6 GB / 64 GB, cámara triple (48+16+12), lector de huella en pantalla, carga rápida e inalámbrica. Está a 366,70 euros en Banggood con código BG5M9G. Otra alternativa: está a 449 en Amazon.
  • Xiaomi Mi 9 SE: la versión ‘compacta’ del telefonazo de Xiaomi, 5,97″, Snapdragon 712, 6 GB de RAM, 128 GB de capacidad, cámara triple (48+13+8), 3.070 mAh, lector huella bajo pantalla. Está a 267,24 euros en Banggood con el código 5BGM96SE
  • Disco duro Seagate Barracuda 2 TB: un disco duro SATA de 3,5 pulgadas estupendo por precio y prestaciones: está a 59,69 euros en Amazon.
  • Mando Xbox One The Duke: es el mando original de la Xbox, pero para la Xbox One, mismo diseño, perfecto para manos grandotas, brutal homenaje. Está a 50 euros en Amazon.
  • HP Laser Jet Pro M254nw: impresora láser color (¡color!), hasta 21 ppm, Ethernet, WiFi, imposible encontrarla más barata, diría yo. 129 euros en Amazon, baja desde los 149 que vi la última vez, brutal.
  • Lenovo Legion T530: un PC de sobremesa con un Core i5-8400, 8 GB de RAM, 1TB de HDD, Windows 10 y gráfica GTX 1060. Muy bien por 699,99 euros en Amazon. Pero que muy bien.
  • Memoria RAM G.Skill Aegis 16 GB DDR4: tremendo lo de estos dos módulos de 8 GB a 3000 MHz. Fantástica forma de actualizar el equipo y abrir tooodas las pestañas de Chrome o Firefox que se os antoje. Está a 69,90 euros en Amazon Alemania, envío incluido.
  • Memoria Corsair Vengeance LPX 32 GB DDR4: y si queréis más memoria, tomad más memoria: dos módulos de 16 GB a 3000 MHZ, están a 153 euros en Amazon Alemania envío incluido.
  • Portátil HP 15-da1014ns: un equipo muy simpático para trabajar e incluso jugar. 15,6″, Core i5-8265U (súper nuevo), 8 GB RAM, 256 GB SSD, GeForce MX110, Windows 10, teclado español. Está a 499,99 euros en Amazon, baja desde los 650.
  • FIFA 18 PS4: la edición del año pasado sigue siendo un gran juego, sobre todo a 9,99 euros en Amazon. Para la Xbox One, a 13,99 euros.
  • Assetto Corsa Ultimate Edition (Xbox One): el simulador de conducción con 178 coches, 16 circuitos y 33 configuraciones de pistas contiene 8 DLCs. Está a 20 euros en Amazon.
  • NAS Western Digital My Cloud Home 8 TB: un producto perfecto para crear una nube personal, con una bahía y un disco de 8 TB ocupándola. Perfecto para centralizar servidor de almacenamiento y multimedia. El diseño mola, y está a 196,99 euros en Amazon.
  • Operación Triunfo 2017: incluye dos micrófonos USB y está a 18,50 euros en Amazon en su edición para la PS4, precio estupendísimo para pegar unos gritos a gusto.
  • Chuwi HeroBook: un portátil muy modesto y muy barato: 14,1» (1366×768), Atom X5-E8000 (quad-core), 4 GB de RAM, 64 GB eMMC de capacidad (con M.2), Windows 10, teclado en inglés, salida Micro HDMI, 2xUSB3.0. 165 euros en Banggood con el código BGCH510
  • Tarjeta gráfica NVIDIA GTX 1650: fabricada por PNY, perfecta para jugar a 1080p a 60 FPS. Supera a la 1050 Ti en un 33% de rendimiento y su precio es brutal, 122 euros en AliExpress Plaza con código «plazaoff«, envío desde España, 2 años de garantía.
  • Xiaomi Mi 9 SE: y la versión compacta: 5,97 pulgadas, Snapdragon 712, 6 GB de RAM, 64 GB de capacidad, triple cámara (48+12+16), lector de huella en pantalla, está a 268 euros en Banggood con el cupón 5BGM96SE. Brutal. La versión con 128 GB de capacidad está algo más cara pero esos gigas más son muy chulos. Está a 313 euros en Banggood con el cupón 5BGM9SE
  • Office 2019 Professional Plus: licencia para un PC, solo para Windows 10, licencia perpetua, envío del código de licencia por correo. Se dan instrucciones para descarga, instalación y aplicación. Está a 11,10 euros en Amazon.
  • SSD SanDisk 480G: y si queréis más capacidad, esta opción es aún más asequible con sus 480 GB de capacidad, un disco SSD SATA III con hasta 535 MB/s de velocidad de lectura. Está a 58 euros en Amazon
  • Tarjeta 6 meses Xbox Live Gold: son en realidad dos tarjetas de 3 meses por el precio de una, y además 1000 Apex Coins si jugáis al Apex Legends. Estupendo precio: 19,99 euros en Amazon. Cuestan el doble normalmente.
  • Xiaomi Airdots Pro: la versión mejorada de estos auriculares, con control táctil, más autonomía, mejor conectividad y más calidad de sonido. El diseño recuerda a otros… 🙂 Están a 45,88 euros en AliExpress con este cupón
  • Auriculares inalámbricos Xiaomi AirDots TWS: los competidores económicos de los AirPods de Apple con Bluetooth 5.0, 4 horas de autonomía y 12 más en el estuche, control táctil. Están a 19,58 euros en AliExpress 
  • Bolígrafo Xiaomi Mijia Pen + 3 recambios: el boli de 0,5 mm con tecnología suiza (o eso dicen) que enamora. Yo ya he comprado varios, y la verdad es que molan, y por este precio, más. El boli + tres recambios sale por 3,61 en AliExpress.

¿Quieres recibir un correo de aviso cuando publique nuevas entradas?

Standard

14 comentarios en “Redescubriendo Internet Explorer 8

  1. Yo sigo el blog de Chema Alonso tambien, pero este tipo de presentaciones sobre el IE realizadas por uno de los involucrados… me da mucho repelus.

    Solo se me ocurre un… «No muerdas la mano que te da de comer»

    Saludos

  2. Lobo dice:

    Me parece que en esa charla no trataron un punto, que es mar de importante, y es cuanto tiempo tarda las companias atras de cada browser en solucionar las vulneabilidades, para mi es mas que importante, y esos datos sabemos que microsoft nunca va a mostrar, ya que si mozilla tardo hace poco no mas de 3 o 4 dias en solucionar una falla grave, microsoft no tarda nunca menos de 1 mes en solucionarlos (claro que si lo soluciona).
    Y como esta escrito es un evento de microsoft, los numeros presentados seran cosas buenas para ellos y si ahi que manipularlos para que sea asi, lo haran asi que mucha confianza no me dan.

  3. Hola,

    por alusiones en este post voy a contestar a algunos de los comentarios.

    @Pablo, gracias por seguirme }:)) Hemos dejado el documento para que lo reviséis.

    @Salva, el link de wikipedia no es ni medio comparable con el CVE y Secunia, datos que tienes en el informe para comparar las vulnerabilidades. Nadie que trabaje en seguiridad diría lo que tu has dicho.

    Respecto a lo de ActiveX y ser un agujero es una opinión personal tuya. Los plugins de FF están demostrando ser la mayor fuente de malware en FF y tienes un estudio de Symantec titulado «FF y el Malware» donde lo analizan en detalle.

    Y respecto a lo de seguridad por oscuridad es cierto, pero te equivocas en la mayor. Microsoft basa su seguridad en TCI, Threat Modeling, Secure Development Lifecycle, etc… creados por algunos de los mayores expertos de seguridad, como Michael Howard, Crispin Cowan o Mark Russinovich.

    MS no publica el código por protección de sus activos, no por seguridad.

    Saludos!

  4. fartus dice:

    Hola Chema.

    Reconozco que no dispongo de la cualificación necesaria para basar mis argumentos en cosas como ‘TCI, Threat Modeling, Secure Development Lifecycle, etc€¦’ que, efectivamente, no se que significan y creeme no tengo ningún interés en conocer. Lo que si te diré es que por mi trabajo me paso horas y horas facturadas a mis clientes con su antivirus perfectamente instalado y actualizado y un sistema operativo perfectamente secuestrado por mil y una variantes de spyware, malware, gusanos y vete tu a saber que.

    Afortunadamente la solución es bien sencilla. Cambiar el navegador por defecto puesto que como todos sabemos es imposible desinstalar Internet Explorer. Sabe Dios que esta medida funciona.

    Lo de que ActiveX no es un agujero de seguridad y que son opiniones personales de Salva me hace gracia después de tantos y tantas actualizaciones de seguridad relativas a esta tecnología.

    Y recuerda: una vulnerabilidad en el navegador del 80 % de los internautas es una amenaza para el 80 % de los internautas. No se si compensarán esas supuestas ventajas.

    Saludos!

  5. Jose dice:

    A mi me hace gracia esto de las GPO. Eso de que son imprescindibles y ayudan a controlar posibles vectores de infección…. Me temo que en cualquier entorno empresarial lo primero que se va a encontrar un navegador es un proxy (o proxy transparente) filtrando todo lo que entra. Decir que un navegador es más seguro por soportar algún tipo de gestión centralizada como la de las GPO… en fin. Ponte un cortafuegos, y un proxy. Empieza a filtrar por ahí. Curiosamente esta solución tan empresarial permite controlar mucho más que «IEs» y sin un Windows de por medio.

    Una vez has acabado con los ataques más evidentes de los sitios conocidos, te queda que esos ActiveX, páginas o scripts, que han pasado el primer filtro no sean capaces de tomar el control de la pila. Flash es uno de los coladores más amplios e interesantes en este sentido, aunque también en otros muchos.
    Por si fuera poco, y a parte de los primeros ataques en la intercepción del arranque del sistema operativo (en los primeros RCs de Vista), DEP y ASLR (¿aleatorio? ¿no será pseudo-aleatorio?) están en el punto de mira (si no se los han cargado ya). ¿Le da esto más seguridad al navegador?

    Podría seguir así con gran parte del documento. ¿Es más seguro el navegador por destacar los certificados «de la barra verde»? Ja! Al menos una de las CAs que menciona Chema es, por decirlo suavemente, insegura. La virtualización de las claves del registro no es más que la resolución a un problema que el propio Microsoft ha creado, y el conteo de vulnerabilidades es una completa falsedad:

    Por un lado, Microsoft no publica las vulnerabilidades de forma regular (solo las que le da la gana), mientras que los abiertos si lo hacen (y aprovecha esta situación así como las discusiones abiertas para seguirlas de cerca y tomar buena nota). Y en el periodo de la muestra estadística los navegadores han cambiado de versión como el que cambia de ropa interior, todos excepto el de la compañía de Redmond. Por cierto, estos cambios de versión suelen servir para algo…

    Mientras que Mozilla o Chromium ponen sobre la mesa sus códigos, Microsoft se guarda los de IE (me da igual la finalidad) y los mantiene vivos durante años. BlackHat tras BlackHat aparecen pruebas de que todas estas medidas no son efectivas, y lo peor es que este tipo de conferencias son solo la punta del iceberg.

    Por mi parte procuraré seguir evitando IE como la peste e instalando Chrome e Firefox allá donde me dejen. Gracias a esta actitud he conseguido no ver uno de esos «Malwares» en mucho tiempo, a pesar de que Symantec diga que los más peligrosos sean los de Mozilla…

    Curioso que estos datos tan reveladores vengan siempre de gente relacionada intimamente con Microsoft (MVPs, empleados) o tengan productos en este mercado (Symantec).

    Por cierto, me quedo con la intriga, ¿Cuáles son esos estándares que Google promueve en contra de Microsoft?

  6. Manípulo dice:

    Pero Chema, ¿como se te ocurre lanzar una noticia a favor de un producto de Microsoft? ¿No sabías de antemano que se iban a lanzar como una jauría a por tu cuello? ¿Es que no sabes que está prohibido en estos tiempos decir algo bueno sobre un producto de MS?

  7. Manípulo dice:

    Yo creo que hacer caso de estudios especializados es poco de fiar. Es mucho más fiable la opinión de gente objetiva la de los expertos imparciales que todos sabemos que son los jovencitos linuxeros. Si hay que aceptar algún estudio serio que sea de Google.

  8. Bueno, parece que este tema se ha desmandado un poquito.

    En primer lugar, Chema, saludetes. Para que me sitúes, nos estuviste contando a Gus y a mí lo que había pasado con la salida de los estándares ECMA mientras nos trapiñábamos las bolas esas de chocolate Jedi.

    Para los demás, que parecéis bastante más informados que yo en este tema, es complicado debatir sobre algo tan delicado como la seguridad por correos o mediante comentarios en un blog: la presentación es interesante, pero está incompleta sin los comentarios que iba haciendo Chema sobre la marcha.

    Lo que está claro es que como dice Salva, aquí cada uno tiene su culo. Digo, su opinión. Veo que todos tenéis vuestros argumentos, pero los datos de Chema, por muy MVP de Microsoft que sea, proceden de estudios de organizaciones muy reputadas en este segmento, así que esa hipotética falta de objetividad parece complicada de argumentar. Vale, para alguien que trabaja y respira Microsoft probablemente barrer para casa sea lo más habitual (mirad a Thurrot, que es un crack en eso), pero yo sinceramente creo que este no es el caso.

    Pero también tengo que admitir que los comentarios de Jose (muy bien escrito, qué gozada no ver faltas de ortografía y todo bien separadito, majo) y Salva o fartus (buen punto lo del 80%) tienen su punto.

    Eso es lo grande de los blogs. Que invitan a la conversación. Y que aprendes. Yo ya con este post y sobre todo con los comentarios tengo un poquito más claro los conceptos en este tema, así que gracias 🙂

    Y Jose, Chema ha contestado antes a lo de los estándares, así que todo aclarado 😉

  9. ava dice:

    Javi, un detalle importante sobre el que no has hecho ninguna advertencia: el análisis se centra en navegadores sobre plataformas Microsoft Windows Vista y Microsoft Windows 7.

    Y me parece un detalle que no puede ser pasado por alto. Poner a competir, por ejemplo, a IE y Safari limitando el ámbito del análisis a Windows no me parece lo suyo; por no decir que da la sensación de pretender dar una visión sesgada y parcial de la realidad. Me quedo con la curiosidad, por ejemplo, de ver cómo quedarían los resultados pareando navegadores-SO de referencia (IE-Windows vs Safari-Mac OS, etc.)

  10. @ava, me parece muy interesante lo que propones, pero, al margen de las opciones dependiente de la plataforma, tienes en el paper toda la info sobre la herramienta en la parte de vulnerabilidades, ingeniería social, soporte a certificados nacionales, etc…

    Saludos!

  11. Felicidades Javi pues con el post la has dado de lleno. De Chema decir que es un gran comunicador y al resto gracias por el fantastico debate. La verdad es que cada uno tiene su razon y con el debate sono seguro que todos salimos ganando.

  12. Pingback: Google Chrome, vertiginoso e imparable | Incognitosis

  13. Pingback: TEDxRetiro, un evento gratuito que no tiene precio | Incognitosis

Comentarios cerrados