Tecnología

Redescubriendo Internet Explorer 8

·

No me gusta Internet Explorer 8. Las cosas claras, y el chocolate, con leche. No recuerdo haberlo usado nunca de forma habitual, ya que lo de ser linuxero de pro y defensor del software libre (aunque no de forma extrema) me ha hecho tratar de usar alternativas Open Source siempre que he podido… y que me han convencido, claro.

Y en el tema de los navegadores la cosa estaba clara. Primero fue Firefox, y ahora Chrome (bueno, este no es Open Source, pero se basa en Chromium, que sí lo es), y en ambos casos las prestaciones superaban en mucho -en mi modesta opinión- a las que podían ofrecer IE8 y las pasadas ediciones de Internet Explorer. Pero hay un apartado en el que mis conocimientos quedaron claramente a la altura del betún ayer: en los mecanismos de seguridad, que hacen que IE8 sea probablemente el navegador más adecuado si compras en Internet, accedes a tus cuentas bancarias o, simplemente, si quieres estar un poquito más a salvo de posibles ataques.

Eso es lo que se pudo entresacar de la rueda de prensa a la que asistí en un curioso garito madrileño en la zona de Delicias en el que Microsoft organizó un evento simpático, con rollo Star Wars para amenizar un tema que para muchos podría ser algo áspero. La idea cuajó y la verdad es que se agradece que en charlas como esta, que parecen bastante duritas, haya un componente divertido.

En la charla había un grupo de gente caracterizados como personajes de la saga, y la idea era la de que un maestro Yoda -que aparecía en pantalla aplicando realidad aumentada con un sistema curiosete aunque algo cutre en el aspecto visual- nos ofreciese a los “padawan” de la seguridad una especie de lección magistral sobre esto de la seguridad en navegadores sobre Windows.

Pero el maestro real (dudo que fuese un Jedi, pero igual sí) fue un pequeño descubrimiento: Chema Alonso, un MVP de Microsoft (esa gente que es muy experta en todo tipo de productos de los de Redmond, y que ganan esa distinción al colaborar con ellos sobre todo en tareas de comunicación) que nos habló a todos los presentes de un estudio en el que habían estado trabajando él -con blog propio, por cierto- y el equipo de Informática64, un portal de seguridad que yo no conocía -como digo, mi sabiduría en este campo es más bien limitadita- y que tiene muy buena pinta sobre todo para usuarios de Windows.

El caso es que Chema nos fue guiando por las principales diapositivas de una presentación que tenéis aquí debajo y que permite revelar los principales datos del estudio: qué mecanismos de seguridad están disponibles actualmente en sistemas Windows, qué tecnologías aportan los navegadores, y cómo funcionan esas tecnologías en distintos escenarios.

La charla fue realmente instructiva -y hasta divertida, todo un logro-, y la verdad es que el chico me convenció. Aparentemente Firefox es, de hecho, bastante inseguro por sus políticas de seguridad, y parece que Chrome es el único que se acerca en cierta medida a lo que Internet Explorer 8 ha logrado en materia de seguridad.

Lo comprenderéis mejor si echáis un vistazo a la presentación, y aunque lamentablemente no hay vídeo de la conferencia -que yo sepa- las diapos son bastante claras en la presentación de esos datos, aunque algunas cosas quedarían mejor con el vídeo, como la diapo en la que se muestran cuántas vulnerabilidades highly critical y cuántas extremely critical hay en cada navegador.

IE8 dispone de 7 de este último tipo, que parecen más peligrosas, pero como explicaba Chema, la única diferencia con las Highly Critical -y ahí gana lamentablemente de largo Firefox- es el hecho de que las Extremely son aquellas que además de ser highly critical, se sabe además que existe en la práctica un exploit para que los ciberatacantes se aprovechen de ellas. Tenéis más información en el post del propio Chema Alonso en su blog, que lamentablemente tiene un diseño algo cutre -al César lo que es del César- pero cuyo contenido es fantástico.

La post-conferencia fue también simpática, porque además de un pequeño cóctel y de un regalito fantástico -un sable-láser realmente chulo que me vendrá genial para carnvales 😉 – pude seguir hablando con Chema, que nos contó a unos cuantos cómo Microsoft no es tan mala como la pintan, y que ahora es Google la que también está moviendo hilos para tratar de forzar ciertos estándares a su favor y en contra de Microsoft.

Obviamente solo teníamos la versión de este experto, y mi experiencia en el tema es muy pobre, así que poco podría refutar. Habría que ver qué opinan los expertos en seguridad sobre otros navegadores con respecto a este tema, pero desde luego lo que está claro es que esos datos son bastante contundentes. Y si hacemos caso de ellos, desde luego, habría que darle una oportunidad a IE8.

Lástima que su interfaz sea más fea que un pie, y lástima también que su velocidad de renderizado o de ejecución de código JavaScript sean tan lamentables. Pero con todo y con eso, habrá que revisitarlo.


Incognichollos

Esta es una selección con las mejores ofertas tecnológicas actualizadas casi diariamente, como expliqué aquí. Aunque estés en un post “antiguo” las ofertas son de última hora, los Incognichollos los actualizo aparte. También puedes seguir los Incognichollos en Twitter o en el nuevo canal de Telegram 🙂 . Aprovecha, que no suelen durar mucho tiempo:

  • Kindle Paperwhite: el lector de libros electrónicos de referencia baja de precio. Con pantalla de 6″ retroiluminada, 8 GB de capacidad, y esa resistencia al agua para llevártelo a la pisci/playa sin miedo. Está a 109,99 euros en Amazon.
  • Portátil Chuwi Lapbook Air: 14,1″ FullHD, Intel Celeron N3450, 8 GB de RAM, 128 GB SSD (ranura M.2), Windows 10, teclado inglés, WiFi, está a 281,04 euros en Banggood con el cupón BGair44
  • Repetidor WiFi dodocool: para mejorar la cobertura de tu red WiFi, soporte de redes 802.11b/g/n, antena integrada, enchufe europeo. Está a 16,99 euros en Amazon.
  • Lenovo Ideacentre 510A: un PC para trabajar y jugar con un AMD Ryzen 5 2400G, 8 GB de RAM, 1 TB HDD, una gráfica AMD Radeon RX 560 (4 GB GDDR5), y Windows 10 Home. Está a 599,99 euros en Amazon.
  • 48 cápsulas Nescafé Dolce Gusto: el sabor espresso intenso está de rebajas, un pack de 3×16 cápsulas está a 10 euros en Amazon
  • Patinete Xiaomi Pro: el modelo con batería ampliada (474 Wh, 18.650 mAh) que pasa de 30 a 45 km, sistema de frenos dual, ruedas de 8,5 pulgadas, más avanzado y seguro por 485 euros en Banggood con el cupón MIFANPRO
  • Ratón gaming Corsair M65 Elite: con cable, sensor óptico, hasta 18.000 PPP, retroiluminación RGB, sistema de pesos ajustables. Un ratón gaming muy llamativo y capaz, está a 49,99 euros en Amazon.
  • Lenovo Legion T530: un PC de sobremesa con un Core i5-8400, 8 GB de RAM, 128 GB de SSD, 1TB de HDD y gráfica GTX 1050. Sin sistema operativo, pero bien por 599 euros en Amazon. Pero que muy bien.
  • Zapatillas Lacoste Carnaby Evo: en color azul marino, disponibles en varias tallas, están a 59,99 euros en AliExpress Plaza.
  • Grand Theft Auto V: la edición para la Xbox One está de rebajas, solo 16,99 euros en Amazon.
  • Memoria USB SanDisk Cruzer 64 GB: conexión USB 2.0, buen diseño y capacidad estupenda sobre todo a este precio: 8,99 euros en Amazon.
  • Disco duro externo WD My Book 10 TB: vamos a por todas con esta unidad externa de nada menos que 10 TB con conexión USB 3.0 y un precio estupendo, 188,99 euros en Amazon. Brutal
  • Samsung Galaxy S10e: el telefonazo compacto con 5,8”, Exynos 9 Octa 9820, 6 GB de RAM, 128 GB de capacidad (ampliables), cámara dual 12+16 MP, 3.100 mAh lector de huella en el lateral. Está a 559 euros en eBay.
  • Windows 10 Pro: una licencia para el sistema operativo de Microsoft a 2,99 euros. Te la mandan por correo junto a algunas instrucciones. Está a 2,99 euros en eBay, perfecta para esos equipos que se venden sin sistema operativo.
  • Xiaomi Mi 9: atentos, chicos. AMOLED 6,39” , Snapdragon 855, 6 GB de RAM, 64 GB de capacidad, huella dactilar en pantalla, carga inalámbrica y rápida, cámara triple (48+12+16 MP). Está a 401 euros en Banggood con el cupón 4BGM964. Otra alternativa: está a 449 en Amazon.
  • Xiaomi Redmi Note 7: 6,3” (mininotch), Snapdragon 660, 4 GB de RAM, 128 GB de capacidad (ampliables), 4.000 mAh de batería, minijack y cámara dual de 48+5 MP realmente estupenda. Está a 201,63 euros en Banggood con el cupón 4BGN7128. La versión de 3 GB de RAM y 32 GB de capacidad del Redmi Note 7 está lógicamente más barata, tan solo 146 euros en AliExpress con el cupón “aliexpress19068. Y otra opción más, 4 GB de RAM, 64 GB de capacidad por 165 euros en AliExpress con el cupón AliExpress19215
  • Suscripción EA Access 12 meses: un año entero para disfrutar un catálogo estupendo de juegos para la Xbox One como si fueran tuyos. Los instalas y a disfrutar. Está a 18,89 euros en CDKeys.
  • Auriculares inalámbricos Xiaomi AirDots TWS: los competidores de los AirPods de Apple con Bluetooth 5.0, 4 horas de autonomía y 12 más en el estuche, control táctil. Están a 22,74 euros en GearBest con el código 321U9GID
  • PocoPhone F1: telefonazo de 6,1”, Snapdragon 845, 6 GB de RAM, 128 GB de capacidad, cámara dual (12+5 MP), 4.000 mAh. Nunca lo había visto a este precio en esa versión de 128GB. Está a 279 euros en GearBest envío desde España, garantía 2 años.
  • Unidad SSD SanDisk 2 TB: una estupenda opción para quienes necesitéis mucha capacidad y mucha velocidad. 2 TB en SSD es una pasada, creedme. Está a 207 euros en Amazon Alemania, envío incluido.
  • Módulo Ballistix Sport RAM DDR4 16 GB: sigue bajando la memoria, y este módulo de 16 GB lo demuestra: DDR4, PC4-2400, color gris, está a 81 euros en Amazon Alemania envío incluido. Póngame dos (por aquello de aprovechar las memorias dual-channel).
  • Impresora multifunción Canon Pixma TS3150: imprime, escanea y copia, con WiFi, Pixma Cloud Link, inyección, impresionane por 33 euros en AliExpress con el cupón plazaoff. En Amazon muy barata también, 39 euros.
  • Patinete eléctrico Xiaomi Mijia M365: el referente. Plegable, 30 km de batería, 25 km/h, doble freno, en color negro, está a 303 euros en Banggod con el código plrosku, en Amazon sale por 412 euros.
  • Auriculares gaming Logitech G432: unos cascos de diadema con micrófono, sonido envolvente 7.1 perfecto para detectar a tus enemigos en FPS solo con el audio. Está a 55 euros en Aliexpress con el código plazaoff.
  • Tarjeta gráfica Zotac RTX 2060: estupenda opción para jugar a toda potencia. Una GeForce RTX 2060 con 6 GB de memoria GDDR6, y todas las mejoras de la arquitectura Turing (Ray-tracing, DLSS). Está a 339,99 euros en Amazon.
  • Xbox Game Pass 6 meses: en un pack de dos códigos digitales de 3 meses cada uno. Rebaja del 50% para este servicio que te permite jugar a cerca de 200 juegos de la Xbox One como si fueran tuyos. Mola, y está a 29,99 euros en Amazon.
  • Xiaomi Mi A2: la versión global de este móvil de 5,99″ con un Snapdragon 660, 4 GB de RAM, 32 GB de capacidad (no ampliables), cámara dual 12+20. Está a 131,60 euros en AliExpress con el código aliexpress19084. El modelo con 4/64 GB está en Amazon a 152 euros
  • Auriculares i12 TWS: unos auriculares inalámbricos BT 5.0 con control táctil, diseño “inspirado” (ja) en los AirPods. Están a 15,15 euros en GeekBuying con el cupón JJVWTEUK
  • Office 2019 Professional Plus: licencia para un PC, solo para Windows 10, licencia perpetua, envío del código de licencia por correo. Se dan instrucciones para descarga, instalación y aplicación. Está a 10,60 euros en Amazon.
  • Portátil Chuwi HeroBook: un 14,1″ HD con un Intel E800 quad-core, 4 GB de RAM, 64 GB de capacidad (ampliable con SSD M.2), Windows 10, 38 Wh batería. Modesto pero simpático sobre todo por su precio, 191 euros en Aliexpress con cupones.
  • Portátil gaming Asus R570ZD: un 15’6” FullHD con un AMD Ryzen 5 2500U, 8 GB de RAM, 256 GB SSD, GTX 1050 (2GB), teclado en español, puerto RJ-45, USB-C, peso de 2,3 kg (no es una pluma). Sin Windows, ojo. El precio es estupendo, 554 euros en Amazon
  • Xiaomi Mi A2 Lite: versión global, 5,84” Snapdragon 625, 3 GB de RAM, 32 GB capacidad (ampliable), cámara dual 12+5 MP, 4.000 mAh batería, Android One puro. Increíble que cueste 126,89 euros en Banggood con el cupón 4BGA2L3
  • Bolígrafo Xiaomi Mijia Pen + 3 recambios: el boli de 0,5 mm con tecnología suiza (o eso dicen) que enamora. Yo ya he comprado varios, y la verdad es que molan, y por este precio, más. El boli + tres recambios sale por 3,57 en AliExpress.
  • Huawei Honor 10 Lite: 6,21”, CPU Kirin 710, 3 GB de RAM, 64 GB de capacidad (ampliables), cámara dual trasera (13+13 MP), frontal de 24 MP, 3.400 mAh, lector de huellas y hasta NFC para pagos móviles. Está a 194 euros en AliExpress con el cupón “plaza1
  • Portátil Xiaomi Mi Notebook Pro: 15,6 pulgadas FullHD, Core i5-8250U, 8 GB de RAM, 256 GB PCIe SSD, expansión M.2, GeForce MX150, lector de huella, teclado en inglés (te regalan pegatinas). Está a 765 euros en AliExpress. Envío desde España en 5 días.
  • Portátil Jumper EzBook 3 Pro: modesto pero perfecto para viajes o niños: 13,3 pulgadas FullHD (!!), Intel Celeron N3450, 6 GB de RAM, 64 GB eMMC (slot M.2), salida HDMI, peso 1,39 kg, Windows 10, teclado EEUU. Está a 199,78 euros en AliExpress

¿Quieres recibir un correo de aviso cuando publique nuevas entradas?

Standard

14 comentarios en “Redescubriendo Internet Explorer 8

  1. Yo sigo el blog de Chema Alonso tambien, pero este tipo de presentaciones sobre el IE realizadas por uno de los involucrados… me da mucho repelus.

    Solo se me ocurre un… “No muerdas la mano que te da de comer”

    Saludos

  2. Lobo dice:

    Me parece que en esa charla no trataron un punto, que es mar de importante, y es cuanto tiempo tarda las companias atras de cada browser en solucionar las vulneabilidades, para mi es mas que importante, y esos datos sabemos que microsoft nunca va a mostrar, ya que si mozilla tardo hace poco no mas de 3 o 4 dias en solucionar una falla grave, microsoft no tarda nunca menos de 1 mes en solucionarlos (claro que si lo soluciona).
    Y como esta escrito es un evento de microsoft, los numeros presentados seran cosas buenas para ellos y si ahi que manipularlos para que sea asi, lo haran asi que mucha confianza no me dan.

  3. Hola,

    por alusiones en este post voy a contestar a algunos de los comentarios.

    @Pablo, gracias por seguirme }:)) Hemos dejado el documento para que lo reviséis.

    @Salva, el link de wikipedia no es ni medio comparable con el CVE y Secunia, datos que tienes en el informe para comparar las vulnerabilidades. Nadie que trabaje en seguiridad diría lo que tu has dicho.

    Respecto a lo de ActiveX y ser un agujero es una opinión personal tuya. Los plugins de FF están demostrando ser la mayor fuente de malware en FF y tienes un estudio de Symantec titulado “FF y el Malware” donde lo analizan en detalle.

    Y respecto a lo de seguridad por oscuridad es cierto, pero te equivocas en la mayor. Microsoft basa su seguridad en TCI, Threat Modeling, Secure Development Lifecycle, etc… creados por algunos de los mayores expertos de seguridad, como Michael Howard, Crispin Cowan o Mark Russinovich.

    MS no publica el código por protección de sus activos, no por seguridad.

    Saludos!

  4. fartus dice:

    Hola Chema.

    Reconozco que no dispongo de la cualificación necesaria para basar mis argumentos en cosas como ‘TCI, Threat Modeling, Secure Development Lifecycle, etc€¦’ que, efectivamente, no se que significan y creeme no tengo ningún interés en conocer. Lo que si te diré es que por mi trabajo me paso horas y horas facturadas a mis clientes con su antivirus perfectamente instalado y actualizado y un sistema operativo perfectamente secuestrado por mil y una variantes de spyware, malware, gusanos y vete tu a saber que.

    Afortunadamente la solución es bien sencilla. Cambiar el navegador por defecto puesto que como todos sabemos es imposible desinstalar Internet Explorer. Sabe Dios que esta medida funciona.

    Lo de que ActiveX no es un agujero de seguridad y que son opiniones personales de Salva me hace gracia después de tantos y tantas actualizaciones de seguridad relativas a esta tecnología.

    Y recuerda: una vulnerabilidad en el navegador del 80 % de los internautas es una amenaza para el 80 % de los internautas. No se si compensarán esas supuestas ventajas.

    Saludos!

  5. Jose dice:

    A mi me hace gracia esto de las GPO. Eso de que son imprescindibles y ayudan a controlar posibles vectores de infección…. Me temo que en cualquier entorno empresarial lo primero que se va a encontrar un navegador es un proxy (o proxy transparente) filtrando todo lo que entra. Decir que un navegador es más seguro por soportar algún tipo de gestión centralizada como la de las GPO… en fin. Ponte un cortafuegos, y un proxy. Empieza a filtrar por ahí. Curiosamente esta solución tan empresarial permite controlar mucho más que “IEs” y sin un Windows de por medio.

    Una vez has acabado con los ataques más evidentes de los sitios conocidos, te queda que esos ActiveX, páginas o scripts, que han pasado el primer filtro no sean capaces de tomar el control de la pila. Flash es uno de los coladores más amplios e interesantes en este sentido, aunque también en otros muchos.
    Por si fuera poco, y a parte de los primeros ataques en la intercepción del arranque del sistema operativo (en los primeros RCs de Vista), DEP y ASLR (¿aleatorio? ¿no será pseudo-aleatorio?) están en el punto de mira (si no se los han cargado ya). ¿Le da esto más seguridad al navegador?

    Podría seguir así con gran parte del documento. ¿Es más seguro el navegador por destacar los certificados “de la barra verde”? Ja! Al menos una de las CAs que menciona Chema es, por decirlo suavemente, insegura. La virtualización de las claves del registro no es más que la resolución a un problema que el propio Microsoft ha creado, y el conteo de vulnerabilidades es una completa falsedad:

    Por un lado, Microsoft no publica las vulnerabilidades de forma regular (solo las que le da la gana), mientras que los abiertos si lo hacen (y aprovecha esta situación así como las discusiones abiertas para seguirlas de cerca y tomar buena nota). Y en el periodo de la muestra estadística los navegadores han cambiado de versión como el que cambia de ropa interior, todos excepto el de la compañía de Redmond. Por cierto, estos cambios de versión suelen servir para algo…

    Mientras que Mozilla o Chromium ponen sobre la mesa sus códigos, Microsoft se guarda los de IE (me da igual la finalidad) y los mantiene vivos durante años. BlackHat tras BlackHat aparecen pruebas de que todas estas medidas no son efectivas, y lo peor es que este tipo de conferencias son solo la punta del iceberg.

    Por mi parte procuraré seguir evitando IE como la peste e instalando Chrome e Firefox allá donde me dejen. Gracias a esta actitud he conseguido no ver uno de esos “Malwares” en mucho tiempo, a pesar de que Symantec diga que los más peligrosos sean los de Mozilla…

    Curioso que estos datos tan reveladores vengan siempre de gente relacionada intimamente con Microsoft (MVPs, empleados) o tengan productos en este mercado (Symantec).

    Por cierto, me quedo con la intriga, ¿Cuáles son esos estándares que Google promueve en contra de Microsoft?

  6. Manípulo dice:

    Pero Chema, ¿como se te ocurre lanzar una noticia a favor de un producto de Microsoft? ¿No sabías de antemano que se iban a lanzar como una jauría a por tu cuello? ¿Es que no sabes que está prohibido en estos tiempos decir algo bueno sobre un producto de MS?

  7. Manípulo dice:

    Yo creo que hacer caso de estudios especializados es poco de fiar. Es mucho más fiable la opinión de gente objetiva la de los expertos imparciales que todos sabemos que son los jovencitos linuxeros. Si hay que aceptar algún estudio serio que sea de Google.

  8. Bueno, parece que este tema se ha desmandado un poquito.

    En primer lugar, Chema, saludetes. Para que me sitúes, nos estuviste contando a Gus y a mí lo que había pasado con la salida de los estándares ECMA mientras nos trapiñábamos las bolas esas de chocolate Jedi.

    Para los demás, que parecéis bastante más informados que yo en este tema, es complicado debatir sobre algo tan delicado como la seguridad por correos o mediante comentarios en un blog: la presentación es interesante, pero está incompleta sin los comentarios que iba haciendo Chema sobre la marcha.

    Lo que está claro es que como dice Salva, aquí cada uno tiene su culo. Digo, su opinión. Veo que todos tenéis vuestros argumentos, pero los datos de Chema, por muy MVP de Microsoft que sea, proceden de estudios de organizaciones muy reputadas en este segmento, así que esa hipotética falta de objetividad parece complicada de argumentar. Vale, para alguien que trabaja y respira Microsoft probablemente barrer para casa sea lo más habitual (mirad a Thurrot, que es un crack en eso), pero yo sinceramente creo que este no es el caso.

    Pero también tengo que admitir que los comentarios de Jose (muy bien escrito, qué gozada no ver faltas de ortografía y todo bien separadito, majo) y Salva o fartus (buen punto lo del 80%) tienen su punto.

    Eso es lo grande de los blogs. Que invitan a la conversación. Y que aprendes. Yo ya con este post y sobre todo con los comentarios tengo un poquito más claro los conceptos en este tema, así que gracias 🙂

    Y Jose, Chema ha contestado antes a lo de los estándares, así que todo aclarado 😉

  9. ava dice:

    Javi, un detalle importante sobre el que no has hecho ninguna advertencia: el análisis se centra en navegadores sobre plataformas Microsoft Windows Vista y Microsoft Windows 7.

    Y me parece un detalle que no puede ser pasado por alto. Poner a competir, por ejemplo, a IE y Safari limitando el ámbito del análisis a Windows no me parece lo suyo; por no decir que da la sensación de pretender dar una visión sesgada y parcial de la realidad. Me quedo con la curiosidad, por ejemplo, de ver cómo quedarían los resultados pareando navegadores-SO de referencia (IE-Windows vs Safari-Mac OS, etc.)

  10. @ava, me parece muy interesante lo que propones, pero, al margen de las opciones dependiente de la plataforma, tienes en el paper toda la info sobre la herramienta en la parte de vulnerabilidades, ingeniería social, soporte a certificados nacionales, etc…

    Saludos!

  11. Felicidades Javi pues con el post la has dado de lleno. De Chema decir que es un gran comunicador y al resto gracias por el fantastico debate. La verdad es que cada uno tiene su razon y con el debate sono seguro que todos salimos ganando.

  12. Pingback: Google Chrome, vertiginoso e imparable | Incognitosis

  13. Pingback: TEDxRetiro, un evento gratuito que no tiene precio | Incognitosis

Comentarios cerrados