La seguridad viene por caminos inesperados

En The dirty secret of browser security #1 una pequeña provocación:

The security of a given browser is dominated by how much effort it puts into other peoples’ problems.

Y se nombran algunas medidas que han tomado los navegadores para evitar los problemas que ocasionan los defectos que introducen otros desarrolladores que afectan al funcionamiento del navegador, como pueden ser los plugins: esencialmente una mezcla de preocuparse de los eslabones más débiles de la cadena (gente con menos incentivo que los desarrolladores oficiales, en este caso) y la compartimentalización adecuada (aislar componentes y dificultar su funcionamiento cuando son problemáticas).

Anuncios

Firefox y el ‘malware’

Me ha parecido bastante interesante Firefox and Malware. When Browsers Attack (pdf): nos habla de los problemas de seguridad que pueden traernos las extensiones del conocido navegador (además pueden ser de utilidada para otros sistemas de distribución de programas y ‘add-ons’). También las medidas que han ido adoptando los desarrolladores para aligerar o evitar estos inconvenientes.

¿En qué idioma habla tu web?

Un artículo curioso en Language Detection: A Witch’s Brew? donde nos dan pistas de cómo comportarnos (nuestra aplicación, claro) cuando alguien se conecta y tenemos un sistema en varios idiomas:

* Use Accept-Language – it just works
* Use IP detection as a fallback for language, or a separate test to determine jurisdiction
* Cookie your visitors’ language preferences, so you are consistent
* Provide a simple way to switch language, everywhere
* Treat language and compliance issues as two entirely separate problems

A mi me parece especialmente relevante la cuarta, porque siempre es mejor un buen original en inglés que una mala traducción y algunos sitios se empeñan en mostrarte tu idioma (aunque no lo hablen muy bien o no ofrezcan todas las características) y/o en preguntarte cada vez que entras por el idioma (caducan las cookies, cambian el mecanismo …).

La seguridad, los navegadores y las actualizaciones

Este es un tema que me gusta mucho recordarlo (Los parches hay que aplicarlos) y con el que hay que tener la debida prevención (Cuidado con las actualizaciones automáticas).

No sé donde lo encontré pero me parece interesante el artículo Understanding the Web browser threat: Examination of vulnerable online Web browser populations and the “insecurity iceberg”.

El ‘iceberg’ de la inseguridad se refiere a los usuarios de navegadores que no usan la versión más actualizada del programa, viéndose sometidos a riesgos innecesarios.

… we discovered that at most 83.3% of Firefox users, 65.3% of Safari users, 56.1% of Opera users, and 47.6% of Internet Explorer users were using the latest most secure browser version on any day between January 2007 to June 2008. For the latest version analysis of Safari, we only considered the date range Dec 2007 to June 2008, when Safari version 3 became widespread

Y más tarde:

It is noteworthy that it has taken 19 months since the initial general availability of IE7 (public release October 2006) to reach 52.5% proliferation amongst users that navigate the Internet with Microsoft’s Web browser. Meanwhile, 92.2% of Firefox users have migrated to FF2.

Habla bien del mecanismo de Firefox:

We believe the auto-update mechanism as implemented within Firefox to be the most efficient patching mechanism of the Web browsers studied. Firefox’s mechanism regularly polls an online authority to verify whether a new version of the Web browser is available and typically prompts the user to update if a new version exists. With a single click (assuming that the user has administrative rights on the host), the update is downloaded and installed. Just as importantly, Firefox also checks for many of the currently installed Firefox plug-ins if they are similarly up to date, and, if not, will prompt the user to update them.

Y, claro, la recomendación:

Based upon our findings, we strongly recommend that software vendors embrace auto-update mechanisms within their products that are capable of identifying the availability of new patches and installing security updates as quickly and efficiently as possible – ideally enabled by default and causing minimal disruption to the user. We also recommend that these same auto-update mechanisms are capable of alerting the user of any plug-ins currently exposed through the Web browser that have newer and more secure versions available.

Se puede ver en otros formatos, como en pdf, las transparencias para vagos gente más ocupada e incluso en vídeo.

La seguridad, los navegadores y las actualizaciones

Este es un tema que me gusta mucho recordarlo (Los parches hay que aplicarlos) y con el que hay que tener la debida prevención (Cuidado con las actualizaciones automáticas).

No sé donde lo encontré pero me parece interesante el artículo Understanding the Web browser threat: Examination of vulnerable online Web browser populations and the “insecurity iceberg”.

El ‘iceberg’ de la inseguridad se refiere a los usuarios de navegadores que no usan la versión más actualizada del programa, viéndose sometidos a riesgos innecesarios.

… we discovered that at most 83.3% of Firefox users, 65.3% of Safari users, 56.1% of Opera users, and 47.6% of Internet Explorer users were using the latest most secure browser version on any day between January 2007 to June 2008. For the latest version analysis of Safari, we only considered the date range Dec 2007 to June 2008, when Safari version 3 became widespread

Y más tarde:

It is noteworthy that it has taken 19 months since the initial general availability of IE7 (public release October 2006) to reach 52.5% proliferation amongst users that navigate the Internet with Microsoft’s Web browser. Meanwhile, 92.2% of Firefox users have migrated to FF2.

Habla bien del mecanismo de Firefox:

We believe the auto-update mechanism as implemented within Firefox to be the most efficient patching mechanism of the Web browsers studied. Firefox’s mechanism regularly polls an online authority to verify whether a new version of the Web browser is available and typically prompts the user to update if a new version exists. With a single click (assuming that the user has administrative rights on the host), the update is downloaded and installed. Just as importantly, Firefox also checks for many of the currently installed Firefox plug-ins if they are similarly up to date, and, if not, will prompt the user to update them.

Y, claro, la recomendación:

Based upon our findings, we strongly recommend that software vendors embrace auto-update mechanisms within their products that are capable of identifying the availability of new patches and installing security updates as quickly and efficiently as possible – ideally enabled by default and causing minimal disruption to the user. We also recommend that these same auto-update mechanisms are capable of alerting the user of any plug-ins currently exposed through the Web browser that have newer and more secure versions available.

Se puede ver en otros formatos, como en pdf, las transparencias para vagos gente más ocupada e incluso en vídeo.

La seguridad, los navegadores y las actualizaciones

Este es un tema que me gusta mucho recordarlo (Los parches hay que aplicarlos) y con el que hay que tener la debida prevención (Cuidado con las actualizaciones automáticas).

No sé donde lo encontré pero me parece interesante el artículo Understanding the Web browser threat: Examination of vulnerable online Web browser populations and the “insecurity iceberg”.

El ‘iceberg’ de la inseguridad se refiere a los usuarios de navegadores que no usan la versión más actualizada del programa, viéndose sometidos a riesgos innecesarios.

… we discovered that at most 83.3% of Firefox users, 65.3% of Safari users, 56.1% of Opera users, and 47.6% of Internet Explorer users were using the latest most secure browser version on any day between January 2007 to June 2008. For the latest version analysis of Safari, we only considered the date range Dec 2007 to June 2008, when Safari version 3 became widespread

Y más tarde:

It is noteworthy that it has taken 19 months since the initial general availability of IE7 (public release October 2006) to reach 52.5% proliferation amongst users that navigate the Internet with Microsoft’s Web browser. Meanwhile, 92.2% of Firefox users have migrated to FF2.

Habla bien del mecanismo de Firefox:

We believe the auto-update mechanism as implemented within Firefox to be the most efficient patching mechanism of the Web browsers studied. Firefox’s mechanism regularly polls an online authority to verify whether a new version of the Web browser is available and typically prompts the user to update if a new version exists. With a single click (assuming that the user has administrative rights on the host), the update is downloaded and installed. Just as importantly, Firefox also checks for many of the currently installed Firefox plug-ins if they are similarly up to date, and, if not, will prompt the user to update them.

Y, claro, la recomendación:

Based upon our findings, we strongly recommend that software vendors embrace auto-update mechanisms within their products that are capable of identifying the availability of new patches and installing security updates as quickly and efficiently as possible – ideally enabled by default and causing minimal disruption to the user. We also recommend that these same auto-update mechanisms are capable of alerting the user of any plug-ins currently exposed through the Web browser that have newer and more secure versions available.

Se puede ver en otros formatos, como en pdf, las transparencias para vagos gente más ocupada e incluso en vídeo.

La privacidad y los navegadores

En Cleaning Up After Cookies (pdf) un resúmen de Katherine McKinley sobre la privacidad y los navegadores: parece que no todos cumplen lo que prometen y, lo que es peor, ninguno es muy hábil con la privacidad controlada por los ‘elementos añadidos’ al navegador, como puede ser el Flash, Google Gears y otros.