Forums Últimos mensajes - Powered by IBM
 
Tags Palabras claves

Pros y contras de drástica decisión de Microsoft

08/02/2004 - 18:32 por Ille Corvus | Informe spam
Ayuda Hacer una pregunta
Fuente: http://www.vsantivirus.com/ev-07-02-04.htm

-
Pros y contras de drástica decisión de Microsoft
http://www.vsantivirus.com/ev-07-02-04.htm

Por Enciclopedia Virus (*)
http://www.enciclopediavirus.com/

[Publicado con autorización de Enciclopedia Virus]

Algunos desarrolladores de páginas Web, se están quejando duramente de
que el último parche para el Internet Explorer, ha quitado algunos
usos, que según ellos, no significaban un riesgo para la seguridad.

La semana pasada, Microsoft anunció una modificación a su navegador
que pondría fin a la insegura práctica de incluir información
confidencial en los enlaces. La actualización liberada el martes, hizo
que algunos desarrolladores se levantaran en armas antes de las
primeras 24 horas, debido a que muchos usuarios no podían ingresar
correctamente a sus sitios.

"Microsoft podría tener muy buenas razones para hacer esto, pero la
forma en que lo resolvieron, quitando de raíz un estándar de la
industria, es algo muy molesto", dijo uno de los programadores
afectados. Él y otros, pasaron buena parte de la noche del martes
cambiando las páginas y la forma de conexión de muchos de sus sitios
que requieren este tipo de autenticación, que ya no es válido para
quienes han instalado el último parche del IE.

Curiosamente, hace ya más de dos años que Microsoft prometió dar
preferencia a la seguridad, antes que a alguna característica que
facilite el uso de sus programas, y ésta sería la primera vez que
cumple cabalmente con su promesa. Según muchos de sus críticos, desde
el anuncio de Bill Gates al respecto, no se habían visto muchos
resultados hasta ahora.

La respuesta de Microsoft a las críticas de los programadores, es que
la mayoría de sus clientes, a través de su centro de respuestas, han
pedido mayor seguridad, y eso es lo que le han dado con estos cambios.

El problema ocurre porque algunos programadores, desarrollan sus
sitios para que un usuario se autentifique ingresando sus credenciales
en el propio URL, algo como "http:/
/nombre:contraseña@sitio_y_página_web".

De ese modo, el nombre de usuario y contraseña se envían como parte de
la dirección de la página o recurso Web a acceder, sin ninguna clase
de cifrado. Esto se considera un grave riesgo a la seguridad, en
opinión de la mayoría de los profesionales del tema. "Además, hay
muchas otras formas de entrar a un sitio validándose correctamente",
opinan estos.

Pero la mayor presión para que Microsoft cambiara radicalmente esta
característica, es el uso fraudulento realizado de la misma por muchos
delincuentes que idearon la forma de hacer creer al usuario que estaba
ingresando a un sitio legítimo, y de ese modo obtener datos críticos
que le permitían conseguir importantes ganancias económicas, en
perjuicio de usuarios y organizaciones.

Por ejemplo, un enlace que parece apuntar a un banco, estaría llevando
al usuario, al sitio del estafador: http:/
/www.banco-verdadero@sitio-del-estafador.com.

En el sitio falso, un formulario puede pedir cualquier dato, desde
contraseñas a números de seguridad de tarjetas de crédito o cuentas
bancarias, con el consiguiente perjuicio para la víctima.

La técnica que utiliza la suplantación de un sitio o persona real por
uno falso, se llama "phising", y ha estado muy de moda desde que se
describió en Internet una forma de valerse con engaños de la
característica ahora quitada de raíz por Microsoft de su navegador.


(*) Este artículo, original de Enciclopedia Virus
http://www.enciclopediavirus.com, es publicado en VSAntivirus.com con
la respectiva autorización. Los derechos de republicación para su uso
en otro medio, deberán solicitarse en
http://www.enciclopediavirus.com/co.../index.php

Artículo original:
http://www.enciclopediavirus.com/no...a.php?id89
-



Ille Corvus. Hic et Nunc.

Meritorios de Filtrado (Kill-file):
jm tella llop (2003.10.25)
email Siga el debateRespuesta 11 respuestasRespuesta Tengo una respuesta

Preguntas similare

Leer las respuestas

#11 Ille Corvus
10/02/2004 - 13:58 | Informe spam
El Tue, 10 Feb 2004 10:11:59 +0100, "Fernando Reyes [MS MVP]"
escribio:

(Punto 1).Fernando Reyes:

"la RFC no contempla ya este tipo de validacion": FALSO porque no
existe NINGUN documento donde especifique SU AFIRMACION.

"pues no hay navegador que respete mas la RFC 2616 y, por tanto, que
mas innove": SI innova 0,23% de las RFC (7/8 para sus productos
exclusivamente).
Es decir, la RFC no contempla ya este tipo de validación. Así pues,
acusar de que no se respentan los estandares y no se innova es estar
equivocado u obrar de mala fe, pues no hay navegador que respete más
la RFC 2616 y, por tanto, que más innove, en este sentido de
construcción de UR'sL.




(Punto 1).Esta fue mi respuesta: Puede comprobar estos datos usted o
cualquiera, cuando se hable de innovar documentese:
Innovacion perdoneme no me haga de reir (si de reir)...

Hay 3454 RFC (Request For Comment) que regula los protocolos
estandar a fecha Enero-2003.

Solamente 8 de ellas han sido de microsoft, LEA OCHO SOLO...lo que
representa un 0,23% del total...es decir...debemos dar las gracias a
microsoft por aportar en el avance tecnologico de Internet el
0,23%...¡¡¡GRACIAS MICROSOFT!!!

Sigo...de estas OCHO SOLO aportaciones de innovacion tecnologia,
SIETE se refieren EXCLUSIVAMENTE a productos de microsoft, como dato
la mas antigua es de MARZO-1997...vea como innova microsoft...


* * * * * * * * * * *


Todo esto ¿Tiene algo que ver con el tema del hilo iniciado por tí mismo, en
referencia al cuál va mi respuesta? Para variar, sólo te interesa atacar a
quien atacas: MS. Como vemos en este hilo, si lanzas un ataque y este es
como un boomerang, que se da la vuelta y te arrea en los morros, rápidamente
cambias de tema y otro ataque por otro lado, vaya a ser que se vea que NO
TIENES RAZÓN. Hablar contigo es meterse en diálogos de besugos y no me
apetece que se me ponga cara de pez, merluzilla.



Tiene que ver usted ha mencionado que no hay nadie que innove tanto,
y le he puesto los DATOS de dicha innovacion, si quiere tambien puedo
decirle que RFC no cumple...es bien facil...

Tal vez le asuste cuantas no cumple, y se sale del estandar RFC
(entre otros estandares que no cumple).

Podría caer en la trampa y rebatirte este nuevo ataque, pero te vas a quedar
con las ganas, guapita de almorrana: tú a mí no me toreas.



No es ninguna trampa, son DATOS de innovacion que puede cotejar
cualquiera.

Veo que la educacion con respecto a cualquier persona, no es su
fuerte pero debe ser alguna norma del ["titulo"]...

Que no te de palmadas el chichi, no pienses que careé en tus redes: sólo te
he respondido por aclarar ante otros ojos que pudieran leerlo el error que
cometías con tus "apreciaciones" (entre comillas porque tú más bien lo que
pones son sentencias, que para tu desgracia no puedes ejecutar). Fin de hilo
por mi parte, me da igual que me digas lo que me digas, así que cuidado no
te manches con tus espumarajos.



El "error" es de su lado.

Es evidente que no se le pueden presentar DATOS que cualquiera
incluso usted puede comprobar, o es que le asusta la ver la luz...



Ille Corvus. Hic et Nunc.

Meritorios de Filtrado (Kill-file):
jm tella llop (2003.10.25)
email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una pregunta AnteriorRespuesta Tengo una respuesta
Search Busqueda sugerida