26 de septiembre de 2006

Firefox tiene más fallos de seguridad que IE. ¿Y qué?

Los pro-Microsoft se están poniendo las botas con esta noticia, que cuenta como Firefox ha tenido 47 fallos de seguridad en los últimos seis meses, mientras que Internet Explorer solamente ha tenido 38.

Si, exactamente. Firefox 47 - IE 38, Firefox perdedor por goleada.

No es una buena noticia. Y sin embargo, no se de qué se sorprende la gente. Hace más de un año, y quizás aun más, predije que Firefox en el futuro podría superar fácilmente el número de fallos de seguridad de IE, aunque creo que he borrado el mensaje por desgracia. La razón es de lo más simple: Firefox/Mozilla ha cambiado, Internet Explorer no. Con esto quiero decir que la base de código de Firefox ha estado evolucionando los últimos 4 años, e Internet Explorer no.

Los fallos de seguridad se introducen cuando se cambia código, y se introduce más código cuando se introducen nuevas características y se modifican las existentes. Cuando dejas de modificar un programa y te dedicas tan solo a arreglar fallos, el programa se hace más seguro y estable porque estás tapando agujeros sin crear agujeros nuevos. Esta es la razón por la que auténticas bazofias en materia de seguridad como sendmail o bind son más o menos seguras: Se han encontrado tantos fallos que es ya dificil encontrar fallos nuevos. Si, hay programas mas o menos seguros, plataformas más o menos seguras, pero a grandes rasgos lo que acabo de decir afecta a todo tipo de programas.

Firefox tiene fallos porque lleva los últimos 4 años (los primeros años en mozilla, cuando aun no existía firefox) cambiando, evolucionando, mejorando el soporte de estándares, implementando estándares nuevos. Y todo esto sobre una base de código nueva, la de mozilla, que tampoco había ganado en el pasado la suficiente cuota de mercado como para hacer que los crackers buscaran agujeros, con lo cual Firefox heredó una base de código relativamente poco probada.

Eso es en esencia lo que hace que Firefox tenga esta cantidad de fallos. Sin embargo, los cambios que han producido esos fallos son los mismos que han hecho posible el éxito de Firefox. El Ying y el Yang. El precio que hay que pagar. Esa balanza se puede intentar desequilibrar con métodos de desarrollo seguros, lenguajes, ayudas del compilador, talento, pero tan solo se consigue desequilibrar ligeramente, la esencia nunca se modifica. Probablemente sea posible instaurar un régimen de desarrollo y de control de calidad que mejore las estadísticas de seguridad de Firefox (y no hay que olvidarse de ello), pero lo esencial nunca cambiará. Firefox solamente empezará a tener menos fallos de seguridad cuando madure y se estabilize la base del código, que ocurrirá algún día.

Pero el fracaso de Firefox no significa que Internet Explorer se libre de la quema. De hecho, las estadísticas anteriormente citadas me parecen mucho más desfavorables para Internet Explorer. ¿Por qué? Porque como he mencionado antes, cuando un programa deja de modificarse, se estabiliza, como pasa con sendmail y bind. Sin embargo, Internet Explorer no ha sufrido cambios radicales en su estructura durante cuatro años, y aun despues de todo este tiempo sigue teniendo una altísima cifra de fallos de seguridad (el único cambio que ha sufrido son los del XP SP2, una distinta gestión de los "objetos" y las zonas de donde provienen, y un retoque a la manera de gestionar el active x, nada radical realmente, y cero cambios al renderizador de páginas).

¿Por qué Internet Explorer no se estabiliza, como le ocurre a otros programas? ¿Por qué un programa que a estas alturas debería ser sólido como una roca y debería tener un índice de fallos de seguridad bajísimo llega a unas cifras que aun si son mas bajas que antes siguen siendo escandalosas? Se me ocurre una buena respuesta, que tiene que ver con la calidad del código de Internet Explorer, pero mejor lo dejo a la imaginación de cada uno. Firefox se ha dedicado en los últimos años a mejorar hasta el punto de que ya pasa el ACID2. Internet Explorer, sin embargo, está en la edad de piedra aun en la versión 7.0. Internet Explorer 7 traerá más fallos de seguridad a la cuenta de Internet Explorer, pero el soporte de estándares sigue siendo escandaloso. Tal vez tengamos que esperar a Internet Explorer 8.0 para ver el número de fallos de seguridad que introduce su implementación. Claro que por aquel entonces, Firefox tambien será muy distinto. La realidad es que Internet Explorer se ha convertido en un tipo de aplicación muy, muy, muy distinta a Firefox, Opera y el resto de navegadores, hasta el punto que es algo dificil hacer comparaciones.

2 comentarios:

  1. Anónimo2:42 a. m.

    AHORA MISMO EL %29 DE USUARIOS DE INTERNET NAVEGAN CON FIREFOX !!!
    DIFUNDELO, DEJEMOS EL MONOPOLIO DE INTERNET EXPLORER....
    FIREFOX TIENE:
    * MAS SEGURIDAD
    * MAS VELOCIDAD
    * GRATIS
    * MULTI-PLATAFORMA
    * ACTUALIZACIONES GRATUITAS
    * SE INSTALA AL INSTANTE
    * ANTI-PISHING
    * EVITA LOS POP-UPS

    Mas info y Descarga: http://www.clicya.com/firefox

    UNETE A NOSOTROS, PELEA POR LA LIBRE ELECCION

    ResponderEliminar