Firefox es más seguro de lo que comenta Microsoft

supongamos que le creo a Microsoft, ¿usare su navegador?, creo que no, ya que, aunque sea técnicamente mas seguro, es a su vez el mas explotado, mas atacado y por tanto mas inseguro en la PRACTICA. Los mayores y mas críticos ataques hechos últimamente tienen a IE de por medio. Tendrá que pasar tiempo para que Microsoft demuestre con HECHOS la seguridad de su navegador, pero realmente es difícil ya que esto es como un incentivo para los crackers.

Si te fijas en la seccion de comentarios de la web que posteas, el propio Chema responde a algunas preguntas planteadas en el blog.

No te preocupes que no me sulfuro, de hecho ahí están todos los comentarios originales sin tocar un pelo. No hay ningún problema en que comentéis lo que os apetezca (para eso están), pero lo que no va a pasar es un linchamiento al hombre en una entrada en la que simplemente se dice que Firefox sigue siendo relativamente seguro y que no se merece esos palos que le llegan. ¡Uf, qué fuerte, cómo puede decir eso!

Tengo que reconocer que, aunque no suelo responder las descalificaciones, sí que soy una presa fácil para las personas que me tratan con condescendencia, que no me conocen y creen que me sacaron de la selva tropical para escribir por aquí.

El kit de la cuestión es que, aunque en principio intente ser respetuoso en la entrada, parece que he tocado la fibra sensible al criticar un informe hecho por un "famoso" blogger sobre software (sobre todo Microsoft y el mundo empresarial). Los parroquianos de su lugar han venido aquí a reírse de no se sabe muy bien qué como si esto fuera jauja. Y no.

Víctor, el problema es que leemos este blog para enterarnos de noticias, y no de lo que opinas de ellas. Hazlo en tu blog, o usa los comentarios si lo que quieres es expresar una OPINIÓN.

Que vamos, como todo humano tiene preferencias, y es difícil ocultarlas y ser imparcial, pero contestar con otro post a una noticia... como que está algo fuera de lugar. Como te dije, si tienes blog, ahí puedes expresar tus opiniones.

No sé si te hayan sacado de la selva o no, a mí tanto me da, ni sé si seas un experto en seguridad (que lo dudo), pero ¿sí podrías ser tan amable de expresar tus opiniones como comentarios en las noticias, en vez de crear otra para decir "no estoy de acuerdo"?

Esto es un blog, y buena parte de nuestro valor son los análisis (u opiniones, llámalo como quieras). Eso es lo que nos diferencia de la competencia.

Esto no es una agencia de noticias que simplemente se dedica a poner telegramas, y lo siento si crees que debemos ser así, pero como que no podemos cambiar nuestra razón de ser simplemente porque en una entrada no estés de acuerdo con el autor.

Escuchamos a los lectores, pero no puede pretender que te haga caso si me dices: "dejad de ser un blog".

error el mismo google da la opcion de desactivar la recopilacion de datos

http://www.google.com/privacy_ads.html

http://en.wikipedia.org/wiki/Google_Chrome#Usage_tracking

A ver, vamos por partes dmery.

Para empezar me parece irrespetuoso de tu parte insultar a los que no comparten tu opinión (y no sólo en este tema sino en muchos más). Lo único que demuestras es intolerancia, e ignorancia para justificar tus opiniones. Segundo, tu post no está fundamentado por ninguna parte, mas que con simples "jajaja" que lo único que hace es demostrar que no cuentas con argumentos sólidos para debatir.

Tercero, puede o no gustarte mi comentario pero al menos yo dí datos reales. Es decir, los EXPERIMENTOS que tú estás pidiendo!!!! Basta con que abras los links que escribí para comprobar realmente si eres vulnerable!!! Ah claro, pero es más fácil criticar a los demás, y hablar por hablar. Te los doy de nuevo:

http://blogs.eset-la.com/laboratorio/2010/04/15/propagan-malware-con-java/

http://blogs.eset-la.com/laboratorio/2010/04/09/vulnerabilidad-0-day-java/

Cuarto, tu mundo gira alrededor de la mercadotecnia. Perfecto. El mio gira alrededor de la experiencia. En el tiempo que llevo usando mi navegador (en mi caso Firefox desde la versión 0.8 cuando NO ERA FAMOSO) jamás he tenido problema alguno, y es por ello que comparto mi opinión positiva en este caso.

Sí bueno, pero mucha razón no le falta a roote.

Para comentario constructivo, respuesta mas constructiva ;)

Microsoft ha sido la que ha financiado este artículo, de hecho como bien dice Guillermo nos lo presentaron ellos mismos.

Ya te contestaron...http://elladodelmal.blogspot.com/2010/04/victor-pimentel-el-populista-de-genbeta.html

Supongo que pertenece a una comunidad de descubridores de fallos, la cual ha encontrado muchos en Firefox, pocos en IE (pero muy explotables), y ha hecho lo que dice que los demás hacen :)

Por cierto, si yo fuera capaz de descubrir un fallo de seguridad en Firefox y fuera mal intencionado (o sea que viviera de esta capacidad), seguiría uno de estos dos patrones:

Si el exploit es bastante bueno, primero intento vendero al mercado negro (donde seguramente se paga mejor que en Mozilla, USD$500 y una camisa?).

Segundo, si no puedo venderlo ahi, porque tal vez no sea tan explotable, entonces me comunico con Mozilla y que me den el premio de consolación.

Eh! Que tal Victor? Este razonamiento responde tu duda sobre porque son más explotables los fallos reportados del IE que de Firefox? Será que estan reservados para sacarles más provecho.

A lo que dice LmxCraft: las vulnerabilidades para IE se sabe que han sido explotadas comercialmente con éxito. Las de Firefox, no. Por esta razón afirmo que en la comunidad de Firefox es más difícil que alguien venda una vulnerabilidad. Posible, pero más difícil, ya que al haber más ojos es más probable que lo encuentren más personas.

Phyramide: creo que son varios factores:

- Uno, que los que venden esas vulnerabilidades son más expertos de IE porque llevan más años.

- Dos, que el mercado es más jugoso, porque hay más usuarios con IE (además, son clientes empresariales y usuarios menos avanzados más fáciles de engañar).

- Tres, porque como he dicho la comunidad del software libre es más fácil que encuentren un bug a la vez que en la comunidad de IE (es más fácil encontrar un bug con el código fuente delante que haciendo ingeniería inversa).

- Cuatro, porque seguramente Firefox tenga más bugs en su código: actualizan cada menos tiempo las funcionalidades, IE8 ya lleva más de un año sin sacar nada nuevo, y a más código nuevo, más bugs.

- Cinco, relativo al anterior: contiene funciones más avanzadas/innovadoras, sin ir más lejos parte de las especificaciones de HTML5, con lo que al ser cosas muy nuevas y poco probadas las posibilidades de fallo aumentan.

- Seis, independientemente de lo anterior, Firefox tiene un problema con su base de código: no creo que sea la mejor infraestructura para un navegador actual (con páginas que consumen muchos recursos) pero no puede deshacerse de ello sin romper la compatibilidad con muchas extensiones. Es cierto que tiene demasiados fallos regresivos, pero también es cierto que su base de código es enorme.

Esas son algunas de las que se me ocurren, pero probablemente hayan más.

Alucino contigo:

Uno, que los que venden esas vulnerabilidades son más expertos de IE porque llevan más años.

Como tengamos que ceñirnos a esa ideología tuya de expertos = años, vamos listo. Una argumentación de cojones.

Dos, que el mercado es más jugoso, porque hay más usuarios con IE (además, son clientes empresariales y usuarios menos avanzados más fáciles de engañar).

Es decir, que si ahora colocamos a dos usuarios delante tuya que no conozcas de nada, uno con IE y otro con FF, está claro para quién va la balanza en tu opinión, ¿no?

- Tres, porque como he dicho la comunidad del software libre es más fácil que encuentren un bug a la vez que en la comunidad de IE (es más fácil encontrar un bug con el código fuente delante que haciendo ingeniería inversa).

Me gustaría a mí saber cuánto código fuente te has leído tu chavalote.

Cuatro, porque seguramente Firefox tenga más bugs en su código: actualizan cada menos tiempo las funcionalidades, IE8 ya lleva más de un año sin sacar nada nuevo, y a más código nuevo, más bugs.

Cómo te has lucido con este punto, es genial eso de "Firefox tiene más bugs porque su código es más nuevo"... déjame decirte que no necesariamente una aplicación tendrá más bugs que otra por el simple hecho de que añadan más líneas a su código. Si un proceso software es llevado a cabo como es debido, puedes estar seguro de que pocas vulnerabilidades podrás encontrar en el producto. Porque no sé si lo sabrás, pero en las empresas se realizan un estudio previo antes de lanzarse a la interperie de picar código, no todo es aporrear teclas como pareces hacer tú

Cinco, relativo al anterior: contiene funciones más avanzadas/innovadoras, sin ir más lejos parte de las especificaciones de HTML5, con lo que al ser cosas muy nuevas y poco probadas las posibilidades de fallo aumentan.

Nuevamente te vuelves a marcar el handicap de soltar que al ser "cosas" nuevas estan poco probadas. Te comento que un buen proceso de desarrollo software conlleva una fase específicamente dedicada a la parte de pruebas, pero alguien como tú, no tiene por qué saberlo.

Seis, independientemente de lo anterior, Firefox tiene un problema con su base de código: no creo que sea la mejor infraestructura para un navegador actual (con páginas que consumen muchos recursos) pero no puede deshacerse de ello sin romper la compatibilidad con muchas extensiones. Es cierto que tiene demasiados fallos regresivos, pero también es cierto que su base de código es enorme.

Hay que ver lo que nos gusta apoderarnos de 3 o 4 términos y mezclarlos en una frase: base de código, infraestructura, fallos regresivos, compatibilidad... Vuelvo a reiterarme que será por todo el código de Firefox que habrás leído tú sentado en tu silla. Y la posibilidad que habrás tenido de compararlo con el resto de navegadores. Claro que sí.

Esas son algunas de las que se me ocurren, pero probablemente hayan más.

Esperemos que sí, porque diversión tenemos asegurada para un buen rato.

Primero que nada, creo que Victor si fue agresivo al calificar el trabajo de estos señores, de parcial y orientado.

Y luego tratando segun él de cubrir huecos, comienza hablando de Firefox, y termina por meter a Chrome, en una entrada se suponía era a favor del primero.

Entonces, al experto en redacción le pregunto, ¿A donde iba esta entrada? ¿A defender a Firefox? o ¿A despotricar contra IE, Microsoft y los que desarrollaron el analisis?

¿A esto le llamas constructivo? No hay que ser redactor, para saber que esto no se trata de otra cosa mas que de, como le dijeron por allá, la rabieta de un gato panza-arriba, que no le gustó que le analizaran las virtudes del navegador que tanto desprecia.

Por último, haciendo una teoria Victoriana, le dejo la siguiente:

"A igual número de bandidos intentado explotar vulnerabilidades en ambos navegadores, entre más información se tenga, mayor probabilidad de exito."

(Imaginate si cuentan con el codigo fuente)

¿Redactor publicitario? Lo siento, pero caes en el mismo error de los que entra presentándose como "técnico informático", "programador" y una sarta de títulos y credenciales para luego soltar un rollo que flaco honor le hace a su oficio. Sobre todo apoyando un artículo pésimamente redactado pero eso sí lleno de muchos vocablos folklóricos como "nenazas" y "campofutbolero" por dar un par de ejemplos; en redacción evidentemente tiene A1.

No sé como algunos se rayan tanto con los artículos de un blog. Al fin y al cabo, todos vosotros seguiréis con el navegador con el que estáis y si un dia os hace una puñeta, cambiaréis a otro (como hice yo de IE a Firefox).

No sé como puedes ser redactor publicitario pensando así. Los artículos influyen sobre las personas, las que están informadas pasan de este artículo porque saben distinguir opiniones de argumentos y no se dejarán manipular pero ¿y los usuarios sin experiencia? ¿los usuarios nuevos en este mundo? Artículos como éstos que en lugar de aportar confunden son descartables.

Como escribió arriba Camelot, la gente que al final dice "me la suda" es porque no tiene en el fondo qué responder y encuentra consuelo para su falta de argumentación en un lenguaje agresivo y hasta irrespetuoso.

@dmery

Vete a vivir la vida y no hagas bilis xD

@dmery Si pues, tomando cerveza se supera el subdesarrollo ¿así lo conseguiste tú? xD No sabes como me has hecho reir...

@dmery
Vamos a dejar esto porque el único perjudicado eres tú. Te has dedicado a insultar a muchos de los usuarios de este blog llamándolos trolles y aficionados. Te recomiendo que sigas visitando esos blogs de foristas profesionales (¿existe eso?) a los que aparentemente estás acostumbrado a visitar ya que tanto te molestan los aficionados.

Pero a manera de reflexión te digo que tú has cometido todos los errores posibles, que ni siquiera un forista aficionado cometería. Y es una pena que en apenas un puñado de intervenciones nos hayas mostrado el peor lado de tu personalidad. Pero, el tiempo ayuda a olvidar estos deslices y espero que enmiendes, porque a diferencia de ti, yo sí creo que la gente puede cambiar para mejor. Y espero que tú lo hagas.

creo que las personas que han redactado esa noticia en ese blog son unos personas que pobablemente hayan tenido algun roce con Pimentel.

ademas siguiendo esta filosofia windows es mas seguro que mac y eso es cierto.

en cada pwn2own los mac y demas accesorios de apple caen como nada.

los unicos en quedar en pie fueron windows seven y google chrome gracias a su sandbox (lamentablemente firefox tambien cayó :( )

lo bueno es que firefox enla version 3.6.3 parcho ese fallo de seguridad comprandole el descubrimiento del fallo a la persona que lo encontró.

muy bien por parte de mozilla.

bueno, saludos.

Si que caes en lo enfermo, que pena

Cuanta razón, pero pero ya sabemos como van estos blogs. Cuantas mas entradas, más visitas y más comentarios, mas dinerito :D

Chema no tiene publicidad

Camelot, para ti es un epic fail, para mí era algo necesario. El documento de Informatica64 está bastante bien hecho, pero deriva demasiados puntos hacia Internet Explorer, poniéndole siempre en una posición ventajosa, matizando todas las cosas en las que no es líder y dejando sin explicar los números que en principio le benefician. Firefox no recibe ese trato (ni Chrome en el apartado de conclusiones, del que solo se dice una cosa buena y también se matiza).

Sinceramente, vete al final del informe y leéte el apartado de conclusiones. No hace falta ser un experto en seguridad para darse cuenta de lo que pasa en esa parte. Hay intereses de por medio... y no son los míos.

Perdona, pero el título de la entrada es de los más comedidos que he escrito en mucho tiempo: "Firefox es más seguro de lo que comenta Microsoft". No he dicho que "IE no es seguro" o que "Firefox es el más seguro del mundo".

Solo que después de leer el informe de Microsoft, la impresión general que daba es que Firefox es pésimo en seguridad. Tiene cosas que mejorar y cosas muy nefastas, pero aún así es bastante bueno: por ejemplo es el único que ha parcheado el 100% de las vulnerabilidades publicadas. Este artículo simplemente quiere poner algo de igualdad a lo que se extrae del informe: "Firefox es malo -> No, no lo es tanto".

Puedes leer el link que ha puesto sethdev un par de líneas mas arriba, porque merece la pena.

Y si todos los expertos inciden en que firefox es malo en cuanto a seguridad, será que tienen razón, o tienen más que nosotros que no somos expertos.

A lo mejor hablar de un troyano que lleva años afectando a Internet Explorer no es el mejor ejemplo, ¿no? Y encima no es un troyano que se infecte por una vulnerabilidad de Firefox, sino que usa otros métodos. Una vez consigue la máquina está comprometida, entonces puede hacer con Firefox (o con cualquier otro programa) lo que le plazca.

Pero ey, que sea imposible defenderse de algo así no quita para que Firefox sea una patraña en seguridad, ¿no?

La verdad es que según lo he leído, parece que se apoyan en los datos proporcionados por la propia Microsoft, aportando otro punto de vista.

Chapeau....Esta respuesta debiera estar en el encabezado de todos los sites de la red.

hace dos pots decian que firefox era el menos seguro, ahora el que mas menudo cachondeo xDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDD

Imagino que Charlie MIller debe estar pagado por Microsoft para decir:

Windows 7 + IE 8 or Chrome provides safest computing experience

http://www.neowin.net/news/charlie-miller-windows-7--ie-8-or-chrome-provides-safest-computing-experience

Charles Miller es un experto en seguridad informatica de fama mundial que en Pwn2own (si, esa donde tan bien quedo Firefox) no consigio vulnera ni a Chrome ni a IE8. Y a Chrome porque 3 dias antes hubo una actualizacion.

(Aunque siempre podemos sacar teorias conspiratorias pensando que no lo hizo porque no quiso)

¿Acaso si hablo bien de MS me pagan? ¿Y si lo hago de Firefox no?...¿los chicos de Mozilla no comen con su sueldo entonces no?

lamento discrepar contigo, pero...

1.firefox 3.6.4 beta ya agrega OOPP (out of process plugins) esto para hacer mas estable el navegador y aprovechar de manera mas eficiente pocesadores multinucleo y evitar tambien que el navegador se cierre debido a un fallo con el plugin (java, flash, etc)

2.firefox para 64 bits? si hay ^^ pero es una version independiente, muy rapida por cierto pero lastimosamente no hay muchos plugins para x64 y pues un programa hecho para x64 no puede usar dll´s o plugins x86 (32 bits). aun no hay flash player con soporte x64 nativo. es decir no youtube, no juegos de Facebook, o flash en tu firefox x64 y demas navegadores que pudiesen hacer una version x64. existe una version x64 del plugin de java pero hasta ahi nomas.

3.yo tambien uso palemoon pero tal y como ellos dicen han eliminao componentes de firefox, no codigo redundante. se ha eliminado el safebrowsing, parental control y otros componentes de seguridad, que a mas de alguno le pareceran muy utiles o indispensables.

regresando a palemoon, te recordaré que la version por defecto que ofrecen a la descarga esta optimizada para utilizar extensiones sse2, de ahi el hecho de que sea mas veloz. pero incompatible con procesadores que no soporten sse2 (tan imcompatible que ni si quiera iniciara el programa) como ser PII, PIII, celeron, duron y los primeros athlon.

pero, que pasa con sse3,ssse3, sse4.1?

pues simple. para hacer (compilar) la version de windows utilizan Visual Studio 2005, el cual solamente puede optimizar para arquitecturas sse y sse2 unicamente. aun las versiones 2008 y 2010 no traen optimizaciones para nuevas arquitecturas.

existe alguna forma de hacer que firefox utilice sse3 y superiores?

si la hay, usando el compilador c++ de intel en ves del que usa el VS2005. esto resultaria en un firefox hasta 50% mas rapido sin necesidad de hacer cambios al codigo fuente de firefox.

que hay de malo en esto? pues mucho la verdad. los compiladores de intel son famosos por crear codigo maravilloso para pocesadores intel, pero realmente nefastos para procesadores AMD, VIA y cualquier otro procesador no intel.

ademas la corporacion mozilla se veria obligada a pagarle una suma o licencia a intel por usar su compilador para crear (compilar ) firefox y sabemos que es lo que piensan en mozilla a cerca del codigo cerrado y privativo.

mi intencion con esto no es molestarle, mas bien responder a sus interrogantes, las cuales yo mas de alguna vez me pregunté.

me gusta mucho firefox, lo usamos en el cibercafe donde trabajo. y poco a poco la competencia tambien se ha ido cambiando a firefox. pues ofrece muchas ventajas (bastantes) ante IE.

desde que uso firefox solamente me preocupo por los virus de USB, puesto que en mas de 1 año no me he infectado con virus de internet. esto pues mantengo a firefox actualizado, al dia ^^.

Comparto la Opinion de Pimentel y pues creo que este es un muy buen post.

busquen la verdad siempre por su cuenta y no crean en benchmarks en los que no se utilice un compilador libre.

saludos.

Muchas gracias por tus aclaraciones.

pues mucho la verdad. los compiladores de intel son famosos por crear codigo maravilloso para pocesadores intel, pero realmente nefastos para procesadores AMD, VIA y cualquier otro procesador no intel

Por decir burradas que no quede. El compilador ICC funciona mejor en Intel que en la competencia (ya se ha hablado de ello en muchos blogs). Pero de ahí a decir que es nefasto, es que nunca lo has probado.

He compilado con IC XviD y he probado versiones de la misma con x264. Las diferencias con AMD son del 5% en rendimiento, así que de nefasto nada. No estará totalmente optimizado, que eso si es cierto y esta más que probado.

tengo instalada la version 11.0.51 y en mi PC

AMD64 x2 6400+ OC 3.3GHZ,

video ATIHD 3850 OC 512MB DDR3 1800mhz 256bits

con 4GB de memmoia ram DDR800 4-4-4-12 dual channel

compilé el emulador dolphin con el intel compiler optimizado para sse3 y apenas funcionaba a 30 FPS

en cambio el compilado con VS 2008 C++ funcionaba a 45-50 FPS.sin optimizacion alguna.

de hecho para compilar algunas versiones de linux, "parchan" el compilador de intel para generar codigo bueno para procesadores AMD.

http://server01.iiiii.info/patch-AuthenticAMD.html http://en.gentoo-wiki.com/wiki/Intel_C%2B%2B_Compiler

no me crees todavia? http://www.agner.org/optimize/blog/read.php?i=49

busca siempre la verdad por ti mismo. saludos.

5% apenas? demasiado justo no crees? podrias dame las especificaciones de las pc's en las que se llevo este benchmark?

mi experiencia con el compilador Intel C++ me dice lo contrario.

ademas yo y un grupo de amigos estamos buscando parchar el compilado de intel en su version 11 para windows. quizas sea demasiado obsesivo pero es una meta que tenemos, algo a largo plazo. el CPU dispatch del compilador es el objetivo. (obviamente esto es ilegal, pero algo debe hacerse no?)

BTW: seria mejor iniciar una conversacion PM, para no hacer demasiado oftopic aqui.

saludos.