Por que o Internet Explorer é um desastre de segurança?

Fonte: http://www.softwarelivre.org/news/2681
Não há muito o que você possa fazer com HTML e CSS. Você até pode fazer mais linguagens web de alto nível, como PHP, ASP, Perl e Python, mas você ainda precisa do HTML para mostrar o resultado na web. Uma solução mais poderosa seria criar um applet, um programa separado que é baixado e executado no seu computador logo após carregar um site web. A Sun Microsystems criou a linguagem Java para esse propósito, e a Microsoft respondeu introduzindo o subsistema de controle ActiveX.

Por: Jem Matzari - News Forge
Tradução e adaptação: Propus Software Livre

A diferença é que a Sun desenhou o Java com segurança em mente, e a Microsoft não. A idéia de segurança do ActiveX da Microsoft é requerer que os programadores assinem digitalmente os seus programas e solicitar o aval dos usuários finais para a instalação dos applets ActiveX. Não existe maneira de saber o que um programa ActiveX vai fazer até você ter rodado ele, tal ponto em que já é muito tarde para bloquear qualquer destruição que ele possa ter feito. Assinaturas digitais não fazem nada para parar códigos maliciosos.

Não importa quantas correções de segurança a Microsoft lança. O ActiveX ainda pode destruir o seu sistema e roubar os seus dados. A única maneira de se prevenir de um desastre em potencial é desabilitar o ActiveX, conseqüentemente limitando a funcionalidade do Internet Explorer.

A segunda extensão desastrosa que a Microsoft adicionou ao Internet Explorer é o Browser Helper Object, um arquivo que carrega com o Internet Explorer e tem acesso irrestrito para baixar, rodar e instalar programas ou applets sem a permissão ou conhecimento do usuário. O risco de segurança aqui é óbvio e auto explicativo. Coincidentemente é justamente essa uma das ferramentas usada pelo recente cavalo de tróia mencionado na notícia 2680.

Exploits BHO não podem ser detectados ou parados por um software anti-vírus. Alguns tipos de programas de detecção de espiões (spyware) podem detectar esses tipos de ataques, mas alguns outros não. Ao invés de baixar e instalar mais softwares para corrigir problemas no Internet Explorer, é melhor simplesmente usar um browser diferente.

Como um programa, o Internet Explorer não foi elaborado para ser seguro. O site SecurityTracker.com mantém uma lista de vulnerabilidades do I.E.. Veja você mesmo quanto sérias são as ameaças para o Internet Explorer e a freqüência que eles ocorrem. Então compare essa lista com a lista de vulnerabilidades do Mozilla. Qual você iria preferir?

Crônica do tradutor (Marlon Dutra)

É realmente uma pena que eu não possa traduzir o conteúdo do site da Microsoft falando sobre o Browser Helper Objects. Certamente eu teria implicações legais em fazer isso. Talvez até haja uma tradução no próprio site, mas não tive tempo de procurar. Se você pode ler em inglês, eu recomendo. Pode ser uma boa leitura, ao menos divertida.

Pelo menos o slogan, Browser Helper Objects: The Browser the Way You Want It, merece um comentário aqui. Traduzindo para o bom português teríamos algo como: Browser Helper Objects: O browser do jeito que você quer. Será que os usuários realmente querem controles que permitam a execução de um código sem o seu consentimento? Ou pior, sem o seu conhecimento? Ou será que eles erraram no slogan? Talvez deveria ser The Browser the Way We Want it (O browser do jeito que nós queremos). Soaria mais coerente.

Nenhum comentário:

Postar um comentário

Insira seu comentário - O mesmo será submetido à aprovação!

linux-cookbook

Grupos do Google
Participe do grupo linux-cookbook
E-mail:
Visitar este grupo