Web Analytics
Conecta con nosotros

A Fondo

IE8: seguridad por diseño

Al igual que otros productos de Microsoft, el desarrollo de Internet Explorer 8 sigue unas estrictas normas de diseño con vistas a la seguridad llamadas Security Developement Livecycle que ofrecen seguridad desde el diseño. En este desarrollo se han tenido en cuenta no solamente las amenazas directas al navegador sino también las que pueden atacar a través de software o complementos externos. El plan de seguridad para IE8 incluye requisitos de seguridad para prevenir todo tipo de ataques.

Publicado el

Al igual que otros productos de Microsoft, el desarrollo de Internet Explorer 8 sigue unas estrictas normas de diseño con vistas a la seguridad llamadas Security Developement Livecycle que ofrecen seguridad desde el diseño. En este desarrollo se han tenido en cuenta no solamente las amenazas directas al navegador sino también las que pueden atacar a través de software o complementos externos. El plan de seguridad para IE8 incluye requisitos de seguridad para prevenir todo tipo de ataques.

 

La seguridad de los navegadores de Internet se han convertido en un elemento fundamental para evitar que se nos complique nuestra vida on-line. Así como es importante tener precauciones, instalar un buen antivirus y disponer de medidas adicionales de seguridad como un Firewall, un navegador seguro es el elemento clave para la gran mayoría de los usos de la Red.

 

 IE8: seguridad por diseño 31

 

Además de las posibles actualizaciones para hacer frente a las amenazas que evolucionan continuamente, diseñar un navegador seguro desde el principio es muy importante. Eso es precisamente lo que se ha hecho en Microsoft con Internet Explorer 8: aplicar unas reglas de diseño llamada SDL (Security Development Lifecycle) que utiliza para otros productos con una serie de directrices que dificultan la entrada de malware. Microsoft ha publicado este documento.

 

 IE8: seguridad por diseño 33

 

No se trata de un documento estático sino que se adapta a la evolución de las amenazas que son constantemente vigiladas para que el diseño evolucione en consecuencia. En el documento se pueden ver las medidas concretas tomadas para Internet Explorer 8 así como los contactos con otras empresas que desarrollan complementos para IE8 con el objetivo de que su protección sea aún mayor.

 

 IE8: seguridad por diseño 35

 

Dentro de los pasos seguidos por el equipo de IE8 está la formación de un equipo de seguridad, responsable de ejecutar un plan de seguridad en el que se detallan los requisitos y objetivos del diseño de seguridad concreto de Internet Explorer 8. ¿Qué opciones de diseño se han tomado para conseguir un navegador más seguro? En primer lugar se identifican los peligros a través del desarrollo de un modelo de amenazas, tanto para el navegador como para las extensiones y aplicaciones web.

 

Una de las técnicas de diseño adoptadas es la denominada «reducción de ataques de superficie». Con este sistema se intenta atajar la posible entrada de malware a través de la integración de scripts de todo tipo en páginas HTML procedentes de terceras partes. IE8 comprueba la seguridad de esas llamadas a librerías externas a las páginas que se visitan sin igualar la confianza de la página con la del origen de los scripts. Esta técnica también se aplica a los controles ActiveX.

 

En el caso de las defensas más «en profundidad», protecciones adicionales propuestas por diseño. Dentro de este tipo de defensas se encuentran la aplicación de filtros XSS o el uso de la «reputación» de la URL para bloquear la descarga de software malicioso utilizando el filtro SmartScreen.  

 

IE8: seguridad por diseño 37

 

Otra pieza fundamental para el diseño de la seguridad de la última versión de Explorer es la de activar por defecto la función DEP (data execution prevention) del sistema operativo Windows para prevenir la ejecución de código en el área de memoria destinada a los datos. Esto no era así en la versión anterior de Explorer y otros navegadores no hacen uso o no implementan de forma correcta la DEP.

 

Al diseñar IE8 también se tuvieron en cuenta las nuevas amenazas, como el clickjacking. Este ataque a la seguridad del usuario se afrontó en la fase final del desarrollo de Internet Explorer 8 desactivando algunas funciones del navegador de forma condicional para preservar el funcionamiento de las aplicaciones que requieren funciones y hacen un uso legítimo de ellas.

 

IE8: seguridad por diseño 39

 

En la fase de implementación de IE8 se afrontaron otras cuestiones para reforzar la seguridad. En primer lugar se excluyeron de la aplicación final una serie de APIS que hacían un uso incorrecto de los recursos del sistema. Igualmente se implementaron dos herramientas de análisis de código C y C++ (PREfast y PREfix) para «cazar» problemas de integridad de memoria, desbordamiento en cálculos…  

 

También por diseño, IE8 se ha costruido para minimizar los efectos de los exploits de posibles agujeros de seguridad del sistema a través de técnicas implementadas en las últimas versiones de Windows como el ASLR que en conjunción con el mencionado DEP previenen algunos de los problemas de vulnerabilidad más importantes.

 

IE8: seguridad por diseño 41

 

En la fase de verificación el equipo utilizó una larga serie de pruebas para asegurarse de que el explorador respondía correctamente a posibles ataques a la seguridad. Desde el TruScan, para realizar pruebas automáticas de vulnerabilidades a nivel de implementación, el Application Verifer, que detecta problemas en ejecución, test aleatorios de todo tipo: pruebas «inteligentes», totalmente al azar además de generacionales y mutantes.

 

Igualmente se ha utilizado un HTML fuzzer, un generador aleatorio de código HTML para comprobación de vulnerabilidades no encontradas con análisis más sitemáticos y otros generadores aleatorios de aplicaciones.  Pero el equipo de Explorer también se ocupó de analizar el comportamiento de seguridad del navegador con desarrollos de extensiones de terceras partes recomendando buenas prácticas en el diseño y comprobando posibles problemas de seguridad.

 

IE8: seguridad por diseño 43

 

El ciclo se completa con un sistema de comprobación y corrección de errores a través del cual Microsoft trabaja de forma continua en reparar posibles problemas de seguridad según van surgiendo así como errores de la aplicación y proporciona parches para corregirlos a través de Windows Update. Toda un camino que lleva a cosiderar a Internet Explores 8 un navegador seguro, desde el propio diseño de la aplicación.

 

5 comentarios
  • dnog

    Si, por eso IE es el mejor navegador del mundo como HA DEMOSTRADO multitud de veces…

    Eso ligado a que soporta TODOS los estándares actuales lo hacen el mejor!

    <ironia mode=off>

  • alephnull27

    Internet Explorer es con diferencia el peor navegador que existe actualmente. Este articulo, responde a la necesidad de la propia Microsoft de tratar de invertir la tendencia en el uso de navegadores, donde Internet Explorer pierde mes a mes cuota de mercado, habiendo pasado del una cuota de cerca del 96% a un ridículo 45%. Y eso si hablamos de usuarios generales, porque si hablamos de profesionales de la informática, Internet Explorer apenas llega a un 20% de cuota. El abandono casi total de los profesionales a este navegador se debe principalmente a 3 razones:
    – Es con mucha diferencia el navegador más lento de todos. En torno a 10 veces más lento, que el peor de sus competidores.
    – Probablemente sea también el navegador más inseguro de todos.
    – Finalmente es también con muchísima diferencia el que mas errores de implementación de los estandares Web tiene. En el acid test (un test diseñado para medir la compatibilidad de los navegadores con los estandares web) apenas saca una nota de 15 sobre 100 frente al 100 sobre 100 de chrome o el 96 sobre 100 de firefox.

    Los puntos 1 y 3 los puede comprobar facilmente cualquier usuario. Para medir la velocidad del navegador que esta usando, simplemente busque en google «SunSpider JavaScript Benchmark» y vaya al primer resultado.
    Para medir la compatibilidad del navegador que esta utilizando con los estandares Web busque en google «acid3 test» y vaya al primer resultado.
    De esta forma podrá sacar sus propias conclusiones sin depender de lo que diga yo, o lo que diga el ayutor del articulo.
    Por ultimo destacar que con este comentario pretendo que la gente tome conciencia de lo increíblemente malo que es Internet Explorer y no se deje llevar por artículos basura como el presente.

  • Random

    Mal comentado, por objetivo y sobretodo POR DESCONOCIMIENTO. El navegador mucho más lento… actualiza tu Pentium 4 y problema solucionado. Con diferencia EL NAVEGADOR MAS SEGURO, y no voy a ponerme a enumerarlos, investiga por internet, te llevarás muchas sorpresas (sobretodo, si sabes, en inglés). Y en el último punto, te voy a dar la razón, pero ¿Acaso es incorregible?.

    Por lo demás, lo único que peca, es en la funcionalidad o comodidad, por no tener plugins.

    Por lo demás, en términos generales, es el mejor.

  • tri

    Mmmm , este articulo huele desde lejos a publi-reportaje de microsoft

  • Algunas cosas que podemos hacer para protegernos:

    1. Los usuarios de Firefox + NoScript están a salvo del Clickjacking.
    2. Los usuarios de navegadores en modo texto (Links, Lynx, w3m…) están a salvo.
    3. Los usuarios de Opera están a salvo del Clickjacking, siempre que sigan los siguientes pasos:
    * Deshabilitar todas las opciones en Herrramientas -> Avanzado -> Contenidos.
    * Escribir “opera:config” en la barra de direcciones. Buscar “Extensions” y deshabilitar “iFrames” (…aunque yo no encuentro “iFrames” en mi Opera 9.50 para Linux!?).
    4. Los usuarios de Safari y Chrome no disponen de ninguna protección totalmente eficaz frente al Clickjacking.

Lo más leído