"La Fundación Mozilla ha informado sobre múltiples vulnerabilidades en varios de sus productos que podrían ser aprovechadas por un atacante remoto para revelar información sensible, perpetrar ataques de cross-site scripting, provocar una denegación de servicio, saltarse restricciones de seguridad o ejecutar código arbitrario en un sistema vulnerable."
«Excepto que popularidad != "explotabilidad". Mucha gente piensa que el software es como una caja fuerte - si lo machacas durante el tiempo suficiente, tarde o temprano se abrirá. El software no es así. Puedes machacar un programa para siempre y no pasará nada a no ser que realmente encuentres una vulnerabilidad - una situación no manejada por el software.
Por ejemplo, MySQL es mucho más popular online que Microsoft SQL. Aun así MS-SQL dió lugar al gusano slammer mientras que el enormemente-más-comúnmente-instalado MySQL no ha sido infectado por nada cercano a esa magnitud. (Sí, ha habido alguno. Pero no llegaron muy lejos)
La formula NO es:
Popularidad = Fallo de seguridad
Es más como:
Popularidad * Mal diseño = Fallo de seguridad
E incluso el mal software puede ser finalmente arreglado. Sendmail solía ser una pesadilla de seguridad. Pero a pesar de su posición como el servidor de correo número 1 en Internet, han pasado unos cuantos años desde que haya sido "explotada" alguna vulnerabilidad seria»
--------------------------
Otro ejemplo de esto sería Apache, el servidor web más usado durante muchos años y que sigue siendo relativamente seguro. En cambio, Microsoft IIS se usa menos (esto está cambiando gracias a GoDaddy y amigos) tuvo los problemas de Code Red y Nimda...
PD: por cierto, tanto IIS como MSSQL han mejorado mucho la seguridad en sus últimas versiones. Cosa que no ha tenido nada que ver con su popularidad ni su porcentaje de mercado...
«Excepto que popularidad != "explotabilidad". Mucha gente piensa que el software es como una caja fuerte - si lo machacas durante el tiempo suficiente, tarde o temprano se abrirá. El software no es así. Puedes machacar un programa para siempre y no pasará nada a no ser que realmente encuentres una vulnerabilidad - una situación no manejada por el software.
Por ejemplo, MySQL es mucho más popular online que Microsoft SQL. Aun así MS-SQL dió lugar al gusano slammer mientras que el enormemente-más-comúnmente-instalado MySQL no ha sido infectado por nada cercano a esa magnitud. (Sí, ha habido alguno. Pero no llegaron muy lejos)
La formula NO es:
Popularidad = Fallo de seguridad
Es más como:
Popularidad * Mal diseño = Fallo de seguridad
E incluso el mal software puede ser finalmente arreglado. Sendmail solía ser una pesadilla de seguridad. Pero a pesar de su posición como el servidor de correo número 1 en Internet, han pasado unos cuantos años desde que haya sido "explotada" alguna vulnerabilidad seria»
--------------------------
Otro ejemplo de esto sería Apache, el servidor web más usado durante muchos años y que sigue siendo relativamente seguro. En cambio, Microsoft IIS se usa menos (esto está cambiando gracias a GoDaddy y amigos) tuvo los problemas de Code Red y Nimda...
PD: por cierto, tanto IIS como MSSQL han mejorado mucho la seguridad en sus últimas versiones. Cosa que no ha tenido nada que ver con su popularidad ni su porcentaje de mercado...
#17 "#14 el ejemplo de mysql contra ms sql es bastante malo... pilla uno mejor.
1º que lo de slammer es de principios de 2003."
No me has entendido nada. ¿En el 2003 no se aplicaba lo de "sólo es seguro porque lo usa poca gente y los hackers no se molestan en romperlo"?
Sólo decía que MSSQL era mucho menos usado que MySQL y era más inseguro. Con lo cual el maldito meme de "no hay fallos graves descubiertos porque se usa poco" no se cumple.
Que MSSQL es más seguro ahora, genial. De hecho hasta lo pongo en mi postdata, ¿no lo has leído?
"2º es un hecho, y míralo donde y cuando quieras, pero mysql tiene desde entonces unos cientos de fallos de seguridad... y ms sql... uno o dos."
Efectivamente y estás apoyando mi argumento. Los porcentajes de uso no han cambiado mucho pero si la seguridad de ambos productos. Así que lo %uso = %seguridad es falso.
Me estás dando la razón sin querelo porque crees que el objetivo de mi comentario era criticar a MSSQL o a IIS, cuando es más bien lo contrario...
Por cierto, ¿existe algo similar al slammer para MySQL?
Y apache y Iis van al 50% mas o menos. y apache es más atacado. de hecho LAMP es lo mas atacado hoy en día... (si, por el php... pero es el mas atacado).
Ahora sí porque IIS ha ganado cuota. Y además se ha vuelto más seguro. Cosa curiosa porque según vuestra doctrina al ganar cuota de mercado pierde seguridad. De nuevo me vuelves a dar la razón sin querer
Veo que estamos de acuerdo
#20 y que ganas tengo de que llegue ese día para salir de dudas.
Ya hay muchos otros ejemplos de que %uso /> %seguridad, no hace falta esperar a que Ñu tenga ese porcentaje de penetración. Además hablamos de que a día de hoy es más seguro, dentro de X años las cosas pueden haber cambiado. Ya he puesto que IIS y MSSQL se han vuelto más seguros, Linux podría hacer lo contrario para "acercarse" al usuario.
Que Mozilla informe de sus vulnerabilidades no es síntoma de debilidad, sino de que audita su producto y lo hace público a sus usuarios. Si otros navegadores tienen problemas de vulnerabilidades, sobre todo el innombrable, muchas veces es porque terceros y no Microsoft son los que lo advierten y lo hacen público, puesto que ni ellos mismos se dan cuenta. En el primer caso vemos un esfuerzo por la mejora continua, en el segundo la desidia de que todo da igual porque la gente nos sigue comprando. Solo hace falta ver el tiempo medio que transcurre entre que se detecta un fallo y la publicación del parche que lo remedia. Hablamos de horas en el caso de Mozilla y de incluso meses en el caso de Microsoft. Con el añadido de que uno es gratis y el otro no.
Chrome, por otro lado, es una beta, allá cada cual con su responsabilidad.
sera por vulnerabilidades... cada dia se descubre un monton y mucho mas graves, en este momento la mas preocupante parace ser el clickjacking http://www.kriptopolis.org/clickjacking
La gran mayoría de estos errores de seguridad acaban por no ser explotables. En gran medida este tipo de noticias son usadas por compañías tipo Hispasec para "alarmar" a sus usuarios, o para salir en meneame
#11 la 3.0.2 introdujo un error en el administrador de contraseñas y poquísimo después lanzaron la 3.0.3 para corregir la regresión (error introducido al corregir otro)
#4 Como la propia noticia original expone, es la propia fundación mozilla la que informa de las vulnerabilidades.
#24#21 Ya hay muchos otros ejemplos de que %uso -/-> %seguridad, Y hay otros tantos que dicen lo contrario, como muestra firefox.
A ver, no sé si me entiendes. Si tú aseveras que "por ley" si ganas cuota de mercado pierdes seguridad. Entonces debe cumplirse eso siempre.
Si me dices que en unos casos sí y en otros no, ¿qué cojones haces diciéndolo?
Premisa 1: Ganar cuota de mercado implica perder seguridad
Premisa 2: IIS ha ganado cuota de mercado
Conclusión: IIS ha perdido seguridad.
La conclusión es falsa porque la premisa 1 no es correcta. ¿Clarito?
IIS y MSSQL no son sistemas operativos sino programas, un Sistema operativo es más complejo y desenvuelve más tareas.
Vale, entonces lo de "Si ganas cuota de mercado pierdes seguridad" sólo se cumple en cosas como sistemas operativos... Haberlo aclarado antes, joer, que si no me lías
Veamos, entonces se queda en "Si un sistema operativo gana cuota de mercado pierde seguridad"
Aunque como no tengo ninguna prueba para apoyar eso lo arreglo un poco más, total ya que estamos: "Si Linux gana cuota de mercado pierde seguridad, y esto lo digo porque yo lo valgo"
Con el tiempo las cosas se perfeccionan. De ahí que ISS MSSQL sean más seguros (me fío de ti, no lo comprobé) que no quiere decir que no tengan vulnerabilidades.
No, sólo que les ponen antirrobo de serie
Linux deberá de lidiar con gente que daría su clave de root sin dudarlo. La mayoría de los windows se "estropean" porque el usuario hace el cafre con ellos.
Ajá, ¿y eso qué tiene que ver con la seguridad de Linux? Es como si me dices que Linux es una mierda porque es vulnerable al phishing
O que Windows es una basura porque puedo mandarle por correo .BAT con format c: a un amigo y convencerle para que lo ejecute
Linux es un SO que como tal es complejo y revisar cada línea, probar todas las combinaciones para estar seguro de que ahí no hay ningún error es imposible. Entonces hay errores escondidos porque incluso freeBSD los tiene.
¡Sorprendente! ¡Linux tiene fallos! ¿Quién lo diría?
A ver, la seguridad no es binaria: seguro / no seguro. La seguridad es un gradiente. Y obviamente todo programa de más de X líneas de código tiene fallos. Pero todos todos. Lo que se discute es la cantidad y gravedad de esos fallos comparativamente.
Por todo ello, aplicando la lógica, si en un SO hay errores a mayor gente usándolo y sobre todo a menor coeficiente intelectual de esta gente la probabilidad de que ese bug escondido salga a la luz aumenta por cada usuario.
Así que las listas de seguridad informática están llenas de tontos reportando bugs de seguridad
A ver, los usuarios se dan cuenta de los fallos de interfaz y posiblemente de funcionamiento. No provocan vulnerabilidades. No sé qué demonios estás diciendo
El spam, el malwarez mueve mucho, mucho dinero. El spam y el malwarez atacan a windows porque está en el 90% de los ordenadores y pasan de linux porque no merece la pena invertir esfuerzos en él. Cuando linux alcance una cuota significativa ¿tú no crees que los spamers y creadores de malwarez harán lo imposible para infectar a linux?, yo creo que si, yo creo que no serían tan estúpidos como para perder tantos miles de millones que ganan con esto.
¿Malwarez? Será Malware, digo yo...
Curiosamente las redes de spammers y bots usan bastantes UNIX y Linux crackeados como "centros neurálgicos" de las botnets. Por ahí hay varios informes que no tengo ganas de buscar.
Los windows spammean/atacan y reciben las ordenes de los Linux, que normalmente suelen ser más estables y con mejores conexiones (servidores)
La diferencia es que los Windows se infecta automáticamente mediante virus. Y los
Linux los crackean de forma manual y laboriosa (si es que pueden). Así que sí, los Linux están a día de hoy en el punto de mira de los creadores de malware pero ya ves que no es la misma situación.
Pero bueno, todo esto ha empezado por lo de %uso = %inseguridad. Ya te he demostrado que eso no se cumple en todos los casos (con lo cual no se puede soltar tan a la ligera) y te has empezado a ir por las ramas
#7, en los comentarios anteriores se nota la objetividad de menéame
Qué manía con lo de menéame como un ente independiente y autónomo! Menéame es una comunidad de usuarios (más de 80.000, creo) donde, como en todas partes, hay de todo. Menéame no es un blog personal y, sobretodo, no tiene opinión propia.
Mi "noscrtip" me advierte con demasaida frecuencia del intento de ataques de cross-site scripting, asique, recomiendo instalar este complemento en firefox.
#13 Judas, a ver, que tu comentario yo no veo por donde cogerlo, ruego que disculpes mi sinceridad:
Que Mozilla informe de sus vulnerabilidades no es síntoma de debilidad,
Que Mozilla informe no es síntoma de debilidad pero que tenga tantas vulnerabilidades sí lo es un poco, al menos casi tan vulnerable como otros pues nada hay perfecto. Pongo "casi tan" y no "tan" a secas porque le tengo aprecio al zorro.
Con firefox llevamos una racha de vulnerabilidades, del IE no escucho tanto.
sino de que audita su producto y lo hace público a sus usuarios.[...] en el segundo la desidia de que todo da igual porque la gente nos sigue comprando.
Todo ese párrafo: Efectivamente, audita y hace público pero que otros (el "innombrable") no hagan público no significa que no auditen ni que entren en desidia. Es mejor para ellos corregir callados que hacerlo público por dos razones:
1. Corregir porque Internet Explorer está más expuesto que ninguno a ataques, la mayoría se interesa por IE por lo que si hay fallos tarde o temprano serán descubiertos y publicados algo que dañaría aún más su imagen y esto no interesa.
2. No publicar para no dañar su imagen.
Por ello, que no hagan público no significan que estén en desidia, es mas, insisto en que IE a pesar de ser muy jugoso últimamente no se escucha hablar tanto de él, ¿será porque no encuentran vulnerabilidades?
Solo hace falta ver el tiempo medio....
Si te das la vuelta, miras para atrás y observas verás que los fallos de firefox hace tiempo que tardan en ser corregidos un mes y no horas al igual que los parches de Microsoft que se publican cada segundo martes de mes.
Con el añadido de que uno es gratis y el otro no.
Internet explorer es gratis, Windows es de pago, office es de pago pero Internet explorer, el MSN, etc son gratis.
Chrome, por otro lado, es una beta, allá cada cual con su responsabilidad.
Aquí tienes razón.
#14 -> #17 y que ganas tengo de que llegue ese día para salir de dudas.
P.D: aclarar en mi comentario anterior (#7) lo de todos nos reiremos porque los primeros estarán contentos de que linux progrese frente a Windows y los segundos veremos cuan resistente es el pingüino.
Si somos 80.000, 50.000 están en contra del PP, de Microsoft y de EEUU, a favor del software libre y del PSOE.
En contra de Ramoncín y de la SGAE estamos los 80.000 o 79.999 pues siempre hay una oveja descarriada.
En menéame somos 80.000 y hay de todo pero las ideas predominantes están bien definidas y bastante claras de ahí que me dirija a Menéame como un ente independiente y autónomo .
- Bueno, un plus, ¿quien dijo que el número de usuarios no importaba?. El día que Linux tenga un 30% de mercado todos nos reiremos. ( en #7 )
- Entonces debe cumplirse eso siempre. ( en #25 )
- P.D: aclarar en mi comentario anterior (#7) lo de todos nos reiremos porque los primeros estarán contentos de que linux progrese frente a Windows y los segundos veremos cuan resistente es el pingüino. (en #20 )
- Vale, entonces lo de "Si ganas cuota de mercado pierdes seguridad" sólo se cumple en cosas como sistemas operativos... Haberlo aclarado antes, joer, que si no me lías ( en #25 )
- un Sistema operativo es más complejo y desenvuelve más tareas. Un sistema operativo debe de cuidarse no solo de si mismo sino de los programas que se instalan en él, un programa hace aquello y punto, un SO debe de permitir hacer a los programas y si un programa es malintencionado el SO debe de protegerse no solo de... ( en #24 ) .
Como ves, en ningún momento he dicho que esto se cumpla para todo, que sea una ley ni mucho menos, es obvio que para el buscaminas no funciona. En todo momento, como puedes comprobar, he estado hablando de Linux, si no entiendes lo que lees mejor te callas y haces un curso de comprensión lectora.
Tu comentario no se por donde cogerlo pero vamos a perder un poco de tiempo, esto va a ser un montón de citas pero bueno:
Veamos, entonces se queda en "Si un sistema operativo gana cuota de mercado pierde seguridad"
Aunque como no tengo ninguna prueba para apoyar eso lo arreglo un poco más, total ya que estamos: "Si Linux gana cuota de mercado pierde seguridad, y esto lo digo porque yo lo valgo"
A esto te contestas tú solo más abajo y dices más abajo:
¡Sorprendente! ¡Linux tiene fallos! ¿Quién lo diría?
A ver, la seguridad no es binaria: seguro / no seguro. La seguridad es un gradiente. Y obviamente todo programa de más de X líneas de código tiene fallos. Pero todos todos. Lo que se discute es la cantidad y gravedad de esos fallos comparativamente.
Como bien dices, linux tiene fallos, si usas la lógica te darás cuenta de que a mayor gente usándolo mayor probabilidad de que esa gente haga algo que provoque ese fallo. Es decir y es sólo un ejemplo, no te lo tomes al píe de la letra: el word se cuelga si escribimos en él la palabra qwerty y guardamos el documento. Si soy yo el único que usa word la probabilidad de que escriba qwerty y lo guarde es de un 1%, si somos cien mil la probabilidad es de un 99%. A mas gente más probabilidad de que se den las circustancias correctas para que eses fallos salgan a la luz, es decir, cuelguen a Linux o lo que sea. Claro ¿no?.
Con el tiempo las cosas se perfeccionan[...]decir que no tengan vulnerabilidades.
No, sólo que les ponen antirrobo de serie
Aquí quisiste hacer un chiste malo.
Linux deberá de lidiar con gente que daría su clave de root sin dudarlo. La mayoría de los windows se "estropean" porque el usuario hace el cafre con ellos.
Ajá, ¿y eso qué tiene que ver con la seguridad de Linux? Es como si me dices que Linux es una mierda porque es vulnerable al phishing
O que Windows es una basura porque puedo mandarle por correo .BAT con format c: a un amigo y convencerle para que lo ejecute
La mayoría de veces se dice que windows es malo porque permite que el usuario use cuentas de administrador, modifique X para que se cuelgue... La mayoría de veces se dice que windows es una mierda porque se llena de mierda, de spyware, se cuelga, hay que formatearlo cada año, etc y como ocurre esto windows no es seguro. Windows se llena de mierda y se cuelga la mayoría de veces porque los usuarios hacen el cafre con él, porque usan cuenta de administrador, porque dan clave de root. Se presume que esto en Linux no pasa porque "linux es seguro por defecto" y no sé que pero windows no, "windows no es seguro".
Llevo trabajando cuatro años con cuenta normal, no de administrador y nunca tuve problemas de ningún tipo. quizás sea afortunado pero me atrevo a decir por lo que comenta mucha gente que windows es seguro si no haces el cafre. De ahí viene lo que dije.
¡Sorprendente! ¡Linux tiene fallos! ¿Quién lo diría?
A ver, la seguridad no es binaria: seguro / no seguro. La seguridad es un gradiente. Y obviamente todo programa de más de X líneas de código tiene fallos. Pero todos todos. Lo que se discute es la cantidad y gravedad de esos fallos comparativamente.
Entonces me das la razón, a mayor número de gente más probabilidades de que se de la situación idónea para que uno de esos errores se manifieste. A mayor número de atacantes (porque a más usuarios mayor interés por atacarlo) más probabilidades de que uno de esos ataques, por culpa de eses fallos, tenga éxito.
Así que las listas de seguridad informática están llenas de tontos reportando bugs de seguridad
A ver, los usuarios se dan cuenta de los fallos de interfaz y posiblemente de funcionamiento. No provocan vulnerabilidades. No sé qué demonios estás diciendo
Aquí te vuelve a fallar la compresión lectora. No digo que eses usuarios reporten fallos sino que (la misma cantinela de nuevo) a mas gente usando un programa más probabilidades de que se den las circunstancias salgan a la luz, es decir, por hacer X + Y + Z el SO se cuelga... mira, lee lo que escribí en el párrafo anterior.
Con respecto a lo del malwarez sigues (otra vez) sin entender nada, me explicaré de nuevo: ¿para qué matarse a buscar la forma de infectar automáticamente a millones de usuarios de linux si solo representan el 1% de cuota?, mejor invertir el esfuerzo en infectar el 99% restante que es windows y para infectar a linux basta con hacerlo de forma manual.
Eso de que linux están en el punto de mira de los creadores de malwarez perdona que me ría. Si pretendes comparar el interés en infectar al 99% de los ordenadores con el de infectar al irrisorio 1% te ruego que me disculpes que me ría. Al lado de Windows, Linux no está en el punto de mira del malwarez ni de broma.
Además, un XP bien cuidado (tanto como linux) y trabajando como usuario normal y no como administrador (al igual que en linux) no se infecta así por las buenas. ¿que es lo que pasa? que la mayoría de los usuarios usan cuentas de administrador en windows, se instalan programas parcheados por vete tú a saber quien e incluso parchean el antivirus, meten 3 antivirus parcheados al mismo tiempo, etc. ¿por qué ocurre esto? porque en el 99% de los ordenadores está windows y en tan elevada cuota hay gente pa tó.
Así que sí, los usuarios importan (una vez más)
Espero que hayas leído esto después de haber realizado el curso de comprensión lectora.
Sin más dejo esta discusión porque nunca llegan a nada.
#5 Y como supongo que sabrás, únicamente un numero reducido de desbordamientos de memoria son explotables, sobretodos en sistemas que tienen protección a nivel kernel como Windows Vista, Linux+grsec, o openbsd. Un ejemplo muy claro es cuando no tienes espacio suficiente en la pila para ejecutar nada util (o incluso no poder ni ejecutar ya que no puedes rellenar de nops).
#12 Este tipo de reportes "Copio información de aquí y la pongo en mi web con mis palabras" sobra, ya que ni tienen un target de usuario definido. No obstante yo he meneado la noticia por que siempre es bueno informar a los usuarios, y por eso es la propia fundación Mozilla la que informa al arreglar un desbordamiento de memoria.
Primero, como yo uso firefox la noticia no me hace mucha gracia...
Segundo, en los comentarios anteriores se nota la objetividad de menéame y ya se entiende a qué me refiero.
Bueno, un plus, ¿quien dijo que el número de usuarios no importaba?. El día que Linux tenga un 30% de mercado todos nos reiremos.
#4 ... El desbordamiento de buffer es el metodo empleado en el 99,99% de los casos para introducir malware a traves del explorador... y si es desbordamiento por javascript vale desactivarlo... pero estan hablando de un desbordamiento por urls manipuladas.
#14 el ejemplo de mysql contra ms sql es bastante malo... pilla uno mejor.
1º que lo de slammer es de principios de 2003.
2º es un hecho, y míralo donde y cuando quieras, pero mysql tiene desde entonces unos cientos de fallos de seguridad... y ms sql... uno o dos.
Exactamente igual con iis. Sendmail sigue siendo una basura.
Y apache y Iis van al 50% mas o menos. y apache es más atacado. de hecho LAMP es lo mas atacado hoy en día... (si, por el php... pero es el mas atacado).
#21 Ya hay muchos otros ejemplos de que %uso -/-> %seguridad,
Y hay otros tantos que dicen lo contrario, como muestra firefox.
IIS y MSSQL no son sistemas operativos sino programas, un Sistema operativo es más complejo y desenvuelve más tareas. Un sistema operativo debe de cuidarse no solo de si mismo sino de los programas que se instalan en él, un programa hace aquello y punto, un SO debe de permitir hacer a los programas y si un programa es malintencionado el SO debe de protegerse no solo del programa sino del listillo que da permisos de administrador a un programa de Spyware que provoca el cuelgue del ordenador.
En definitiva es mucho más complejo un SO que un programa como puede ser ISS y MSSQL.
ISS y MSSQL están puestos normalmente en ordenadores administrados por gente que sabe y no por cualquier usuario. Con el tiempo las cosas se perfeccionan. De ahí que ISS MSSQL sean más seguros (me fío de ti, no lo comprobé) que no quiere decir que no tengan vulnerabilidades.
Linux deberá de lidiar con gente que daría su clave de root sin dudarlo. La mayoría de los windows se "estropean" porque el usuario hace el cafre con ellos.
Linux es un SO que como tal es complejo y revisar cada línea, probar todas las combinaciones para estar seguro de que ahí no hay ningún error es imposible. Entonces hay errores escondidos porque incluso freeBSD los tiene.
Por todo ello, aplicando la lógica, si en un SO hay errores a mayor gente usándolo y sobre todo a menor coeficiente intelectual de esta gente la probabilidad de que ese bug escondido salga a la luz aumenta por cada usuario.
Sigamos:
El spam, el malwarez mueve mucho, mucho dinero. El spam y el malwarez atacan a windows porque está en el 90% de los ordenadores y pasan de linux porque no merece la pena invertir esfuerzos en él. Cuando linux alcance una cuota significativa ¿tú no crees que los spamers y creadores de malwarez harán lo imposible para infectar a linux?, yo creo que si, yo creo que no serían tan estúpidos como para perder tantos miles de millones que ganan con esto.
Entonces ya tenemos malwarez garantizado para linux.
Comentarios
#7 Otro con el cuento de siempre."Linux es seguro porque lo usa poca gente!!1111"
Una buena respuesta a eso:
http://it.slashdot.org/comments.pl?sid=490740&cid=22780698
Traduzco:
«Excepto que popularidad != "explotabilidad". Mucha gente piensa que el software es como una caja fuerte - si lo machacas durante el tiempo suficiente, tarde o temprano se abrirá. El software no es así. Puedes machacar un programa para siempre y no pasará nada a no ser que realmente encuentres una vulnerabilidad - una situación no manejada por el software.
Por ejemplo, MySQL es mucho más popular online que Microsoft SQL. Aun así MS-SQL dió lugar al gusano slammer mientras que el enormemente-más-comúnmente-instalado MySQL no ha sido infectado por nada cercano a esa magnitud. (Sí, ha habido alguno. Pero no llegaron muy lejos)
La formula NO es:
Popularidad = Fallo de seguridad
Es más como:
Popularidad * Mal diseño = Fallo de seguridad
E incluso el mal software puede ser finalmente arreglado. Sendmail solía ser una pesadilla de seguridad. Pero a pesar de su posición como el servidor de correo número 1 en Internet, han pasado unos cuantos años desde que haya sido "explotada" alguna vulnerabilidad seria»
--------------------------
Otro ejemplo de esto sería Apache, el servidor web más usado durante muchos años y que sigue siendo relativamente seguro. En cambio, Microsoft IIS se usa menos (esto está cambiando gracias a GoDaddy y amigos) tuvo los problemas de Code Red y Nimda...
PD: por cierto, tanto IIS como MSSQL han mejorado mucho la seguridad en sus últimas versiones. Cosa que no ha tenido nada que ver con su popularidad ni su porcentaje de mercado...
no hay problema, yo uso Chrome
#17 "#14 el ejemplo de mysql contra ms sql es bastante malo... pilla uno mejor.
1º que lo de slammer es de principios de 2003."
No me has entendido nada. ¿En el 2003 no se aplicaba lo de "sólo es seguro porque lo usa poca gente y los hackers no se molestan en romperlo"?
Sólo decía que MSSQL era mucho menos usado que MySQL y era más inseguro. Con lo cual el maldito meme de "no hay fallos graves descubiertos porque se usa poco" no se cumple.
Que MSSQL es más seguro ahora, genial. De hecho hasta lo pongo en mi postdata, ¿no lo has leído?
"2º es un hecho, y míralo donde y cuando quieras, pero mysql tiene desde entonces unos cientos de fallos de seguridad... y ms sql... uno o dos."
Efectivamente y estás apoyando mi argumento. Los porcentajes de uso no han cambiado mucho pero si la seguridad de ambos productos. Así que lo %uso = %seguridad es falso.
Me estás dando la razón sin querelo porque crees que el objetivo de mi comentario era criticar a MSSQL o a IIS, cuando es más bien lo contrario...
Por cierto, ¿existe algo similar al slammer para MySQL?
Y apache y Iis van al 50% mas o menos. y apache es más atacado. de hecho LAMP es lo mas atacado hoy en día... (si, por el php... pero es el mas atacado).
Ahora sí porque IIS ha ganado cuota. Y además se ha vuelto más seguro. Cosa curiosa porque según vuestra doctrina al ganar cuota de mercado pierde seguridad. De nuevo me vuelves a dar la razón sin querer
Veo que estamos de acuerdo
#20 y que ganas tengo de que llegue ese día para salir de dudas.
Ya hay muchos otros ejemplos de que %uso /> %seguridad, no hace falta esperar a que Ñu tenga ese porcentaje de penetración. Además hablamos de que a día de hoy es más seguro, dentro de X años las cosas pueden haber cambiado. Ya he puesto que IIS y MSSQL se han vuelto más seguros, Linux podría hacer lo contrario para "acercarse" al usuario.
#3 Claro, como el Chrome es perfecto sin ninguna simple vulnerabilidad
Ya le saldrán a mares como a todos
Por diferenciar conceptos.
Que Mozilla informe de sus vulnerabilidades no es síntoma de debilidad, sino de que audita su producto y lo hace público a sus usuarios. Si otros navegadores tienen problemas de vulnerabilidades, sobre todo el innombrable, muchas veces es porque terceros y no Microsoft son los que lo advierten y lo hacen público, puesto que ni ellos mismos se dan cuenta. En el primer caso vemos un esfuerzo por la mejora continua, en el segundo la desidia de que todo da igual porque la gente nos sigue comprando. Solo hace falta ver el tiempo medio que transcurre entre que se detecta un fallo y la publicación del parche que lo remedia. Hablamos de horas en el caso de Mozilla y de incluso meses en el caso de Microsoft. Con el añadido de que uno es gratis y el otro no.
Chrome, por otro lado, es una beta, allá cada cual con su responsabilidad.
sera por vulnerabilidades... cada dia se descubre un monton y mucho mas graves, en este momento la mas preocupante parace ser el clickjacking
http://www.kriptopolis.org/clickjacking
La gran mayoría de estos errores de seguridad acaban por no ser explotables. En gran medida este tipo de noticias son usadas por compañías tipo Hispasec para "alarmar" a sus usuarios, o para salir en meneame
#11 la 3.0.2 introdujo un error en el administrador de contraseñas y poquísimo después lanzaron la 3.0.3 para corregir la regresión (error introducido al corregir otro)
#4 Como la propia noticia original expone, es la propia fundación mozilla la que informa de las vulnerabilidades.
#3 #8 Ya hay bastantes, un ejemplo: http://www.chromeplugins.org/chrome/critical-chrome-vulnerability/
#9 Es un muy buen complemento, pero no le tengas fe ciega, bloquea lo que conoce pero no lo que desconoce.
Ummm antiguo, ¿no? aconsejan actualizar a Firefox 3.0.2 y yo ya uso la versión 3.0.3.
#24 #21 Ya hay muchos otros ejemplos de que %uso -/-> %seguridad, Y hay otros tantos que dicen lo contrario, como muestra firefox.
A ver, no sé si me entiendes. Si tú aseveras que "por ley" si ganas cuota de mercado pierdes seguridad. Entonces debe cumplirse eso siempre.
Si me dices que en unos casos sí y en otros no, ¿qué cojones haces diciéndolo?
Premisa 1: Ganar cuota de mercado implica perder seguridad
Premisa 2: IIS ha ganado cuota de mercado
Conclusión: IIS ha perdido seguridad.
La conclusión es falsa porque la premisa 1 no es correcta. ¿Clarito?
IIS y MSSQL no son sistemas operativos sino programas, un Sistema operativo es más complejo y desenvuelve más tareas.
Vale, entonces lo de "Si ganas cuota de mercado pierdes seguridad" sólo se cumple en cosas como sistemas operativos... Haberlo aclarado antes, joer, que si no me lías
Veamos, entonces se queda en "Si un sistema operativo gana cuota de mercado pierde seguridad"
Aunque como no tengo ninguna prueba para apoyar eso lo arreglo un poco más, total ya que estamos: "Si Linux gana cuota de mercado pierde seguridad, y esto lo digo porque yo lo valgo"
Con el tiempo las cosas se perfeccionan. De ahí que ISS MSSQL sean más seguros (me fío de ti, no lo comprobé) que no quiere decir que no tengan vulnerabilidades.
No, sólo que les ponen antirrobo de serie
Linux deberá de lidiar con gente que daría su clave de root sin dudarlo. La mayoría de los windows se "estropean" porque el usuario hace el cafre con ellos.
Ajá, ¿y eso qué tiene que ver con la seguridad de Linux? Es como si me dices que Linux es una mierda porque es vulnerable al phishing
O que Windows es una basura porque puedo mandarle por correo .BAT con format c: a un amigo y convencerle para que lo ejecute
Linux es un SO que como tal es complejo y revisar cada línea, probar todas las combinaciones para estar seguro de que ahí no hay ningún error es imposible. Entonces hay errores escondidos porque incluso freeBSD los tiene.
¡Sorprendente! ¡Linux tiene fallos! ¿Quién lo diría?
A ver, la seguridad no es binaria: seguro / no seguro. La seguridad es un gradiente. Y obviamente todo programa de más de X líneas de código tiene fallos. Pero todos todos. Lo que se discute es la cantidad y gravedad de esos fallos comparativamente.
Por todo ello, aplicando la lógica, si en un SO hay errores a mayor gente usándolo y sobre todo a menor coeficiente intelectual de esta gente la probabilidad de que ese bug escondido salga a la luz aumenta por cada usuario.
Así que las listas de seguridad informática están llenas de tontos reportando bugs de seguridad
A ver, los usuarios se dan cuenta de los fallos de interfaz y posiblemente de funcionamiento. No provocan vulnerabilidades. No sé qué demonios estás diciendo
El spam, el malwarez mueve mucho, mucho dinero. El spam y el malwarez atacan a windows porque está en el 90% de los ordenadores y pasan de linux porque no merece la pena invertir esfuerzos en él. Cuando linux alcance una cuota significativa ¿tú no crees que los spamers y creadores de malwarez harán lo imposible para infectar a linux?, yo creo que si, yo creo que no serían tan estúpidos como para perder tantos miles de millones que ganan con esto.
¿Malwarez? Será Malware, digo yo...
Curiosamente las redes de spammers y bots usan bastantes UNIX y Linux crackeados como "centros neurálgicos" de las botnets. Por ahí hay varios informes que no tengo ganas de buscar.
Los windows spammean/atacan y reciben las ordenes de los Linux, que normalmente suelen ser más estables y con mejores conexiones (servidores)
La diferencia es que los Windows se infecta automáticamente mediante virus. Y los
Linux los crackean de forma manual y laboriosa (si es que pueden). Así que sí, los Linux están a día de hoy en el punto de mira de los creadores de malware pero ya ves que no es la misma situación.
Pero bueno, todo esto ha empezado por lo de %uso = %inseguridad. Ya te he demostrado que eso no se cumple en todos los casos (con lo cual no se puede soltar tan a la ligera) y te has empezado a ir por las ramas
#3 Estás tranquilo porque usas una versión beta? Deja las drogas.
#7, en los comentarios anteriores se nota la objetividad de menéame
Qué manía con lo de menéame como un ente independiente y autónomo! Menéame es una comunidad de usuarios (más de 80.000, creo) donde, como en todas partes, hay de todo. Menéame no es un blog personal y, sobretodo, no tiene opinión propia.
Para #3, y para #8 que cree que tienen aun que salir cosas...
Algunas vulnerabilidades de Chrome
http://www.securityfocus.com/swsearch?sbm=%2F&metaname=alldoc&query=chrome&x=0&y=0 (Página 1 de 5)
Bugs de Chrome:
http://groups.google.com/group/chromium-bugs/topics?gvc=2&pli=1 (Topics 1 - 30 of 3144)
eso eso ustedes seguid dandoles ideas a los hackers...
Mi "noscrtip" me advierte con demasaida frecuencia del intento de ataques de cross-site scripting, asique, recomiendo instalar este complemento en firefox.
#13 Judas, a ver, que tu comentario yo no veo por donde cogerlo, ruego que disculpes mi sinceridad:
Que Mozilla informe de sus vulnerabilidades no es síntoma de debilidad,
Que Mozilla informe no es síntoma de debilidad pero que tenga tantas vulnerabilidades sí lo es un poco, al menos casi tan vulnerable como otros pues nada hay perfecto. Pongo "casi tan" y no "tan" a secas porque le tengo aprecio al zorro.
Con firefox llevamos una racha de vulnerabilidades, del IE no escucho tanto.
sino de que audita su producto y lo hace público a sus usuarios.[...] en el segundo la desidia de que todo da igual porque la gente nos sigue comprando.
Todo ese párrafo: Efectivamente, audita y hace público pero que otros (el "innombrable") no hagan público no significa que no auditen ni que entren en desidia. Es mejor para ellos corregir callados que hacerlo público por dos razones:
1. Corregir porque Internet Explorer está más expuesto que ninguno a ataques, la mayoría se interesa por IE por lo que si hay fallos tarde o temprano serán descubiertos y publicados algo que dañaría aún más su imagen y esto no interesa.
2. No publicar para no dañar su imagen.
Por ello, que no hagan público no significan que estén en desidia, es mas, insisto en que IE a pesar de ser muy jugoso últimamente no se escucha hablar tanto de él, ¿será porque no encuentran vulnerabilidades?
Solo hace falta ver el tiempo medio....
Si te das la vuelta, miras para atrás y observas verás que los fallos de firefox hace tiempo que tardan en ser corregidos un mes y no horas al igual que los parches de Microsoft que se publican cada segundo martes de mes.
Con el añadido de que uno es gratis y el otro no.
Internet explorer es gratis, Windows es de pago, office es de pago pero Internet explorer, el MSN, etc son gratis.
Chrome, por otro lado, es una beta, allá cada cual con su responsabilidad.
Aquí tienes razón.
#14 -> #17 y que ganas tengo de que llegue ese día para salir de dudas.
P.D: aclarar en mi comentario anterior (#7) lo de todos nos reiremos porque los primeros estarán contentos de que linux progrese frente a Windows y los segundos veremos cuan resistente es el pingüino.
#22 Ya, claro.
Si somos 80.000, 50.000 están en contra del PP, de Microsoft y de EEUU, a favor del software libre y del PSOE.
En contra de Ramoncín y de la SGAE estamos los 80.000 o 79.999 pues siempre hay una oveja descarriada.
En menéame somos 80.000 y hay de todo pero las ideas predominantes están bien definidas y bastante claras de ahí que me dirija a Menéame como un ente independiente y autónomo .
Lo siguiente son citas:
- Si tú aseveras que "por ley" ( en #25 )
- Bueno, un plus, ¿quien dijo que el número de usuarios no importaba?. El día que Linux tenga un 30% de mercado todos nos reiremos. ( en #7 )
- Entonces debe cumplirse eso siempre. ( en #25 )
- P.D: aclarar en mi comentario anterior (#7) lo de todos nos reiremos porque los primeros estarán contentos de que linux progrese frente a Windows y los segundos veremos cuan resistente es el pingüino. (en #20 )
- Vale, entonces lo de "Si ganas cuota de mercado pierdes seguridad" sólo se cumple en cosas como sistemas operativos... Haberlo aclarado antes, joer, que si no me lías ( en #25 )
- un Sistema operativo es más complejo y desenvuelve más tareas. Un sistema operativo debe de cuidarse no solo de si mismo sino de los programas que se instalan en él, un programa hace aquello y punto, un SO debe de permitir hacer a los programas y si un programa es malintencionado el SO debe de protegerse no solo de... ( en #24 ) .
Como ves, en ningún momento he dicho que esto se cumpla para todo, que sea una ley ni mucho menos, es obvio que para el buscaminas no funciona. En todo momento, como puedes comprobar, he estado hablando de Linux, si no entiendes lo que lees mejor te callas y haces un curso de comprensión lectora.
Tu comentario no se por donde cogerlo pero vamos a perder un poco de tiempo, esto va a ser un montón de citas pero bueno:
Veamos, entonces se queda en "Si un sistema operativo gana cuota de mercado pierde seguridad"
Aunque como no tengo ninguna prueba para apoyar eso lo arreglo un poco más, total ya que estamos: "Si Linux gana cuota de mercado pierde seguridad, y esto lo digo porque yo lo valgo"
A esto te contestas tú solo más abajo y dices más abajo:
¡Sorprendente! ¡Linux tiene fallos! ¿Quién lo diría?
A ver, la seguridad no es binaria: seguro / no seguro. La seguridad es un gradiente. Y obviamente todo programa de más de X líneas de código tiene fallos. Pero todos todos. Lo que se discute es la cantidad y gravedad de esos fallos comparativamente.
Como bien dices, linux tiene fallos, si usas la lógica te darás cuenta de que a mayor gente usándolo mayor probabilidad de que esa gente haga algo que provoque ese fallo. Es decir y es sólo un ejemplo, no te lo tomes al píe de la letra: el word se cuelga si escribimos en él la palabra qwerty y guardamos el documento. Si soy yo el único que usa word la probabilidad de que escriba qwerty y lo guarde es de un 1%, si somos cien mil la probabilidad es de un 99%. A mas gente más probabilidad de que se den las circustancias correctas para que eses fallos salgan a la luz, es decir, cuelguen a Linux o lo que sea. Claro ¿no?.
Con el tiempo las cosas se perfeccionan[...]decir que no tengan vulnerabilidades.
No, sólo que les ponen antirrobo de serie
Aquí quisiste hacer un chiste malo.
Linux deberá de lidiar con gente que daría su clave de root sin dudarlo. La mayoría de los windows se "estropean" porque el usuario hace el cafre con ellos.
Ajá, ¿y eso qué tiene que ver con la seguridad de Linux? Es como si me dices que Linux es una mierda porque es vulnerable al phishing
O que Windows es una basura porque puedo mandarle por correo .BAT con format c: a un amigo y convencerle para que lo ejecute
La mayoría de veces se dice que windows es malo porque permite que el usuario use cuentas de administrador, modifique X para que se cuelgue... La mayoría de veces se dice que windows es una mierda porque se llena de mierda, de spyware, se cuelga, hay que formatearlo cada año, etc y como ocurre esto windows no es seguro. Windows se llena de mierda y se cuelga la mayoría de veces porque los usuarios hacen el cafre con él, porque usan cuenta de administrador, porque dan clave de root. Se presume que esto en Linux no pasa porque "linux es seguro por defecto" y no sé que pero windows no, "windows no es seguro".
Llevo trabajando cuatro años con cuenta normal, no de administrador y nunca tuve problemas de ningún tipo. quizás sea afortunado pero me atrevo a decir por lo que comenta mucha gente que windows es seguro si no haces el cafre. De ahí viene lo que dije.
¡Sorprendente! ¡Linux tiene fallos! ¿Quién lo diría?
A ver, la seguridad no es binaria: seguro / no seguro. La seguridad es un gradiente. Y obviamente todo programa de más de X líneas de código tiene fallos. Pero todos todos. Lo que se discute es la cantidad y gravedad de esos fallos comparativamente.
Entonces me das la razón, a mayor número de gente más probabilidades de que se de la situación idónea para que uno de esos errores se manifieste. A mayor número de atacantes (porque a más usuarios mayor interés por atacarlo) más probabilidades de que uno de esos ataques, por culpa de eses fallos, tenga éxito.
Así que las listas de seguridad informática están llenas de tontos reportando bugs de seguridad
A ver, los usuarios se dan cuenta de los fallos de interfaz y posiblemente de funcionamiento. No provocan vulnerabilidades. No sé qué demonios estás diciendo
Aquí te vuelve a fallar la compresión lectora. No digo que eses usuarios reporten fallos sino que (la misma cantinela de nuevo) a mas gente usando un programa más probabilidades de que se den las circunstancias salgan a la luz, es decir, por hacer X + Y + Z el SO se cuelga... mira, lee lo que escribí en el párrafo anterior.
Con respecto a lo del malwarez sigues (otra vez) sin entender nada, me explicaré de nuevo: ¿para qué matarse a buscar la forma de infectar automáticamente a millones de usuarios de linux si solo representan el 1% de cuota?, mejor invertir el esfuerzo en infectar el 99% restante que es windows y para infectar a linux basta con hacerlo de forma manual.
Eso de que linux están en el punto de mira de los creadores de malwarez perdona que me ría. Si pretendes comparar el interés en infectar al 99% de los ordenadores con el de infectar al irrisorio 1% te ruego que me disculpes que me ría. Al lado de Windows, Linux no está en el punto de mira del malwarez ni de broma.
Además, un XP bien cuidado (tanto como linux) y trabajando como usuario normal y no como administrador (al igual que en linux) no se infecta así por las buenas. ¿que es lo que pasa? que la mayoría de los usuarios usan cuentas de administrador en windows, se instalan programas parcheados por vete tú a saber quien e incluso parchean el antivirus, meten 3 antivirus parcheados al mismo tiempo, etc. ¿por qué ocurre esto? porque en el 99% de los ordenadores está windows y en tan elevada cuota hay gente pa tó.
Así que sí, los usuarios importan (una vez más)
Espero que hayas leído esto después de haber realizado el curso de comprensión lectora.
Sin más dejo esta discusión porque nunca llegan a nada.
Lo que faltaría es que se saliera de la pantalla y me la chupara ....
#5 Y como supongo que sabrás, únicamente un numero reducido de desbordamientos de memoria son explotables, sobretodos en sistemas que tienen protección a nivel kernel como Windows Vista, Linux+grsec, o openbsd. Un ejemplo muy claro es cuando no tienes espacio suficiente en la pila para ejecutar nada util (o incluso no poder ni ejecutar ya que no puedes rellenar de nops).
#12 Este tipo de reportes "Copio información de aquí y la pongo en mi web con mis palabras" sobra, ya que ni tienen un target de usuario definido. No obstante yo he meneado la noticia por que siempre es bueno informar a los usuarios, y por eso es la propia fundación Mozilla la que informa al arreglar un desbordamiento de memoria.
Tan solo dos cosas:
Primero, como yo uso firefox la noticia no me hace mucha gracia...
Segundo, en los comentarios anteriores se nota la objetividad de menéame y ya se entiende a qué me refiero.
Bueno, un plus, ¿quien dijo que el número de usuarios no importaba?. El día que Linux tenga un 30% de mercado todos nos reiremos.
#14 a veces los cuentos se hacen realidad, y eso de intentar negar evidencias para protegerse no vale en el mundo real
Múltiples vulnerabilidades en Firefox, Thunderbird y Seamonkey???
que vaaaa!!! seguro que son cosas de Microsoft...
#4 ... El desbordamiento de buffer es el metodo empleado en el 99,99% de los casos para introducir malware a traves del explorador... y si es desbordamiento por javascript vale desactivarlo... pero estan hablando de un desbordamiento por urls manipuladas.
A cada cosa la importancia que tiene.
#14 el ejemplo de mysql contra ms sql es bastante malo... pilla uno mejor.
1º que lo de slammer es de principios de 2003.
2º es un hecho, y míralo donde y cuando quieras, pero mysql tiene desde entonces unos cientos de fallos de seguridad... y ms sql... uno o dos.
Exactamente igual con iis. Sendmail sigue siendo una basura.
Y apache y Iis van al 50% mas o menos. y apache es más atacado. de hecho LAMP es lo mas atacado hoy en día... (si, por el php... pero es el mas atacado).
#21 Ya hay muchos otros ejemplos de que %uso -/-> %seguridad,
Y hay otros tantos que dicen lo contrario, como muestra firefox.
IIS y MSSQL no son sistemas operativos sino programas, un Sistema operativo es más complejo y desenvuelve más tareas. Un sistema operativo debe de cuidarse no solo de si mismo sino de los programas que se instalan en él, un programa hace aquello y punto, un SO debe de permitir hacer a los programas y si un programa es malintencionado el SO debe de protegerse no solo del programa sino del listillo que da permisos de administrador a un programa de Spyware que provoca el cuelgue del ordenador.
En definitiva es mucho más complejo un SO que un programa como puede ser ISS y MSSQL.
ISS y MSSQL están puestos normalmente en ordenadores administrados por gente que sabe y no por cualquier usuario. Con el tiempo las cosas se perfeccionan. De ahí que ISS MSSQL sean más seguros (me fío de ti, no lo comprobé) que no quiere decir que no tengan vulnerabilidades.
Linux deberá de lidiar con gente que daría su clave de root sin dudarlo. La mayoría de los windows se "estropean" porque el usuario hace el cafre con ellos.
Linux es un SO que como tal es complejo y revisar cada línea, probar todas las combinaciones para estar seguro de que ahí no hay ningún error es imposible. Entonces hay errores escondidos porque incluso freeBSD los tiene.
Por todo ello, aplicando la lógica, si en un SO hay errores a mayor gente usándolo y sobre todo a menor coeficiente intelectual de esta gente la probabilidad de que ese bug escondido salga a la luz aumenta por cada usuario.
Sigamos:
El spam, el malwarez mueve mucho, mucho dinero. El spam y el malwarez atacan a windows porque está en el 90% de los ordenadores y pasan de linux porque no merece la pena invertir esfuerzos en él. Cuando linux alcance una cuota significativa ¿tú no crees que los spamers y creadores de malwarez harán lo imposible para infectar a linux?, yo creo que si, yo creo que no serían tan estúpidos como para perder tantos miles de millones que ganan con esto.
Entonces ya tenemos malwarez garantizado para linux.
Así que sí, los usuarios importan.