Los desarrolladores de Firefox bloquean Java completamente. ¿Héroes o villanos?
Dada la escandalosa situación de seguridad con el plugin Java, desde hace un par de años cada vez más los distintos navegadores web, incluido Firefox, han incorporado medidas de seguridad en la línea de desactivar los Applet Java cuando un usuario no está ejecutando la última versión del plugin Java disponible. En estos casos, el usuario suele tener que hacer varios clics en varias ventanas "diseñadas para dar miedo" para permitir la ejecución del Applet.
La semana pasada Firefox ha ido un paso más allá, hasta donde ningún otro vendedor de navegador web se había atrevido. Debido a la última oleada de agujeros de seguridad en Java, especialmente a uno en particular que permite desencriptar tráfico SSL en el navegador apoyándose en un Applet, el equipo de desarrollo de Firefox ha decidido bloquear Java por defecto, incluso aunque el usuario esté ejecutando la última versión disponible del plugin Java.
Yo personalmente no les culpo. La situación de seguridad con el plugin Java es catastrófica, o quizás todavía peor. La inmensa mayoría de los usuarios de Internet no necesitan para nada el plugin Java, y les puede ocasionar bastantes problemas. Sin embargo, en Europa en especial, todavía se emplean bastantes Applet por parte de instituciones gubernamentales y bancos. Es especialmente problemático el caso de Dinamarca, donde tienen una especie de login unificado para la administración pública que se basa en un Applet.
Todo esto ha redundado en un montón de quejas en una entrada del sistema de bug traking de Mozilla donde se está discutiendo este tema. Muchos administradores de sistemas se están quejando por los problemas de soporte que esto les está acarreando. Los chicos de Firefox siguen defendiendo su decisión porque "sigue siendo posible ejecutar los Applet Java haciendo unos pocos clics".
¿Qué opines vosotros sobre este movimiento de Firefox? ¿Son sus desarrolladores héroes por atreverse a dar este paso para proteger a sus usuarios o villanos por romper algo que funcionaba?
Reader Comments (20)
Merece la pena dedicar algún tiempo a leer los comentarios publicados aquí:
https://bugzilla.mozilla.org/show_bug.cgi?id=914690
Sobre todo los de empresas afectadas, las reclamaciones de sus clientes, y sobre el bloqueo del acceso global al gobierno danés.
Hablando de seguridad, y centrándonos en Firefox, igual merece la pena echar un vistazo a lo siguiente:
http://www.cvedetails.com/product/3264/Mozilla-Firefox.html?vendor_id=452
http://www.mozilla.org/security/known-vulnerabilities/firefox.html
Para comparación, la lista del JRE:
http://www.cvedetails.com/product/1526/SUN-JRE.html?vendor_id=5
http://www.cvedetails.com/product/19117/Oracle-JRE.html?vendor_id=93
A mi todo esto me recuerda a los problemas de seguridad que tuvieron los ActiveX en su momento. ¿Alguien se acuerda de ellos? Pues habra que poner las barbas a remojar...
Yo creo que se están disparando en su propio pie. Como se comenta en la noticia, a día de hoy hay ámbitos en los que la ejecución de un applet es imprescindible. Aquí en España, es necesario para ciertas gestiones con la administración pública, porque para firmar digitalmente algún dato, simplemente no hay alternativa en HTML+JavaScript. Si los demás no les imitan (mejor dicho, los otros dos grandes), Firefox perderá usuarios.
Y si los demás les imitan, pues vamos a tener un serio problema. ¿Qué hacemos con esas webs donde es necesaria la firma de datos?
La decisión la tendrá en ultima instancia el usuario común, no solo con java todos los navegadores son inseguros para navegar en general para mi le pifiaron los chicos de Mozilla con esta decisión.-
Los Applets de Java son un colador de problemas de seguridad, está sobradamente demostrado. Felicito a Mozilla por el valor de poner primero al usuario. Es más qué lógico desactivarlo por defecto en todos los sitios, y que el usuario solo lo reactive en los sitios confiables(?) que decida. ¿Tanto escándolo porque el usuario tendrá que hacer dos clics adicionales por sitio que quiera habilitar? ¿En serio es preferible dejarlo expuesto a vulnerabilidades para evitar 2 clics por sitio? Si los administradores de los sistemas gubernamentales no pueden asesorar y guiar a sus usuarios en algo tan básico para la seguiridad, tal vez deberían dejarle su puesto a personas más capaces.
A java Desktop tarde o temprano le pasará lo mismo que Flash. al menos que valla por nativo.
¿A Java Desktop?
¿Qué tiene que ver Java Desktop con el plugin de Java para navegadores de Internet?
¿Todavía se siguen mezclando cosas así, a estas alturas?
Pero y los que necesitemos java?, para entrar a páginas gubernamentales (en México también es igual)?, se podrá reactivar?, nos tendremos que ir a Chrome?
Es una decision absurda. Desde las ultimas versiones de Java se lanza siempre un mensaje al usuario (un "click to run"). Tampoco son los primeros que lo hacen, en Chrome también se desactiva Java por defecto, pero es mucho más facil hacerlo funcionar. En la nueva versión de Firefox no es intuitivo en absoluto
Yo me alegro por la decisión. De hecho, debería extenderse a los propios sistemas operativos que permiten ejecución de código remota mediante exploits... Es decir, sigamos la filosofía de bloquear por principio y bloqueemos el sistema operativo también, de este modo nos cargamos de un plumazo los problemas de seguridad de Java, Flash, .Net...
@choces : Me refiero a las apps. java que se ejecutan en el escritorio (Cliente)..
Si te cuesta captarlo es tu probl... !
No me cuesta captar nada, de hecho me has vuelto a confirmar lo que sospechaba.
Para ejemplo de aplicaciones Java que se ejecutan en el escritorio, supongo que te refieres a algunas bien conocidas como NetBeans.
¿Son esas las que, según tu, deberían ser nativas para evitar problemas de seguridad?.
¿Desde cuándo estar compiladas directamente a código nativo evita problemas de seguridad?.
Por si te quedan dudas, aquí tienes una buena colección de aplicaciones de escritorio:
"Seeing is believing. These are examples of some of the enterprise applications being built on top of the Java desktop application framework known as "the NetBeans Platform"."
https://platform.netbeans.org/screenshots.html
El escritorio para Java no es, ni mucho menos, "una ventana dentro del navegador de Internet".
¿Lo captas tu ahora?.
Jeje, yo estoy con Ramón. Siguiendo el razonamiento de los chicos Firefox tendríamos que empezar por bloquear su propio navergador y terminar con windows, Linux, Solaris, OSX... Y volver a la máquina de escribir... Bueno, tampoco, que la cinta es un agujero de seguridad...
Mi refiero a Compilacion multiplataforma.. Y tirar la JVM al tarro.
Que si resuelve problemas de seguridad ?, pues bastante ya que no necisitaras saber de ninguna actualizacion cada x tiempo para la VM.
Realmente son necesarios las Applets !?
Pero @kas, si los propios navegadores, que tienen el récord absoluto de vulnerabilidades de seguridad, están todos compilados a código nativo. Y debido a ello, se están actualizando mes a mes.
Seguramente los applets son una especie a extinguir, en cuanto se encuentre un substituto aceptable. Por ahora se usan mucho, como habrás leído en algunos de los comentarios precedentes.
Pero, ¿qué tiene que ver la VM con ello?. Ni Java en el Servidor ni en el Escritorio sufren de esas vulnerabilidades, que están relacionadas con los applets en los navegadores.
Todo el problema consiste en que version de la JVM esta instalada, El 80% de los pc's aun tienen la 1.4 que viene con XP , imagina a todos estos pc's infectados con un 'Troyano' .
Mozila ha hecho lo que tenia que hacer, y muchos han cortado el problema de la raiz: Desinstalar la JVM.. Ya veremos que nos trae el futuro !?
No he encontrado nunca una estadística fiable sobre el uso de versiones del JRE en los navegadores. Por eso no comprendo de dónde salen cifras como "El 80% de los pc's aun tienen la 1.4 que viene con XP", teniendo en cuenta que Windows XP tiene en la actualidad un 31% de cuota de mercado:
http://www.netmarketshare.com/operating-system-market-share.aspx?qprid=10&qpcustomd=0
Y que en Windows, la VM se actualiza, o avisa, mediante el Java Update Scheduler (jusched.exe): http://www.java.com/es/download/help/java_update.xml
al menos para versiones más modernas, como la 1.6 y 1.7
@kas, por favor, si no tenes idea de como se prende una computadora no opines de temas de seguridad informatica
@ulises, Que yo sepa las computadoras se encienden, porfavor dime tu como se "PRENDEN" !!?