Krypton Solid

La última tecnología en raciones de 5 minutos

En términos de seguridad, ¿deberían los medios ser más duros para Microsoft que para Firefox?

Mi colega bloguero de ZDNet, George Ou planteó una pregunta interesante sobre cómo los medios manejan las fallas de seguridad en Internet Explorer (IE) versus cómo cubren lo mismo para Firefox. Usando solo dos titulares anteriores para cada uno de los navegadores (de dos fuentes de noticias) como puntos de prueba, la evidencia es muy anecdótica. Pero supongo que es bastante proyectable en el pasado. Como periodista de tecnología durante 15 años, el blog de Ou me hizo detenerme y preguntarme si hay un doble rasero cuando escribo sobre Microsoft y, de ser así, ¿está tan mal?

Creo que la pregunta se puede dividir en dos preguntas. En primer lugar, ¿deberíamos esperar más de Microsoft que, digamos, Mozilla.org? En segundo lugar, si deberíamos, ¿deberíamos también ser más duros con Microsoft cuando no cumple con esas expectativas?

¿Deberíamos esperar más de Microsoft? ¿Es justo ser más crítico con la empresa que tomó las decisiones más riesgosas? Y no solo más que Mozilla, sino muchas otras empresas. Yo diría que sí, pero probablemente no por las razones que la mayoría haría. La razón más obvia para esperar más de Microsoft es que la empresa, llena de efectivo, parece tener recursos ilimitados. La implicación es que no hay excusas. No hay ninguna razón por la que Microsoft no pueda contratar a los mejores programadores del mundo (excepto algunas personas con principios, todos tienen un precio) y no hay ninguna razón por la que Microsoft no pueda contratarlos en la cantidad que sea necesaria para hacerlo. los problemas desaparecen. Estos también soy yo no razones para esperar más de Microsoft.

Entonces, ¿qué son?

Para empezar, si usted es un gerente de producto de Microsoft que trabaja en cualquier producto, es posible que sienta desprecio por este doble rasero. Pero, ¿debería Microsoft realmente sentirse mal por estar sujeto a un doble rasero? ¿O debería un ejecutivo de Microsoft sentirse con derecho a quejarse de que se le aplica un doble rasero? Por lo que puedo recordar, esto no sucedió. Al plantear la cuestión de un doble rasero para los dobles raseros, estoy dispuesto a apostar a que Microsoft, como la mayoría de las empresas, aplica un doble rasero. ¿Qué empresa no lo hace? Si soy Bill Gates o cualquier otro gerente de Microsoft, puede apostar que no solo estoy tratando de contratar a las mejores personas, sino que las estoy apoyando a un nivel más alto que mi competencia. Este tipo de entorno exigente, un entorno con mucha menos tolerancia a la mediocridad, es lo que hace grandes a algunas empresas.

En 1992, aproximadamente un año después de que comencé a trabajar en el periodismo tecnológico, mi socio de blogs Dan Farber asumió el cargo de editor en jefe de la publicación para la que trabajamos (Semana de la PC). Desde el principio, me quedó bastante claro (debido a la cantidad de veces que me golpeó por algo que mi equipo iba a publicar) que nos mantenía en un estándar diferente al del resto de la industria. A veces, las críticas fueron duras. Pero el resultado fue que comenzamos a utilizar el desempeño de otras publicaciones para comparar nuestro desempeño y asegurarnos de que, sin importar qué, saliéramos en la cima. ¿Hice más reseñas? (Yo era el director de los laboratorios de pruebas). ¿Se revisaron los productos y el contexto en el que se revisaron más en línea con las necesidades de información de la audiencia objetivo que las revisiones en otras publicaciones? Estaba haciendo un mejor trabajo al poner esas reseñas en un contexto comparativo, dado qué más había en el mercado, o al revisar cada producto en un globo como si no hubiera otra alternativa (¿qué piensa el comprador de TI de esa manera?). Como un pequeño demonio en mi hombro, el doble estándar me hizo pensar y repensar todo lo que hice.

Probablemente por eso no escucha a los ejecutivos de Microsoft quejarse con demasiada frecuencia sobre los dobles raseros en la prensa. Dado que Microsoft cumple con diferentes estándares, la queja de que la prensa hace lo mismo sería en sí misma un doble estándar.

Existe otra razón por la que podemos tener derecho a esperar más de Microsoft. Aunque no todos los problemas de seguridad con Internet Explorer están relacionados con la canalización básica de Windows (ActiveX), ha habido muchos. ActiveX (que ha tenido tantos nombres que ni siquiera puedo rastrearlos todos) ha sido durante mucho tiempo una elección arquitectónica fundamental de Microsoft. Por un lado, facilita mucha funcionalidad y reduce la fricción en comparación con la integración de componentes de software dentro del sistema operativo. Por otro lado, al preparar tales gastos generales para la conectividad del software, simplemente no puede confiar en que todos conduzcan de acuerdo con las reglas de tráfico. Entonces, si Microsoft abre la autopista y luego crea una aplicación (IE) que la usa (dos opciones separadas) y luego respalda esas opciones como si fuera la religión de la compañía, llega un momento (en términos del precio de los usuarios pagados repetidamente desde debido a esas opciones) en el que la prensa está más justificada al usar titulares más incendiarios?

En Firefox, los desarrolladores de Mozilla.org han realizado elecciones arquitectónicas diferentes a las de Microsoft. En la medida en que estas opciones contribuyan a la vulnerabilidad de los usuarios de Firefox, Mozilla.org ciertamente está pendiente de garantizar que esas opciones no expongan innecesariamente a los usuarios finales a intenciones maliciosas. Si. Más que otras vulnerabilidades. Incluso si esas otras vulnerabilidades eventualmente se pueden rastrear a una elección, una elección hecha por un programador, elegir una arquitectura general que pueda dejar expuestos a los usuarios finales significa riesgos más altos y, por lo tanto, estándares más altos.

En el mashup ChicagoCrime.org, Adrian Holovaty, quien ganó el segundo lugar en Campamento Mashup El Concurso Best Mashup ha programado la capacidad de los usuarios finales para verificar el camino que ellos o sus hijos pueden tomar para llegar al trabajo, el transporte público o la parada del autobús escolar para determinar la frecuencia del crimen. Si un camino pasa por un mal vecindario y callejones donde es más probable que ocurran delitos, y el otro a través del alto volumen de tráfico peatonal es estadísticamente e intuitivamente más seguro, lo que se envía a los niños.

Puede ser conveniente enviar a sus hijos a través de vecindarios y callejones peligrosos. Tal vez reduzca el tiempo que se tarda en llegar a la escuela en 20 minutos (créanme, como padre de tres hijos, puedo decirle que 20 minutos es un gran problema por la mañana). Pero si conoce los riesgos, también es responsable de asegurar la ruta. Por ejemplo, ve con ellos. ¿Cuándo fue la última vez que vio a un grupo de niños de seis años sentados solos en la esquina de la calle (sin adultos) esperando el autobús escolar?

Recuerdo cuando Java apareció por primera vez en los títulos. Había un navegador llamado HotJava que se construyó completamente en Java, y en ese momento, Java era famoso por su caja de arena: un firewall de software que interrumpe cualquier código que se ejecuta dentro de la máquina virtual Java en el mundo exterior («afuera» significa un host que opera sistema, como Windows). Como resultado, las aplicaciones que se ejecutan en Java (como HotJava) estaban completamente protegidas por el sistema operativo de una manera que el uso de la Web no podía dañar el sistema host (por ejemplo, cargar malware subrepticiamente). Estoy seguro de que los desarrolladores de HotJava diferirán en este punto de vista; pero tan limitado en funcionalidad y lento era el navegador HotJava que desapareció por completo del panorama.

En contra de los deseos de Sun, Microsoft introdujo una versión específica de Windows de la máquina virtual Java que abrió un agujero en la pared de la caja de arena, dando a los desarrolladores de Java algo de acceso a las utilidades de Windows. El mismo tipo de acceso que Internet Explorer. Legal, esa elección le costó a Microsoft $ 1.95 mil millones. Pero técnicamente, Microsoft estaba en algo. A lo largo de los años, Java Virtual Machine ha adquirido altos niveles de conectividad con el sistema operativo del host para habilitar ciertos tipos de funciones de las que ciertas aplicaciones no pueden prescindir: por ejemplo, acceso al sistema de archivos local. Como era de esperar, cuanto más se abrió la caja de arena para el sistema operativo host a lo largo de los años, más Sun tuvo que emitir correcciones de seguridad. En febrero pasado, Dawn Kawamoto de News.com informó:

Sun Microsystems lanzó un parche el martes para corregir siete errores «críticos» en su entorno operativo Java, que podrían permitir que un atacante malintencionado obtenga el control remoto del sistema de un usuario … Estos últimos errores se encuentran en una de las interfaces de programación de aplicaciones JRE . , o API, que se comunica entre el sandbox y el resto del sistema. Los atacantes podrían aprovechar los defectos para obtener acceso remoto a las aplicaciones Java de un usuario, permitiéndoles leer y escribir archivos o ejecutar código.

Irónicamente, o tal vez no, Sun y Microsoft se están acercando a un punto central entre los extremos de los que vinieron hace mucho tiempo (Microsoft con sus autopistas ActiveX en gran parte sin vigilancia y Sun con plataformas diseñadas pensando en la seguridad en el terreno). Por un lado, Sun construye las rutas bidireccionales necesarias entre los diferentes entornos Java Runtime y las plataformas a las que están adaptados (ordenadores, teléfonos, decodificadores, etc.) para proporcionar más funciones. Por otro lado, está Microsoft con Internet Explorer, cuyos tornillos se han vuelto cada vez más apretados a lo largo de los años, de modo que, en nombre de la seguridad, IE7 no será una experiencia completamente ininterrumpida que IE fue una vez. La idea es que la seguridad siempre ha estado reñida con la funcionalidad. Para obtener más funciones, casi todo el software termina arriesgando un poco la seguridad. Y no importa cuán metódica sea una empresa y a pesar de sus verdaderas intenciones, desarrollar un software perfectamente seguro no es tan fácil. Hasta ahora nadie ha podido enviar la solución perfecta, lo cual no es extraño.

Entonces, si la mayoría del software comienza a gravitar hacia un punto en el que la compensación entre funcionalidad y seguridad es relativamente cercana, pero provienen de diferentes puntos que se pueden rastrear a la elección y la cultura, es justo ser más crítico con la empresa que lo hizo. ¿Él tomó las decisiones más arriesgadas al principio? ¿Especialmente porque esa elección está algo legitimada por la dirección de la empresa que tomó la decisión más conservadora?

Deja un comentario

También te puede interesar...

Cómo jugar FIFA en PS4 con dos

Estás literalmente en negación por los videojuegos, pero organizaste una cena con amigos en casa y decidiste animar la noche organizando un torneo de FIFA PS4. Le pedirás a un amigo que te traiga el

Que significa y como se calcula

Recopilar y analizar los valores de ventas no es una de las tareas más interesantes para un líder de ventas, pero es una de las más importantes. Los valores de ventas como el costo de

Definición de riesgo después de la jubilación

¿Qué es el riesgo posterior a la jubilación? El término riesgo posterior a la jubilación se refiere a todos los riesgos potenciales para la seguridad financiera que una persona puede enfrentar después de la jubilación.

¿Qué le depara 2010 a la India?

Es muy difícil mirar el cristal. En el año 2000, cuando los teléfonos móviles se volvieron más baratos en India (y yo estaba comprando mi primer teléfono móvil, un Nokia 1610 de mi hermano mayor),

Tcard está muerta, ¿Tcard mark II llegará este año?

La muerte sonó para el proyecto Tcard, con el ministro de Transporte, John Watkins, anunciando el final del problemático esquema, pero todavía hay esperanzas de que el espectáculo de los boletos electrónicos continúe, según el

Oracle HCM Cloud obtiene una actualización ‘grande’

DALLAS: la plataforma Oracle HCM Cloud está obteniendo una gran actualización que se describe a sí misma. Incluye enfoques similares al consumidor … a sus interfaces y asistentes virtuales inteligentes. Oracle quiere que sus aplicaciones

Interés de derechos de autor

¿Qué es un interés de derechos de autor? Los derechos de autor en la industria del petróleo y el gas se refieren a la propiedad de una parte de un recurso o los ingresos que

Definición de redención

¿Qué es un rescate? Una recompra, también conocida como recompra de acciones, es cuando una empresa compra sus propias acciones en circulación para reducir la cantidad de acciones disponibles en el mercado abierto. Las empresas

IoT: ¿un SOS para las líneas de cruceros?

Más de 20 millones de personas viajan en barcos cada año. No es sorprendente que la edad promedio del crucero esté sobre los 50, lo que significa que es hora de que las líneas de

Cómo planificar la cobertura de la prueba unitaria

Independientemente de la metodología de software que utilice un equipo de desarrollo, las pruebas unitarias son una forma de garantizar un nivel básico de calidad en cada compilación. Algunos equipos de desarrollo discuten una estrategia

Definición de criptomonedas Airdrop

¿Qué es un Airdrop para criptomonedas? Un airdrop, en el negocio de las criptomonedas, es un truco de marketing que consiste en enviar monedas o tokens a direcciones de billetera para promover el conocimiento de

CIO desnudo: ¿Debería supervisar al personal?

Alguien te esta mirando El seguimiento de las actividades en línea de los empleados puede ser una pendiente resbaladiza, dice Naked CIO. He aquí cómo hacerlo bien. A menudo me preguntan si es mejor o

Previsiones técnicas para 2010 Krypton Solid

¿Es 2010 el año en el que veremos el tan esperado «iTablet» de Apple? ¿Cuáles serán las grandes tendencias que llamarán la atención de los técnicos en 2010? El editor en jefe de Krypton Solid,

NBN Co ha domesticado el molesto cobre

Bill Morrow, director ejecutivo de NBN Co, dijo que a medida que la empresa adopte el modelo de «combinación de tecnologías», será fundamental asegurarse de que los problemas de calidad de la red de cobre

Definición de postor indirecto

¿Qué es un postor indirecto? Un postor indirecto, generalmente una entidad extranjera, compra valores del Tesoro en una subasta a través de un intermediario, como un distribuidor principal o un corredor. El gobierno de los