La seguridad en los navegadores web ha mejorado bastante en los últimos años, por culpa del aumento constante de ataques de hackers y crackers, que han obligado a los desarrolladores a ponerse las pilas. De ahí que en cada nueva actualización de un navegador cualquiera, los arreglos de bugs de seguridad sean una constante. Sin embargo, hay un elemento que los navegadores no pueden controlar, y que es una de las vías de ataque mas populares: los plugin o complementos.

Este tipo de programas, aunque cada vez en mas desuso gracias a las posibilidades de HMTL5, permite ejecutar contenido multimedia o programas completos en la ventana de nuestro navegador, pero al mismo tiempo son uno de los programas mas inseguros que tenemos en nuestro ordenador. El principal culpable es Java, ahora mantenido por Oracle (después de la compra de Sun) pero que con el cambio de propietario no ha mejorado una pizca su seguridad. De hecho es todo lo contrario, porque la sexta versión de Java lleva sin actualizarse desde Febrero, el mes en el que la compañía decidió abandonar el soporte.

Podría decirse que la solución sencilla sería actualizar a Java 7, pero lamentablemente eso es mas fácil decirlo que hacerlo. Olvidamos que la mayoría de los usuarios no presta atención a este tipo de cosas, y de hecho las constantes actualizaciones son una distracción diaria que la mayoría reniega.

java-01

Es cierto que estos usuarios deberían actualizar, pero no lo es menos que Oracle debería tomarse mas en serio mejorar las actualizaciones y hacerlas mas ligeras y sencillas (y que no intenten instalar una barra para el navegador cada vez que se actualizan). El resultado de todo esto es que la mitad de los usuarios de Java aún usa la versión 6 sin soporte, y por tanto son vulnerables a sus problemas de seguridad.

Ahora Mozilla ha decidido finalmente cerrar esta puerta abierta a los ataques, y a partir de Firefox 26 todos los plugin serán bloqueados por defecto. En vez de eso, nos aparecerá un recuadro al que tendremos que hacer click para poder iniciar el complemento. Sólo la última versión de Flash se librará del bloqueo, gracias a ser un plugin muy usado y actualizado.

plugin-block-firefox

Este es el último en una serie de pasos orientados a mejorar la seguridad de la parte que Mozilla no puede controlar. Ya que no pueden solucionar los bugs de Java y otros complementos, han decidido ampliar el concepto de “click para ejecutar” que han implementado en Firefox 23. A partir de Firefox 24 Java será bloqueado por defecto, y será en Firefox 26 cuando esta medida se haga universal.

Por supuesto, esta medida conlleva algunas molestias para el usuario, que verá como sus complementos dejan de funcionar de repente a menos que hagan click o lo añadan a la lista blanca. Hay que tener en cuenta que, aunque en el entorno personal Java y en menor medida Flash son cada vez menos usados gracias a HTML5, en el entorno empresarial sigue siendo un complemento vital para ejecutar aplicaciones. Pero Mozilla cree que el aumento de seguridad merece la pena, y seguramente tenga razón.

Fuentes | Ars Technica | ghacks