A principios de septiembre Google lanza (despu\u00c3\u00a9s de muchos rumores) casi
\npor sorpresa (como suele hacer con todo) su nuevo navegador, conocido
\ncomo Chrome. Una semana despu\u00c3\u00a9s, Internet se inunda de comentarios sobre
\ntodos los aspectos de esta nueva aplicaci\u00c3\u00b3n y en particular sobre su
\nseguridad. Muchos comentarios, exploits, actualizaciones y aclaraciones
\ndespu\u00c3\u00a9s, nos enteramos de que el gobierno alem\u00c3\u00a1n ha desaconsejado
\nexpl\u00c3\u00adcitamente el uso de este navegador. \u00c2\u00bfPor qu\u00c3\u00a9?<\/p>\n
Se lanza un nuevo navegador, concebido para la Internet de hoy. No es un
\nprograma cualquiera. Genera gran expectaci\u00c3\u00b3n y curiosidad porque es
\nGoogle, y todo lo que hace parece hacerlo bien, elegante, sencillo,
\nrobusto y bajo esa filosof\u00c3\u00ada \u00e2\u20ac\u0153don’t be evil\u00e2\u20ac\u009d con la que proyectan una
\nimagen de cercan\u00c3\u00ada y respeto por el usuario. Si hay que sacrificar la
\nprivacidad, el usuario medio parece sentirse m\u00c3\u00a1s a gusto si los
\nservidores son de Google y no de otras compa\u00c3\u00b1\u00c3\u00adas. Al fin y al cabo,
\nsomos mayor\u00c3\u00ada los que le confiamos a su buscador todas nuestras
\ninquietudes varias veces al d\u00c3\u00ada.<\/p>\n
Adem\u00c3\u00a1s de la sencillez y otras muchas mejoras, de forma breve, las
\nprincipales avances t\u00c3\u00a9cnicos sobre seguridad son:<\/p>\n
* Cada pesta\u00c3\u00b1a se ejecuta en su propio proceso. Si alguna se cuelga, no
\n(deber\u00c3\u00ada) arrastra(r) a todo el navegador.<\/p>\n
* Se ejecuta en una sandbox, de forma que en principio no se podr\u00c3\u00ada
\nacceder al sistema de ficheros real del ordenador a menos que sea
\nexpl\u00c3\u00adcitamente ordenado. No est\u00c3\u00a1 claro qu\u00c3\u00a9 ocurre con los plugins en
\neste sentido.<\/p>\n
* El modo Incognito (algo que tambi\u00c3\u00a9n incorpora Internet Explorer 8 como
\nInPrivate) en el que el usuario puede navegar sin dejar rastro en su
\nsistema (b\u00c3\u00a1sicamente hist\u00c3\u00b3rico y cookies). Sin embargo s\u00c3\u00ad que se env\u00c3\u00adan
\nlas cookies ya almacenadas si las hubiese por defecto.<\/p>\n
En cuanto estuvo disponible para descarga, aparecieron las primeras
\nvulnerabilidades (y se descubrir\u00c3\u00a1n m\u00c3\u00a1s… lo m\u00c3\u00a1s grave vendr\u00c3\u00a1 cuando de
\nalguna forma se averig\u00c3\u00bce c\u00c3\u00b3mo saltarse esa sandbox). En principio
\ndenegaciones de servicio b\u00c3\u00a1sicamente. Una denegaci\u00c3\u00b3n de servicio no es
\nuna vulnerabilidad grave en un navegador. S\u00c3\u00ad se puede considerar un
\nfallo de dise\u00c3\u00b1o en este caso concreto, puesto que hacer que el navegador
\ndeje de responder por completo en principio contradice la filosof\u00c3\u00ada de
\ncrear cada pesta\u00c3\u00b1a en su propio proceso independiente. Por ejemplo,
\nexisten literalmente decenas de formas de hacer que Internet Explorer
\ndeje de responder. Firefox sufri\u00c3\u00b3 lo suyo (y a\u00c3\u00ban hoy en d\u00c3\u00ada) con los
\ntorpedos de Zalewski, que hac\u00c3\u00adan que el navegador dejase de responder
\nuna y otra vez incluso despu\u00c3\u00a9s de varias actualizaciones intentado
\nsolucionar el problema.<\/p>\n
“Es una beta, es normal” se puede argumentar, pero esto depende mucho de
\nlos gustos, y de comulgar con la filosof\u00c3\u00ada de negocio de Google. Hay
\nquien no es tan condescendiente con fallos en otros navegadores reci\u00c3\u00a9n
\nsalidos del horno. Google parece abusar de la etiqueta “beta”,
\nmanteni\u00c3\u00a9ndola m\u00c3\u00a1s que cualquier otro fabricante en servicios y programas
\nde uso masivo pero eso nunca ha significado que descuide el producto.
\nHay quien por muchos intereses parece retirarla demasiado pronto. Es su
\ndecisi\u00c3\u00b3n, depende de qu\u00c3\u00a9 se exija para considerarlo “maduro”. Todo
\nsoftware seguir\u00c3\u00a1 teniendo errores y vulnerabilidades en cada ciclo de
\nproducci\u00c3\u00b3n, independientemente de que se etiquete en un estado u otro.
\n\u00c2\u00bfEst\u00c3\u00a1 listo realmente el navegador? \u00c2\u00bfSer “beta” es una excusa? No hay
\nrespuestas v\u00c3\u00a1lidas.<\/p>\n
La vulnerabilidad “real” vino despu\u00c3\u00a9s. Chrome est\u00c3\u00a1 basado en Webkit, el
\nmotor de Safari. Esta s\u00c3\u00ad era un problema por dos razones. Primero por
\nestar heredada de un fallo ya conocido, admitido y corregido en junio
\npor Apple en Safari. Segundo por lo que permit\u00c3\u00ada: la descarga de
\narchivos en el escritorio de forma autom\u00c3\u00a1tica (sin preguntar al usuario)
\nal visitar una web especialmente manipulada. Un atacante podr\u00c3\u00ada
\ndescargar muchos archivos autom\u00c3\u00a1ticamente en el escritorio hasta
\n“bombardearlo” (carpet bomging). \u00c2\u00bfPor qu\u00c3\u00a9 heredar un fallo ya corregido?
\nSe descubrieron otras de cierta gravedad. Rishi Narang public\u00c3\u00b3 una
\nprueba de concepto p\u00c3\u00bablica que permit\u00c3\u00ada una denegaci\u00c3\u00b3n de servicio, pero
\nse intu\u00c3\u00ada la ejecuci\u00c3\u00b3n de c\u00c3\u00b3digo.<\/p>\n
Todo se confirma cuando el d\u00c3\u00ada 8 se actualiza el navegador y se desvela
\nque soluciona al menos dos vulnerabilidades que permit\u00c3\u00adan la ejecuci\u00c3\u00b3n
\nde c\u00c3\u00b3digo. Una a trav\u00c3\u00a9s de nombres largos en el cuadro de di\u00c3\u00a1logo
\n“Guardar como” y otra relacionada con el manejo de enlaces en la barra
\nde estado. Sobre el “carpet bombing”, se modifica el escritorio como
\ndestino por defecto de archivos descargados. Se dejan sin parchear un
\nbuen n\u00c3\u00bamero de problemas que atacan directamente a la estabilidad del
\nprograma.<\/p>\n
En cuanto a problemas de privacidad, tambi\u00c3\u00a9n se ha discutido bastante.
\nDesde un problema en el dise\u00c3\u00b1o de p\u00c3\u00a1gina 404 (en la que sugiere
\nb\u00c3\u00basquedas) que permitir\u00c3\u00ada pasar por GET quiz\u00c3\u00a1s sesiones o contrase\u00c3\u00b1as a
\nlos servidores de Google, hasta el hecho de que, en su pol\u00c3\u00adtica de
\nprivacidad, se hablara claramente de enviar a Google informaci\u00c3\u00b3n
\ntecleada por el usuario. El buscador siempre ha sido el gran recolector
\nde informaci\u00c3\u00b3n en Internet, y nunca lo ha ocultado. En este aspecto
\nprecisamente radica su poder. Gmail ya se curti\u00c3\u00b3 en cuesti\u00c3\u00b3n de
\npol\u00c3\u00a9micas, cuando pretendieron analizar el contenido de los correos para
\nofrecer publicidad m\u00c3\u00a1s ajustada al perfil del que lo escrib\u00c3\u00ada. Google
\nToolbar era una extensi\u00c3\u00b3n para IE sobre la que ya se polemiz\u00c3\u00b3 en su
\nmomento. Existe Google Calendar, Google Docs, Google Desktop Google
\nAdsense, las cookies de Google, su lector de RSS, etc… todos son
\nverdaderos almacenes de h\u00c3\u00a1bitos, gustos y datos personales o perfiles
\n\u00c3\u00banicos alojados en los servidores de Google. No nos deber\u00c3\u00adamos
\nescandalizar ahora por Chrome.<\/p>\n
Pero hay quien no opina as\u00c3\u00ad. La Oficina Federal para la Seguridad de la
\nInformaci\u00c3\u00b3n alemana advirti\u00c3\u00b3 el d\u00c3\u00ada 9 que resultaba arriesgado que los
\ndatos de un usuario resultaran acaparados por un \u00c3\u00banico fabricante y
\ndesaconsej\u00c3\u00b3 abiertamente el uso del navegador Chrome en un importante
\ninformativo televisado.<\/p>\n
Chrome es mucho m\u00c3\u00a1s que una navegador, y se ajustar\u00c3\u00a1 perfectamente a
\n(los antiguos y a) los nuevos servicios que muy posiblemente lance
\nGoogle, con lo que ganar\u00c3\u00a1 cuota en tanto en cuanto existan personas que
\nquieran disfrutar de todo lo que les ofrece la compa\u00c3\u00b1\u00c3\u00ada sin pensar en
\nque sus datos est\u00c3\u00a1n alojados en un sistema ajeno. Google pretende llevar
\nel escritorio cada vez m\u00c3\u00a1s hacia la web y alejarlo del disco duro local,
\ny Chrome ser\u00c3\u00a1 la herramienta adecuada para conseguirlo. Quiz\u00c3\u00a1s vivamos
\nuna guerra de navegadores mucho m\u00c3\u00a1s entretenida que la de finales de los
\n90, en la que Microsoft aplast\u00c3\u00b3 con malas artes a Netscape en apenas
\nunos meses.<\/p>\n