www.MegaLab.it

È opportuno precisare che l'intero articolo è stato redatto ormai parecchi anni orsono, ed in un contesto tecnologico completamente differente da quello attuale.

Come tale, le osservazioni e le critiche qui esposte sono basate unicamente sulla versione 6 e precedenti del browser Microsoft, al livello di sviluppo raggiunto durante il 2005.

L'autore in particolare reputa che la versione 7 di Internet Explorer, ed in particolar modo l'edizione inclusa in Windows Vista, abbia apportato significativi miglioramenti al prodotto, allineandone il livello di sicurezza generale ai browser concorrenti.

Mi capita spesso parlando con utenti alle prime armi oppure con alcuni heavy user "monodirezionali" di dover commentare Internet Explorer e il suo compagno di posta elettronica Outlook: ebbene si, da diversi anni ho smesso di usare questa accoppiata e da alcuni mesi non segnalo nemmeno più gli aggiornamenti disponibili nella newsletter.

Quando mi è possibile, non configuro più nemmeno i sistemi dei clienti per utilizzare questo binomio. Vorrei qui pubblicamente spiegare il perché delle mie scelte. Quando parlo di Outlook mi riferisco anche a Internet Explorer, poiché la maggior parte delle funzioni di questo mailer viene svolta proprio dal browser.

I pregi di Internet Explorer

Internet Explorer è un browser esteticamente ineccepibile, e con una delle migliori grafiche del settore: inoltre è molto intuitivo, e di guide ce ne sono ovunque.

Ha avuto anche il grande pregio di standardizzare il funzionamento dei navigatori Internet (nonostante Netscape avesse già iniziato questo processo) avvicinando la grande massa Rete.

È integrato in Windows, e quindi non serve riconfigurare il browser ad ogni cambiamento della rete, poiché sfrutta i settaggi intrinseci al sistema operativo.

Essendo preinstallato poi, si può cominciare a navigare da subito, senza dover perdere tempo a scaricare e installare prodotti alternativi.

Grazie alla sua omogeneità con il sistema operativo, permette di gestire file locali (Risorse del Computer) e web con una sola interfaccia, cosa che, con l'avvento delle connessioni "always on" è davvero comodo.

I tanti (troppi!) problemi di sicurezza

Nonostante questi indiscutibili, grandi vantaggi, Internet Explorer è però una vera e propria "mina vagante", a causa di un quantitativo di vulnerabilità intrinseche, la maggior parte delle quali non possono essere risolte se non con la totale riscrittura ex novo del codice sorgente, cosa che sarebbe per Microsoft assolutamente non vantaggiosa in termini di spese e di ricavi.

Vorrei soffermarmi un attimo su questo aspetto, per far capire anche agli utenti alle prime armi di che cosa stiamo parlando: una vulnerabilità è un difetto nella programmazione, e ancora più spesso nella progettazione di un prodotto.

Tanto per fare un esempio con il mondo reale, è come se l'installatore della vostra porta blindata fissasse i cardini con la colla per plastica: la porta in se è robusta e la porta molto bella, ma basta un ladro munito di accendino per sciogliere la colla, entrare in casa e rubarvi tutto, spesso senza che nemmeno ve ne accorgiate. Allo stesso modo, una vulnerabilità software può permettere ad un malintenzionato di prendere controllo del vostro PC, con conseguenze variabili fra la cancellazione della vostra tesi di laurea che dovete discutere l'indomani fino a far diventare il vostro sistema uno zombie, cioè una macchina infetta che può essere usata come "piattaforma di lancio" per altri attacchi. Capito di cosa stiamo parlando?

Ecco quindi spiegato il perché del mio abbandono. Di seguito riporto alcune obiezioni che mi sono state rivolte su questo argomento, con relativa replica.

Domande & Risposte

• Gli update sono sempre disponibili

  Sbagliatissimo! Esistono almeno 10 vulnerabilità per cui Microsoft non ha rilasciato alcuna correzione: il sito della società di sicurezza Pivx, da sempre una delle migliori nello scovare problemi relativi a Internet Explorer, ha una pagina intera dedicata alle vulnerabilità non risolte...

• Ok, allora diciamo che la maggior parte degli update sono disponibili

  A parte il fatto che basta una vulnerabilità non corretta per compromettere l'intero sistema, mi preme far notare che le patch hanno dimensioni variabili fra pochi kB e alcuni MB, per scaricare i quali servono parecchi minuti di connessione via modem, con relativo salasso della bolletta telefonica. Benché gli aggiornamenti vengono solitamente rilasciati in tempi davvero brevi (2-3 giorni al massimo), esiste però un lasso di tempo in cui il vostro sistema è scoperto, e vulnerabile. Inoltre, vi ricordate sempre di scaricare le patch? E l'utente alle prime armi lo fa? E il sysadmin che ha 300 computer da aggiornare ha il tempo di farlo?

• Le vulnerabilità sono difficili da sfruttare

  Vi assicuro che alcune sono veramente banali, e bastano pochissime righe, a volte anche di semplice HTML, per poter far leva su questi bug: se ciò non fosse sufficiente, esistono centinaia di siti che spiegano passo-passo come fare, molti dei quali forniscono anche programmi già confezionati in cui è sufficiente premere un unico bottone per iniziare l'aggressione.

• Basta disattivare tutte le funzioni superflue

  Certo, disattivando Javascript, ActiveX, Java, cookie, gli effetti di transizione, i vari plug-in e via dicendo la situazione può migliorare, ma faccio notare come la maggior parte dei siti smetterà di funzionare: è un po' come chiudersi in casa ad agosto per paura delle scottature: siamo sicuri di non scottarci (ma attenzione alla luce che filtra dai vetri) ma ci perdiamo le ragazze in costume...

• I virus per posta elettronica sono facilmente identificabili: basta non lanciare manualmente l'eseguibile..

  Purtroppo Outlook ha alcune debolezze che permettono di eseguire automaticamente un programma in allegato, anche se non lanciate di vostra spontaneità l'allegato. Fermi tutti! Non ricominciate a distribuire i falsi allarmi di cui abbiamo ampliamente parlato: è una vulnerabilità di Outlook, non degli altri programmi: basta cambiare mailer e siete al sicuro.

• L'antivirus mi protegge!

  Alcuni mi hanno fatto notare come gli antivirus di nuova generazione blocchino l'auto-esecuzione prima che il virus faccia danni: se amate il bungie-jumping e altre cose al limite questo vi basterà, ma come abbiamo visto l'antivirus abbisogna di definizioni aggiornate per poter intercettare l'esecuzione dei codici malevoli: chi vi da la certezza che nessuno vi manderà una sorpresina prima che il vostro antivirus sia in grado di identificarla? (ricordate che le definizioni vengono rilasciate ogni 5-9 giorni...)

• Sono solo un utente fra un milione, perché colpire proprio me?

  Ci sono vari motivi: innanzitutto alcuni intrusi cercano di prendere il controllo di quante più macchine possibili, necessarie a portare un attacco particolare chiamato "Distributed Denial of Service" verso terze parti (spesso sistemi del governo o dei militari). Inoltre, altri virus, detti di "mass mailing", si distribuiscono automaticamente fra conoscenti, sfruttando, di nuovo, una vulnerabilità nella "Rubrica Indirizzi" di Outlook. Come potete vedere le occasioni di venire a contatto con codice malevolo non mancano, ma se siete su Internet da qualche anno sono sicuro ve ne sarete già accorti.

• Non esistono alternative e inoltre Internet Explorer+Outlook è gratuito..

  Innanzitutto smentiamo questa logora credenza: Microsoft è una società commerciale, e, giustamente, non cede niente per niente. Gli altissimi costi di sviluppo di Internet Explorer e Outlook Express sono (ampiamente) ammortizzati dal prezzo totale di Windows, in cui ve li trovate preinstallati: alcuni analisti supponevano che il prezzo totale di Windows sgravato del surplus Internet Explorer+Outlook Express equivalesse ad un -15%... Il fatto poi che sia possibile scaricarli anche dal sito di Microsoft per le vecchie versioni del sistema operativo, permette al big di Redmond di aggiudicarsi di fatto il monopolio (90% circa) dei browser web, con relativi ritorni di immagine per la vendita del pacchetto Windows..

  Detto questo, vi segnalo che per quanto riguarda le alternative, abbiamo pubblicato tempo fa un ampio articolo con i migliori pacchetti gratuiti, ognuno dei quali include browser, mailer, newsreader e editorHTML.. Esistono inoltre anche mailer stand-alone, come MailWarrior, Eudora, PegasusMail, FoxMail o il mitico TheBat! (quello che uso io).