È opportuno precisare che l'intero articolo è stato redatto ormai parecchi anni orsono, ed in un contesto tecnologico completamente differente da quello attuale. Come tale, le osservazioni e le critiche qui esposte sono basate unicamente sulla versione 6 e precedenti del browser Microsoft, al livello di sviluppo raggiunto durante il 2005. L'autore in particolare reputa che la versione 7 di Internet Explorer, ed in particolar modo l'edizione inclusa in Windows Vista, abbia apportato significativi miglioramenti al prodotto, allineandone il livello di sicurezza generale ai browser concorrenti.
Mi capita spesso parlando con utenti alle prime armi oppure con alcuni heavy user "monodirezionali" di dover commentare Internet Explorer e il suo compagno di posta elettronica Outlook: ebbene si, da diversi anni ho smesso di usare questa accoppiata e da alcuni mesi non segnalo nemmeno più gli aggiornamenti disponibili nella newsletter.
Quando mi è possibile, non configuro più nemmeno i sistemi dei clienti per utilizzare questo binomio. Vorrei qui pubblicamente spiegare il perché delle mie scelte. Quando parlo di Outlook mi riferisco anche a Internet Explorer, poiché la maggior parte delle funzioni di questo mailer viene svolta proprio dal browser.
I pregi di Internet Explorer
Internet Explorer è un browser esteticamente ineccepibile, e con una delle migliori grafiche del settore: inoltre è molto intuitivo, e di guide ce ne sono ovunque.
Ha avuto anche il grande pregio di standardizzare il funzionamento dei navigatori Internet (nonostante Netscape avesse già iniziato questo processo) avvicinando la grande massa Rete.
È integrato in Windows, e quindi non serve riconfigurare il browser ad ogni cambiamento della rete, poiché sfrutta i settaggi intrinseci al sistema operativo.
Essendo preinstallato poi, si può cominciare a navigare da subito, senza dover perdere tempo a scaricare e installare prodotti alternativi.
Grazie alla sua omogeneità con il sistema operativo, permette di gestire file locali (Risorse del Computer) e web con una sola interfaccia, cosa che, con l'avvento delle connessioni "always on" è davvero comodo.
I tanti (troppi!) problemi di sicurezza
Nonostante questi indiscutibili, grandi vantaggi, Internet Explorer è però una vera e propria "mina vagante", a causa di un quantitativo di vulnerabilità intrinseche, la maggior parte delle quali non possono essere risolte se non con la totale riscrittura ex novo del codice sorgente, cosa che sarebbe per Microsoft assolutamente non vantaggiosa in termini di spese e di ricavi.
Vorrei soffermarmi un attimo su questo aspetto, per far capire anche agli utenti alle prime armi di che cosa stiamo parlando: una vulnerabilità è un difetto nella programmazione, e ancora più spesso nella progettazione di un prodotto.
Tanto per fare un esempio con il mondo reale, è come se l'installatore della vostra porta blindata fissasse i cardini con la colla per plastica: la porta in se è robusta e la porta molto bella, ma basta un ladro munito di accendino per sciogliere la colla, entrare in casa e rubarvi tutto, spesso senza che nemmeno ve ne accorgiate. Allo stesso modo, una vulnerabilità software può permettere ad un malintenzionato di prendere controllo del vostro PC, con conseguenze variabili fra la cancellazione della vostra tesi di laurea che dovete discutere l'indomani fino a far diventare il vostro sistema uno zombie, cioè una macchina infetta che può essere usata come "piattaforma di lancio" per altri attacchi. Capito di cosa stiamo parlando?
Ecco quindi spiegato il perché del mio abbandono. Di seguito riporto alcune obiezioni che mi sono state rivolte su questo argomento, con relativa replica.
Domande & Risposte
- Gli update sono sempre disponibili
Sbagliatissimo! Esistono almeno 10 vulnerabilità per cui Microsoft non ha rilasciato alcuna correzione: il sito della società di sicurezza Pivx, da sempre una delle migliori nello scovare problemi relativi a Internet Explorer, ha una pagina intera dedicata alle vulnerabilità non risolte...
- Ok, allora diciamo che la maggior parte degli update sono disponibili
A parte il fatto che basta una vulnerabilità non corretta per compromettere l'intero sistema, mi preme far notare che le patch hanno dimensioni variabili fra pochi kB e alcuni MB, per scaricare i quali servono parecchi minuti di connessione via modem, con relativo salasso della bolletta telefonica. Benché gli aggiornamenti vengono solitamente rilasciati in tempi davvero brevi (2-3 giorni al massimo), esiste però un lasso di tempo in cui il vostro sistema è scoperto, e vulnerabile. Inoltre, vi ricordate sempre di scaricare le patch? E l'utente alle prime armi lo fa? E il sysadmin che ha 300 computer da aggiornare ha il tempo di farlo?
- Le vulnerabilità sono difficili da sfruttare
Vi assicuro che alcune sono veramente banali, e bastano pochissime righe, a volte anche di semplice HTML, per poter far leva su questi bug: se ciò non fosse sufficiente, esistono centinaia di siti che spiegano passo-passo come fare, molti dei quali forniscono anche programmi già confezionati in cui è sufficiente premere un unico bottone per iniziare l'aggressione.
- Basta disattivare tutte le funzioni superflue
Certo, disattivando Javascript, ActiveX, Java, cookie, gli effetti di transizione, i vari plug-in e via dicendo la situazione può migliorare, ma faccio notare come la maggior parte dei siti smetterà di funzionare: è un po' come chiudersi in casa ad agosto per paura delle scottature: siamo sicuri di non scottarci (ma attenzione alla luce che filtra dai vetri) ma ci perdiamo le ragazze in costume...
- I virus per posta elettronica sono facilmente identificabili: basta non lanciare manualmente l'eseguibile..
Purtroppo Outlook ha alcune debolezze che permettono di eseguire automaticamente un programma in allegato, anche se non lanciate di vostra spontaneità l'allegato. Fermi tutti! Non ricominciate a distribuire i falsi allarmi di cui abbiamo ampliamente parlato: è una vulnerabilità di Outlook, non degli altri programmi: basta cambiare mailer e siete al sicuro.
- L'antivirus mi protegge!
Alcuni mi hanno fatto notare come gli antivirus di nuova generazione blocchino l'auto-esecuzione prima che il virus faccia danni: se amate il bungie-jumping e altre cose al limite questo vi basterà, ma come abbiamo visto l'antivirus abbisogna di definizioni aggiornate per poter intercettare l'esecuzione dei codici malevoli: chi vi da la certezza che nessuno vi manderà una sorpresina prima che il vostro antivirus sia in grado di identificarla? (ricordate che le definizioni vengono rilasciate ogni 5-9 giorni...)
- Sono solo un utente fra un milione, perché colpire proprio me?
Ci sono vari motivi: innanzitutto alcuni intrusi cercano di prendere il controllo di quante più macchine possibili, necessarie a portare un attacco particolare chiamato "Distributed Denial of Service" verso terze parti (spesso sistemi del governo o dei militari). Inoltre, altri virus, detti di "mass mailing", si distribuiscono automaticamente fra conoscenti, sfruttando, di nuovo, una vulnerabilità nella "Rubrica Indirizzi" di Outlook. Come potete vedere le occasioni di venire a contatto con codice malevolo non mancano, ma se siete su Internet da qualche anno sono sicuro ve ne sarete già accorti.
- Non esistono alternative e inoltre Internet Explorer+Outlook è gratuito..
Innanzitutto smentiamo questa logora credenza: Microsoft è una società commerciale, e, giustamente, non cede niente per niente. Gli altissimi costi di sviluppo di Internet Explorer e Outlook Express sono (ampiamente) ammortizzati dal prezzo totale di Windows, in cui ve li trovate preinstallati: alcuni analisti supponevano che il prezzo totale di Windows sgravato del surplus Internet Explorer+Outlook Express equivalesse ad un -15%... Il fatto poi che sia possibile scaricarli anche dal sito di Microsoft per le vecchie versioni del sistema operativo, permette al big di Redmond di aggiudicarsi di fatto il monopolio (90% circa) dei browser web, con relativi ritorni di immagine per la vendita del pacchetto Windows..
Detto questo, vi segnalo che per quanto riguarda le alternative, abbiamo pubblicato tempo fa un ampio articolo con i migliori pacchetti gratuiti, ognuno dei quali include browser, mailer, newsreader e editorHTML.. Esistono inoltre anche mailer stand-alone, come MailWarrior, Eudora, PegasusMail, FoxMail o il mitico TheBat! (quello che uso io).
- Gli altri browser visualizzano le pagine diversamente da Internet Explorer, alcuni siti non funzionano!
Questa è colpa dei creatori dei siti, non dei browser alternativi: Microsoft, con Internet Explorer, ha imposto una serie di nuove condizioni, leggermente diverse da quelle standard emanate dal W3C (l'organo di standardizzazione Rete): i browser diversi da Internet Explorer rispettano pienamente questi standard, e quindi causano qualche problema. Va comunque notato che questo problema è in rapidissimo calo, grazie alle migliorie (personalmente preferisco definirli "compromessi") apportate ai vari navigatori di versione in versione.
- I virus sono quasi innocui e si limitano a replicarsi...
Sono entrambe credenze false: innanzitutto parecchi virus di "mass mailing" creano enormi problemi a:
1. Noi stessi, che mentre il virus "lavora" spedendo centinaia di e-mail, navighiamo più lentamente e talvolta non navighiamo proprio..
2. Il nostro provider, che deve sostenere un traffico enorme. In alcuni casi, potrebbe perfino decidere di rescindere il contratto, chiudendoci permanentemente la connessione a Internet.
3. I nostri amici, che di fatto verranno subissati di e-mail non richieste inviate dal virus per tentare di autoreplicarsi
Se già questo non fosse sufficiente, molti worm includono anche una componente dannosa che cancella file o spedisce le nostre password e i numeri di carta di credito ai propri creatori: tanto per fare qualche esempio, Klez, uno dei più diffusi degli ultimi tempi, invia per tutta Rete documenti a caso presi dal vostro PC, quali il bilancio aziendale o le lettere di scherno sul capo che vi scambiate tra colleghi..
Ancora, CodeRed, fra le altre cose, installa una porta di accesso sul vostro computer, permettendo al creatore di prenderne pieno controllo.
Tanto per continuare con i più conosciuti, Yaha utilizza il vostro computer per eseguire periodicamente un attacco contro alcuni siti pachistani, con tutte le conseguenze legali che questo può comportare. Con questo worm inoltre ho avuto a che fare molto direttamente: la mia casella di posta è stata riempita fino all'orlo da ricezioni multiple di questo virus, tanto a non permettermi di usare la posta per qualche giorno... Se ciò non fosse sufficiente, disabilita anche il vostro antivirus, rendendovi di fatto vulnerabile a tutti gli altri attacchi...
- Tanto io ho il firewall..
Beh, mi dispiace turbare i vostri sonni, ma esistono almeno una decina di modi diversi per bypassare un firewall: il più semplice è quello di chiuderlo del tutto, come fa il virus BugBear, ma esistono anche tecniche più particolari, chiamate di "iniezione di codice", che permettono di superare il muro in modo del tutto automatico, senza chiudere il firewall e lasciandovi del tutto ignari di ciò..
- Non esistono software perfetti, ogni browser avrà le proprie vulnerabilità!
Giustissima obiezione, ma a mio modesto avviso Internet Explorer ne ha molte di più dei prodotti della concorrenza: nel 2002 Microsoft ha rilasciato circa 30 patch tra Internet Explorer e Outlook Express: Opera Browser, tanto per fare un esempio, solo 3.
Update: Anche il CERT sconsiglia Internet Explorer.
Ora sapete il perché della mia scelta: e voi, cosa scegliete?
MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .
Copyright 2008 MegaLab.it - Tutti i diritti sono riservati