mozilla hispano

Acerca de Java y el Banco Nacional

23 de enero de 2013 by jorgev with No hay comentarios »

Publicado originalmente en el blog de Mozilla Costa Rica.

Recientemente se publicó un artículo en La Nación acerca de los problemas de seguridad que se han dado con el plugin de Java: Apague Java si usa Internet o podría ser presa de un hacker. El artículo brinda información muy importante, pero creo que hay algunos aspectos de esta situación que hacen falta aclarar.

El problema de seguridad son los applets de Java

Java es una tecnología muy amplia, que se puede utilizar para crear aplicaciones de servidor y de escritorio, entre otras. Una de esas “otras” son los applets, los cuales se pueden utilizar para mostrar contenido  especial en una página web. Para hacer esto, los navegadores como Firefox o Google Chrome utilizan el plugin de Java, de una manera similar al plugin de Flash se utiliza para mostrar videos en sitios como YouTube.

Es importante reiterar que los applets son una parte muy pequeña de lo que es Java, y sin embargo son la principal razón de sus problemas de seguridad. Basta con visitar un sitio controlado por un hacker que tenga un applet de Java malicioso, y el hacker podrá obtener control total sobre el sistema del visitante. Es un peligro muy grande, especialmente considerando que Java está instalado en la mayoría de los sistemas.

También es importante resaltar que los applets ahora son una rareza en la web, y son contados los sitios que requieren tener el plugin de Java instalado. Desafortunadamente el sitio del Banco Nacional de Costa Rica es uno de ellos.

Java no es lo mismo que JavaScript

A pesar de sus similares nombres, Java y JavaScript son dos tecnologías completamente distintas.

Como mencioné anteriormente, la utilización de Java en la web es mínima. El JavaScript, por otro lado, está presente en prácticamente todas las páginas web. Debido a esto, desactivar el JavaScript en cualquier navegador hace que leer hasta la más simple de las páginas se convierta en una tarea muy difícil o incluso imposible.

El JavaScript no tiene los mismos problemas de seguridad que Java, así que es innecesario desactivarlo por completo.

Los usuarios de Firefox ya están protegidos contra la vulnerabilidad de Java

En Mozilla se toma la seguridad muy en serio. Al conocer sobre la vulnerabilidades en el plugin de Java, el equipo de seguridad de Mozilla reaccionó de inmediato y decidió desactivar el plugin de Java en las versiones modernas del Firefox. Ésto se hizo automáticamente, así que todos los que tengan Firefox actualizado están protegidos.

La manera en que se desactiva es la siguiente. Si se visita un sitio que usa un applet de Java, como el del Banco Nacional, en vez del applet se muestra un mensaje que indica que el plugin no está activo. Esto es lo que aparece después de ingresar el número de cédula en sitio del BN:

Bloqueo del plugin de Java

Como se ve en la imagen, el applet no se ha ejecutado, y yo quedo en control si deseo tomar el riesgo o no. En el caso del Banco Nacional, no hay problema y se puede activar, siempre y cuando se haya ingresado al sitio escribiendo la dirección manualmente (https://www.bnonline.fi.cr), o utilizando un marcador. Recuerde nunca ingresar a un sitio bancario haciendo click en un vínculo de un correo electrónico o una página web.

¿Deberíamos remover Java completamente?

Si no utiliza Java para ninguna página web u otra aplicación, es lo más recomendable que sí.

Los que dependemos de sitios como el del Banco Nacional tendremos que mantenerlo habilitado. Ya que el Firefox protege a sus usuarios al no activar los applets automáticamente, lo único que hay que hacer para mantenerse protegido es solo activar applets cuando sea indispensable y mantener el Firefox actualizado.

El Banco Nacional utiliza applets de Java de una manera segura, con el fin de dar mayor seguridad a usuarios a la hora de ingresar al sitio. Aún así, debido a los problemas que tiene – y posiblemente seguirá teniendo – el plugin de Java, éste es un buen momento para que los encargados del sitio bancario busquen alternativas.

Artículos relacionados:

Cómo extender la nueva Barra de desarrolladores

7 de octubre de 2012 by jorgev with No hay comentarios »

Firefox 16 será lanzado próximamente. Entre sus mejoras se incluyen nuevas herramientas para desarrollo web, incluyendo la Barra de desarrollares. Ésta permite ejecutar comandos como inspeccionar elementos, iniciar el depurador, y generar imágenes de páginas web. La barra está diseñada para ser extendida fácilmente, así que hice la prueba y éstos son mis resultados.

Me pareció particularmente útil que se pudieran generar imágenes con esta herramienta utilizando el comando screenshot, así que decidí llevarlo un paso más allá. Creé un nuevo comando imgur, que genera una imagen con los mismos parámetros, pero la sube a imgur.com en vez de guardarla localmente. El proceso de desarrollo fue más o menos así:

  1. Investigar cómo se crea un comando. Por el momento no hay documentación pública al respecto, así que esto requirió algo de exploración. Afortunadamente ya sabía dónde estaba el código, así que fue fácil ubicar el comando screenshot. El comando consiste en poco más de 100 líneas de código, y es fácil de entender.
  2. Investigar el API de imgur. El API está bien documentado en api.imgur.com.
  3. Probar, probar, probar…

imgur instalado

El resultado está en Github. Vale notar que el código como tal no va a funcionar, dado que no publiqué la llave del API de imgur. Para que les funcione, tienen que generar una llave propia y colocarla en el código (es gratuita y fácil de generar). Pero, para los que quieren ver el complemento en acción, está disponible aquí. Debería funcionar bien en Firefox 16 y versiones más nuevas.

Mi intención no fue crear un producto finalizado, así que no voy a publicarlo más que en este artículo y una presentación de desarrollo web que tenemos en Costa Rica. Hay unas cuantas cosas que arreglarle, como la (falta de) localización y los datos que se envían a imgur (título, descripción, etc.). Si alguien quiere encargarse de pulir este proyecto, adelante :) .

Actualización: Mike Ratcliffe me señaló que existe esta documentación para crear comandos.

Artículos relacionados:

Día de la Libertad del Software 2012

25 de septiembre de 2012 by jorgev with No hay comentarios »

Este viernes tuvimos nuestra primera actividad comunitaria en Costa Rica. La ocasión era el Día de la Libertad del Software, celebrado una semana después nuestro país porque la fecha oficial coincide con las celebraciones del día de la independencia (la noche del 14 y el día 15). El evento fue organizado por PROTEA y la Comunidad de Software Libre de la Universidad de Costa Rica.

Materiales de Reps!Nos organizamos para asistir al evento en unas pocas semanas. Tuvimos la suerte de contar con el apoyo de los organizadores, que nos recibieron con los brazos abiertos. También contamos con el excelente apoyo de Mozilla Reps, que enviaron materiales para nuestro stand con poco tiempo de preaviso.

El tema del evento era Software Libre y Educación, así que estuvimos actualizando nuestra página de Facebook y Twitter con información sobre Webmaker y Hackasaurus. Ambos son proyectos muy interesantes que buscan fomentar la educación de tecnologías web, especialmente para niños y personas menos técnicas. Lo que leí sobre estas herramientas me pareció genial, y espero que alguien en Costa Rica tome la iniciativa para implementarlo en las aulas.

El stand fue todo un éxito. Nos quedamos sin broches y stickers en cuestión de un par de horas (el evento duraba todo el día), y llegaron muchas personas a hablar con nosotros y hacernos preguntas. La mayoría de la gente pasó por la mañana, así que al final hicimos bien en no racionar mucho los materiales. Sí sentí que nos hizo falta tener volantes informativos para la gente que nos visitó. Es algo que perdió prioridad durante la organización, pero que debemos tener en cuenta para eventos futuros.

Mozilla Costa RicaEste evento fue una gran oportunidad para trabajar juntos y difundir el mensaje de Mozilla, y la existencia de nuestra nueva comunidad. La actividad en nuestra página creció considerablemente en preparación al evento. Pudimos conocer a varios miembros de las comunidades de software libre de Costa Rica. Y, ante todo, compartimos la visión de Mozilla con muchos interesados. La respuesta que recibimos de personas que apoyan el software libre y especialmente Firefox es muy motivadora. Esperamos que ésta sea la primera de muchas participaciones similares.

Muchas gracias a todos los que nos visitaron e hicieron este evento posible!

Artículos relacionados:

« Entradas más antiguas