SSL Encryption

Chrome advirtió el día 17 de que se actualizaba para revocar una serie de certificados digitales. Mozilla advirtió el día 22 de marzo de que actualizaba su navegador porque había incluido en él certificados fraudulentos. El día 23 es Microsoft la que confirma que debe actualizar su lista de certificados porque incluye varios inválidos. ¿Qué significa todo esto? ¿Qué pasa con los certificados?

¿Para qué sirven los certificados?

SSL debería cumplir dos funciones. Establecer una conexión cifrada sobre un canal público y también autentica al servidor. Nos ayuda a estar seguros de que el servidor es quien dice ser y también que pertenece a la empresa a la que debería pertenecer. Para la parte de autenticación, los servidores con SSL activo ofrecen al navegador un certificado para que lo compruebe, que es como una especie de DNI. En él, una autoridad (Verisign, Comodo…) certifica con su firma que la clave pública realmente pertenece al sitio.

El sistema de confianza en certificados tiene una estructura de árbol invertido y las raíces son estos certificados. El sistema confiará en todo lo que emitan. Si esto no ocurriese de esta forma y los navegadores o sistemas operativos no contasen con una serie de certificados raíz por defecto, no podríamos confiar en la identidad de las páginas, puesto que nadie lo acreditaría. Por el contrario (y como ocurre en realidad) se introducen demasiadas autoridades certificadoras en las que se confía (demasiados “Estados” que emitan el DNI), estas se vuelven el punto débil de la cadena, puesto que se confía en ellas y a su vez, en todo lo que ellas confíen. Un árbol con demasiadas “raíces” es más difícil de controlar. Además, las autoridades certificadoras confían en autoridades intermedias que le alivian el trabajo.

Qué ha pasado

Tanto Chrome como Mozilla como Internet Explorer (a través de la Trusted Root Certification Authorities Store) incluyen de serie una serie de certificados raíz en los que se confía, emitidos por autoridades certificadoras. Varios de estos certificados pertenecientes a Comodo han sido revocados porque se ha comprobado que han sido emitidos de forma fraudulenta sin su consentimiento.

Según ha anunciado Comodo (en una nota de prensa tardía, una vez que ya se había descubierto el asunto), un atacante con IP de Irán se hizo con usuario y contraseña de una autoridad secundaria de Comodo en el sur de Europa. El atacante utilizó estos datos para hacerse pasar por esa autoridad secundaria y emitir certificados fraudulentos de páginas como login.live.com, mail.google.com, www.google.com, login.yahoo.com, login.skype.com, addons.mozilla.org… Traducido: un atacante quería obtener certificados de esos dominios para hacerse pasar por ellos. Pero… ¿cómo puede ser, si ya existen? ¿Para qué emitir certificados válidos de dominios a los que no puedes suplantar? Esta es la segunda parte del problema: para que esto le sea útil al atacante, necesita:

* Emitir certificados válidos. Lo consiguió comprometiendo a esta entidad de Comodo.

* Que se le muestren como válidos a la víctima en su navegador. Esto es lo que hacen ya de por sí los navegadores con sus certificados raíz. Ahora que la mayoría los han revocado, esto no sería tan sencillo.

* Interponerse en el sistema DNS de la víctima. Bien por pharming, por “hombre en el medio”, troyanos o por cualquier otro método que redirija la resolución de dominios de la víctima.

Así, el atacante redirige a “otro” dominio a la víctima, e instala ahí el certificado que ha robado. A partir de ahí, podría o bien suplantar a la otra página o bien redirigir a la víctima a la original. El asunto es que, en cualquier caso, tendría acceso a toda la información, cifrada, que se transmita entre la víctima y el dominio al que quiere acceder. Aunque estuviese cifrada, aunque aparezca el candado en el navegador al visitar esta página, o la barra de navegación en verde, e incluso se compruebe la cadena de certificación… no solo el navegador dará por legítima la página, sino que el atacante podrá leer toda la información cifrada que se transmite.

Si unimos que el ataque a Comodo no habrá sido “sencillo” (se trata de uno muy sofisticado y dirigido), que la IP proviene de Irán, que el atacante emitió certificados para páginas muy conocidas, y que necesita además, para que esto sea efectivo, tener acceso a un cambio en los DNS… todo apunta a un ataque que, cuando menos, inquieta.

Fiel a la fecha prevista, OpenSUSE 11.4 ha sido liberada el día 10 de marzo. Es una distribución GNU/Linux caracterizada por su sencillez de manejo gracias a la herramienta de administración Yast (Yet another Setup Tool), excelente soporte de hardware, una de las mejores integrando KDE y también por su larga instalación.

El núcleo

El núcleo (2.6.37) incluye una modificación, Kernel activity patch, que aumenta de forma notable la velocidad del escritorio. Se ha mejorado el soporte de hardware con la inclusión de muchos controladores nuevos. La aceleración 2D y 3D se potencia con la inclusión de los últimos controladores gráficos de Xorg y Mesa.

Destacable el soporte para multiproceso en el sistema de archivos Ext4, empleado por defecto en la distribución y del que sacarán buen provecho los procesadores de dos o más núcleos, con un incremento significativo de rendimiento en las operaciones de acceso a disco.

Entornos de escritorio

KDE (4.6) es el entorno preferido de OpenSuSE, son años decantándose por él y funciona a la perfección. De las distribuciones que he probado, con diferencia la más rápida manejando KDE.

GNOME (2.32) con posibilidad de probar la versión 3 Beta.

XFCE (4.8), es un entorno de escritorio ligero, muy atractivo, perfectamente integrado en esta versión, que se adapta como un guante a máquinas con poca memoria RAM.

La distribución dispone de más entornos, como LXDE y gestores de ventanas ligeros, como Icewm, Openbox o fvwm2. La lista es más completa y desde Yast puedes investigar todos los que contempla la distribución aunque no vengan dentro del DVD.

LibreOffice

OpenSUSE 11.4 es la primera de las “grandes distribuciones” en versión final que incluye la suite ofimática LibreOffice (3.3.1), creada por The Document Foundation. Es un fork de OpenOffice, que está siendo abandonada también en otras distribuciones.

Navegadores

En la medida que se populariza el paradigma Cloud Computing, la importancia del navegador es mayor. Cada vez utilizamos más herramientas y servicios en la nube. La elección de OpenSUSE ha sido la inclusión por defecto de Firefox 4 (beta-12).

Chromium 11, incluido en la distribución pero que no instala por defecto y Konqueror, el navegador de KDE que ahora usa completamente las capacidades de WebKit, completan la selección de navegadores Web.

Cualquiera de los tres seleccionados proporciona las prestaciones que de ellos se esperan. La elección del navegador es una cuestión personal. Los usuarios de Opera pueden instalar la versión 11 desde la Web oficial del fabricante.

Cargador de arranque

OpenSUSE ha incorporado el cargador de arranque GRUB (GRand Unified Bootloader) desde hace años, ahora sigue manteniéndose por compatibilidad como cargador por defecto, aunque ya en la RC1 disponías de la opción GRUB2. Las diferencias entre una y otra versión de este paquete son importantes:

Con GRUB2 puedes arrancar directamente desde el disco duro imágenes ISO de Live CD.
Tiene mejor soporte gráfico para el menú de arranque.
Puedes configurar temas.
Modo de rescate.
Mejora de velocidad y fiabilidad.
Detección automática de otros sistemas operativos.
También cambia el modo de configuarar el paquete, bastante diferente a su predecesor. Elegir uno u otro está en tu mano, por compatibilidad y estabilidad GRUB, en una instalación limpia cabe plantearse GRUB2 aunque sea experimental.

Scribus

Scribus es una aplicación DTP (Desktop Publishing) multiplataforma (Linux/UNIX, Mac OS X, OS/2 Warp 4/eComStation y Windows) que debuta en OpenSUSE con esta versión. Con Scribus puedes acometer trabajos profesionales de autoedición al disponer de separación de color, cuatricomía (CMYK), soporte Spot Color, maneja perfiles de color ICC y creación de PDF. Es una herramienta de aspecto sencillo aunque muy potente.

Reproductores multimedia

Banshee (1.9.3) gestor y reproductor multimedia desarrollado con Mono y GTK#, disponible para varias plataformas (GNU/Linux, Mac OS X y Windows), capaz de gestionar audio, vídeo, podcast y audiolibros.

Amarok (2.4.0), el reproductor de audio de referencia en KDE, también multiplataforma (*BSD, GNU/Linux, Mac OS X y Windows), que incorpora como novedad la posibilidad de codificación de ficheros desde el propio paquete.

Rhythmbox (0.13), otro reproductor de audio propio de Gnome inspirado en iTunes de Apple, con capacidad de importación de audio desde CD y grabación de CD audio. Por la versión puedes suponer que está en una fase temprana del proyecto. Dispone de soporte experimental para iPod.

En el apartado de reproducción de vídeo cuenta con Totem (2.32.0), que usa Gstreamer. Si instalas el entorno de escritorio Xfce, dispones además de Parole (0.2.0.2), otro reproductor de vídeo que funciona igualmente en Gnome y KDE.

Virtualización

La virtualización es otro aspecto que se ha cuidado extraordinariamente con la inclusión de los últimos paquetes, Xen (4.0.2), VirtualBox (4.0.4) con soporte para VMDK y VHD, player y driver para VMware Workstation y KVM (Kernel-based Virtual Machine).

Herramientas profesionales

La lista en este apartado es enorme, lenguajes de programación, compiladores, herramientas de desarrollo y casi cualquier otra en la que pienses, están a tu alcance con Yast. En el capítulo servidores Web tienes el sempiterno Apache (2.2.17), lighttpd (1.4.26) y ngninx (0.8.54), el ligero servidor web/proxy multiplataforma.

En cuanto a servidores de bases de datos, incorpora PostgreSQL (9.0.3), MySQL (5.1.53) community edition y su fork MariaDB (5.1), que es código abierto y buena alternativa a MySQL, ya que incorpora otros motores de almacenamiento y optimizaciones en el servidor.

Conclusiones

Reconozco no ser imparcial respecto de OpenSUSE, es mi distribución favorita.

Este producto tiene un buen equilibrio entre distribución para uso doméstico, que funciona en prácticamente cualquier máquina, y servidor en redes de tipo medio, siendo ideal para una Pyme.

También se anunció que con motivo del lanzamiento de Chrome OS la compañía inaugurará la tienda virtual, en la que se podrá descargar aplicaciones que se pueden instalar en el sistema operativo. “En el desarrollo de Chrome OS nos centramos en los ordenadores portátiles, por lo que está diseñado para los dispositivos plegables como Touchpad, teclados y pantallas de entre diez y doce pulgadas de ancho”, dijo el señor Pichai, en una conferencia de prensa.

Una página web podría cargar código malintencionado si consiguiera que en determinadas circunstancias el usuario pulsara la tecla F1 para iniciar la ayuda del sistema. Eso haría que el código pudiera pasar a nuestro ordenador saltando los mecanismos de control del explorador y del sistema. En su advertencia de seguridad, Microsoft aconseja no pulsar la tecla F1 en ningún caso si así lo pide una página web si usamos XP e Internet Explorer.

Según Microsoft el parche para evitar este problema se distribuirá en la siguiente actualización de seguridad mensual. Curiosamente Microsoft reprocha al que ha descubierto esta vulnerabilidad que no informara en primer lugar a la compañía y que se diera difusión por Internet con el consiguiente riesgo para los usuarios. Sin embargo el responsable del descubrimiento afirma que informó a Microsoft en cuanto lo supo el 1 de febrero.

Para variar…en vez de alegrarse porque alguien de a conocer el problema se molestan, si las personas debemos saber lo que pasa en nuestros computadores…hasta cuando!!!

Visto en Puerto Free

Por el momento, solo está disponible para sistemas Windows, no obstante su equipo de desarrollo está realizando trabajos para dar soporte a las tres principales plataformas (GNU/Linux, Mac OS X y Windows).

Para quienes deseen probarlo pueden descargarlo en http://www.opera.com/browser/download/?os=windows&list=all

Este último lanzamiento está disponible para sistemas Windows, Mac y Linux. Puedes conocer las características que trae el nuevo Chrome 5.0.322.2 Dev desde googlechromereleases.blogspot.com.

Web oficial dev.chromium.org.

Una nueva versión del navegador Opera ha sido liberada y está disponible para su descarga. Opera 10.50 Beta 1 es aclamado como uno de los navegadores más rápidos por muchos usuarios y está disponible para todos los Windows, incluido Windows 7. Hace apenas unos días liberaban la otra versión anterior para Windows, Mac OS y Linux, versión Opera 10.1, y ahora esta nueva versión con un nuevo diseño mas mimimalista y moderno, nuevas características y nueva funcionalidad. Por el momento Opera 10.50 está disponible sólo para Windows pero la compañía promete que pronto lo liberarán tambien para Mac OS y Linux.

Con el motor de JavaScript mas rápido, biblioteca de gráficos y una gran velocidad en la web, Opera 10.50 promete ser el navegador mas rápido del momento, siendo ocho veces más veloz que su predecesor y puede acelerar en los sitios web más exigentes, la compañía Opera software reveló además de estas palabras que  incluye una versión actualizada de la tecnología única de Opera Turbo para la navegación mucho más rápida en las redes, incluso más que ningun otro navegador web. Opera 10.50 tambien trae un nuevo diseño de interfaz gráfica de usuario con un toque de estilo-ups y una mejor calidad de experiencia en la navegación. Al mismo tiempo, ofrece a los usuarios la capacidad de navegar por la web en privado, la lista completa de cambios la podemos ver aqui.

Podemos descargar Opera 10.50 Beta para Windows desde este enlace

Visto en Softpedia

Nuevas características de Firefox 3.6:

- Personas: permite transformar la apariencia de Firefox seleccionando nuevos temas.

- Detección de plugings desactualizados: Firefox detectará los plugins que estén desactualizados para mantenerte seguro de potenciales riesgos de seguridad y vulnerabilidades.

- Mejoras de estabilidad: Firefox 3.6 reduce significativamente los cierres inesperados del navegador producidos por aplicaciones de terceros.

- Completar formularios: Similar a la “Barra alucinante”, pero pensada para formularios.

- Rendimiento: Se ha mejorado el rendimiento de JavaScript en la respuesta global del navegador tanto abriendo pestañas como reduciendo el tiempo de arranque.

- Vídeo y audio en formato abierto: Firefox 3.6 cuenta con soporte de audio y vídeo HTML 5 (Vorbis y Theora).

Nuevas características para desarrolladores:

- Implementación con las últimas especificaciones HTML5, incluyendo la nueva API “arrastrar y soltar”.

- Tratamiento de tipografías: Además de las familias estándares OpenType y TrueType incorporadas en Firefox 3.5, ahora el navegador también soporta el nuevo “Web Open Font Format”.

- CSS Gradients (degradados mediante CSS) Firefox 3.6 admite 2 tipos de degradados CSS: lineal y radial, permitiendo mostrar transiciones suaves entre dos o más colores.

- Orientación de dispositivos: Algunos portátiles y dispositivos móviles pueden detectar la orientación del equipo. Firefox 3.6 permite a los desarrolladores web crear interesantes interacciones y juegos soportando la orientación de páginas web.

Fuente : DiarioTi

Google ha anunciado hoy el lanzamiento de Google Chrome 4.0, una nueva versión estable para Windows que incluye dos de las características más solicitadas del navegador: extensiones y sincronización de favoritos.

Las extensiones te permiten agregar nuevas características y funciones a tu navegador. Algunas de ellas ofrecen acceso con un clic a algunas de tus aplicaciones web favoritas, como eBay y digg; o a noticias y fuentes de información tales como NPR y Time.com. Otros son complementos útiles para realizar tareas comunes en línea, como hojear fotografías, buscar direcciones o ir de compras.

Anteriormente ya se lanzó el soporte para extensiones en la versión beta, y desde entonces desarrolladores de todo el mundo han estado aportando muchas nuevas extensiones. Ahora ya puedes explorar las más de 1.500 extensiones disponibles en la galería de extensiones e instalarlas en la versión estable de Google Chrome.

La sincronización de favoritos es una característica muy útil para aquellos usuarios que utilizan varios ordenadores; por ejemplo, un ordenador portátil en el trabajo y un sobremesa en el hogar. Puedes habilitar la sincronización de favoritos para sincronizar tus marcadores en todos tus ordenadores, de manera que cuando se crea un marcador en un ordenador es añadido automáticamente para todos los equipos. Esto significa que no tendrás que crear manualmente el marcador cada vez que cambies de ordenador.

La nueva versión estable publicada hoy presenta además una notable mejora en el rendimiento con respecto a la versión anterior; puedes leer más al respecto en el blog de Google Chrome. Si deseas echar una mirada bajo el capó a lo que esta nueva versión representa para los desarrolladores web (incluyendo los nuevos HTML y las API de Javascript), echa un vistazo al blog de Chromium.

Para los usuarios de Google Chrome en Linux, las extensiones están disponibles en el Canal Beta. Aquellos que utilizan Google Chrome para Mac aún tendrán que esperar un poco; el equipo de desarrollo está trabajando en hacer disponibles en la versión beta las extensiones, la sincronización de marcadores y más, en breve. Los que actualmente utilizan la versión estable para Windows tendrán su navegador actualizado automáticamente a lo largo de la próxima semana, aunque si no quieres esperar puedes buscar actualizaciones manualmente.

Fuente: Blog Oficial de Google. ]]> http://www.linuxpuertomontt.cl/2010/01/27/chrome-4-0-extensiones-sincronizacion-de-favoritos-etc/feed/ 14 http://www.linuxpuertomontt.cl/2010/01/11/disponible-firefox-3-6-rc1/ http://www.linuxpuertomontt.cl/2010/01/11/disponible-firefox-3-6-rc1/#comments Mon, 11 Jan 2010 17:27:34 +0000 Geniutrix http://www.linuxpuertomontt.cl/?p=1417

El lanzamiento de la versión 3.6 como versión estable de éste cada vez más popular navegador estaba prevista para finales del 2009, pero no pudo lograrse. Ahora por fin tenemos en nuestras manos tan esperado anuncio. Algunas de las características son:

• Basado en Gecko 1.9.2
• Soporte para la API del archivo de HTML5.
• Un cambio a la forma de como se integra software de terceros con Firefox para aumentar la estabilidad.
• La capacidad de ejecutar scripts de forma asincrónica para acelerar los tiempos de carga de página.
• Un mecanismo para prevenir incompatibilidad de software que pueda cerrar el navegador inesperadamente.
• Cambio de apariencia por los usuarios con un solo click con el soporte llamado Personas.
• Firefox 3.6 alertará cuando los plugins instalados estén sin actualizar para ayudar en la seguridad del navegador y el usuario.
• El video nativo abierto puede mostrarse en pantalla completa.
• Soporte para el formato web de fuentes abierta.
• Mejoras en el rendimiento de JavaScript, en la capacidad de respuesta general y a la hora del comienzo.
• Soporte para el nuevo CSS, DOM, y tecnologías web HTML 5.

Puedes descargar firefos 3.6 RC1 en la web oficial

Fuente: Puerto Free

Google instala un script en el sistema cron que se ejecuta diariamente. Lo que hace este script es añadir un origen de software que apunta a los servidores de Google, en caso de que no lo tengas añadido ya. De esta forma, si el usuario borrase el origen de software, este se volvería a añadir automáticamente al día siguiente.

Esto ocurre a espaldas del usuario, al que en ningún momento se le notifica de este extraño y poco convencional comportamiento.

El origen de software que añade no se borra aunque desintalemos Google Chrome. El que sí se borra es el script que lo vuelve a añadir diariamente, por lo que basta con borrar este origen por una última vez –junto con su clave pública– para eliminar todo rastro.

Fuente: Soft-Libre