jueves, 24 de mayo de 2012

No a NoScript


NoScript es un complemento (add-on) para Firefox que impide la ejecución de scripts en las páginas web de Internet (hace otras monerías pero su función principal es la que dije). En diversos foros de seguridad se sugiere usarlo, ya que provee un mayor nivel de protección al navegar por Internet.

Y es cierto.


Desde el punto de vista de seguridad es una mala idea que las páginas web puedan ejecutar código (como se hace con JavaScript). Deberían de simplemente mostrar texto e imágenes como en los viejos tiempos para una navegación más confiable, pero esos días llegaron a su fin.


Soy usuario activo de NoScript desde hace tiempo. Yo mismo he llegado a recomendar su uso tanto en este blog como en mi Twitter.


¿Pero saben qué? Ya me cansé del addon. Me rindo. A la mayoría de páginas de Internet que visito les debo de permitir el uso de scripts ya que de otra forma no se puede interactuar con ellas: formas web, registro a webinars, ingreso de  mis datos para obtener un artículo, seleccionar una opción para que presente otra página web a donde deseo ingresar o foros de Internet. Hasta hay un sitio que te dice si tienes activado el inseguro JavaScript …pero la página necesita JavaScript habilitado para poder decírtelo!


Es ridículo. Acabo indicándole a NoScript demasiado seguido la opción de “Permitir temporalmente toda esta página” y en menor medida la de “Admitir toda esta página”.


Internet, hoy en día, habla script. Punto.


Lo interesante de esto es que ustedes mismos pueden probar lo que digo al usar este addon en FireFox (diversos programadores han creado equivalentes para otros navegadores). Tal vez ustedes lo dejen habilitado en todo momento y sigan la recomendación que yo mismo no quiero seguir.

Si bien es cierto que hay que tener seguridad, también es cierto que debe de haber un balance entre seguridad y funcionalidad. Y este es un ejemplo perfecto de cuando la seguridad impide una funcionalidad satisfactoria (la cual ciertamente permite disfrutar el Internet de hoy día).


Yo me rindo y no me voy a sentir culpable de permitir scripts más seguido de lo que me gustaría. No voy a desinstalarlo; algunas veces debo de ingresar a sitios donde hay sospecha de que son maliciosos y ahí lo tendré bien activado.


Y claro, aquí cae como anillo al dedo el concepto de controles compensatorios. La idea es compensar con otras medidas la carencia o debilidad de un control. ¿Qué se puede hacer si ando de promiscuo permitiendo scripts por doquier?


1. Usar navegadores con sandbox ya integrada como Safari o Chrome. 


2. Si se quiere usar otros navegadores, ponerles sandbox (como con el caso de SandboxIE).

3. Usar una suite de seguridad que provea de análisis de sitios maliciosos.


4. Usar servicios en línea que gratuitamente me indiquen si la liga es segura (es engorroso y lo hago ocasionalmente, no en mi navegación del día a día). Ahí está por ejemplo http://global.sitesafety.trendmicro.com/ o http://browsingprotection.f-secure.com/.


5. Siempre que deseemos navegar, hacerlo con un LiveCD de Linux lo cual evita usar el sistema operativo de base y esto impide su infección… pero creo que puede resultar mucho más fastidioso que usar NoScript, no creen?


En fin. Quería atreverme a desafiar a NoScript. Es liberador. Como dicen por ahí “Alguien tenía que decirlo”.

Nota: como dije al inicio del artículo, NoScript hace otras monerías. Por las cuales podría valer la pena dejar operando NoScript aunque se elimine su funcionalidad de bloquear Scripts. @ma1 me lo hizo notar y compartió esta liga que habla de esto en su último párrafo: http://hackademix.net/2010/08/01/al_9x-was-right-my-router-is-safe/