Pedro Palazón es uno de los máximos adalides de la usabilidad y los estánderes web en castellano. Además de editar kusor.net, está enfrascado en el desarrollo de la herramienta de publicación web Textpattern. Uso y abuso dejó de actualizarse en octubre del 2005.
Probablemente – y aunque se empeñen en afirmar lo contrario – hay por ahí más de un profesional de la industria del software y los sistemas operativos que aún no se ha percatado de que cada vez es mayor la madurez de los usuarios de internet.
Hace unos cuantos años que sabemos perfectamente qué es un popup, que es navegar y por qué no se abre un ejecutable que nos han enviado por email.
Pero no, los que mandan en los escritorios de la mayoría están empeñados en decirnos en nuestra cara que somos tontos, que nos vamos a conformar con lo que ellos nos den, porque es lo mejor por el simple hecho de que nos lo dan ellos. ¡Ja!, serán ilusos. ¿O no?.
Veamos, a 2 de diciembre de 2004, dos días antes de que JavaScript cumpla 9 años, y con la excusa de evitar el movimiento y redimensión de las ventanas, han decidido que la mejor solución es deshabilitar por defecto la ejecución de cualquier script, contenga lo que contenga.
Pero vayamos por partes. En primer lugar vamos a llamarle al pan, pan y al vino, vino – y no tinto de verano – y a explicar el motivo real de estas decisiones: JavaScript está deshabilitado para Internet Explorer 6 para windows XP, con el Service Pack 2 porque los señores fabricantes son incapaces de tapar agujeros de seguridad descubiertos desde hace más de 3 años.
Nunca he oido que un usuario de Linux o de MacOSX se haya encontrado con un virus en su sistema operativo porque su navegador haya ejecutado un script. El problema es, más bien, de un sistema operativo capaz de infectarse en el momento mismo de la instalación si esta se realiza con conexión a internet.
“Bueno, no está tan mal que lo deshabiliten: JavaScript es malo”.
La afirmación anterior es tan frecuente como estúpida. Lo paradójico es que, muchas veces, proviene de profesionales de la web. Sea cual sea su procedencia, es un indicativo claro de la más completa ignorancia sobre la propia web, su historia y los estándares relacionados con los navegadores.
Vale, ¿y qué propones?.
¿O vais a seguir dejando que os traten como tontos?
P.D.: Decidáis lo que decidáis, ¡Feliz Navidad!. Volvemos a vernos con la resaca del año nuevo – si queda alguna neurona sana para contarlo.
2004-12-02 18:48 Gracias por el artículo. Instructivo; hace falta decir las cosas claras de vez en cuando, y sobre todo en medios generalistas como ldn que llega a mucha gente que no entiende (ni tiene por qué) nada de todos estos líos.
2004-12-03 00:56 Buenísimo! “el navegador castrado”, no existe mejor manera de definirlo.
Cometí el error de instalar SP2 en mi PC y desde entonces es un inferno. “su ordenador corre peligro”, “esta acción puede ser peligrosa”... dios mio! si estoy compartiendo una impresora entre dos PCs!
Lo del tema de internet explorer ya es el no va más. Que “por que sí”, decidan destruir un estandar como Javascript me parece vergonzoso. Es jugar desde su puesto de poder, del que espero se caigan muy pronto.
2004-12-03 11:16 “JavaScript está deshabilitado para Internet Explorer 6 para windows XP, con el Service Pack 2”
Ante todo decirte que yo no me he instalado el SP2, asi que mi opinion no cuenta mucho, pero esa frase me pone los pelos de punta, seran inutiles! De todos modos, yo pensaba que habian deshabilitado el tema de los popup’s, pero no el js entero. Es impresionante.
Es como si una marca de coches que tuviese muchas reparaciones sacase un nuevo modelo que solo deja pasar de segunda marcha, porque asi el motor no se jode tanto. Denigrante.
2004-12-03 11:28 quise decir que no deja pasar de segunda ;)
y por cierto, felicidades por el artículo. Ah, otro dia sigues con lo del software libre y los gestores de contenidos, ya sabes, que me quedé con ganas de +
un saludo
2004-12-03 16:26 Respecto al tema de la campaña de concienciación que propone Pedro, una idea podría ser el incluir un mensaje en nuestras webs sólo para los usuarios de Internet Explorer, tanto de PC como Mac, que dijera de una manera muy educada y didáctica algo así como “Tu navegador esta obsoleto por :... te recomendamos que actualices a un navegador moderno del tipo Mozilla, Opera, Safari.. y enumerar las ventajas de estos”
Un poco al estilo de lo que hace unos años se hacía con Netscape 4 y el @import.
2004-12-07 17:42 He estado buscando sobre lo de “JavaScript está deshabilitado para Internet Explorer 6 para windows XP, con el Service Pack 2”, por que me ha asustado mucho (pero mucho de verdad, oiga). He encontrado esto:
http://www.microsoft.com/latam/technet/articulos/200409/mngieps.mspx
reproduzco la parte interesante:
“Protección contra elevación de zona
Internet Explorer aplica restricciones a cada página Web que abre. [..] Elevación de zona deshabilita también la exploración JavaScript si no hay contexto de seguridad.”
Pero me parece muy poco claro (no acabo de ver cuando se deshabilita javascript y cuando no). Da igual, el susto va a ser mayor cuando lo vea- ¿Alguien tiene información del propio microsoft al respecto? He encontrado otros muchos artículos que hablan de lo mismo, algo más clarificador (o más confuso) es este otro:
http://www.vsantivirus.com/vul-xpsp2-ie6-170904.htm
texto relevante: ” Windows XP Service Pack 2 ha introducido nuevas características de seguridad en el Internet Explorer. Una de ellas es la presentación de mensajes adicionales que obligan al usuario a validar algunas de las acciones del navegador.[...] Por ejemplo, si usted intenta abrir una página web que contenga código JavaScript u objetos ActiveX, es probable que la misma sea bloqueada y aparezca la barra de información ofreciéndole recargar esa página con los componentes no confiables habilitados.”
Pero sigue siendo muy poco preciso (y lo prefiero del propio microsoft). ¿Alguien tiene algún enlace caliente al respecto?
2004-12-07 20:17 Cuanto más busco más se confirman mis temores=
2004-12-08 01:11 Pueden confirmarse bien.
Llevo bastante tratando de averiguar el criterio de desactivación, porque no es homogéneo. Lo normal es que los scripts no funcionen. Aunque algunas veces lo hacen.
En fin, ¿qué se puede esperar si el comunicado oficial dice algo como ”... es probable que sea bloqueada …”. Es verlo para creerlo, probable como variable de programación ;-).
A ver cómo se lo explicamos a los clientes: esta utilidad de JavaScript aporta la mar de usabilidad y funcionalidades a la web, degrada en navegadores antiguos,..., pero es probable que no funcione para Windows de verdad que me gustaría saber quién ha sido el de la brillante idea.
2004-12-09 10:47 Es de coña.
Javascript se quedará para las intranets. Y aún así habrá que convencer a los clientes de que ejecutar javascript no es tan inseguro como dice el navegador.
Es de coña.
2004-12-09 17:18 Parece que voy encontrando información más aclaratoria. Muy esclarecedor esto:
http://www.phdcc.com/xpsp2.htm
” XP SP2 affects any web page with ‘active content’ running locally on your computer in Internet Explorer”
La clave parece estar en “locally”. También lo encontré aqui
Entre los enlaces, encontré uno interensante (bueno, todos lo son, pero esto es lo que andaba buscando): Local Machine Zone Lockdown – Developer Implications
Entre las absurdeces que comentan como solución se encuentran escribir el script en un .hta o dejar en la página lo que llaman una “marca de web”: <!—saved from url=(0023)http://www.cantoso.com/—>
Pa habernos matao.
Hay que seguir buscando, si alguien lo tiene instalado, que vaya probando. Yo sigo con mi 2000.
2004-12-10 01:53 menuda chorrada :P
iexplorer tiene provablemente menos vulnerabilidades que firefox, lo que pasa es que a bill gates le tienen manía y la gente que esta al paro se pasa todo el día buscando agujeros al SW de MS…
Además… al iexplorer puedes poner c: y se va a la C, puedes poner un ftp y te lo abre… es un verdadero explorador, con el que puedes EXPLORAR cualquier cosa de tu ordenador, sea en local o internet.
La barra que decís que “CAPA” al navegador, se puede desactivar, como seguramente sabreis, dado que soys tan listos: herramientas -> bloqueador de ventanas emergentes…
Saludos,
Xus.
2004-12-10 01:56 yo uso Javascript sobretodo para validar formularios y sigue funcionando perfectamente…
informate un poco antes de publicar artículos estúpidos piltrafilla
2004-12-10 13:38 XUS:
Si fuese tan fácil, ya lo habríamos hecho. No nos referimos – por desgracia – al bloqueo de elementos emergentes, sino al impedimento de ejecución de archivos de comandos.
Sobre el número de bugs de Firefox/IE, no es que yo le tenga manía a Bill Gates – de hecho, ya me gustaría a mí ser como él y ganar lo que gana ;-) – lo único evidente es que agujeros de seguridad que permiten virus como el Exploit Iframe siguen sin estar corregidos desde hace años. Al menos los de Firefox se corrigen en menos de una semana desde que se detectan.
Sobre lo de que es un verdadero explorador: ese es precisamente el problema por el que se producen la mayoría de agujeros de seguridad. Un navegador web es un navegador web, no un explorador de archivos.
JORRY: Yo uso javascript todos los días, leo los boletines de las actualizaciones de microsoft, y he podido comprobar personalmente que en determinadas circunstancias cualquier objeto que se intente ejecutar en IE6 con el SP2 de windows XP instalado no funciona.
No sólo me he informado sino que además, Maelmori lo ha hecho por su cuenta, y ha aportado más información, y sigo informándome, porque afecta a mi trabajo de cada día.
Sobre las descalificaciones personales: si no tienes un argumento mejor, puedes poner las que te apetezca. No ofende el que quiere, sino el que puede ;-).
2004-12-10 15:32 parece que se va a imponer la opción de tener que usar servidores en CD-ROM, como el que ponía en el enlace de Maelmori, como por ejemplo estos dos:
dynamic-cd
y
microweb
aunque sigue siendo un fastidio.
por cierto, da pena el poco respeto que muestra alguna gente por el trabajo de los demás. a ver si aprendemos un poco de educación.
2004-12-23 12:03 Aparte de mal educados, los hay desinformados…
MITRE (http://www.cve.mitre.org/cve/) es una organización INDEPENDIENTE dedicada al registro y seguimiento de las vulnerabilidades en sistemas operativos y productos software. Es algo así como el repositorio central de vulnerabilidades, y el referente de todos los sitios de seguridad informática, fabricantes de antivirus y organismos locales, como Hispasec.
Dispone de una base de datos, CVE (Common Vulnerabilities and Exposures) que recoge las vulnerabilidades conocidas y vulnerabilidades candidatas (todavía no han sido aceptadas y comprobadas por un comité de expertos en seguridad informática).
Bien, pues si buscamos en su base de datos “internet explorer” obtenemos 261 vulnerabilidades (de las cuales unas 120 son aceptadas y el resto candidatas).
Si buscamos “firefox” obtenemos 21, todas candidatas.
¿Opiniones desde la ignorancia? En internet las que querais. Afortunadamente uno dispone de los medios para contrastarlas.
Por cierto, y para que nadie me tache de imparcial, Windows y linux están a la par en el tema vulnerabilidades (unas 450 cada uno); lo que pasa es que se explotan más las de Windows por ser la plataforma más extendida.