La doble vara de medir
Hace varias semanas (en la entrada Microsoft y su mania de protegernos) comenté un comportamiento de la empresa Microsoft que no me gustó nada. Concretamente, que en una actualización de Windows Update se instalara un plugin no solicitado de .Net dentro de mi instalación de Firefox. No fui el único que se rasgó las vestiduras por aquel incidente, a juzgar por los más de 18.000 resultados que salen en Google. Todo esto ocurría a primeros del mes de agosto, hace más de dos meses.
No recuerdo el momento exacto, pero entre los días 16 y 17 de éste mes, mientras navegaba de manera habitual, me saltó una ventana como ésta:
La primera reacción, sorpresa. ¿Qué hacer ante esto? No te queda otro remedio que reiniciar el navegador. Pero no me gustó nada.
Un par de días después, y gracias a ZonaFirefox, me entero de qué es lo que ha ocurrido en realidad:
- Microsoft se mete donde no debe al actualizar un plugin no solicitado en un navegador que no es el suyo
- 13 de octubre: Microsoft actualiza el plugin por un problema de seguridad. Hay que arreglarlo sí o sí, pues si no se actualiza el riesgo de seguridad es alto.
- 16 de octubre: Como muchos usuarios han tenido problemas a la hora de deshabilitarlo, Mozilla se ofrece a Microsoft para poner el plugin en una “lista negra” de plugins que ellos aconsejan no utilizar
- Microsoft acepta poner su plugin en la lista de elementos bloqueados de Mozilla, hasta que se solucione el problema de seguridad.
- 16-17-18 de octubre: los firefox de todos los usuarios van mostrando el mensaje que os muestro más arriba: estos plugins son inestables ó inseguros y se han deshabilitado. Sí o Sí. Elige.
- 18 de octubre: Microsoft confirma que el plugin que ellos habian dicho que era muy peligroso no actualizar, realmente es inofensivo.
Mantengo mis opiniones del post anterior, pero con éste asunto podria añadir nuevas conclusiones. Por ejemplo, ¿qué sistema tiene Microsoft para discernir si una vulnerabilidad es grave o no? ¿Se arreglan solas?
Por otra parte, estoy convencido de que Mozilla se ha metido en éste asunto de buena fé, para que los usuarios de Firefox no suframos la vulnerabilidad. Pero, ¿Por qué se mete ahora y no cuando se instaló un plugin no solicitado en el navegador? ¿Permite que cualquiera instale cosas de forma remota sin el consentimiento del usuario?
Microsoft hizo una chapuza por instalar cosas no solicitadas, pero ahora lo ha vuelto a hacer, bien por admitir un problema de seguridad que no lo era, bien por admitir que se bloquee un plugin que no sufría problemas.
Mozilla, con toda su buena intención, también ha fallado, pero nadie habla mal sobre ella. ¿Bloquea plugins por el run-run de noticias? ¿Realmente había un problema de seguridad? ¿Por qué se ofreció a bloquear ésta y no lo hace en otras ocasiones por otros problemas de seguridad? ¿Haría lo mismo si la vulnerabilidad vieniera de Java? ¿Y si fuera del Google Updater que tengo ahora mismo instalado?
¿Por qué lo que hace Microsoft tiene tanta repercusión negativa y las demás no? Se lo han ganado a pulso, es verdad. Pero deberíamos valorar no solo el historico de la compañía, sino cada decisión que tomen. En algun momento las compañías pueden cambiar, para bien o para mal.
