Seguridad de Chrome

Google Chrome se construyó con la idea de crear un navegador más seguro y realmente habría que aplaudir sus desarrolladores por la atención que han prestado a este aspecto. Google merece un gran reconocimiento por la abundante cantidad de información de seguridad que ha publicado en Internet y el el blog de Google Chrome; y por haber puesto el código fuente de Chrome a disposición de cualquiera para que lo examinen.

El modelo de seguridad seguido por Chrome es excelente: separa el programa de navegación principal, llamado kernel del navegador, de los procesos de generación de gráficos (rendering processes), basados en el motor open source WebKit. El kernel del navegador empieza sin ningún privilegio, un SID nulo (identificador de seguridad de Windows Vista que señala al usuario como no fiable) y múltiples SID de “denegación” y “restricción” activados.

Cada sitio Web tiene su propio proceso, espacio de memoria, estructuras de datos globales, token de acceso, pestaña, barra de URL, etc. Y los procesos están muy limitados en cuanto a lo que pueden y no pueden hacer. Tanto el kernel del navegador como los procesos se ejecutan con DEP (Data Execution Prevention) y ASLR (Address Space Layout Representation) activados; y con la virtualización desactivada.

Cualquier complemento de navegación suplementario se ejecuta en un proceso independiente con integridad media (o alta). Chrome tiene incluso su propio Gestor de tareas. Con respecto al modelo de seguridad de base, Chrome es el líder.
Algo cuestionable es la decisión de Google de permitir la instalación de Chrome sin requerir acceso con nivel de administrador.

Chrome instala también la aplicación Googleupdate.exe, que con frecuencia comprueba la existencia de actualizaciones para el navegador (y otras aplicaciones de Google) y las instala de forma silenciosa. Esto es ideal para mantener el navegador actualizado, pero molesta a los administradores de seguridad, dado que no reciben ninguna notificación de la búsqueda, ni de los parches disponibles, ni se pide su autorización para instalarlos.

Otro concepto interesante es la máquina virtual para JavaScript de Chrome, llamada V8, que incluso convierte el código de JavaScript en lenguaje máquina nativo (para mejorar la velocidad de carga de las páginas Web). V8 limita considerablemente lo que se puede hacer con JavaScript contra el sistema del usuario, evitando, por ejemplo, los habituales pop-ups.

Sin embargo, uno de los lapsus más sorprendentes es la imposibilidad de desactivar JavaScript, algo que sí permiten todos los otros navegadores, debido a que el JavaScript está relacionado con la mayoría de los ataques Web. No se entiende cómo Google puede haber pasado esto por alto, ya que en caso de descubrirse en Chrome una vulnerabilidad grave relacionada con JavaScript, la única recomendación que Google podrá ofrecer será dejar de usar su navegador.

Por otra parte, las opciones de configuración de seguridad personalizables (por el usuario) son muy limitadas y a menudo carecen de una opción por defecto.

Chrome tampoco permite asignar distintos sitios Web a diferentes dominios o zonas de seguridad, a diferencia de otros navegadores; la mayoría de ellos ofrecen dos zonas o la posibilidad de incluir los sitios en una lista negra o una lista segura.
Google se ha lavado las manos en cuanto a la seguridad de los complementos. Si bien es cierto que el propietario del navegador no debe ser responsable de los complementos y aplicaciones de terceros, Chrome no ofrece ningún gestor de complementos.

Muchos usuarios están preocupados por la gestión de sus contraseñas almacenadas. Con unos cuentos clics de ratón, Chrome permite al usuario mostrar los nombres de usuario y contraseñas almacenadas en un txt, algo muy útil para el usuario, pero también para cualquiera que encuentre el ordenador desatendido durante apenas unos segundos. Internet Explorer no lo permite y Firefox y Opera ofrecen la posibilidad de proteger las contraseñas almacenadas con otra contraseña.

Un punto a favor es que Chrome pasó con aprobado un buen número de test de seguridad para navegadores y evitó la instalación automática de cualquier malware. Además, con menos de un 2% de cuota de mercado, todavía no es un objetivo popular para los hackers.

Una de sus características principales no funciona como cabía de esperar. Google afirma que el aislamiento de procesos de Chrome evita que una sesión de navegación interfiera con otra o afecte a la totalidad del navegador. Sin embargo, una vulnerabilidad tras otra han demostrado que esta separación no es tan perfecta como sonaba en teoría. Páginas Web maliciosas de todo tipo han causado problemas DoS, bloqueos y fallos completos del sistema. Incluso se han observado bloqueos del navegador durante la navegación por páginas Web legítimas.

Lo más significativo en cuanto a problemas sistemáticos es que las vulnerabilidades descubiertas inicialmente en Chrome eran todas muy simples y, en su mayoría, vulnerabilidades muy conocidas, ya advertidas y resueltas en otros navegadores, por lo que no deberían haber estado ya en la primera versión del navegador de Google.

Esa es la paradoja de seguridad de Chrome. Parte de una gran idea y un excelente modelo de seguridad, para luego empañar dicha visión con decisiones cuestionables, una escasez de controles de seguridad detallados y el fracaso evidente al realizar una revisión de código importante. Puede que esta sea la primera versión del primer navegador de Google, pero la compañía tiene más experiencia en navegadores y contenidos maliciosos que cualquiera de sus rivales ¿Por qué crear un nuevo navegador Web y no aplastar a la competencia?

Fuente: PC World

Últimos resultados financieros de Google

Google se resiste a la crisis económica, superando las expectativas de Wall Street en sus últimos resultados financieros.

La compañía ha presentado unos ingresos de 5.700 millones de dólares (unos 4.440 millones de euros) para el último trimestre de 2008, lo que supone un incremento del 18% con respecto al año anterior, pero un aumento de tan solo el 3% con respecto a las cifras del trimestre anterior.

Los beneficios cayeron considerablemente hasta los 382 millones de dólares (unos 297,5 millones de euros), en comparación con los 1.200 millones de dólares (unos 934 millones de euros) de hace un año; no obstante, esto se debe en gran medida a las inversiones en su rival de Internet AOL y el proveedor de banda ancha inalámbrica Clearwire.

El presidente de Google, Eric Schmidt, señaló que la compañía ha tenido un buen rendimiento dadas las nefastas circunstancias del sector de la publicidad, pero reconoció no poder predecir si las cosas se volverán más fáciles en el futuro.
"Google tuvo un buen rendimiento en el cuarto trimestre, a pesar de un ambiente económico cada vez más complicado", señaló. "No está claro cuánto durará la crisis global, pero nuestro enfoque continúa siendo a largo plazo".

En los últimos años, Google se ha vuelto más dependiente del dinero generado por la publicidad en sus propios sitios Web, en lugar de a través de sus redes de publicidad; y ese patrón continúa en la actualidad.

Los sitios propiedad de Google generaron 3.800 millones de dólares (2.958,5 millones de euros) de los ingresos globales del trimestre, lo que supone un 67% de su renta, un incremento importante en comparación con la proporción del 45% de hace apenas un año.

Aunque esto significa que la red de publicidad popularmente eficaz de la compañía es menos potente en la actualidad, puede haber ayudado a aislar a la compañía de ciertos aspectos de la crisis financiera.

Google se ha vuelto también más dependiente de su negocio internacional, siendo actualmente el resto del mundo responsable del 50% de sus ingresos. Y afirma que sus ingresos habrían sido 334 millones de dólares (260 millones de euros) más, especialmente en el Reino Unido, de no ser por las caídas monetarias.

Las cifras han sido bien recibidas por los analistas de Wall Street, que habían esperado peores resultados; y por los inversores, que vieron impulsadas las acciones de Google hasta un 2%.

Fuente: Guardian Business

La crisis afecta a Google

Los despidos han llegado a Google, y no solo para algunos de sus empleados, sino que afectarán también a seis de sus servicios: Dodgeball, Google Catalog Search, Google Mashup Editor, Google Notebook, Jaiku y Google Video.

Además del anuncio de Google sobre la eliminación de 100 puestos de trabajo y el cierre de oficinas en Austin (EEUU), Trondheim (Noruega) y Lulea (Suecia), la compañía ha señalado que cerrará Dodgeball, Google Catalog Search, Google Mashup Editor, Google Notebook y Jaiku. También ha añadido que suspenderá la posibilidad de subir vídeos a Google Video.

Vic Gundotra, Vicepresidente de ingeniería de Google, afirmó en una entrada de blog que Dodgeball, un servicio de red social para móviles que permite a los usuarios compartir su localización con amigos, cerrará en los próximos meses y que se darán más detalles en los próximos meses.

Jaiku, sin embargo, continuará existiendo como proyecto open source. Gundotra señaló que los ingenieros de Google están trasladando el servicio de microblogging a Google App Engine y que cuando se haya completado la migración, la compañía planea poner el código a disponibilidad de los usuarios bajo la licencia Apache.

"Con el proyecto open source Jaiku Engine, organizaciones, grupos e individuos podrán implementar sus propios servicios de microblogging y distribuilos en Google App Engine", señaló. "El nuevo Jaiku Engine incluirá soporte para OAuth, y estamos entusiasmados con la idea de que los desarrolladores utilicen este código probado como punto de partida para la creación de una plataforma de microblogging open source, gratuita y federada".

También señaló que Google cerrará su editor Google Mashup, una herramienta para la creación de mashups Web (aplicaciones Web creadas a partir de otras anteriores) que ha estado en fase beta privada. La mayoría, si no todo, de la funcionalidad de Google Mashup Editor está disponible a través de Google App Engine, y Gundotra anima a los usuarios a trasladar sus aplicaciones a Google App Engine.

En otra entrada de blog, Punit Soni, gestor de productos de Google, señaló que el cierre de Google Catalog Search está previsto para el jueves. El servicio, puesto en marcha en el 2001, ofrecía la posibilidad de buscar en el texto completo de miles de catálogos de productos. La tecnología desarrollada para Google Catalog Search dio lugar a Google Book Search.

En cuanto a Google Video, es poco probable que el cese de la posibilidad de subir vídeos a este servicio afecte a muchos creadores de vídeo, excepto a los que pretendan subir vídeos de más de 10 minutos, ya que YouTube limita los vídeos a dicho tiempo (con algunas excepciones), en parte para mantener a raya los costes de almacenamiento y en parte para evitar la subida no autorizada de capítulos de series y programas de TV completos y contenidos profesionales de formato más largo.

Fuente: Information Week