Recordando los controles ActiveX, el mayor error de la Web

Acceso directo a Internet Explorer en un escritorio de Windows 10.

Introducidos en 1996, los controles ActiveX de Internet Explorer eran una mala idea para la web. Causaron serios problemas de seguridad y ayudaron a cimentar el dominio de Internet Explorer en Windows, lo que llevó al estancamiento de la web antes de Firefox .

¿Qué eran los controles ActiveX?

Los controles ActiveX son un tipo de programa que puede integrarse en otras aplicaciones. Microsoft los usó para una variedad de propósitos; por ejemplo, podría incrustar controles ActiveX en documentos de Microsoft Office. Sin embargo, aquí nos centramos en ActiveX para la web. A partir de Internet Explorer 3.0 en 1996, Microsoft permitió a los desarrolladores web incrustar controles ActiveX en sus páginas web.

En aquel entonces, cuando visitaba una página web, Internet Explorer le pedía que descargara y ejecutara los controles ActiveX que especificaba la página web.

Los complementos populares de Internet Explorer como Adobe Flash, Adobe Shockwave, RealPlayer, Apple QuickTime y Windows Media Player se implementaron utilizando controles ActiveX.

Indicador ActiveX de Internet Explorer 11 en Windows 10.

La seguridad fue un problema desde el principio

Los años 90 fueron una época diferente, lo que también nos trajo  macros peligrosas en documentos de Office . Originalmente, los controles ActiveX eran como cualquier otro programa en su computadora. Cuando lanzó un control ActiveX, tenía acceso completo a todo en su computadora.

En otras palabras, puede visitar una página web en Internet Explorer y ver un mensaje que indica que la página web desea ejecutar un juego u otro programa. Si estuviera de acuerdo, el control ActiveX podría hacer lo que quisiera con todos los archivos y programas de su computadora. Es fácil ver cómo esto fue ideal para el malware.

Esto estaba en marcado contraste con la tecnología Java de Sun. En ese momento, Java también se usaba para ejecutar programas en páginas web dentro de navegadores web. Sin embargo, Java intentó limitar lo que estos programas podían hacer mediante el uso de una caja de arena . En última instancia, Java en el navegador web tenía un largo historial de fallas de seguridad, pero al menos Java estaba tratando de limitar lo que podían hacer las aplicaciones.

Relacionado:  ¿Qué es un CDN y por qué las empresas los usan?

Un artículo de CNET de 1997 captura la actitud de Microsoft en ese momento:

“Si bien el sandbox de Java impone un alto grado de seguridad, no permite a los usuarios descargar y ejecutar emocionantes juegos multimedia u otros programas con todas las funciones en sus computadoras”, se lee en una declaración en el sitio de seguridad de Microsoft. «Como resultado, es posible que los usuarios deseen descargar un código que tenga acceso completo a los recursos de sus computadoras».

El artículo continúa explicando que Microsoft incluyó un sistema de «responsabilidad» llamado Authenticode. Los desarrolladores de software podían optar por sellar sus controles ActiveX con una firma digital, pero no era obligatorio. Los desarrolladores que crearon controles ActiveX maliciosos podrían ser rastreados más fácilmente, si optaban por firmar sus controles.

Con Microsoft inicialmente confiando en el sistema de honor, es fácil ver cómo ActiveX se convirtió en una forma popular de entregar malware y spyware a los usuarios de Internet Explorer.

ActiveX fue diseñado para la Web antigua

Hubo un tiempo en que las tecnologías web no eran muy poderosas. Si deseaba algo más avanzado que texto e imágenes, incluso si solo deseaba incrustar un video en una página web, necesitaba algún tipo de complemento de navegador.

ActiveX se diseñó para un mundo en el que no se podían crear aplicaciones complejas y con todas las funciones utilizando HTML, JavaScript y otras tecnologías modernas, como se puede hacer hoy.

Muchas organizaciones recurrieron a los controles ActiveX para agregar funcionalidad a sus sitios web. Muchas empresas también utilizaban los controles ActiveX de forma interna para entregar rápidamente programas a sus PC empresariales. Cuando acceda a una de estas páginas web con Internet Explorer, le pedirá que descargue un control ActiveX y estará ejecutando el programa.

Agradable y fácil, demasiado fácil. Quizás eso volaría en la red interna de una empresa (intranet) donde todo era confiable. Pero en la web indómita, esto causó muchos problemas.

ActiveX era un desastre de seguridad

Conceptualmente, ActiveX tenía dos grandes problemas de seguridad. Primero, un sitio web malicioso podría solicitarle que instale un control ActiveX malicioso, y fue muy fácil para los usuarios de Internet Explorer aceptar el mensaje e instalarlo.

En segundo lugar, un error en un control ActiveX legítimo podría ser un problema. Si tenía instalada una versión desactualizada de Adobe Flash, por ejemplo, un sitio web malicioso podría aprovechar eso y obtener acceso a toda su computadora, ya que los controles ActiveX como Flash tenían acceso a toda su computadora.

Relacionado:  Cómo compartir su lista de deseos de Amazon

En realidad, esto fue un gran problema, ya que los controles ActiveX a menudo no tenían sistemas de actualización automática.

Con el tiempo, Microsoft siguió ajustando la configuración de seguridad y agregando protección adicional como «Modo protegido» y » Modo protegido mejorado «. Por ejemplo, Internet Explorer tiene una lista integrada de controles ActiveX obsoletos  que se niega a cargar. Internet Explorer proporciona advertencias adicionales antes de descargar y cargar controles ActiveX. Se introdujeron otras configuraciones de seguridad que permiten a los creadores de controles ActiveX restringir los controles ActiveX para que solo se ejecuten en ciertos sitios web, por ejemplo.

Caso en cuestión: el sitio web de Microsoft alguna vez requirió un control ActiveX “Administrador de descargas” de Akamai para descargar ciertos archivos. Este Administrador de descargas requería acceso completo a toda su computadora y, por supuesto, solo se ejecutaba en Internet Explorer. Como era de esperar, este programa Download Manager tenía sus propias vulnerabilidades de seguridad . ¿Realmente suena como una buena solución para descargar archivos en lugar de simplemente depender del descargador de archivos integrado de su navegador web?

Una advertencia de seguridad de Internet Explorer

Los controles ActiveX no eran multiplataforma

ActiveX era una tecnología de Microsoft que funcionaba mejor en Internet Explorer en Windows. Hubo algunos complementos que agregaron soporte a los navegadores de la competencia, como Netscape Navigator (el antepasado de Mozilla Firefox), pero en realidad se trataba de Internet Explorer.

Técnicamente, ActiveX era multiplataforma. Microsoft agregó compatibilidad con ActiveX a Internet Explorer para Mac. Sin embargo, a diferencia de Java (que era multiplataforma), los controles ActiveX escritos para Windows no funcionarían en una Mac. Los desarrolladores tendrían que crear controles ActiveX para Mac.

Por ejemplo, Corea del Sur estandarizó un control ActiveX que se requería para acceder a sitios web financieros y gubernamentales seguros en los años 90. Solo se cerró por completo en 2020 , y la dependencia de ActiveX obligó a las personas a usar esa tecnología antigua y obsoleta durante mucho tiempo. Como escribió una vez el Washington Post , «Corea del Sur se quedó con Internet Explorer para las compras en línea» en 2013. El artículo describe cómo los usuarios de Mac tenían que depender de las computadoras de escritorio en sus oficinas, cibercafés, computadoras viejas o Boot Camp para realizar compras en línea.

Relacionado:  Su próximo automóvil podría tener faros inteligentes

Tales situaciones se desarrollaron de manera similar en otros lugares: las empresas que estandarizaron en ActiveX para entregar aplicaciones internas se estancaron dependiendo de Internet Explorer en Windows hasta que dejaron ActiveX atrás.

Cómo es mejor la Web moderna

Desde una perspectiva de seguridad, la web moderna es mucho mejor. Cuando carga una página web, su navegador web carga y ejecuta esa página web en su propia caja de arena aislada. El navegador web no se basa en ActiveX, Java, Flash o cualquier otro tipo de programa de terceros que ejecute parte de la página web.

No hay forma de que un sitio web entregue código que obtenga acceso completo a todo lo que hay en su computadora, no sin descargar un archivo EXE que se ejecuta completamente fuera del navegador en Windows, por ejemplo.

Su navegador web se actualiza automáticamente, por lo que no hay riesgo de que el código antiguo permanezca accesible a las páginas web sin recibir parches de seguridad, como sucedía con ActiveX.

Antes de que se eliminara por completo en favor de las tecnologías web a fines de 2020 , incluso el contenido Flash era más seguro que ActiveX. Google Chrome, por ejemplo, ejecutó Flash en una caja de arena. Un subprograma de Flash malicioso tendría que usar una falla para escapar de la caja de arena en el propio Adobe Flash, y luego usar otra falla para escapar de la caja de arena del complemento en Google Chrome y obtener acceso completo a la computadora.

Y, por supuesto, la web moderna es multiplataforma. Puede utilizar el navegador que elija en la plataforma que desee. No está atascado al usar Internet Explorer en Windows porque los sitios web que usa requieren un control ActiveX que solo funciona en Windows en ese navegador.

Y claro, la mayoría de las extensiones de navegador que instalas tienen acceso a todo lo que haces en tu navegador web, pero al menos no tienen acceso a toda tu computadora.

Controles ActiveX en Windows 10

A partir de 2021, los controles ActiveX todavía son compatibles con las versiones modernas de Windows 10. Sin embargo, debe usar el navegador Internet Explorer 11 heredado ; Microsoft Edge no admite los controles ActiveX.

Algunas empresas y otras organizaciones todavía utilizan los controles ActiveX en la actualidad, por lo que Microsoft aún no ha eliminado su soporte.