“Un reciente artículo ha hecho aflorar la cuestion de si la nueva característica anti-phishing de Firefox 2 puede suponer una amenaza a la privacidad.” - Mozilla Links, 27 de octubre de 2006 [en].

Un usuario descubrió que Firefox 2 tiene un modo mejorado de protección anti-phishing que chequea cada dirección web visitada contra una base de datos dinámica de sitios web conocidos o sospechosos de phishing, mantenida por Google. Así pues, Google sabe qué direcciones web están siendo visitadas. Si has iniciado sesión en algún servicio de Google, lo más probable es que también sepa que direcciones web visitas tú.

Por defecto este modo está desactivado. En su lugar, Firefox descarga una lista con los nuevos sitios de phising identificados dos veces cada hora, las direcciones web se comprueban contra esa lista y Google no sabe nada.

El usuario, irritado, piensa que esto es noticia, así que lo envía a Slashdot [en]. Slashdot está de acuerdo y aprueba su publicación. The Inquirer piensa que es una pobre semana en cuanto a noticias sobre Firefox/Mozilla y que esto es lo mejor que van a conseguir, así que Nick Farrel publica un artículo [en] sobre ello: “Google está consiguiendo montones de información sobre los tipos de sitios que visitas”, puede leerse en el párrafo central.

Probablemente no tengamos que esperar mucho para ver el habitual ir y venir de comentarios en blogs y sitios de noticias tecnológicas y marcadores sociales.

Por aclarar las cosas:

• El anti-phishing de Firefox 2 no limita su uso a Google. Tiene los conectores necesarios para que otros proveedores ofrezcan sus listas se integren con él. Desafortunadamente, ningún otro proveedor como Netcraft o McAfee lo han hecho, lo cual es triste ya que no sólo proporcionaría opciones a los usuarios sino también una oportunidad de negocio para ellos. Mozilla no puede hacer mucho más sobre esto que trabajar con quien esté interesado.
• Firefox 3 tendrá una protección anti-malware que funcionará exactamente de la misma manera que los sitios anti-phishing con Google como proveedor, así que puedes preocuparte o no hacerlo, exactamente igual que ahora. Ésta es la parte de no hay novedades.
• Mozilla está en conversaciones con stopbadware.org, una asociación independiente que lucha contra el malware que incluye Google, Sun Microsystems, Lenovo, las Universidades de Oxford y Harvard y Consumer Reports WebWatch, para incluirla como otro proveedor. Su política de privacidad [en] sugiere que los informes y consultas enviadas permanecerán en stopbadware.org. Al menos no dice nada del estilo de “podemos compartirlo con colaboradores y miembros…”.

Me gustaría ver una manera de identificar los sitios web de phishing y malware de una manera tan fiable como lo implementa Firefox (...y Opera, e Internet Explorer) sin que sea necesario compartir tu dirección web con una tercera parte. Me apuntaría a ella inmediatamente.

O, al menos, una alternativa a Google. Comparto la sensación de que es demasiada información (búsquedas, sitios web visitados, mensajes de correo, documentos, calendarios) para una sola compañía. Cualquier compañía.

Por esa razón no activo el modo mejorado. Y conozco los riesgos.

De acuerdo a Antiphishing Working Group [en], una asociación independiente de compañías relacionadas con la web, hubo más de 31.000 nuevos sitios de phishing durante junio de este año. Eso significa que podría haber unos 21 sitios nuevos de phishing entre dos actualizaciones consecutivas (es decir, en el transcurso de media hora) si estás usando el anti-phishing básico. A mí me vale, pero no me atrevo a recomendarlo a todo el mundo.

En resumen, no hay noticias en este asunto desde el año pasado: sí, Firefox 2 tiene una protección anti-phishing mejorada que tienes que activar y que envía la dirección web que estás visitando a Google. Actualmente no hay otro mecanismo para conseguir un nivel comparable de protección. A menos que aparezcan otros proveedores. Que Firefox podría integrar. En su lugar, algunos de ellos han optado por publicar sus propios productos, algunos como extensiones. Exactamente lo mismo puede aplicarse a la protección contra malware, excepto que Stop Badware podría actuar como otro proveedor.

Etiquetas: Firefox, Seguridad