Categories
Internet Explorer Microsoft

Internet Explorer eliminará la activación manual de controles ActiveX en Abril de 2008

Hace más de un año, Microsoft tuvo que cambiar la forma en que los controles ActiveX eran cargados, este hecho -- causado por un litigio con Eolas Technology -- hizo que muchos desarrolladores web sorteen este problema usando javascript para evitar que los usuarios tengan que activar manualmente los controles.

Internet Explorer: Activación de controles ActiveX

En el blog de Internet Explorer anuncian que a partir de abril del próximo año ya no será necesario la intervención del usuario para activar los controles ActiveX; según ésa entrada, este cambio de funcionalidad en el navegador no va a requerir de modificaciones a los sitios existentes y que a partir de diciembre de este año, estará disponible "Internet Explorer Automatic Component Activation Preview" (¡vaya nombrecito! 😀 ).

Categories
Arquitectura Software Microsoft Recursos Web

Edición #12 de Architechture Journal

Para los interesados, ya está disponible la edición número 12 (EN) de esta interesante revista denominada The Architecture Journal. Los temas para este número son:

  • Web 2.0 in the Enterprise
  • Eficient Software Delivery through Service Delivery Platforms
  • Secure Cross-Domain Communication in the Browser
  • An Application-Oriented Model for Relational Data
  • Architechture Journal Profile: Pat Helland
  • Data Confidence Over the Web
  • Managed Add-Ins: Advanced Versioning and Reliable Hosting

El artículo "Secure Cross-Domain Communication in the Browser" es una lectura interesante para desarrollares web, porque muestra una alternativa para saltar las restricciones de seguridad impuestas por los navegadores (cross-domain policy) y realizar la comunicación en 2 vías entre diferentes dominios usando elementos iframe. En el artículo se afirma que este método es seguro, sin embargo tengo dudas acerca de esa afirmación :).

Si desean los contenidos de esta revista en español, al parecer van a tener que esperar un poco más porque la última traducción disponible es de la edición #11.

Categories
Microsoft Utilidades WordPress

Nueva versión de Windows Live Writer

Esta semana se liberó una nueva versión del software que en la mayoría de los casos uso para escribir entradas, hablo de Windows Live Writer. Luego de jugar por un momento con las cosas que trae esta versión, les comento mis impresiones:

Lo bueno

  • Posibilidad de agregar nuevas categorías: me resulta particularmente útil esta opción porque casi siempre voy añadiendo nuevas categorías. 🙂
  • Soporte para especificar resúmenes (excerpt) de las entradas: esta opción me sirve para personalizar el meta description de cada entrada que se publica.
  • Sincronización con las ediciones que se hacen en línea.
  • Pegado especial: dá la posibilidad de remover el formato antes de pegar texto.

Lo malo

  • Sigue siendo igual de pesado que la versión anterior, se notan pequeños parpadeos al momento de hacer ciertas acciones.
  • Por el momento no soporta la corrección de ortografía para nuestro idioma.

Lo feo

  • No genera (X)HTML válido, sigue existiendo problemas con elementos <li> que no tienen un correspondiente tag de cierre </li>; por otro lado, sigue enviando atributos (no estándar) que sólo se usan para facilitar el trabajo de algunos plugins. Al parecer en esta versión tampoco existe una forma de escribir un plugin que actúe justo antes de publicar las entradas (esto sería útil para limpiar el HTML).

Si alguien desea usar esta nueva versión puede descargarlo desde http://g.msn.com/4SAWLWENUS/WriterMSI.

Categories
Diseño Microsoft Wallpaper Windows Vista

Colección de Wallpapers

Para los interesados, Hamad Darwish publicó las imágenes que preparó para la colección de fondos de pantalla de Windows Vista, por lo que el mismo comenta, sólo 2 de un total de 34 imágenes fueron incluidas finalmente en este sistema operativo.

Windows Vista Wallpaper

Estos fondos de pantalla (1920x1200) están disponibles para descarga en un solo archivo comprimido (30.9MB).

Categories
Internet Explorer Microsoft Seguridad Web XSS

La (in)seguridad de Internet Explorer

Este último fin de semana, mientras hacía una lectura de los sitios a los que estoy suscrito, encontré una interesantísima entrada en el que describe un bug que hace que Internet Explorer facilite los ataques XSS.

Para los que no siguieron el enlace, intentaré resumir de que trata el bug que se comenta ahí:

En teoría, cualquier documento que es servido por un (valga la redundancia) servidor web, está acompañado por una cabecera Content-type, que indica al navegador el tipo de archivo que es, en base a esto el navegador normalmente asocia una acción (interpretar el documento, pasar el control a otra aplicación o finalmente preguntar al usuario que desea hacer con ese archivo).

El caso es que Microsoft implementó algo que se denomina MIME Type Detection, donde básicamente se usan los primeros bytes de un archivo para intentar determinar el tipo o contenido del mismo, esta característica incluso está mencionado en el RFC 2616 (sección 7.2.1 Type).

Any HTTP/1.1 message containing an entity-body SHOULD include a
Content-Type header field defining the media type of that body. If
and only if the media type is not given by a Content-Type field, the
recipient MAY attempt to guess the media type via inspection of its
content and/or the name extension(s) of the URI used to identify the
resource
. If the media type remains unknown, the recipient SHOULD
treat it as type "application/octet-stream".

De la cita, se puede ver que sólo se debe usar esta característica si el servidor web NO envía el Content-type correspondiente para el documento que está enviando al cliente.

Como casi todo en la historia de Internet Explorer, Microsoft tiene su propia forma de interpretar los estándares, y es que gracias a la característica antes mencionada, un archivo de texto plano, imagen u otro tipo de documento puede ser interpretado como HTML siempre y cuando éstos incluyan contenido HTML.

Si alguien tiene Internet Explorer a la mano, puede ver que si entra a http://test.buayacorp.com/xss.txt, se mostrará el mensaje "Esto es un archivo de texto" para un archivo de texto plano que contiene lo siguiente:

code:

<script>alert("Esto es un archivo de texto")</script>

Gracias a este bug, múltiples aplicaciones o sitios que permiten subir contenidos a sus usuarios son vulnerables, entre los que se me vienen a la mente:

  • Fresqui: vulnerable
  • Menéame: al parecer no es vulnerable porque hace una conversión de formato al subir un avatar
  • ANWMP o cualquier sitio que tenga instalado Drupal y permita subir archivos: vulnerable
  • etc, etc.

No recomiendo un navegador en especial (usen Firefox! 😀 ), puesto que fácilmente podría hacer el ridículo con los últimos bugs reportados en varios navegadores.