Il Pesa-Nervi

«Lei parla a vanvera, giovanotto!
No, penso a dei critici con la barba».

Il browser che visse due volte

Considerazioni sulla sicurezza del browser Internet Explorer 5 e sulla necessità di aggiornare costantemente il proprio software, con una postilla di Michele Diodati.

Introduzione

[La schermata di informazioni di Internet Explorer 5]Internet Explorer 5 per Windows è un browser dal destino singolare: ormai abbandonato e dimenticato da Microsoft, che consiglia l'aggiornamento alla versione 6 per motivi che vedremo, vive una seconda giovinezza ad opera di un nutrito gruppo di sviluppatori e webmaster, come testimonia un articolo di Alessandro Fulciniti pubblicato sul blog di HTML.it. Nonostante le statistiche diano ragione a Microsoft, questi animalisti del Web, che lottano per la salvaguardia delle specie in via d'estinzione, continuano nella loro campagna a favore di IE5, ispirandosi al principio del "best viewed with any browser" riformulato nella teoria dello "scadimento con grazia", assai in voga oggi. Questa visione del Web è condivisibile, ma nella pratica risulta deleteria soprattutto per l'utente, che in teoria ne dovrebbe risultare avvantaggiato. In tal modo, infatti, non lo si sprona ad aggiornare il proprio browser, lasciandolo in una sorta di limbo, completamente estraniato dalla realtà del Web che lo circonda. Scrive Jeffrey Zeldman:

Chi utilizza il Web soprattutto per fare acquisti, inviare e-mail oppure guardare materiale pornografico può ignorare per mesi che è disponibile un nuovo browser, e quando lo scopre nella maggior parte dei casi non se ne preoccupa.

Triste ma vero. Ma perché mai un utente dovrebbe aggiornare il suo IE5? Non per ragioni teoriche o di compatibilità di design, ma per motivi tristemente pratici che ora vedremo.

Uno spettro si aggira per il Web

Fin dalla sua comparsa, sul finire degli anni '90, IE5 si dimostrò subito un browser pieno di problemi di sicurezza. Furono scoperti a ritmo incalzante molti bug [bachi, difetti di progettazione], come quello relativo alle gestione degli ActiveX, che permette, tramite codice JavaScript, di scrivere direttamente nel registro di configurazione del sistema. Questo bug ha dato il via ad una serie di codici con cui i cracker riescono ad installare programmi maligni sul PC vittima, sfruttando la semplice navigazione dell'utente ignaro su pagine infette, tanto che fu necessario rilasciare patch su patch, due service pack ed infine l'aggiornamento alla versione 5.5, che tuttavia non risolse le cose. Fu in quel periodo che Internet Explorer fu ribattezzato dai cracker "Internet Exploder", a testimoniare la facilità con cui i malintenzionati riuscivano (e riescono) a sfruttare questi bug. E' soprattutto il malware (programmi maligni) a farla da padrone: trojan, spyware e adaware si installano così sul PC dell'utente rendendo la sua vita un inferno. La connessione viene parassitata e rallentata, pop-up a contenuto spesso pornografico si aprono in continuazione, facendo della navigazione un calvario, fino a giungere a casi estremi di blocco totale della connessione ed impossibilità di ripristinarla con successo, specie nei sistemi precedenti a Windows XP.

Viene così minato alla base il principio dell'accessibilità universale del Web, perché di fatto chi si trova in queste condizioni non riesce ad accedere neppure alla sua home page. Sui forum di sicurezza, dove ogni giorno vengono postati svariati log di analisi di sistema, si ripete all'infinito lo stesso ritornello: «Aggiorna il browser ed il tuo sistema operativo!», non appena ci si rende conto che il malcapitato di turno naviga con un browser obsoleto e con il sistema operativo non aggiornato. Voce di uno che grida nel deserto? A giudicare dalla percentuale di infezioni si direbbe di si, senza contare che neanche la versione 6 di Internet Explorer ha risolto la situazione, se si escludono alcuni benefici apportati dal rilascio del Service Pack 2 per Windows XP (per un elenco completo delle vulnerabilità di Internet Explorer 6 si consulti http://secunia.com).

Conclusione: IE5 R.I.P (Riposi in pace)

L'obiezione che si potrebbe sollevare riguarda la divisione dei compiti esistente sul Web. I webmaster, si dice, non dovrebbero occuparsi della sicurezza degli utenti, ma solo di rendere fruibili le pagine da loro create. Questo è vero finchè non si presenta una situazione come quella descritta sopra: un utente col pc infettato non riesce a fruire del Web in modo libero, e se l'infezione è particolarmente grave si può giungere anche alla formattazione del disco, cosa a cui i meno esperti sono costretti a ricorrere spesso, con tutti i disagi che essa comporta. Realizzare layout compatibili con IE5 significa incoraggiare indirettamente gli utenti ad un atteggiamento pericoloso per la sicurezza dei loro computer. E questo va contro gli interessi di chi realizza pagine web, che vorrebbe che il visitatore tornasse spesso a visitare i propri siti.

Dunque, Internet Explorer 5 riposi in pace. Amen.

Postilla di Michele Diodati

Ciò che Gabriele Romanato suggerisce è che gli esperti di codice la smettano di preoccuparsi di progettare pagine che si adattino anche (e ancora) a Internet Explorer 5. Ciò nella speranza che i superstiti utenti di questo browser siano invogliati a passare al più presto alla successiva e più sicura versione 6.

Sono d'accordo col suggerimento dell'autore, ma per una diversa ragione. Penso che la progettazione di pagine web, per essere affidabile ed economica, debba basarsi su regole standard di certa e universale applicazione (i linguaggi di marcatura del W3C, World Wide Web Consortium). Se ogni browser interpreta le regole di codifica dei documenti a modo proprio, con differenze più o meno marcate rispetto ai prodotti concorrenti, allora la certezza della resa dei documenti viene meno e - come in effetti accade - i progettisti di pagine web più esperti sono costretti a perdere molto tempo alla ricerca di trucchi di codifica (i cosiddetti hack), in grado di compensare le differenze di resa tra i vari browser e garantire una visualizzazione conforme su tutti i sistemi informatici più diffusi. Molto antieconomico, come può intuire anche chi non si intende di informatica! Evitare allora di ricorrere a trucchi di progettazione e concentrarsi solo sul rispetto delle regole standard codificate dal W3C, è il modo con cui i progettisti di pagine web possono spingere i produttori di browser a rilasciare prodotti sempre più conformi ai linguaggi di marcatura e per fogli di stile ormai standardizzati da anni.

Quanto al fatto di "costringere" gli utenti ad aggiornare i propri software alle ultime versioni disponibili, dubito fortemente che basti a tal fine rendere difficile la navigazione nel web a chi utilizza software datati e difettosi. E' innanzitutto una questione di alfabetizzazione informatica: conosco persone che usano il Web da anni, ma non hanno la minima idea di cosa sia un browser e tantomeno del fatto che possa, anzi debba, essere periodicamente aggiornato. Conosco persone che non sanno distinguere un banner pubblicitario dal contenuto informativo di un sito; che non sanno distinguere l'interfaccia dei siti visitati da quella del browser che utilizzano; che si bloccano inesorabilmente di fronte alla comparsa di qualsiasi finestra di avviso prodotta nel corso della navigazione. Utenti simili non sono in grado di comprendere che eventuali difficoltà di navigazione dipendono dai difetti del browser che stanno adoperando e meno ancora sono in grado di effettuare aggiornamenti del software.

Insomma, bisogna riflettere a mio parere su due questioni fondamentali:

Commenti dei lettori

  1. Commento di Ale - 15/8/2006 ore 21,31

    Mi dispiace dirlo, ma io uso ancora Windows 2000 Professional SP4 e IE 5, pur testando i layout delle mie pagine anche su IE 6. Windows XP e IE 6 sono a mio avviso i peggiori sistemi operativi dal punto di vista della sicurezza...non c'è SP2 che tenga. Windows 2000 ha avuto 4 SP nel giro di pochi anni e ormai i suoi bug sono per la maggior parte risolti, facendo eccezione per quelli scoperti recentemente (e che comunque riguardano anche Windows XP SP2). Windows XP invece è già 4 anni che è uscito e ha solo 2 SP, senza contare che vengono settimalmente scoperti bug di sicurezza spesso gravi. Sul mio PC con Windows 2000 non ho nemmeno installato l'antivirus e sono mesi che navigo tranquillo. Il SP2 di Windows XP doveva, a detta di Microsoft, blindare il sistema...invece impedisce di default all'utente anche le cose più semplici con la scusa di proteggerlo, e non risolve la maggior parte dei problemi. Ho avuto due portatili con Windows XP e IE 6...passavo ore a configurarlo e aggiornarlo dopo ogni formattazione, ma non passava un mese senza doverlo riformattare ancora. Posso dire che a livello di sicurezza è un buco colossale e quindi il mio giudizio è molto negativo. Con questo non voglio dire che Windows 2000 o i sistemi più vecchi vadano mantenuti per forza...quello che intendo è che oggi il software che vendono (soprattutto per Windows) non vale niente. Che si tratti di aggiornamenti di BIOS o driver, sistemi operativi o programmi, non ho mai visto così tanti bug in ogni software. Poi c'è da dire una cosa a favore di IE 5: box model errato a parte, ha un'interpretazione CSS di gran lunga superiore a IE 6, tanto da comportarsi quasi sempre come Firefox, e quindi dimostrando, anche se solo all'apparenza, un'aderenza agli standard maggiore di IE 6. E' assurdo progettare un layout che si vede come si deve su Firefox e IE 5 e non su IE 6! Io sono uno che i layout li prova su entrambe le ultime versioni di IE, ma se fosse per me, vieterei la vendita e il download di software scadente come Windows XP e IE 6. Inoltre, molti bug di sicurezza di Windows XP sono proprio dovuti a IE 6...tanto che installandolo su un Windows 2000, lo si trasforma in un Windows XP dal punto di vista dei bug di sicurezza. Eseguire Windows Update poi è spesso un rimedio peggiore del male. Microsoft deve mettersi in testa che l'utente non vuole avere i software più nuovi nel minor tempo possibile...vuole software decenti! Qualche bug ci sarà sempre, ma con Windows XP si è toccato il fondo. Se le promesse di Windows Vista e IE 7 saranno mantenute, avremo a che fare con qualcosa di valido (anche se a mio giudizio, Vista "chiede troppo" come sistema operativo). Tuttavia, conoscendo Microsoft, non mi sento mai troppo tranquillo.
  2. Commento di La pulce d'acqua - 9/5/2008 ore 21,5

    Ma allora perché lo usi ed è il succo del discorso di Gabriele e di Michele.
    Se il tuo sistema operativo preferito, tu stesso lo reputi pericoloso allora perché lo usi, c'è la possibilità di farlo quindi fallo.

Articolo di Gabriele Romanato pubblicato il  17/5/2006 alle ore 1,22.

Indice del Pesa-Nervi | Diodati.org

Inizio pagina.