Altra notizia che riguarda Microsoft (non me ne volete, ma le news queste sono…).

Dopo averci provato per diverso tempo, Microsoft ritorna all’attacco sulla questione dell’abbandono di Internet Explorer 6. Nonostante quest’anno si compia il decimo anniversario della nascita, il browser è tuttora utilizzato in gran parte del mondo.

Feliciano Intini, Chief Security Advisor di Microsoft Italia e prolifico blogger, parla in un suo articolo di ben il 12% di utenti mondiali di IE6, con un 3,3% in Italia.

Microsoft ha lanciato quindi una campagna volta a far scendere la percentuale globale all’1%. Potete verificare lo stato sul sito Internet Explorer 6 Countdown.

La cosa che trovo interessante è che uno dei principali problemi della sicurezza del software, ovvero l’obsolescenza dei prodotti e il loro mancato aggiornamento, trova nel caso di IE6 un case history incredibile. Questo anche per colpa di Microsoft ovviamente. Sicuramente non hanno fatto bene i cinque anni passati tra le versioni 6 e 7 di IE, che hanno lasciato ben sedimentare il software, sia per le difficoltà nel rilasciare patch di sicurezza di un prodotto che forse non era stato pensato come security-driven. Già nel 2004 parlavano di ben 234 versioni su cui fare i test prima di una fix di sicurezza.

Diciamo che era stato pensato prima della svolta imposta da Bill Gates sulla sicurezza del software, svolta necessaria e che ritengo sia ancora un esempio su come le cose possono cambiare, anche se è difficile debellare il pregiudizio anti-Microsoft che ancora impera…

Fatto sta che ora uno dei prodotti più pericolosi per la navigazione web è ancora molto utilizzato, e le percentuali asiatiche sono preoccupanti. In effetti stando in Giappone mi sono accorto di come IE6 fosse diffuso nei chioschi internet a pagamento.

Sicuramente uno dei motivi principali del mancato upgrade è la compatibilità. Ci sono ancora un sacco di siti in giro e la stessa Microsoft ha previsto una funzione di retro-compatibilità per chi usa IE8.

Questo è il secondo punto di interesse di questa storia, perché è un esempio di un altro dei principali problemi della sicurezza del software, ovvero le errate strategie aziendali. Trovo molto pericoloso infatti anteporre il costo dell’aggiornamento di un’applicazione web (soprattutto se intranet) al rischio che si può correre continuando ad usare software pericolosi e con vulnerabilità utilizzabili anche da script kiddie…
Va detto per completezza che, ragionando da CEO e guardando al rapporto costi/benefici, può essere comprensibile non intraprendere certe strade. Gartner stesso (fin troppo ascoltato ai piani alti) dice che i costi della migrazione sono troppo costosi, e che la stessa Microsoft non offre dei piani di rientro facili, e economici, da percorrere. E questo chiunque lavori in una azienda di grandi dimensioni lo deve sapere, che sia esperto di sicurezza o dirigente.

In conclusione la situazione è molto più complessa di quanto si possa pensare, e non si risolve con un semplice Windows Update… Sono sicuro che prossimamente avrò modo di trattare queste problematiche di sicurezza in modo più approfondito.

Bye!