Ingresó a la Facultad de Medicina de la Universidad de Buenos Aires, donde se recibió de Doctor en Medicina, especializado en cirugía, en el año 1935.

Tiempo más tarde, se trasladó a la localidad de Neuquén, donde residió hasta hacer una suplencia en la ciudad de Puerto Madryn, reemplazando al Dr. Buzzi, quien se hallaba en un viaje por un año (1936) en Europa.

En 1940 asumió la Dirección del Hospital de Ushuaia, en el entonces Territorio Nacional de Tierra del Fuego, siendo el segundo director médico de esa ciudad.

En 1945, es trasladado al Hospital Subzonal de Puerto Madryn, Territorio Nacional del Chubut), para cubrir la vacante surgida a raíz de la jubilación del Dr. Roberto Buzzi, a quien reemplazara algunos años atrás.

Fue médico de policía (Ad honorem), hasta que Chubut, adquiriera la calidad de Provincia, cuando lo nombraron para esa Repartición Provincial.

En el año 1976 se jubiló de estos cargos, y comenzó a dedicarse en forma exclusiva a su profesión en su consultorio, primero ubicado en la calle Julio Argentino Roca, número 39 y después en la calle San Martín, número 596, hasta su retiro definitivo.

Cumplió también con tareas cívicas:

• Fue fundador (entre otros) de la Escuela Nacional de Comercio.
• Ejerció como profesor de materias afines a su profesión, al igual que otros profesionales que pusieron a disposición su tiempo ad honorem, hasta que fue conformado el grupo de profesores para la enseñanza.
• Fue socio fundador y consejero de la Cooperativa Eléctrica.
• Fue Comisionado Municipal desde el dos de mayo de mil novecientos cincuenta y dos hasta el año mil novecientos cincuenta y cuatro.

Su familia se compuso de su esposa (hoy fallecida) y tres hijos.

Falleció el día catorce de enero de mil novecientos ochenta y seis.

Por Decreto Provincial número 880/1988, su nombre fue impuesto al nuevo hospital de nivel VI de Puerto Madryn, en reconocimiento a su larga trayectoria médica, y por sobre todas las cosas, a su calidad humana.

Como toda la cuestión me pareció improbable, porque confío en que la citada agencia hace las cosas adecuadamente y no infringe copyrights de terceros, fue que hoy me tomé el trabajo de descargarme el SIAp, así como algunos módulos e instalarlos, buscando corroborar si existían los archivos que en ese artículo se mencionan, filewin.dll y filewin2.dll, y más importante aún, si los mismos tenían el encabezado que se decía que tenían, es decir, una referencia a la licencia GPL.

El resultado de la investigación fue que efectivamente esos archivos están siendo diseminados por la AFIP en los siguientes módulos (es posible que la lista se pueda extender, mas no es la idea realizar una enumeración exhaustiva):

• Ganancia Mínima Presunta, versión 7.0 Release 2
• Ganancias Sociedades, versión 6.0 Release 1
• Seguridad Social, versión 32.0 Release 1
• Compensaciones y Volantes de Pago, versión 1.0 Release 6

Es de recordar que la licencia GPL explícitamente prohíbe enlazar a bibliotecas (o librerías) cubiertas por otra licencia no compatible (en un binario que se distribuye), o enlazar a una biblioteca cubierta por la GPL desde una aplicación con una licencia no compatible, porque requiere que la integridad del trabajo esté licenciado por la GPL.

En el fichero filewin.dll, desde la posición 0×0000FEF4 hasta la 0×00010128, y en filewin2.dll, desde la posición 0×000102A0 hasta 0×000104D4 está el aviso que incluye el nombre del autor (Jean-loup Gailly) y enuncia que las mismas se licencian bajo los términos de la GPL. Notar que ésto no necesariamente implica que la AFIP violó la licencia GPL, porque, por ejemplo, ésta podría haber obtenido autorización del titular del copyright (aparentemente Jean-loup Gailly) para el uso que le está dando. Claro que si no fue así, esta persona podría exigir un resarcimiento económico y que se cumpla con la licencia, y se liberen esos módulos.

ACTUALIZACIÓN 20091030: Al momento de publicar esta entrada, me había puesto en contacto con Jean-loup Gailly, el presunto autor de la biblioteca a la cual la AFIP, en apariencia, enlazaría sin la debida autorización. La respuesta que recibí a este mensaje fue:

Thanks for your message. The FSF is looking into this issue.

Jean-loup

Que se podría traducir como “Gracias por tu mensaje. La FSF está investigando sobre este asunto.” Esto me lleva a la conclusión de que la AFIP no habría obtenido la autorización del autor, y en resumidas cuentas, estaría infringiendo el copyright de un tercero (Jean-loup Gailly). Francamente, me desilusiona la cuestión, y espero que la misma se resuelva lo más prontamente posible.

Hablar de libertad de expresión es, en consecuencia, el motor del progreso. Tampoco sería preciso incurrir en el error de que con la libertad de expresión per se hay un Estado de derecho porque los instrumentos de los que se vale el poder (llámese político, social, cultural, etcétera) impiden en ocasiones tomar elementos útiles de esta idea que se expresa. Éste sería el caso de una sociedad ultra-conservadora. Lo que se debe rescatar igualmente, pese a estas limitaciones, es que la libertad de expresión es el único elemento que tiene el potencial para producir este cambio, porque sin ella los únicos cambios posibles son aquellos que el Poder acepte (y aquí entiéndase Poder como el órgano capaz de censurar las publicaciones de cualquier tipo.)

La censura es en consecuencia el elemento más vital de un régimen ultraconservador y egocéntrico, porque implica el rechazo a toda idea adversa al Sistema. Tener el Poder (en el mismo sentido que antes) es por ende controlar casi absolutamente una sociedad dada, porque ninguna idea de cambio podría (idealmente) ser transmitida, y no es probable, por la misma razón, que se llegue a formar ningún grupo de oposición a este Poder. Lo que es más, la capacidad de seleccionar la información permite dejar apreciar una visión sesgada de la realidad que, nuevamente, se traduce en un control casi absoluto del pensamiento.

De aquí se traduce, si se sigue una línea lógica, que la libertad de expresión, o mejor dicho, el recibir información que podría no ser completa, correcta ni precisa (como lo es la mayor parte, si no toda) implica un pensamiento crítico, que incluya, entre otras cosas, el análisis desde tantas perspectivas como sea posible, llegando a una apreciación lo más neutral que se permita. Aquí, como era de esperar, la libertad de expresión abre nuevas posibilidades de interpretación, mediante la visión de una colección más amplia de posturas.

En conclusión, se tiene que la libertad de expresión, entendida como la libertad de publicar ideas sin censura previa, es uno de los pilares más básicos en la construcción de una sociedad justa, igualitaria y multicultural.

Cuando se utiliza el sitio, existe una variable que contiene información acerca del archivo que se debe incluir para mostrar un contenido particular (actualización del 20090811: la variable contenido), una técnica que muchos sistemas de gestión de contenidos (CMS) utilizan (como por ejemplo www.msl37.org y youruseragent.info, aunque de una manera algo más transparente.) Ésto no es necesariamente malo y de hecho es una práctica muy difundida. Sin embargo, este caso que describo es quizás uno de los mejores ejemplos (por el prestigio y la importancia de la institución) de lo importante que puede ser tomar prácticas mínimas de seguridad.

Volviendo al asunto, decía que hay una variable que dice qué fichero debe abrirse para mostrar el contenido, y que éste se genera dinámicamente según el valor de esa variable. La cuestión de seguridad comienza en que a esa variable, siendo un sistema de acceso público, cualquier usuario puede asignarle un valor arbitrario, resultando en determinado comportamiento por parte del servidor, el cual puede ser potencialmente inseguro.

Puntualmente, esa variable puede contener una ruta relativa de acceso a un fichero del servidor (que es lo que contiene.) Al no filtrarse caracteres como la barra, el punto y el carácter que marca el fin de la cadena en C (cód. ASCII 0, también conocido como carácter nulo, o simplemente null), este usuario podría acceder a un archivo que arbitrariamente eligiera, pudiendo incluso descubrir la estructura del árbol de directorios del servidor. Hasta aquí van tres vulnerabilidades: LFI, Full path Disclosure y Directory traversal. Esto nada más es un riesgo bastante amplio. La solución que yo propongo como la más sencilla, siendo eficaz al mismo tiempo, es validar esa variable para que contenga sólo caracteres alfanuméricos (letras y números) y la barra (por el simple motivo de que se usa en ciertas ocasiones) y eliminando todo lo demás. Usando expresiones regulares simplemente basta con evaluar si se cumple el patrón [a-zA-Z0-9/]+.

Una cuarta vulnerabilidad que viene dada por las mismas circunstancias (entrada sin filtrar) sumado quizás, dependiendo de las necesidades reales, a una deficiente configuración de los cortafuegos y/o del sistema mismo. Se la conoce como RFI y permite el acceso a un recurso remoto arbitrario (por ejemplo, un sitio web.) Esta vulnerabilidad puede ser explotada para cargar contenido aparentemente legítimo en el sitio web del Ministerio y ejecutar comandos arbitrarios, entre otras tantas cosas. La misma se habría resuelto además con la solución que propongo más arriba.

Teniendo en cuenta lo potencialmente nocivas que son estas cuatro vulnerabilidades (y así el peligro que conlleva su combinación) ese mismo día opté por ponerme en contacto a la dirección de correo electrónico que se ve al pie del sitio (contacto@mincyt.gov.ar.) Como no obtuve respuesta, el día 22 lo reenvié, y aún tampoco he recibido respuesta, ni se ha corregido la vulnerabilidad. Me apena profundamente que no se dé importancia a estas cuestiones, en especial en instituciones tan reconocidas como lo es este Ministerio. Sin embargo, sigo a la espera de que se resuelva y por eso no doy más detalles de cómo explotar la vulnerabilidad (teniendo en cuenta que siempre busco mostrar su peligrosidad, y no incentivar a que se exploten.) Es posible que en el futuro (por ejemplo, después de que sea corregida) añada tales detalles.

Finalmente, quiero compartir este pequeño artículo con comentarios útiles sobre cómo pueden evitarse estos errores en el momento de programar.

Como muestra de que realmente existe adjunto algunos screenshots (tomas de pantalla):

ACTUALIZACIÓN (8 de agosto): habiendo transcurrido un tiempo más que prudencial para que la vulnerabilidad sea corregida, he adjuntado dos imágenes que demuestran cómo se podría usar la vulnerabilidad RFI para ejecutar código arbitrario. Una muestra un intento (exitoso) de interpretar código PHP y la otra, uno (fallido por falta de soporte) de interpretar ASP.NET.

ACTUALIZACIÓN (12 de agosto): hoy finalmente obtuve una respuesta desde el MINCyT, que adjunto a continuación:

Antes que nada agradecemos la atencion de habernos informado y le comentamos que:

Toda la informacion del sitio del MINCYT es publica y no hay inconveniente en que sea accedida a traves del path, en cuanto a la visibilidad de la ruta en la barra del navegador estamos implementando la forma para que esta informacion no se vea.

Nuevamente muchas gracias y quedamos a su disposicion”

Gracias a uds. tambien

Saludos cordiales

Contacto MinCyT

En primera instancia, tenemos que el copyright es una medida que se toma fundamentalmente para incentivar la creatividad. Consiste en otorgar un monopolio limitado sobre la edición, reproducción, uso, copia, etcétera de una obra. Fundamentalmente, abarca obras del tipo científicas, literarias y artísticas. Notar que el copyright no cubre las implementaciones de lo que describen; de eso se encargan las patentes.

Uno de los problemas del copyright, al menos tal y como hoy se nos presenta, es que una protección tan amplia (en cuanto a restricciones) y duradera (la vida del autor más 70 años) impide la verdadera misión que se mencionó en el párrafo precedente. Es decir, si se considera que se quiere incentivar la creación porque reporta un beneficio a la sociedad en su conjunto, entonces el argumento se cae por su propio peso, ya que la sociedad verá esos beneficios dentro de un plazo bastante amplio. Aún sólo queriendo incentivar la creación, sin otra motivación implícita, las actuales leyes, brindando las condiciones descriptas con anterioridad sólo incentivan a crear una sola vez para luego vivir de rentas. Si los autores insisten en crear no es porque los incentive la ley, así como tampoco lo hizo con todos los autores de la era pre-copyright. Y afirmar que lo anterior es cierto implica decir que el argumento más aceptado en defensa de los derechos de autor queda invalidado.

Pese a lo anterior, a mí me parece justo que el copyright exista para permitir que quienes crean obras científicas, literarias o artísticas puedan tener una dedicación exclusiva a esta actividad, rescatando la percepción de que son beneficiosas para la sociedad en su conjunto, y por lo tanto legitimando un derecho a la retribución hacia los creadores de las obras.

Vamos al primer punto: la duración. El copyright no debería durar un tiempo mayor al que sea apropiado para incentivar la creación. Es decir que debería durar menos que la vida, para que ese individuo siga estando motivado a crear y a innovar sobre sus creaciones. Además, durando toda la vida del autor, tampoco es justo que sus herederos gocen del mismo monopolio después de la muerte: primero, porque no los incentivaría a crear, en segundo término porque sencillamente todas las ganancias obtenidas a raíz de las obras ya son heredadas de por sí, y por último, porque ellos no han creado nada. Mi propuesta es de 20 años desde la fecha de publicación (que bien podría ser menos, como 15 ó 10), que estimo que es más que suficiente para que un autor se haga rico con esa obra, y a su vez un plazo razonable para aguardar para poder todos beneficiarnos de esa obra.

Otra cuestión son las obras que se publican y pasado un tiempo (aún en el dominio privado) dejan de publicarse por la razón que fuere. Cuando se hace evidente que los titulares de los derechos no tienen interés en explotar comercialmente una obra, y aprovechando que ya fue publicada, el monopolio debería perderse (o suspenderse.)

También, siempre desde la premisa del beneficio común, debe quedar reconocido el derecho de cita, y la suspensión del monopolio para fines educativos, didácticos, de interés público y de investigación científica. Desde este mismo punto de vista, resulta inadmisible que las obras que fueron financiadas con dinero público sean pertenecientes al “dominio privado”.

Si se tienen en cuenta los derechos del que recibe una obra (respetando sus libertades, sin cohartarlas), no se deben tolerar las medidas de protección (no me refiero específicamente a prohibirlas, sino a no reforzarlas por ley), considerando que las licencias deben ser neutrales a las intenciones que tenga el que la recibe.

El día 27 de enero hice un pago usando el medio de pago PayPal de 27 ARS, y requerí que los mismos sean imputados a la renovación del dominio MSL37.ORG. Sin embargo, se me informó (lo cual era correcto) que el saldo en mi cuenta corriente era insuficiente para proceder con la renovación, puesto que se requerían 30 ARS. Entonces fui a al “área de cliente” (un panel de control de la cuenta) e intenté hacer, por el mismo medio de pago, otro pago por el importe de 3 ARS. Sin embargo, ésto no me fue posible porque el pago mínimo usando PayPal es de 10 ARS. Al ponerme en contacto con el servicio técnico, se me sugirió que usara otro medio de pago.

El día 26 de febrero hice un pago por los 3 ARS faltantes por transferencia bancaria. Sin embargo no lograban “confirmar el pago.” Por este motivo me puse en contacto telefónicamente en reiteradas ocasiones, sin que se logre resolver la situación. Como me lo sugirieron telefónicamente, además, abrí un ticket en la “mesa de consultas” preguntando “Deseaba saber cuándo estará confirmado el pago que he realizado (transferencia bancaria).”

Hasta aquí no hay ningún problema, salvo el pago sin confirmar. La fecha de expiración del dominio se acercaba (12 de marzo) y yo comenzaba a impacientarme. Lo cierto es que el día 13 de de marzo la situación no se había aún resuelto, y por no haber “confirmado” el pago (que estaba realizado), el dominio ingresó en el AUTORENEWPERIOD y decidieron que yo no lo debía disponer (incluso alterando los servidores de nombres.) Me requirieron que les adjunte el comprobante y les envié un PDF con la imagen. A ese PDF no le encontré ningún defecto (es decir, se veía bien con todos los visores que probé.) Sin embargo ellos sólo veían un simple archivo en blanco. Eso me llevó a que les escriba el siguiente mensaje (el día 16 de marzo):

Como les comunicara hoy telefónicamente, esta situación de idas y venidas se me está tornando perjudicial.

Considerando que yo he cumplimentado con los requisitos necesarios con debida antelación a la fecha de expiración y pese a ello vuestras acciones me han llevado injustamente a padecer las consecuencias de la suspensión del servicio ocasionándome perjuicios, vengo a demandar:
- Se me devuelva la INTEGRIDAD del dinero abonado (un total de pesos 30, distibuídos como sigue: pesos 27 por el medio PayPal y pesos 3 por transferencia bancaria), dentro de los 7 días hábiles en mi cuenta de PayPal (REMOVIDO POR SEGURIDAD).
- Se me proporcione, en el plazo de 24 horas, el código de transferencia activo y funcional correspondiente al nombre de dominio msl37.org.
- Se deje sin valor toda obligación de pago que pudiera tener su origen como consecuencia de vuestra administración del citado nombre de dominio.

Un extracto de la respuesta que recibí el día siguiente fue:

Si no recibimos ayuda de su parte para solucionar este inconveniente, se nos hace imposible verificar la operación de pago efectuada el dia 26/02/09
El dominio ya se encuentra vencido y no es posible transferirlo ahora a otra entidad.

Debo recalcar que yo había enviado ese correo electrónico con el comprobante y previamente había también realizado el pago. Pese a eso, se me llama a colaborar. Por supuesto, el código de transferencia no se me facilitó, aún estando esta práctica prohibida (actualización aquí.)

A eso contesté lo siguiente:

En referencia a lo que dice en su respuesta le paso a decir:
1. Los datos proporcionados en el informe de pago 530499 son correctos y veraces.
2. Se adjuntó en repetidas ocasiones el solicitado comprobante (incluso se le envió a Eliana Pompoño por correo electrónico el día 14 del corriente.)
3. He puesto cuántos medios tuve a mi disposición para que se resuelva el inconveniente, realizando incluso reiterados llamados telefónicos al área de ventas.
4. En cuanto a que "el dominio ya se encuentra vencido y no es posible transferirlo ahora a otra entidad": el dominio se encontraba pago ANTES del vencimiento, y aún así se venció, y más aún, no puedo disponerlo.
5. Las indicaciones dadas sobre la obtención del código de referencia no son funcionales: recibo en cambio un campo en blanco.

Vista la situación actual, voy a verme obligado a recurrir a la oficina de Defensa al Consumidor, dado que Ustedes me están provocando claramente perjuicios, por los cuales me deberán resarcir.

Además, envié por correo electrónico el citado comprobante en diversos formatos de imagen, y luego, recién después de haber confirmado el pago se me dio el código de transferencia y se me rehabilitó el dominio (18 de marzo.)

Por otra parte, quiero recalcar el hecho de que con los servicios de hosting, por otra parte, nunca tuve tales problemas.

Estas acciones por parte de esta empresa les llevaron a perder de venderme seis nuevos dominios que compré este año.

AVISO: Si Usted está decidiendo una compra, le ruego que no se base sólo en este mensaje, ya que mi experiencia podría ser un caso esporádico, y por eso no una situación generalizada.

Continuando con su desarrollo, he logrado incorporar la funcionalidad de gráficos de torta, usando SVG o VML (en el caso de los productos basados en MSHTML.)

Lamentablemente, esta nueva funcionalidad, al no estar basada íntegramente en HTML y CSS no tiene un soporte tan amplio como los gráficos de barra (especialmente en navegadores antiguos.) La excepción por el momento es MSIE, en el que se ve bien en las versiones 5.5, 6 y 7, y sin embargo en la versión 8 no tan bien.

Sin embargo, esa no es la única novedad. Otra característica de esta actualización es que en vez de usar el atributo CSS background-color para el color de las barras, se utiliza el atributo border, lo que trae varias ventajas implícitas, como mayor facilidad para la impresión.

Para concluir, voy a agregar una dirección donde se pueden ver demostraciones en funcionamiento.

El script está disponible en la dirección http://0xj.info/js/graphs.js. Utilizarlo es bastante sencillo.

Lo primero está en crear una instancia del objeto.

var x=_FMchart();

Luego hay que especificar una capa. Puede ser una cadena, o un nodo directamennte.

x.setLayer("IDCapa");
x.setLayer(document.getElementById("stats2"));

Ya se está en condiciones de dar los datos del gráfico.


x.draw(
{title:"Cases of Wereza vs. cases of Routment",
categories: ["Wereza", ["Routment","cc0"]],
proportional:true,
multidimentional:true,
data:{"1999":[10,30],"2000":[15,32],"2001":[30,40],"2002":[50,50],"2003":[150,50]}
});


title

título (descipción)

categories

arreglo con las categorías a las que pertenecen los datos. En el ejemplo, para Wareza estamos usando los colores por defecto y para Routment, el color en hexadecimal #cc0.

proportional

si se define a true, reemplaza los valores absolutos por valores relativos (por ejemplo, 4 en una muestra de 10 se representa como 40%.)

multidimentional

si se define a true establece que la longitud de las barras debe ser propocional entre sí. Si se observa la imagen adjunta, se observa que la última barra del último gráfico es más larga que las demás, porque la muestra era mayor en ese caso; si no se hubiese definido, o su valor hubiera sido false, todas las barras tendrían exactamente la misma longitud.

data

los datos propiamente dichos. Las etiquetas (“1999″, “2000″, etcétera) son necesarias para contrastar datos de distintas muestras.

Para que quede más claro, mostraré el ejemplo del código usado en el primer gráfico.

x.draw(
{title:"Windows RAM requirements across its different versions",
categories: ["Windows 95","Windows 98","Windows ME","Windows 2000","Windows XP","Windows Vista"],
dimensions:{w:"600px"},
data:[8,16,32,32,64,512]
});


Como aquí hay un dato por categoría y se están comparando las categorías entre sí, no es necesario indicar las etiquetas para data.

Otra particularidad que se introduce es el objeto dimensions. En realidad, indica el tamaño del gráfico. Tiene dos miembros: w (para el ancho) y h (para la altura.)

Me parece importante destacar que ha sido probado en los siguientes navegadores:

• MSIE 5.5, 6, 7 y 8 (para Windows)
• Netscape 7 y 9
• Arora 0.7.1
• Mozilla Firefox 0.8, 1.0.8, 1.5.0.12, 2.0.0.20, 3.0 y 3.5
• Konqueror 3.5 y 4.2
• Galeon 2.0.6
• Opera 9.26, 9.63, 9.64 y 10
• Kazehakase 0.5.4
• Epiphany 2.22 y 2.26.3
• K-Meleon 1.1.4
• Flock 2.0.3
• Safari 3.2.1 y 4.0
• Avant 11.7

La ausencia de un navegador de la lista no implica que no funcione correctamente el script. No obstante, según las pruebas que se realizaron se puede afirmar que no lo hace en los navegadores (de nuevo, la lista no es exclusiva):

• MSIE para Windows 5 y versiones anteriores
• Chrome 2 (los gráficos con más de un dato por barra de la prueba se vieron desordenados (las etiquetas no aparecen en el orden en que se proporcionaron))
• Netscape 6 (los gráficos con más de un dato por barra no se ven bien (se ve sólo el primer valor, y además los marcadores aparecen mal posicionados))
• Netscape 4 y versiones anteriores

Continúe leyendo sobre los gráficos de torta.

El nombre es “Your User Agent” y, como es posible deducir, proporciona información sobre el agente de usuario, es decir, cómo se identifica, encabezados HTTP que envía. En la sección de información extendida (actualmente sólo en inglés) ofrece datos valiosos obtenidos usando ECMAScript, tales como versión del plugin de Flash o de Silverlight.

En cuanto a los datos del usuario, en la portada ofrece, además, su dirección IP de salida (la que se empleó para conectarse con el sitio), así como su IP “real” (en el caso de que se haya empleado un proxy, obviamente según sea lo que éste reporte.) Sobre estas direcciones indica el país al que están asignadas.

Sucede que para ecribir esos contenidos en la página actual el método más usado, si se descargó HTML desde el servidor, es empleando la propiedad .innerHTML desde ECMAScript. Esta solución, aunque satisfactoria porque funciona en probablemente todos los navegadores mayoritarios, no se ajusta a los estándares web, todavía.

Lo primero es entender cómo funciona el atributo innerHTML. Lo que hace es pasarle al navegador una cadena de texto conteniendo el código HTML a insertar dentro de un elemento. Aquí radica, precisamente, la versatilidad del atributo.

Me tomó un tiempo lograr algo similar hasta que me topé con la interfaz DOMParser.

Cada día son más comunes en la web las aplicaciones AJAX, es decir, que descargan contenidos dinámicamente desde el servidor.

Sucede que para ecribir esos contenidos en la página actual el método más usado, si se descargó HTML desde el servidor, es empleando la propiedad .innerHTML desde ECMAScript. Esta solución, aunque satisfactoria porque funciona en probablemente todos los navegadores mayoritarios, no se ajusta a los estándares web, todavía.

Por ésto, vengo a proponer una alternativa que puede resolver el problema.

Lo primero es entender cómo funciona el atributo innerHTML. Lo que hace es pasarle al navegador una cadena de texto conteniendo el código HTML a insertar dentro de un elemento. Aquí radica, precisamente, la versatilidad del atributo.

Me tomó un tiempo lograr algo similar hasta que me topé con el objeto DOMParser, que no es soportado por MSIE, pero que se dispone de un ActiveX alternativo, DOMDocument.

Entonces, lo primero es tener una interfaz transparente para usar el método estándar DOMParser o el ActiveX DOMDocument.

function XMLParser() {
var xmlDOM=null;

if (window.DOMParser) {
xmlDOM = new window.DOMParser();
} else if (window.ActiveXObject) {
var progIDs = [ 'Msxml2.DOMDocument.6.0', 'Msxml2.DOMDocument.3.0',
'Msxml.DOMDocument', 'Microsoft.XMLDom' ];

xmlDOM=new Object();
var xmlAX;

for (var i = 0; i < progIDs.length; i++) {
try {
xmlAX = new ActiveXObject(progIDs[i]);
} catch (err) {};
}

xmlDOM.AX=function() {
return xmlAX;
};

xmlDOM.parseFromString=function(s,t) {
xmlAX.loadXML(s);
return xmlAX;
};
}
return xmlDOM;


Luego, donde antes teníamos elemento.innerHTML=texto; se debe poner lo siguiente:
if (typeof texto=="object")
xmlDoc=text;
else {
var DOMParser=XMLParser();
var xmlDoc=DOMParser.parseFromString("<div xmlns='http:\/\/www.w3.org/1999/xhtml'>"+texto+"</div>","application/xml");
}

while (xmlDoc && xmlDoc.hasChildNodes()) {
lay.appendChild(document.importNode(xmlDoc.firstChild, true));
xmlDoc.removeChild(xmlDoc.firstChild);
}

Para que funcione bien en MSIE, además, se debe agregar lo siguiente:
if (!document.ELEMENT_NODE) {
document.ELEMENT_NODE = 1;
document.ATTRIBUTE_NODE = 2;
document.TEXT_NODE = 3;
document.CDATA_SECTION_NODE = 4;
document.ENTITY_REFERENCE_NODE = 5;
document.ENTITY_NODE = 6;
document.PROCESSING_INSTRUCTION_NODE = 7;
document.COMMENT_NODE = 8;
document.DOCUMENT_NODE = 9;
document.DOCUMENT_TYPE_NODE = 10;
document.DOCUMENT_FRAGMENT_NODE = 11;
document.NOTATION_NODE = 12;
}

if (!document._importNode) document._importNode = function(node, allChildren) {
try {   /* find the node type to import */
if (node.nodeName.toLowerCase()=="noscript") return -1;
var attrN,attrVal;
switch (node.nodeType) {
case document.ELEMENT_NODE:
/* create a new element */
var newNode = document.createElement(node.nodeName);
/* does the node have any attributes to add? */
if (node.attributes && node.attributes.length > 0)
/* add all of the attributes */
for (var i = 0, il = node.attributes.length; i < il;i++) {
attrN=node.attributes[i].nodeName||node.attributes[i].name;
attrVal=node.attributes[i].value||(node.getAttribute?node.getAttribute(attrN):0);
if (attrVal && attrVal.length) {
if (attrN.toLowerCase().substr(0,2)!="on") {
switch(attrN.toLowerCase?attrN.toLowerCase():attrN) {
case "class":
newNode.className=attrVal;
break;
case "for":
newNode.htmlFor=attrVal;
break;
default:
if (newNode.setAttribute)
newNode.setAttribute(attrN,attrVal);
break;
}
} else {
addEvent(newNode,attrN.substr(2),new Function(attrVal));
}
}
}
/* are we going after children too, and does the node have any? */
var impRes;
if (allChildren && node.childNodes && node.childNodes.length > 0)

/* recursively get all of the child nodes */
for (var i = 0, il = node.childNodes.length; i < il;) {
impRes=document._importNode(node.childNodes[i++], allChildren);
if (impRes!=-1) newNode.appendChild(impRes);
}
return newNode;
break;
case document.TEXT_NODE:
case document.CDATA_SECTION_NODE:
case document.COMMENT_NODE:
return document.createTextNode(node.nodeValue);
break;
}
} catch(e) {alert("err here");throw e;};
};

if (!document.importNode && document._importNode) document.importNode = document._importNode;

Crédito por buena parte del último fragmento de código a A List Apart.