Archivos Software Libre: Noviembre 2007

La seguridad de Wordpress, algunas reflexiones

Por Eduardo Diaz el 20 de Noviembre 2007 8:10 PM | | Comentarios (0) | TrackBacks (0)

La vulnerabilidades de Wordpress demuestran lo dicho por Ben Laurie, Director de Seguridad de la Apache Foundation:

"... me parece bastante claro que el argumento de los "muchos ojos", cuando se aplica a la segurida no es cierto" [1].

Laurie hace una crítica a la llamada Ley de Linus, formulada por Eryc Raymond en su famoso ensayo, La Catedral y el Bazar".
La Ley de Linus dice:

"Dados muchos ojos, todos los errores serán obvios".

Pues bien, desde la versión 1.5 que Wordpress almacena las claves de los usuarios aplicándoles un hash MD5, así directamente, y sin hecharle un poco de sal! ;)

Pero además el manejo de sesiones es bastante malo, las cookies no expiran, y contienen toda la información para poder realizar un session-hijacking.

Con poco esfuerzo es posible ingresar como administrador a cualquier instalación de WordPress. Además descubrir las claves también es sencillo, porque usan MD5, a pesar de que hace rato que decimos que es un algoritmo que deberia abandonarse para estos usos.

Todo estos problemas en Wordpres se saben hace tiempo, o al menos deberían saberse, puesto que cualquiera puede ver el código. Sin embargo no se han corregido.
Probablemente corregir todos los problemas de seguridad que tiene Wordpress en estos momentos puede ser un trabajo de envergadura.

¿Donde está la sabiduría de la comunidad? ¿La inteligencia colectiva? ¿Donde están todos esos ojos que hacen que los errores sean evidentes?

Es un problema de proporción entre usadores versus creadores, como siempre pasa en todo lo relacionado con el software libre y la (mal llamada) "cultura libre".

La cantidad de usuarios (usadores) es enorme frente a la cantidad de desarrolladores (creadores), pero de estos últimos los que tienen los conocimientos necesarios para crear código de calidad (los verdaderos artistas) son aún menos.

Los buenos desarrolladores no sólo son pocos, sino que sus servicios son altamente requeridos, y por lo tanto están ocupados trabajando en proyectos que les generan lucrativos ingresos.

Los proyectos de software libre de calidad, con un buen nivel de seguridad y estabilidad son aquellos en que hay un mecanismo que financia el tiempo de un grupo de desarrolladores que contribuyen activamente al proyecto

El resto de los proyecto no garantizan, por el sólo hecho de publicar su código, ni la calidad, ni menos la seguridad de las aplicaciones.

La seguridad es dificil, requiere dedicación, tiempo, recursos.

¿Puede el software libre garantizar calidad y seguridad?

Yo creo que sí, como cualquier producto, pero debemos empezar por derribar algunos mitos, y cierta arrogancia por parte de la comunidad que promueve el uso del software libre (no confundir con la comunidad que desarrolla software libre).

Argumentos como el de la Ley de Linus no sólo deben ser reexaminados, sino que deberían ser desterrados de las discusiones sobre estos asuntos, porque son argumentos incorrectos, por no decir falaces y voluntaristas. Puro wishful thinking.

La seguridad de un producto no depende de si el software es abierto o no, depende de la calidad del equipo que desarrolla.

[1] ver OK, es un aviso de Microsoft, pero hasta donde sé el señor Laurie no ha desmentido lo dicho. La cita completa en inglés es:
"Although it's still often used as an argument, it seems quite clear to me that the "many eyes" argument, when applied to security, is not true." -- Ben Laurie, Director of Security, Apache Foundation

SimCity para el OLPC

Por Eduardo Diaz el 8 de Noviembre 2007 8:26 PM | | Comentarios (0) | TrackBacks (0)

Electronic Arts ha decidido donar versión original ("clásica[") de SimCity al proyecto One Laptop Por Niño.

1989_simcity_large.jpg

John Gilmore se encargó de registrar el proyecto debidamente y solicitar un repositorio GIT para el mismo., el aviso salió publicado hoy hace un par de horas en la lista de desarrollo del OLPC

El SimCity para el OLPC llevará el nombre de Micrópolis, que era el nombre original del juego. Por supuesto el objetivo es convertir el programa original en un script python que se integre con la interfaz Sugar. El juego será liberado bajo licencia GNU GPL.

Como un viejo fan del juego esta noticia me parece extraordinaria, claro que me gustaría más que fuera una de las versiones más modernas del juego, pero de todas maneras las ventajas educativas de este juego son extraordinarias, de hecho debería ser obligación que nuestras autoridades lo jugaran ;)

« Software Libre: Agosto 2007 | Índice principal | Archivos | Software Libre: Enero 2008 »

Sobre este archivo

Esta página es un archivo de las entradas en la categoría Software Libre de Noviembre 2007.

Software Libre: Agosto 2007 es el archivo anterior.

Software Libre: Enero 2008 es el siguiente archivo.

Encontrará los contenidos recientes en la página principal. Consulte los archivos para ver todos los contenidos.

Software Libre: Noviembre 2007: Archivos mensuales

Suscribirse a la fuente de sindicación Suscribirse a este blog (Feed Burner)

Technorati

Technorati search

» Blogs que enlazan aquí

Creative Commons License
Este weblog está licenciado bajo una Licencia Creative Commons.

BloGalaxia website stats
Google