A raíz del meneo sobre la entrada del blog de David "Yo sí estoy a favor del colegio de informáticos" y los comentarios vertidos en él "Yo si estoy a favor del Colegio"
Yo creo que en 705 commits, he aprendido lo que es un software de control de versiones, no?
Pero vaya, no me asombra en absoluto que alguien que apoya el colegio de ingenieros, no sea capaz de comprender que yo, que soy un intruso, sepa lo que es CVS, SVN, GIT y similares.
2. Presupone que no se como se reporta un agujero de seguridad.
Bueno, yo le diría al autor del artículo que la política que el promueve (full disclossure) no es ni por asomo obligatoria, y seguir los pasos que el propone, es considerado "buenas maneras", supongo que son esas buenas maneras de actuar las que el propone cuando crea un artículo solo para insultarme a mi y a galli.
Sin embargo, y aunque su mente pro-colegios no lo puede entender, yo ya he reportado en el pasado bastantes agujeros de seguridad, como este:
y se perfectamente cual es el camino a seguir (o los caminos) se lo que es un mantenedor y se como contactar con el.
Sin embargo, en el post se olvida mencionar que el CVS OFICIAL del proyecto, está desactualizado, esto es un error grave, pues la propia definición de "cvs del proyecto" le indica a mi, y a cualquiera, que esa es la copia sobre la que se trabaja (se pueden consultar los cvs/svn de cualquier proyecto libre para ver que es así).
Todos los auditores de seguridad que analicen el proyecto, no van a escribirte un correo pidiéndote nada, van a ir al cvs/svn, bajarse el código y leerselo, sin embargo, yo no voy a insultar a orcero por su ignorancia en todo lo que rodea a la auditoria de seguridad.
Por ultimo, continua haciendo juicios de valor (yo nunca he hablado con este hombre) sobre mi edad, sobre si entiendo o no el proyecto, sobre mis conocimientos y sobre mi forma de ser (increible!), en fin, que me conoce mas que mi madre, y en mi vida hemos hablado:
Supongamos que con la emoción de un chaval de 20 años que ha encontrado un error de seguridad en un paquete con una complejidad que no entiende, queremos dar un parte de seguridad por el problema. ¿Que hacemos?
increíble.
Al final, una discusión sobre un código y su seguridad, ha llevado a que un profesor de universidad, adulto, teóricamente serio y profesional, escriba un apunte en su blog para insultar a un chico de 20 año que ni conoce.
¿Es este el tipo de gente que apoya los colegios? ¿Se basan en estos prejuicios para crear su opinión entorno a los colegios?
Yo dejo esas dos preguntas en el aire.
P.D. Debido a que orcero no sabe como funciona securityfocus, se lo voy a aclarar (todos los días se aprende algo (tm)):
1. tu envías un advisory sobre el problema (aviso)
2. lo lee la comunidad
3. el personal de securotyfocus redacta el articulo sobre el bug y lo clasífica.
entonces por que me reclamas a mi que el bug ha sido calificado como remoto, en lugar de local? a mi que me cuentas? eso no lo redacta el auditor, lo redacta SECURITYFOCUS. (doh!)
Acerca del enlace a la respuesta en securityfocus:
Ese mensaje es totalmente falso y está puesto por alguna marioneta (alumno?) de orcero.
¿Por que?
Por que la API vulnerable no se overflowea con los archivos EXISTENTES en /proc, sino que se overflowea cuando PIDES un archivo arbitrario de proc, desde el user space.
No es lo mismo, esto significa que yo puedo pedir: /proc/AAAAAAAAA....x2000...AAAAAAAA y se overfloweara igual.
Pero que importa? es mejor poner un post en tu blog, lleno de mentiras y prejuicios, insultando y desprestigiando a los demás sin argumentos. Eso es lo bonito del software libre.
Pero claro, 13814 personas (mas todas las que usen versiones anteriores, que son muchísimos miles mas) no son nada para orcero, por que resulta, que el tiene una versión especial, que NO está publicada en la web oficial del proyecto, y que no es vulnerable, por lo cual, para el, ya no existe problema alguno.
increíble a mas no poder.
P.D. No se si es por que no estoy en mi sistema habitual y aquí hay algo mal, pero:
Su versión especial y no publicada en el sitio oficial (la cual he tenido que buscar, sabiendo que existe de antemano, para encontrarla), no me extrae, me da error al extraerlo.
P.D. 2: Clase de configuración de php para orcero:
display_errors a off, cuando estés en producción, esos path disclossures unidos a algunos bugs que permiten usar load_file de mysql mediante injections (y que algunos de los viejos blogs que alojas, son vulnerables) son muy peligrosos.
#26:
EN primer lugar este señor no me contesta para nada a lo que escribí:
1. Me insultó sin que venga a cuento.
2. Defiende a los colegios y contra el intrusismos porque dice que hace daño, sin embargo:
a) Programa peor que mi hija.
b) Dice barbaridades de optimizadores e intenta justificar su pésimo estilo.
c) No tiene idea de seguridad ni como funciona security focus (ya lo han explicado arriba)
d) El día que me demuestren que:
x + 1 + 1 + 1 + 1 es mejor, más óptimo y más claro que poner x + 4
o que escribir como:
no-hace-faltan.frases.ni.separacion ni respetar. espacios_ni_estructuras---porque-soy.así.de-bueno.como-escritor...y..deberíamos.tener-colegios-de-escritores-paraevitar-eldaño.q.u.e-hacen a la profesión
sea merecedor de un premio literario, me empezaré a tomar en serio a la defensa del colegio o la profesión que hace este señor.
Es patético. Y los que todavía no se han dado cuenta de tantas falacias deberían aprender un poco de programación, ingeniería del software, ciencias de la computación, y de paso un poco de lógica.
#30:
> Otra cosa es que pienses que ese razonamiento tiene fallos, que en ese caso, y como novato en esto de las optimizaciones, me gustaría que expusieras.
Pero aunque hayas encontrado que el compilador optimiza eso NO es justificación.
Regla básica del buen programador (también regla básica de la ingeniería del software)
Los lenguajes de alto nivel se diseñan para las personas, no para los optimizadores o la CPU, éstas siguen usando código binario.
El que pretenda justificar su espagueti de código, o su total desconocimiento de aritmética de punteros básicas, o las reglas mínimas de estilo de programación en presuntas optimizaciones de compiladores es que no tiene idea de programación, mucho menos de "ingeniería". Si además se justifica pretendiendo que sabe más que otros, no tiene precio.
Si además lo atacando al "intrusismo" por la mala calidad de software de lo "intrusos", es para llorar.
¿Es que todavía hay que seguir explicando lo absurdo de los argumentos?
#21:
#19 el problema es que orcero defiende la privatización de la informática, creando colegios de ingenieros que regulen quien es informático y quien no, y poco después de eso, alguien no-informático (según el) le saca un error grave (que el no quiere aceptar como grave, pero que cualquiera con un minimo de conocimientos de seguridad, puede verlo).
El principal argumento de los colegios es la calidad del código y la fiabilidad de los productos de software, argumentan que contra mas certificación, mas seguridad. Aquí se ha demostrado lo contrario y por eso, se le ha reprochado.
No tiene mucho que ver con el software libre todo esto.
Yo creo que en 705 commits, he aprendido lo que es un software de control de versiones, no?
Pero vaya, no me asombra en absoluto que alguien que apoya el colegio de ingenieros, no sea capaz de comprender que yo, que soy un intruso, sepa lo que es CVS, SVN, GIT y similares.
2. Presupone que no se como se reporta un agujero de seguridad.
Bueno, yo le diría al autor del artículo que la política que el promueve (full disclossure) no es ni por asomo obligatoria, y seguir los pasos que el propone, es considerado "buenas maneras", supongo que son esas buenas maneras de actuar las que el propone cuando crea un artículo solo para insultarme a mi y a galli.
Sin embargo, y aunque su mente pro-colegios no lo puede entender, yo ya he reportado en el pasado bastantes agujeros de seguridad, como este:
y se perfectamente cual es el camino a seguir (o los caminos) se lo que es un mantenedor y se como contactar con el.
Sin embargo, en el post se olvida mencionar que el CVS OFICIAL del proyecto, está desactualizado, esto es un error grave, pues la propia definición de "cvs del proyecto" le indica a mi, y a cualquiera, que esa es la copia sobre la que se trabaja (se pueden consultar los cvs/svn de cualquier proyecto libre para ver que es así).
Todos los auditores de seguridad que analicen el proyecto, no van a escribirte un correo pidiéndote nada, van a ir al cvs/svn, bajarse el código y leerselo, sin embargo, yo no voy a insultar a orcero por su ignorancia en todo lo que rodea a la auditoria de seguridad.
Por ultimo, continua haciendo juicios de valor (yo nunca he hablado con este hombre) sobre mi edad, sobre si entiendo o no el proyecto, sobre mis conocimientos y sobre mi forma de ser (increible!), en fin, que me conoce mas que mi madre, y en mi vida hemos hablado:
Supongamos que con la emoción de un chaval de 20 años que ha encontrado un error de seguridad en un paquete con una complejidad que no entiende, queremos dar un parte de seguridad por el problema. ¿Que hacemos?
increíble.
Al final, una discusión sobre un código y su seguridad, ha llevado a que un profesor de universidad, adulto, teóricamente serio y profesional, escriba un apunte en su blog para insultar a un chico de 20 año que ni conoce.
¿Es este el tipo de gente que apoya los colegios? ¿Se basan en estos prejuicios para crear su opinión entorno a los colegios?
Yo dejo esas dos preguntas en el aire.
P.D. Debido a que orcero no sabe como funciona securityfocus, se lo voy a aclarar (todos los días se aprende algo (tm)):
1. tu envías un advisory sobre el problema (aviso)
2. lo lee la comunidad
3. el personal de securotyfocus redacta el articulo sobre el bug y lo clasífica.
entonces por que me reclamas a mi que el bug ha sido calificado como remoto, en lugar de local? a mi que me cuentas? eso no lo redacta el auditor, lo redacta SECURITYFOCUS. (doh!)
Acerca del enlace a la respuesta en securityfocus:
Ese mensaje es totalmente falso y está puesto por alguna marioneta (alumno?) de orcero.
¿Por que?
Por que la API vulnerable no se overflowea con los archivos EXISTENTES en /proc, sino que se overflowea cuando PIDES un archivo arbitrario de proc, desde el user space.
No es lo mismo, esto significa que yo puedo pedir: /proc/AAAAAAAAA....x2000...AAAAAAAA y se overfloweara igual.
Pero que importa? es mejor poner un post en tu blog, lleno de mentiras y prejuicios, insultando y desprestigiando a los demás sin argumentos. Eso es lo bonito del software libre.
Pero claro, 13814 personas (mas todas las que usen versiones anteriores, que son muchísimos miles mas) no son nada para orcero, por que resulta, que el tiene una versión especial, que NO está publicada en la web oficial del proyecto, y que no es vulnerable, por lo cual, para el, ya no existe problema alguno.
increíble a mas no poder.
P.D. No se si es por que no estoy en mi sistema habitual y aquí hay algo mal, pero:
Su versión especial y no publicada en el sitio oficial (la cual he tenido que buscar, sabiendo que existe de antemano, para encontrarla), no me extrae, me da error al extraerlo.
P.D. 2: Clase de configuración de php para orcero:
display_errors a off, cuando estés en producción, esos path disclossures unidos a algunos bugs que permiten usar load_file de mysql mediante injections (y que algunos de los viejos blogs que alojas, son vulnerables) son muy peligrosos.
EN primer lugar este señor no me contesta para nada a lo que escribí:
1. Me insultó sin que venga a cuento.
2. Defiende a los colegios y contra el intrusismos porque dice que hace daño, sin embargo:
a) Programa peor que mi hija.
b) Dice barbaridades de optimizadores e intenta justificar su pésimo estilo.
c) No tiene idea de seguridad ni como funciona security focus (ya lo han explicado arriba)
d) El día que me demuestren que:
x + 1 + 1 + 1 + 1 es mejor, más óptimo y más claro que poner x + 4
o que escribir como:
no-hace-faltan.frases.ni.separacion ni respetar. espacios_ni_estructuras---porque-soy.así.de-bueno.como-escritor...y..deberíamos.tener-colegios-de-escritores-paraevitar-eldaño.q.u.e-hacen a la profesión
sea merecedor de un premio literario, me empezaré a tomar en serio a la defensa del colegio o la profesión que hace este señor.
Es patético. Y los que todavía no se han dado cuenta de tantas falacias deberían aprender un poco de programación, ingeniería del software, ciencias de la computación, y de paso un poco de lógica.
#19 el problema es que orcero defiende la privatización de la informática, creando colegios de ingenieros que regulen quien es informático y quien no, y poco después de eso, alguien no-informático (según el) le saca un error grave (que el no quiere aceptar como grave, pero que cualquiera con un minimo de conocimientos de seguridad, puede verlo).
El principal argumento de los colegios es la calidad del código y la fiabilidad de los productos de software, argumentan que contra mas certificación, mas seguridad. Aquí se ha demostrado lo contrario y por eso, se le ha reprochado.
No tiene mucho que ver con el software libre todo esto.
> Otra cosa es que pienses que ese razonamiento tiene fallos, que en ese caso, y como novato en esto de las optimizaciones, me gustaría que expusieras.
Pero aunque hayas encontrado que el compilador optimiza eso NO es justificación.
Regla básica del buen programador (también regla básica de la ingeniería del software)
Los lenguajes de alto nivel se diseñan para las personas, no para los optimizadores o la CPU, éstas siguen usando código binario.
El que pretenda justificar su espagueti de código, o su total desconocimiento de aritmética de punteros básicas, o las reglas mínimas de estilo de programación en presuntas optimizaciones de compiladores es que no tiene idea de programación, mucho menos de "ingeniería". Si además se justifica pretendiendo que sabe más que otros, no tiene precio.
Si además lo atacando al "intrusismo" por la mala calidad de software de lo "intrusos", es para llorar.
¿Es que todavía hay que seguir explicando lo absurdo de los argumentos?
#13
paso de entrar esta dinámica, así que solo contestaré esa pregunta.
> Supongamos que con la emoción de un chaval de 20 años que ha encontrado un error de seguridad en un paquete con una complejidad que no entiende, queremos dar un parte de seguridad por el problema.
Luego explica un montón de cosas de "lo que hay que hacer", cosas que vemos que jcarlosn ya hizo, su report está en la mailing adecuada.
> Además, por no consultar puede ocurrir que te saquen los colores en la propia lista de seguridad.
El link que da es http://www.securityfocus.com/archive/1/490715 así que:
- se ha equivocado de link, puesto que ahí no sacan los colores a nadie
- no entiende el inglés, y no ha entendido lo que pone
- lo ha entendido, pero quiere engañar al lector
Sobre ricardo:
Sí, para él, poner un punto y coma de más es un error grave, y la tabulación muy grave
Salieron varios fallos serios. Se criticó que se asigna la autoría del programa, cuando no hubo indicios más que de unos pocos parches de dudosa calidad. El estilo no es lo más importante, ¿por que se "defiende" del estilo y no dice nada de lo demás?
En post anteriores lo llamaba "Chikilicuatre" de la informática, incluso con un tufillo a xenofobia.
En el blog de Ricardo estuvo trolleando con varios nicks, desde la misma IP, hasta que hubo que cerrar comentarios.
Y la gilipollez más grande:
> Hace una semana pensaba que Ricardo Galli tiraba piedras contra el tejado de la Ingeniería Informática. Ahora creo que las tira contra la Ingeniería Informática, contra mi profesión, y además contra el software libre.
¿Dónde están los argumentos a favor de un Colegio de informáticos? Yo no veo más que insultos, insinuaciones, y enredarlo todo.
Se quiso hacer la falacia "ad baculum", dando valor al argumento "porque lo dice un señor que ha hecho mucho software libre". Se demostró que eso es una falacia. Y la solución, ¿huir hacia delante, insultando a quien se ponga en medio? Su odio contra Ricardo lo puedo entender, pero meterse con jcarlosn que ha sido muy "aséptico" en el tema...
Llorica
#27 No te preocupes si no tienes idea, es normal que uno que no sea programador no la tenga. Lo que no es normal que vayan tan chulos por allí "yo lo valgo y los demás no" sin siquiera respetar las normas técnicas básicas y fundamentales de lo que dices dominar.
#31 te voy a dar mi explicación lógica (que tanto pides):
No puedes escribir código pensando en el código máquina que va a generar el compilador, como bien ha dicho galli, en los lenguajes de alto nivel, se programa pensando en las personas, y no en el código subyacente que será generando por el compilador.
¿Pero por que?
Por que distintos compiladores de Ansi C y distintas versiones del mismo compilador, generan distinto código máquina.
¿Esto que significa?
Que tu código estrambótico para optimizar, puede ser negativo en otra versión de GCC o en otro compilador ansi C.
¿Entonces, que podemos hacer?
Entender la lógica que hay por debajo del lenguaje C, y programar con ello, de una forma estructurada que facilite el mantenimiento del proyecto sin afectar negativamente a la escalabilidad.
#33 el problema para empezar una discusión lógica como la que propones, es que Orcero en su artículo me falta al respeto a mi, y también a gallir, por lo que no veo la necesidad de explicar nada mas. Ha creado un artículo agresivo faltando al respeto a varias personas, y ahora hay quien reclama una discusión lógica.
#9 Hombre, me tomé la molestia de leerlo y mucho no los insulta... Solo menciona con que jcarlosn tiene 20 años, y Galli es un blogger conocido. Aunque igual tiene algo de doble intencion
He avisado a jcarlosn para que pase a insultarte, pero está ocupado (y preocupado) por un fallo masivo de seguridad que ha encontrado en la web de cierta compañía de telefonía movil (no voy a dar detalles).
#26
No es por ponerme a favor de unos o de otros, pero por lo menos a lo de:
"El día que me demuestren que:
x + 1 + 1 + 1 + 1 es mejor, más óptimo y más claro que poner x + 4 "
ha contestado en la entrada con
"Supongamos que no nos fiamos y desconocemos los rudimentos de la optimización en este tipo de programas. En ese caso, pedimos pruebas de que esto es así. Al desarrollador de software libre hasta le hace gracia que se lo pidamos -puesto que es un clásico de las optimizaciones-, y nos manda un código en C:
Pues quitando las chorradas estilo: Está marcado con un circulo y unas flechitas por si algún chaval de 20 años o algún blogero influyente de la A-list tienen problemas en encontrarlo y esa sensación de que anda escocido por algo que le han hecho público, el resto del post me parece al menos interesante.
Pues a mi me parece una buena respuesta a un mal comentario (o critica que hizo gallir). El post de gallir me pareció un ataque ad-hominem en toda regla basándose en el código a su entender erróneo.
Pero vamos, que me da bastante igual que estos dos se discutan y peleen...
BTW, recomiendo leer los comentarios de un tal "Empresario anónimo", risas aseguradas
Si hubieses dedicado la mitad del tiempo que has dedicado a la promoción del software libre a desarrollar software normal, tendrías mucho más prestigio del que tienes.
#29 Exactamente, yo no digo quien tiene razón ni quien no la tiene, solo digo que los argumentos deberían exponerse de forma lógica para llegar a desnudar esa cosa tan inaprensible como la verdad. Tal vez este Orcero sea un inútil programando, pero Galli no me va a convencer de ello respondiendo al argumento de Orcero, pero ocultando la parte en la que el propio Orcero argumenta su enunciado. Galli pide lógica al final de su post #26, pero su línea argumental no tiene lógica, ya que solo cita ciertas partes del texto de Orcero, ignorando otras:
AFIRMACION ORCERO: escribir 4+1+1+1+1=7 en lugar de 4+3=7 no tiene sentido, así que debe haber un motivo oculto. Investigo, y resulta que lo hicieron con la intención de que máquinas antiguas fuesen más rápidas. Compruebo que es así, y por tanto lo doy por bueno.
RESPUESTA GALLI: escribir 4+1+1+1+1=7 en lugar de 4+3=7 no tiene sentido, y como Orcero lo da por bueno, Orcero es gilipollas (omitiendo todo el resto de la argumentación de su rival).
Que se me entienda, por favor: ni siquiera me atrevería a opinar quien lleva razón sobre un tema del que no tengo ni puta idea. Pero sí puedo opinar sobre la estructura lógica de la argumentación de cada parte. Tal vez la postura de Orcero sea un disparate, y programe peor que la hija de Galli, pero Galli me convencerá cuando me explique por qué no es cierto que escribir 4+1+1+1=7 hace más rápidas máquinas antiguas, en lugar ignorar esa parte de la argumentación de Orcero en su respuesta.
#15 Pero todo eso que citas (comentarios sobre puntos y comas, un link equivocado) ¿son insultos? Sí que pones el listón alto.
Y no estoy comentando lo que hiciera en otros posts, u otros blogs, que ni siquiera he leído (aunque a ti te parezca aceptable basar la opinión sobre este post en algo que no pertenece a este post).
DZPM, entiéndeme, no tengo ni el menor interés en defender a alguien de cuya existencia me he enterado hoy. Mis comentarios aquí son más bien un intento de defender la objetividad, que consiste en comentar las cosas como son, y realmente no estás comentando este post según su contenido sino sino según la imagen que ya tenías anteriormente de su autor.
Pues yo no es por posicionarme, pero yo acabo de hacer la prueba compilando un pequeño programa en C, y el tiempo de ejecución es mayor (tarda más) haciendo x + 1 + 1 + 1 + 1 que haciendo x + 4 (con 1000000000 iteraciones hay casi 5.5 segundos de diferencia)...
#26 amigo perl... parece irrefutable. Lo que pasa es que no tengo ni puñetera idea de las cosas esas que hablas. Pero las dices de una forma que parecen irrefutables del todo.
Yo, ajeno del mundo friki del programador, después de leer el enlace saco como conclusión que Orcero colabora con el software libre y Gallir le echa mierda encima porque había un bug y lo descubrió una tercera persona.
En caso de ser así ¿Tanto pregonar los beneficios del software libre porque cualquiera puede ver los bugs para corregirlos y cuando pasa ésto alguien se aprovecha de ello para atacar al que lo programó?
Si no es así que alguien me corrija, ya digo que es lo que entiendo yo siendo ajeno al mundillo.
#36 creo que el ejemplo de x + 1 + 1 + 1 + 1 y x + 4 era puramente ilustrativo de que ambos cómputos son equivalentes y correctos; no era para hablar sobre la eficiencia de los cálculos.
de todos modos, sobre lo de que es el compilador el que tiene que optimizar y todo eso está muy bien, pero supongo que a estas alturas todos sabemos que la mayoría de compiladores (sobre todo de C) sólo son capaces de hacer las optimizaciones más triviales y que es precisamente C un lenguaje que no se caracteriza por primar el código elegante, sino que fuerza al programador a gestionar la memoria y a hacer todas las burradas que pueda y quiera.
para hacer código elegante hay otros lenguajes más adecuados (a lo mejor se podría empezar debatiendo sobre si C era el lenguaje más apropiado para el proyecto en cuestión y luego ya uno se podría meter con líneas en concreto)
#9 Hay que ser parcial siempre. Cita por favor la parte del artículo meneado que te parece un insulto. A mí me parece un artículo bastante bien argumentado y escrito en tono respetuoso.
#36 Bueno creo que tienes que tener en cuenta parámetros del compilador gcc para máquinas lentas, y no sé si algo más. En el post de Orcero vienen los detalles.
Ese argumento que dáis desde un punto de vista teórico sobre buena programación está muy bien, pero desde un punto de vista práctico, si tal como dice Orcero, la diferencia se nota en ordenadores lentos, pues tampoco lo veo tan grave, ni que esta optimización en concreto vaya a dificultar tanto el mantenimiento del proyecto.
Las reglas de buena programación no son inamovibles y cada proyecto tiene sus peculiaridades, y una de esas peculiaridades puede ser que convenga sacrificar un poco la mantenibilidad o el buen estilo a cambio de un mejor rendimiento.
Repito que estoy hablando de este caso en concreto.
La mitad de las críticas que le haceis a Orcero no tienen razón de ser. Me hablais que C es para humanos y blablabla, que si el estilo y que nosecuantos, y luego le criticais por poner paréntesis de más en una expresión booleana, que es la cosa más normal del mundo, precisamente por la legibilidad que tanto pedís. Y así con todo.
Comentarios
No hay por donde coger el artículo, pues está lleno de prejuicios típicos de alguien que apoya el colegio de ingenieros:
1. Presupone que no se lo que es cvs, pero trabajo a diario con svn (mucho mas moderno) y git (aun mas moderno):
http://www.ohloh.net/accounts/13233
Main Developer at eyeOS
705 commits
Yo creo que en 705 commits, he aprendido lo que es un software de control de versiones, no?
Pero vaya, no me asombra en absoluto que alguien que apoya el colegio de ingenieros, no sea capaz de comprender que yo, que soy un intruso, sepa lo que es CVS, SVN, GIT y similares.
2. Presupone que no se como se reporta un agujero de seguridad.
Bueno, yo le diría al autor del artículo que la política que el promueve (full disclossure) no es ni por asomo obligatoria, y seguir los pasos que el propone, es considerado "buenas maneras", supongo que son esas buenas maneras de actuar las que el propone cuando crea un artículo solo para insultarme a mi y a galli.
Sin embargo, y aunque su mente pro-colegios no lo puede entender, yo ya he reportado en el pasado bastantes agujeros de seguridad, como este:
http://securityvulns.com/Odocument766.html
y se perfectamente cual es el camino a seguir (o los caminos) se lo que es un mantenedor y se como contactar con el.
Sin embargo, en el post se olvida mencionar que el CVS OFICIAL del proyecto, está desactualizado, esto es un error grave, pues la propia definición de "cvs del proyecto" le indica a mi, y a cualquiera, que esa es la copia sobre la que se trabaja (se pueden consultar los cvs/svn de cualquier proyecto libre para ver que es así).
Todos los auditores de seguridad que analicen el proyecto, no van a escribirte un correo pidiéndote nada, van a ir al cvs/svn, bajarse el código y leerselo, sin embargo, yo no voy a insultar a orcero por su ignorancia en todo lo que rodea a la auditoria de seguridad.
Por ultimo, continua haciendo juicios de valor (yo nunca he hablado con este hombre) sobre mi edad, sobre si entiendo o no el proyecto, sobre mis conocimientos y sobre mi forma de ser (increible!), en fin, que me conoce mas que mi madre, y en mi vida hemos hablado:
Supongamos que con la emoción de un chaval de 20 años que ha encontrado un error de seguridad en un paquete con una complejidad que no entiende, queremos dar un parte de seguridad por el problema. ¿Que hacemos?
increíble.
Al final, una discusión sobre un código y su seguridad, ha llevado a que un profesor de universidad, adulto, teóricamente serio y profesional, escriba un apunte en su blog para insultar a un chico de 20 año que ni conoce.
¿Es este el tipo de gente que apoya los colegios? ¿Se basan en estos prejuicios para crear su opinión entorno a los colegios?
Yo dejo esas dos preguntas en el aire.
P.D. Debido a que orcero no sabe como funciona securityfocus, se lo voy a aclarar (todos los días se aprende algo (tm)):
1. tu envías un advisory sobre el problema (aviso)
2. lo lee la comunidad
3. el personal de securotyfocus redacta el articulo sobre el bug y lo clasífica.
entonces por que me reclamas a mi que el bug ha sido calificado como remoto, en lugar de local? a mi que me cuentas? eso no lo redacta el auditor, lo redacta SECURITYFOCUS. (doh!)
Acerca del enlace a la respuesta en securityfocus:
http://www.securityfocus.com/archive/1/490715
Ese mensaje es totalmente falso y está puesto por alguna marioneta (alumno?) de orcero.
¿Por que?
Por que la API vulnerable no se overflowea con los archivos EXISTENTES en /proc, sino que se overflowea cuando PIDES un archivo arbitrario de proc, desde el user space.
No es lo mismo, esto significa que yo puedo pedir: /proc/AAAAAAAAA....x2000...AAAAAAAA y se overfloweara igual.
Pero que importa? es mejor poner un post en tu blog, lleno de mentiras y prejuicios, insultando y desprestigiando a los demás sin argumentos. Eso es lo bonito del software libre.
Por cierto, casi lo olvido:
http://sourceforge.net/project/showfiles.php?group_id=46729&package_id=39627
La versión colgada en sourceforge (página oficial del proyecto) como "actual" es VULNERABLE.
Esto ya es difícil de defender
Orcero puede decir misa, pero la gente lo que hace es ir a sourceforge (página OFICIAL) y bajárselo, y como consecuencia, ser vulnerables.
openmosix-tools-0.3.6-2.tar.gz Mirror 515181 13814 i386 .gz
Pero claro, 13814 personas (mas todas las que usen versiones anteriores, que son muchísimos miles mas) no son nada para orcero, por que resulta, que el tiene una versión especial, que NO está publicada en la web oficial del proyecto, y que no es vulnerable, por lo cual, para el, ya no existe problema alguno.
increíble a mas no poder.
P.D. No se si es por que no estoy en mi sistema habitual y aquí hay algo mal, pero:
http://www.orcero.org/irbis/openmosix/OpenMosixUserland-0.5.1.tgz
Su versión especial y no publicada en el sitio oficial (la cual he tenido que buscar, sabiendo que existe de antemano, para encontrarla), no me extrae, me da error al extraerlo.
P.D. 2: Clase de configuración de php para orcero:
http://www.orcero.org/irbis/blog/wp-content/plugins/hello.php
display_errors a off, cuando estés en producción, esos path disclossures unidos a algunos bugs que permiten usar load_file de mysql mediante injections (y que algunos de los viejos blogs que alojas, son vulnerables) son muy peligrosos.
EN primer lugar este señor no me contesta para nada a lo que escribí:
1. Me insultó sin que venga a cuento.
2. Defiende a los colegios y contra el intrusismos porque dice que hace daño, sin embargo:
a) Programa peor que mi hija.
b) Dice barbaridades de optimizadores e intenta justificar su pésimo estilo.
c) No tiene idea de seguridad ni como funciona security focus (ya lo han explicado arriba)
d) El día que me demuestren que:
x + 1 + 1 + 1 + 1 es mejor, más óptimo y más claro que poner x + 4
o que escribir como:
no-hace-faltan.frases.ni.separacion ni respetar. espacios_ni_estructuras---porque-soy.así.de-bueno.como-escritor...y..deberíamos.tener-colegios-de-escritores-paraevitar-eldaño.q.u.e-hacen a la profesión
sea merecedor de un premio literario, me empezaré a tomar en serio a la defensa del colegio o la profesión que hace este señor.
Es patético. Y los que todavía no se han dado cuenta de tantas falacias deberían aprender un poco de programación, ingeniería del software, ciencias de la computación, y de paso un poco de lógica.
#19 el problema es que orcero defiende la privatización de la informática, creando colegios de ingenieros que regulen quien es informático y quien no, y poco después de eso, alguien no-informático (según el) le saca un error grave (que el no quiere aceptar como grave, pero que cualquiera con un minimo de conocimientos de seguridad, puede verlo).
El principal argumento de los colegios es la calidad del código y la fiabilidad de los productos de software, argumentan que contra mas certificación, mas seguridad. Aquí se ha demostrado lo contrario y por eso, se le ha reprochado.
No tiene mucho que ver con el software libre todo esto.
> Otra cosa es que pienses que ese razonamiento tiene fallos, que en ese caso, y como novato en esto de las optimizaciones, me gustaría que expusieras.
Ya está expuesto y probado en el comentario #2 de http://gallir.wordpress.com/2008/04/08/colega-lets-see-the-code/
Pero aunque hayas encontrado que el compilador optimiza eso NO es justificación.
Regla básica del buen programador (también regla básica de la ingeniería del software)
Los lenguajes de alto nivel se diseñan para las personas, no para los optimizadores o la CPU, éstas siguen usando código binario.
El que pretenda justificar su espagueti de código, o su total desconocimiento de aritmética de punteros básicas, o las reglas mínimas de estilo de programación en presuntas optimizaciones de compiladores es que no tiene idea de programación, mucho menos de "ingeniería". Si además se justifica pretendiendo que sabe más que otros, no tiene precio.
Si además lo atacando al "intrusismo" por la mala calidad de software de lo "intrusos", es para llorar.
¿Es que todavía hay que seguir explicando lo absurdo de los argumentos?
#13
paso de entrar esta dinámica, así que solo contestaré esa pregunta.
> Supongamos que con la emoción de un chaval de 20 años que ha encontrado un error de seguridad en un paquete con una complejidad que no entiende, queremos dar un parte de seguridad por el problema.
Luego explica un montón de cosas de "lo que hay que hacer", cosas que vemos que jcarlosn ya hizo, su report está en la mailing adecuada.
> Además, por no consultar puede ocurrir que te saquen los colores en la propia lista de seguridad.
El link que da es http://www.securityfocus.com/archive/1/490715 así que:
- se ha equivocado de link, puesto que ahí no sacan los colores a nadie
- no entiende el inglés, y no ha entendido lo que pone
- lo ha entendido, pero quiere engañar al lector
Sobre ricardo:
Sí, para él, poner un punto y coma de más es un error grave, y la tabulación muy grave
Salieron varios fallos serios. Se criticó que se asigna la autoría del programa, cuando no hubo indicios más que de unos pocos parches de dudosa calidad. El estilo no es lo más importante, ¿por que se "defiende" del estilo y no dice nada de lo demás?
En post anteriores lo llamaba "Chikilicuatre" de la informática, incluso con un tufillo a xenofobia.
En el blog de Ricardo estuvo trolleando con varios nicks, desde la misma IP, hasta que hubo que cerrar comentarios.
Y la gilipollez más grande:
> Hace una semana pensaba que Ricardo Galli tiraba piedras contra el tejado de la Ingeniería Informática. Ahora creo que las tira contra la Ingeniería Informática, contra mi profesión, y además contra el software libre.
¿Dónde están los argumentos a favor de un Colegio de informáticos? Yo no veo más que insultos, insinuaciones, y enredarlo todo.
Se quiso hacer la falacia "ad baculum", dando valor al argumento "porque lo dice un señor que ha hecho mucho software libre". Se demostró que eso es una falacia. Y la solución, ¿huir hacia delante, insultando a quien se ponga en medio? Su odio contra Ricardo lo puedo entender, pero meterse con jcarlosn que ha sido muy "aséptico" en el tema...
Llorica
#27 No te preocupes si no tienes idea, es normal que uno que no sea programador no la tenga. Lo que no es normal que vayan tan chulos por allí "yo lo valgo y los demás no" sin siquiera respetar las normas técnicas básicas y fundamentales de lo que dices dominar.
#31 te voy a dar mi explicación lógica (que tanto pides):
No puedes escribir código pensando en el código máquina que va a generar el compilador, como bien ha dicho galli, en los lenguajes de alto nivel, se programa pensando en las personas, y no en el código subyacente que será generando por el compilador.
¿Pero por que?
Por que distintos compiladores de Ansi C y distintas versiones del mismo compilador, generan distinto código máquina.
¿Esto que significa?
Que tu código estrambótico para optimizar, puede ser negativo en otra versión de GCC o en otro compilador ansi C.
¿Entonces, que podemos hacer?
Entender la lógica que hay por debajo del lenguaje C, y programar con ello, de una forma estructurada que facilite el mantenimiento del proyecto sin afectar negativamente a la escalabilidad.
¡Uuuuuu! ¡Pelea de gatas!
#20 Sí, lo de que el repositorio oficial esté desactualizado... manda huevos!
ZOMG el tío se pone a usar -O3 con el gcc al más puro estilo gentoo ricer (pero así está mucho más optimizado!!11oneone)
#33 el problema para empezar una discusión lógica como la que propones, es que Orcero en su artículo me falta al respeto a mi, y también a gallir, por lo que no veo la necesidad de explicar nada mas. Ha creado un artículo agresivo faltando al respeto a varias personas, y ahora hay quien reclama una discusión lógica.
#9 Hombre, me tomé la molestia de leerlo y mucho no los insulta... Solo menciona con que jcarlosn tiene 20 años, y Galli es un blogger conocido. Aunque igual tiene algo de doble intencion
¿Quien es Ricardo Galli?
No me carga, por si acaso, caché: http://64.233.183.104/search?q=cache:KyVjWjpmTwcJ:www.orcero.org/irbis/blog/Como-hacer-un-buen-show-me-the-code/+http://www.orcero.org/irbis/blog/como-hacer-un-buen-show-me-the-code/&hl=en&client=firefox-a&strip=1
He avisado a jcarlosn para que pase a insultarte, pero está ocupado (y preocupado) por un fallo masivo de seguridad que ha encontrado en la web de cierta compañía de telefonía movil (no voy a dar detalles).
Así que ya insulto yo por él: ¡cara de pito!
Por cierto, casi casi me olvido:
http://www.orcero.org/irbis/blog/wp-content/plugins/Post2PDF/SW_Post2PDF.php?id=70%20SQL_HERE
#32 Ok, gracias, ese es el tipo de discusión que yo reclamo. Con argumentos como ese, basados en datos, se puede llegar a alguna parte.
Con los de Galli tipo "programa peor que mi hija" esto es una discusión de taberna.
#26
No es por ponerme a favor de unos o de otros, pero por lo menos a lo de:
"El día que me demuestren que:
x + 1 + 1 + 1 + 1 es mejor, más óptimo y más claro que poner x + 4 "
ha contestado en la entrada con
"Supongamos que no nos fiamos y desconocemos los rudimentos de la optimización en este tipo de programas. En ese caso, pedimos pruebas de que esto es así. Al desarrollador de software libre hasta le hace gracia que se lo pidamos -puesto que es un clásico de las optimizaciones-, y nos manda un código en C:
void main()
{
char *psaux=0;
long int j=0;
for (;j
#38 He leído tu comentario 3 veces y sigo sin encontrarle sentido
Pues quitando las chorradas estilo: Está marcado con un circulo y unas flechitas por si algún chaval de 20 años o algún blogero influyente de la A-list tienen problemas en encontrarlo y esa sensación de que anda escocido por algo que le han hecho público, el resto del post me parece al menos interesante.
Pues a mi me parece una buena respuesta a un mal comentario (o critica que hizo gallir). El post de gallir me pareció un ataque ad-hominem en toda regla basándose en el código a su entender erróneo.
Pero vamos, que me da bastante igual que estos dos se discutan y peleen...
Aha, así que insultando a Ricardo Galli y a jcarlosn, consigue demostrar los beneficios del colegio de informática.
¡Ahora lo entiendo!
PD: ¡Voto llorica YA!
¿las peleas de gallos no estaban prohibidas? ¿o eran las apuestas?
BTW, recomiendo leer los comentarios de un tal "Empresario anónimo", risas aseguradas
Si hubieses dedicado la mitad del tiempo que has dedicado a la promoción del software libre a desarrollar software normal, tendrías mucho más prestigio del que tienes.
Y NO, no lo dice con ironía, lo dice convencido
zasssss...
#29 Exactamente, yo no digo quien tiene razón ni quien no la tiene, solo digo que los argumentos deberían exponerse de forma lógica para llegar a desnudar esa cosa tan inaprensible como la verdad. Tal vez este Orcero sea un inútil programando, pero Galli no me va a convencer de ello respondiendo al argumento de Orcero, pero ocultando la parte en la que el propio Orcero argumenta su enunciado. Galli pide lógica al final de su post #26, pero su línea argumental no tiene lógica, ya que solo cita ciertas partes del texto de Orcero, ignorando otras:
AFIRMACION ORCERO: escribir 4+1+1+1+1=7 en lugar de 4+3=7 no tiene sentido, así que debe haber un motivo oculto. Investigo, y resulta que lo hicieron con la intención de que máquinas antiguas fuesen más rápidas. Compruebo que es así, y por tanto lo doy por bueno.
RESPUESTA GALLI: escribir 4+1+1+1+1=7 en lugar de 4+3=7 no tiene sentido, y como Orcero lo da por bueno, Orcero es gilipollas (omitiendo todo el resto de la argumentación de su rival).
Que se me entienda, por favor: ni siquiera me atrevería a opinar quien lleva razón sobre un tema del que no tengo ni puta idea. Pero sí puedo opinar sobre la estructura lógica de la argumentación de cada parte. Tal vez la postura de Orcero sea un disparate, y programe peor que la hija de Galli, pero Galli me convencerá cuando me explique por qué no es cierto que escribir 4+1+1+1=7 hace más rápidas máquinas antiguas, en lugar ignorar esa parte de la argumentación de Orcero en su respuesta.
#15 Pero todo eso que citas (comentarios sobre puntos y comas, un link equivocado) ¿son insultos? Sí que pones el listón alto.
Y no estoy comentando lo que hiciera en otros posts, u otros blogs, que ni siquiera he leído (aunque a ti te parezca aceptable basar la opinión sobre este post en algo que no pertenece a este post).
DZPM, entiéndeme, no tengo ni el menor interés en defender a alguien de cuya existencia me he enterado hoy. Mis comentarios aquí son más bien un intento de defender la objetividad, que consiste en comentar las cosas como son, y realmente no estás comentando este post según su contenido sino sino según la imagen que ya tenías anteriormente de su autor.
Personalmente no me interesa lo que escriban cada cual en su blog sobre el otro
Pues yo no es por posicionarme, pero yo acabo de hacer la prueba compilando un pequeño programa en C, y el tiempo de ejecución es mayor (tarda más) haciendo x + 1 + 1 + 1 + 1 que haciendo x + 4 (con 1000000000 iteraciones hay casi 5.5 segundos de diferencia)...
¿Al final quién la tiene más larga? Un resumen, que paso de leer tostones.
#26 amigo perl... parece irrefutable. Lo que pasa es que no tengo ni puñetera idea de las cosas esas que hablas. Pero las dices de una forma que parecen irrefutables del todo.
#4 Te la has cargado.
Yo, ajeno del mundo friki del programador, después de leer el enlace saco como conclusión que Orcero colabora con el software libre y Gallir le echa mierda encima porque había un bug y lo descubrió una tercera persona.
En caso de ser así ¿Tanto pregonar los beneficios del software libre porque cualquiera puede ver los bugs para corregirlos y cuando pasa ésto alguien se aprovecha de ello para atacar al que lo programó?
Si no es así que alguien me corrija, ya digo que es lo que entiendo yo siendo ajeno al mundillo.
#36 creo que el ejemplo de x + 1 + 1 + 1 + 1 y x + 4 era puramente ilustrativo de que ambos cómputos son equivalentes y correctos; no era para hablar sobre la eficiencia de los cálculos.
de todos modos, sobre lo de que es el compilador el que tiene que optimizar y todo eso está muy bien, pero supongo que a estas alturas todos sabemos que la mayoría de compiladores (sobre todo de C) sólo son capaces de hacer las optimizaciones más triviales y que es precisamente C un lenguaje que no se caracteriza por primar el código elegante, sino que fuerza al programador a gestionar la memoria y a hacer todas las burradas que pueda y quiera.
para hacer código elegante hay otros lenguajes más adecuados (a lo mejor se podría empezar debatiendo sobre si C era el lenguaje más apropiado para el proyecto en cuestión y luego ya uno se podría meter con líneas en concreto)
#9 Hay que ser parcial siempre. Cita por favor la parte del artículo meneado que te parece un insulto. A mí me parece un artículo bastante bien argumentado y escrito en tono respetuoso.
#36 Bueno creo que tienes que tener en cuenta parámetros del compilador gcc para máquinas lentas, y no sé si algo más. En el post de Orcero vienen los detalles.
#35
Algunos van a piñón fijo. No se puede ser más papista que el Papa.
#30 #32
Pues no me acaba de convencer.
Ese argumento que dáis desde un punto de vista teórico sobre buena programación está muy bien, pero desde un punto de vista práctico, si tal como dice Orcero, la diferencia se nota en ordenadores lentos, pues tampoco lo veo tan grave, ni que esta optimización en concreto vaya a dificultar tanto el mantenimiento del proyecto.
Las reglas de buena programación no son inamovibles y cada proyecto tiene sus peculiaridades, y una de esas peculiaridades puede ser que convenga sacrificar un poco la mantenibilidad o el buen estilo a cambio de un mejor rendimiento.
Repito que estoy hablando de este caso en concreto.
joder lo flexibles que son para estar todo el rato mirándose el ombligo y chupándose la polla...
La mitad de las críticas que le haceis a Orcero no tienen razón de ser. Me hablais que C es para humanos y blablabla, que si el estilo y que nosecuantos, y luego le criticais por poner paréntesis de más en una expresión booleana, que es la cosa más normal del mundo, precisamente por la legibilidad que tanto pedís. Y así con todo.