[c&p] Este nuevo proyecto open source en desarrollo tiene como objetivo terminar por completo con el concepto de "instalar" aplicaciones, razón por la cual el proyecto se llama el "Zero Install System" (Sistema de Cero Instalación). Aunque es para Linux, un sistema similar se podría idear para cualquier otro sistema operativo, desde OS X hasta Windows. La idea es que tu simplemente puedas "ejecutar" directamente una aplicación, y el Zero Install System se encarga de ahí en adelante de saber si la aplicación está instalada o no, y la instala
Comentarios
Vía Eliax - http://eliax.com/index.php?/archives/3458-El-Sistema-de-Cero-Instalacion-Zero-Install-System.html
Muy bonito... pero bastante inseguro (y sí, me he leído la noticia)
Donde dice que los programas están "aislados" del resto del sistema, olvida los exploits de escalada de privilegios, contra los que la mayoría de sistemas "facilitos para usuarios normales" no están protegidos. Una distribución no es más segura porque tenga los paquetes firmados, sino porque hay mucha gente capaz de corregir/notificar problemas de seguridad en una misma versión que usan todos ellos, creando y distribuyendo rápidamente versiones corregidas.
Dejar la seguridad sólo en manos del desarrollador original, deshaciéndose de la comunidad, no parece una muy buena idea en sistemas de usuario... a menos que se empiece a meter grsec de serie en todos los kernels.
#3 Aquí mismo: http://zero-install.sourceforge.net/goals.html#anyonedistrib
" You don't need to be blessed by a distribution (or anyone else) to be part of Zero Install; all you need is a web page. Software is named by URI:
$ 0launch http://rox.sourceforge.net/2005/interfaces/ROX-Session "
No se trata exactamente de "un solo" desarrollador sino de "sólo el(los) desarrolador(es) originales", que a la fuerza van a ser menos que esos mismos + todos los de todas las distribuciones.
Si a eso añadimos que lo normal es que una distro aplique parches antes de que entren en la versión base -a menudo mucho antes-, y que como dije no suelen estar muy protegidas contra lo que pueda ejecutar el usuario final (a diferencia de los servidores), el peligro me parece evidente.
#2 para que entonces se gastan las cejas cientos de programadores en hacer apt o synaptic??? este sistema seria para usuarios normales... exploit??? link please.... en donde explican que se dejara en manos de un solo desarrollador el asunto???
bueno pues no creo que a los desarrolladores originales les interese hackear sus propias maquinas, a lo que me refiero es que puedan instalar código malicioso o dejar exploits abiertos en un sistema diseñado para no tener que preocuparse por si tienes o no un programa instalado... el peligro creo que esta un poco exagerado... ¿cuanta gente se va a dedicar ha buscarle un hoyo a esto y cuantas distros lo van a haber tapado antes de a un hacker se le ocurra usarlo?... la probabilidad es un poquito remota. Con las distros que no son base... pues es porque son las inestables, por lo que si estas poniendo esto en un sistema seguro y especifico utilizaras la versión base o estable...