Eli
40meneos

David Santo Orcero contesta a Ricardo Galli

www.orcero.org/irbis/blog/como-hacer-un-buen-show-me-the-code/ 
por sotanez el 06-05-2008 15:39 UTC

A raíz del meneo sobre la entrada del blog de David "Yo sí estoy a favor del colegio de informáticos" y los comentarios vertidos en él meneame.net/story/yo-si-estoy-favor-del-colegio, Galli escribió una entrada en su blog gallir.wordpress.com/2008/04/08/colega-lets-see-the-code/ dudando sobre la capacidad de David como ingeniero. Ahora David se defiende en su blog.

 41 comentarios en: tecnología, software karma: 164
etiquetas: david santo orcero, ricardo galli, show me the code
negativos: 13  usuarios: 36  anónimos: 4  compartir:  twitter  facebook  friendfeed
  1. #20   No hay por donde coger el artículo, pues está lleno de prejuicios típicos de alguien que apoya el colegio de ingenieros:

    1. Presupone que no se lo que es cvs, pero trabajo a diario con svn (mucho mas moderno) y git (aun mas moderno):

    www.ohloh.net/accounts/13233

    Main Developer at eyeOS

    705 commits

    Yo creo que en 705 commits, he aprendido lo que es un software de control de versiones, no?

    Pero vaya, no me asombra en absoluto que alguien que apoya el colegio de ingenieros, no sea capaz de comprender que yo, que soy un intruso, sepa lo que es CVS, SVN, GIT y similares.

    2. Presupone que no se como se reporta un agujero de seguridad.

    Bueno, yo le diría al autor del artículo que la política que el promueve (full disclossure) no es ni por asomo obligatoria, y seguir los pasos que el propone, es considerado "buenas maneras", supongo que son esas buenas maneras de actuar las que el propone cuando crea un artículo solo para insultarme a mi y a galli.

    Sin embargo, y aunque su mente pro-colegios no lo puede entender, yo ya he reportado en el pasado bastantes agujeros de seguridad, como este:

    securityvulns.com/Odocument766.html

    y se perfectamente cual es el camino a seguir (o los caminos) se lo que es un mantenedor y se como contactar con el.

    Sin embargo, en el post se olvida mencionar que el CVS OFICIAL del proyecto, está desactualizado, esto es un error grave, pues la propia definición de "cvs del proyecto" le indica a mi, y a cualquiera, que esa es la copia sobre la que se trabaja (se pueden consultar los cvs/svn de cualquier proyecto libre para ver que es así).

    Todos los auditores de seguridad que analicen el proyecto, no van a escribirte un correo pidiéndote nada, van a ir al cvs/svn, bajarse el código y leerselo, sin embargo, yo no voy a insultar a orcero por su ignorancia en todo lo que rodea a la auditoria de seguridad.

    Por ultimo, continua haciendo juicios de valor (yo nunca he hablado con este hombre) sobre mi edad, sobre si entiendo o no el proyecto, sobre mis conocimientos y sobre mi forma de ser (increible!), en fin, que me conoce mas que mi madre, y en mi vida hemos hablado:

    Supongamos que con la emoción de un chaval de 20 años que ha encontrado un error de seguridad en un paquete con una complejidad que no entiende, queremos dar un parte de seguridad por el problema. ¿Que hacemos?

    increíble.
    ...  » ver todo el comentario
    votos: 11, karma: 127
    por jcarlosn el 06-05-2008 16:44 UTC
  2. #23   Por cierto, casi lo olvido:

    sourceforge.net/project/showfiles.php?group_id=467297

    La versión colgada en sourceforge (página oficial del proyecto) como "actual" es VULNERABLE.

    Esto ya es difícil de defender :)

    Orcero puede decir misa, pero la gente lo que hace es ir a sourceforge (página OFICIAL) y bajárselo, y como consecuencia, ser vulnerables.

    openmosix-tools-0.3.6-2.tar.gz Mirror 515181 13814 i386 .gz

    Pero claro, 13814 personas (mas todas las que usen versiones anteriores, que son muchísimos miles mas) no son nada para orcero, por que resulta, que el tiene una versión especial, que NO está publicada en la web oficial del proyecto, y que no es vulnerable, por lo cual, para el, ya no existe problema alguno.

    increíble a mas no poder.

    P.D. No se si es por que no estoy en mi sistema habitual y aquí hay algo mal, pero:

    www.orcero.org/irbis/openmosix/OpenMosixUserland-0.5.1.tgz

    Su versión especial y no publicada en el sitio oficial (la cual he tenido que buscar, sabiendo que existe de antemano, para encontrarla), no me extrae, me da error al extraerlo.

    P.D. 2: Clase de configuración de php para orcero:

    www.orcero.org/irbis/blog/wp-content/plugins/hello.php

    display_errors a off, cuando estés en producción, esos path disclossures unidos a algunos bugs que permiten usar load_file de mysql mediante injections (y que algunos de los viejos blogs que alojas, son vulnerables) son muy peligrosos.
    votos: 7, karma: 89
    por jcarlosn el 06-05-2008 17:29 UTC
  3. #26   EN primer lugar este señor no me contesta para nada a lo que escribí:

    1. Me insultó sin que venga a cuento.

    2. Defiende a los colegios y contra el intrusismos porque dice que hace daño, sin embargo:

    a) Programa peor que mi hija.

    b) Dice barbaridades de optimizadores e intenta justificar su pésimo estilo.

    c) No tiene idea de seguridad ni como funciona security focus (ya lo han explicado arriba)

    d) El día que me demuestren que:

    x + 1 + 1 + 1 + 1 es mejor, más óptimo y más claro que poner x + 4

    o que escribir como:

    no-hace-faltan.frases.ni.separacion ni respetar. espacios_ni_estructuras---porque-soy.así.de-bueno.como-escritor...y..deberíamos.tener-colegios-de-escritores-paraevitar-eldaño.q.u.e-hacen a la profesión

    sea merecedor de un premio literario, me empezaré a tomar en serio a la defensa del colegio o la profesión que hace este señor.

    Es patético. Y los que todavía no se han dado cuenta de tantas falacias deberían aprender un poco de programación, ingeniería del software, ciencias de la computación, y de paso un poco de lógica.
    votos: 7, karma: 81
    por erlang el 06-05-2008 18:00 UTC
  4. #21   #19 el problema es que orcero defiende la privatización de la informática, creando colegios de ingenieros que regulen quien es informático y quien no, y poco después de eso, alguien no-informático (según el) le saca un error grave (que el no quiere aceptar como grave, pero que cualquiera con un minimo de conocimientos de seguridad, puede verlo).

    El principal argumento de los colegios es la calidad del código y la fiabilidad de los productos de software, argumentan que contra mas certificación, mas seguridad. Aquí se ha demostrado lo contrario y por eso, se le ha reprochado.

    No tiene mucho que ver con el software libre todo esto.
    votos: 5, karma: 71
    por jcarlosn el 06-05-2008 16:49 UTC
  5. #30   > Otra cosa es que pienses que ese razonamiento tiene fallos, que en ese caso, y como novato en esto de las optimizaciones, me gustaría que expusieras.

    Ya está expuesto y probado en el comentario #2 de gallir.wordpress.com/2008/04/08/colega-lets-see-the-code/

    Pero aunque hayas encontrado que el compilador optimiza eso NO es justificación.

    Regla básica del buen programador (también regla básica de la ingeniería del software)

    Los lenguajes de alto nivel se diseñan para las personas, no para los optimizadores o la CPU, éstas siguen usando código binario.

    El que pretenda justificar su espagueti de código, o su total desconocimiento de aritmética de punteros básicas, o las reglas mínimas de estilo de programación en presuntas optimizaciones de compiladores es que no tiene idea de programación, mucho menos de "ingeniería". Si además se justifica pretendiendo que sabe más que otros, no tiene precio.

    Si además lo atacando al "intrusismo" por la mala calidad de software de lo "intrusos", es para llorar.

    ¿Es que todavía hay que seguir explicando lo absurdo de los argumentos?
    votos: 6, karma: 66
    por erlang el 06-05-2008 18:29 UTC
  6. #15   #13
    paso de entrar esta dinámica, así que solo contestaré esa pregunta.
    > Supongamos que con la emoción de un chaval de 20 años que ha encontrado un error de seguridad en un paquete con una complejidad que no entiende, queremos dar un parte de seguridad por el problema.

    Luego explica un montón de cosas de "lo que hay que hacer", cosas que vemos que jcarlosn ya hizo, su report está en la mailing adecuada.

    > Además, por no consultar puede ocurrir que te saquen los colores en la propia lista de seguridad.

    El link que da es www.securityfocus.com/archive/1/490715 así que:
    - se ha equivocado de link, puesto que ahí no sacan los colores a nadie
    - no entiende el inglés, y no ha entendido lo que pone
    - lo ha entendido, pero quiere engañar al lector

    Sobre ricardo:
    Sí, para él, poner un punto y coma de más es un error grave, y la tabulación muy grave

    Salieron varios fallos serios. Se criticó que se asigna la autoría del programa, cuando no hubo indicios más que de unos pocos parches de dudosa calidad. El estilo no es lo más importante, ¿por que se "defiende" del estilo y no dice nada de lo demás?

    En post anteriores lo llamaba "Chikilicuatre" de la informática, incluso con un tufillo a xenofobia.
    En el blog de Ricardo estuvo trolleando con varios nicks, desde la misma IP, hasta que hubo que cerrar comentarios.

    Y la gilipollez más grande:
    > Hace una semana pensaba que Ricardo Galli tiraba piedras contra el tejado de la Ingeniería Informática. Ahora creo que las tira contra la Ingeniería Informática, contra mi profesión, y además contra el software libre.

    ¿Dónde están los argumentos a favor de un Colegio de informáticos? Yo no veo más que insultos, insinuaciones, y enredarlo todo.
    Se quiso hacer la falacia "ad baculum", dando valor al argumento "porque lo dice un señor que ha hecho mucho software libre". Se demostró que eso es una falacia. Y la solución, ¿huir hacia delante, insultando a quien se ponga en medio? Su odio contra Ricardo lo puedo entender, pero meterse con jcarlosn que ha sido muy "aséptico" en el tema...
    Llorica :-p
    votos: 6, karma: 56
    por DZPM el 06-05-2008 16:29 UTC
  7. #28   #27 No te preocupes si no tienes idea, es normal que uno que no sea programador no la tenga. Lo que no es normal que vayan tan chulos por allí "yo lo valgo y los demás no" sin siquiera respetar las normas técnicas básicas y fundamentales de lo que dices dominar.
    votos: 4, karma: 50
    por erlang el 06-05-2008 18:05 UTC
  8. #12   ¡Uuuuuu! ¡Pelea de gatas!
    votos: 3, karma: 48
    por jotape el 06-05-2008 16:13 UTC
  9. #32   #31 te voy a dar mi explicación lógica (que tanto pides):

    No puedes escribir código pensando en el código máquina que va a generar el compilador, como bien ha dicho galli, en los lenguajes de alto nivel, se programa pensando en las personas, y no en el código subyacente que será generando por el compilador.

    ¿Pero por que?

    Por que distintos compiladores de Ansi C y distintas versiones del mismo compilador, generan distinto código máquina.

    ¿Esto que significa?

    Que tu código estrambótico para optimizar, puede ser negativo en otra versión de GCC o en otro compilador ansi C.

    ¿Entonces, que podemos hacer?

    Entender la lógica que hay por debajo del lenguaje C, y programar con ello, de una forma estructurada que facilite el mantenimiento del proyecto sin afectar negativamente a la escalabilidad.
    votos: 4, karma: 48
    por jcarlosn el 06-05-2008 18:48 UTC
  10. #22   #20 Sí, lo de que el repositorio oficial esté desactualizado... manda huevos!
    votos: 3, karma: 46
    por Juan el 06-05-2008 17:27 UTC
  11. #11   ZOMG el tío se pone a usar -O3 con el gcc al más puro estilo gentoo ricer (pero así está mucho más optimizado!!11oneone)
    votos: 3, karma: 45
    por Kartoffel el 06-05-2008 16:11 UTC
  12. #34   #33 el problema para empezar una discusión lógica como la que propones, es que Orcero en su artículo me falta al respeto a mi, y también a gallir, por lo que no veo la necesidad de explicar nada mas. Ha creado un artículo agresivo faltando al respeto a varias personas, y ahora hay quien reclama una discusión lógica.
    votos: 3, karma: 39
    por jcarlosn el 06-05-2008 19:04 UTC
  13. #14   #9 Hombre, me tomé la molestia de leerlo y mucho no los insulta... Solo menciona con que jcarlosn tiene 20 años, y Galli es un blogger conocido. Aunque igual tiene algo de doble intencion :roll:
    votos: 2, karma: 38
    por Juan el 06-05-2008 16:28 UTC
  14. #4   ¿Quien es Ricardo Galli?
    votos: 3, karma: 35
    por SohoS el 06-05-2008 15:58 UTC
  15. #2   No me carga, por si acaso, caché: 64.233.183.104/search?q=cache:KyVjWjpmTwcJ:www.orcero.org/irbis/blog/C1
    votos: 2, karma: 34
    por Barredo el 06-05-2008 15:48 UTC
  16. #10   He avisado a jcarlosn para que pase a insultarte, pero está ocupado (y preocupado) por un fallo masivo de seguridad que ha encontrado en la web de cierta compañía de telefonía movil (no voy a dar detalles).

    Así que ya insulto yo por él: ¡cara de pito!
    votos: 2, karma: 33
    por DZPM el 06-05-2008 16:11 UTC
  17. #25   Por cierto, casi casi me olvido:

    www.orcero.org/irbis/blog/wp-content/plugins/Post2PDF/SW_Post2PDF.php?E <- He escrito un correo a orcero y ya ha sido solucionado, pero no tengo esperanza en que me conteste :)

    Sql injection explotable.

    Iba a poner como explotarlo, pero a diferencia de lo que crees (espero que orcero se pase por aquí a leer, sino ahora le comunicaré esto por correo), tengo bastante respeto por el trabajo de los demás.
    votos: 2, karma: 33
    por jcarlosn el 06-05-2008 17:59 UTC
  18. #33   #32 Ok, gracias, ese es el tipo de discusión que yo reclamo. Con argumentos como ese, basados en datos, se puede llegar a alguna parte.

    Con los de Galli tipo "programa peor que mi hija" esto es una discusión de taberna.
    votos: 2, karma: 31
    por pablicius el 06-05-2008 18:51 UTC
  19. #29   #26
    No es por ponerme a favor de unos o de otros, pero por lo menos a lo de:

    "El día que me demuestren que:

    x + 1 + 1 + 1 + 1 es mejor, más óptimo y más claro que poner x + 4 "

    ha contestado en la entrada con

    "Supongamos que no nos fiamos y desconocemos los rudimentos de la optimización en este tipo de programas. En ese caso, pedimos pruebas de que esto es así. Al desarrollador de software libre hasta le hace gracia que se lo pidamos -puesto que es un clásico de las optimizaciones-, y nos manda un código en C:

    void main()
    {
    char *psaux=0;
    long int j=0;

    for (;j<60000000;j+=2)psaux++;

    printf("%d",psaux);
    }

    Lo compilamos -como nos dice- con -S y empleando -march para forzar código para una plataforma antigua -un athlon mismo nos vale-, y obtenemos algo como:

    .L10:
    cmpl $59999999, %eax
    jle .L3

    CÓDIGO RESTO PROGRAMA
    .L3:
    incl %ecx
    addl $2, %eax
    jmp .L10

    con código optimizado con -O2, y:

    .L10:
    cmpl $59999999, %eax
    jle .L3

    CÓDIGO RESTO PROGRAMA
    .L3:
    incl -12(%ebp)
    addl $2, %eax
    jmp .L10

    Si compilamos sin optimizar. En máquinas de 32 bits, el compilador genera un incl DESPLAZAMIENTO(%ebp), y optimizando -que es la opción por defecto en kradview-, genera un incl %REGISTRO. Entonces sabemos que nuestra víctima del show me the code tenía razón: incrementar el puntero es incrementar un registro; mientras que sumar un número supone leer al menos un entero de 32 bits de memoria, meterlo en registro y sumarle uno. Aunque en una máquina moderna la velocidad es similar, en una máquina que ya tenga algunos años la diferencia de velocidades es abismal. Una optimización guarrilla, pero que funciona."

    Otra cosa es que pienses que ese razonamiento tiene fallos, que en ese caso, y como novato en esto de las optimizaciones, me gustaría que expusieras.
    votos: 2, karma: 29
    por sotanez el 06-05-2008 18:21 UTC
  20. #8   » ver comentario
    por --81722-- el 06-05-2008 16:04 UTC
  21. #39   #38 He leído tu comentario 3 veces y sigo sin encontrarle sentido
    votos: 2, karma: 28
    por Juan el 06-05-2008 21:10 UTC
  22. #7   ¿las peleas de gallos no estaban prohibidas? ¿o eran las apuestas?
    votos: 2, karma: 27
    por Vodker el 06-05-2008 16:03 UTC
  23. #9   Aha, así que insultando a Ricardo Galli y a jcarlosn, consigue demostrar los beneficios del colegio de informática.
    ¡Ahora lo entiendo!

    PD: ¡Voto llorica YA!
    votos: 7, karma: 27
    por DZPM el 06-05-2008 16:06 UTC
  24. #18   » ver comentario
    por --11734-- el 06-05-2008 16:38 UTC
  25. #16   BTW, recomiendo leer los comentarios de un tal "Empresario anónimo", risas aseguradas xDD
    Si hubieses dedicado la mitad del tiempo que has dedicado a la promoción del software libre a desarrollar software normal, tendrías mucho más prestigio del que tienes.

    Y NO, no lo dice con ironía, lo dice convencido xDD
    votos: 1, karma: 25
    por DZPM el 06-05-2008 16:31 UTC
  26. #3   zasssss...
    votos: 2, karma: 24
    por administrandosistemas el 06-05-2008 15:57 UTC
  27. #31   #29 Exactamente, yo no digo quien tiene razón ni quien no la tiene, solo digo que los argumentos deberían exponerse de forma lógica para llegar a desnudar esa cosa tan inaprensible como la verdad. Tal vez este Orcero sea un inútil programando, pero Galli no me va a convencer de ello respondiendo al argumento de Orcero, pero ocultando la parte en la que el propio Orcero argumenta su enunciado. Galli pide lógica al final de su post #26, pero su línea argumental no tiene lógica, ya que solo cita ciertas partes del texto de Orcero, ignorando otras:

    AFIRMACION ORCERO: escribir 4+1+1+1+1=7 en lugar de 4+3=7 no tiene sentido, así que debe haber un motivo oculto. Investigo, y resulta que lo hicieron con la intención de que máquinas antiguas fuesen más rápidas. Compruebo que es así, y por tanto lo doy por bueno.

    RESPUESTA GALLI: escribir 4+1+1+1+1=7 en lugar de 4+3=7 no tiene sentido, y como Orcero lo da por bueno, Orcero es gilipollas (omitiendo todo el resto de la argumentación de su rival).

    Que se me entienda, por favor: ni siquiera me atrevería a opinar quien lleva razón sobre un tema del que no tengo ni puta idea. Pero sí puedo opinar sobre la estructura lógica de la argumentación de cada parte. Tal vez la postura de Orcero sea un disparate, y programe peor que la hija de Galli, pero Galli me convencerá cuando me explique por qué no es cierto que escribir 4+1+1+1=7 hace más rápidas máquinas antiguas, en lugar ignorar esa parte de la argumentación de Orcero en su respuesta.
    votos: 1, karma: 23
    por pablicius el 06-05-2008 18:42 UTC
  28. #17   #15 Pero todo eso que citas (comentarios sobre puntos y comas, un link equivocado) ¿son insultos? Sí que pones el listón alto.

    Y no estoy comentando lo que hiciera en otros posts, u otros blogs, que ni siquiera he leído (aunque a ti te parezca aceptable basar la opinión sobre este post en algo que no pertenece a este post).

    DZPM, entiéndeme, no tengo ni el menor interés en defender a alguien de cuya existencia me he enterado hoy. Mis comentarios aquí son más bien un intento de defender la objetividad, que consiste en comentar las cosas como son, y realmente no estás comentando este post según su contenido sino sino según la imagen que ya tenías anteriormente de su autor.
    votos: 0, karma: 15
    por pablicius el 06-05-2008 16:37 UTC
  29. #1   » ver comentario
    por --35973-- el 06-05-2008 15:48 UTC
  30. #36   Pues yo no es por posicionarme, pero yo acabo de hacer la prueba compilando un pequeño programa en C, y el tiempo de ejecución es mayor (tarda más) haciendo x + 1 + 1 + 1 + 1 que haciendo x + 4 (con 1000000000 iteraciones hay casi 5.5 segundos de diferencia)...
    votos: 1, karma: 14
    por lopentxu el 06-05-2008 19:56 UTC
  31. #5   ¿Al final quién la tiene más larga? Un resumen, que paso de leer tostones.
    votos: 1, karma: 13
    por acimut el 06-05-2008 16:02 UTC
  32. #27   #26 amigo perl... parece irrefutable. Lo que pasa es que no tengo ni puñetera idea de las cosas esas que hablas. Pero las dices de una forma que parecen irrefutables del todo. ;)
    votos: 2, karma: 11
    por Vodker el 06-05-2008 18:03 UTC
  33. #6   #4 Te la has cargado.
    votos: 0, karma: 9
    por KALIKRATES el 06-05-2008 16:02 UTC
  34. #19   » ver comentario
    por --36214-- el 06-05-2008 16:39 UTC
  35. #41   » ver comentario
    por --59272-- el 07-05-2008 12:10 UTC
  36. #13   #9 Hay que ser parcial siempre. Cita por favor la parte del artículo meneado que te parece un insulto. A mí me parece un artículo bastante bien argumentado y escrito en tono respetuoso.
    votos: 1, karma: 7
    por pablicius el 06-05-2008 16:13 UTC
  37. #37   #36 Bueno creo que tienes que tener en cuenta parámetros del compilador gcc para máquinas lentas, y no sé si algo más. En el post de Orcero vienen los detalles.
    votos: 0, karma: 6
    por sotanez el 06-05-2008 20:07 UTC
  38. #40   #35
    Algunos van a piñón fijo. No se puede ser más papista que el Papa.
    votos: 2, karma: 5
    por endy el 07-05-2008 08:35 UTC
  39. #35   #30 #32

    Pues no me acaba de convencer.

    Ese argumento que dáis desde un punto de vista teórico sobre buena programación está muy bien, pero desde un punto de vista práctico, si tal como dice Orcero, la diferencia se nota en ordenadores lentos, pues tampoco lo veo tan grave, ni que esta optimización en concreto vaya a dificultar tanto el mantenimiento del proyecto.

    Las reglas de buena programación no son inamovibles y cada proyecto tiene sus peculiaridades, y una de esas peculiaridades puede ser que convenga sacrificar un poco la mantenibilidad o el buen estilo a cambio de un mejor rendimiento.

    Repito que estoy hablando de este caso en concreto.
    votos: 2, karma: 4
    por sotanez el 06-05-2008 19:27 UTC
  40. #24   » ver comentario
    por --59272-- el 06-05-2008 17:48 UTC
  41. #38   La mitad de las críticas que le haceis a Orcero no tienen razón de ser. Me hablais que C es para humanos y blablabla, que si el estilo y que nosecuantos, y luego le criticais por poner paréntesis de más en una expresión booleana, que es la cosa más normal del mundo, precisamente por la legibilidad que tanto pedís. Y así con todo.
    votos: 4, karma: -15
    por peponcio el 06-05-2008 20:58 UTC
comentarios cerrados

menéame