Hoy un graciosillo se dedicó a buscarle problemas de seguridad el menéame. Encontró al menos uno, en editlink.php. Los que estéis usando el código, urgente actualizad por lo menos este fichero. Faltaba un control del argumento de la noticia y un control posterior de que el usuario pueda modificarla....(continúa)
>Yo tambien soy desarrollador de software libre y abierto (un poco de autobombo http://www.litoweb.net/pfn2/ ) y aunque se que nadie me puede hechar en cara que funcione o deje de funcionar, tengo una obligación moral de intentar hacerlo lo mejor posible y sobre todo seguro.
El que sea libre y gratuito no significa que deba ir plagado de errores serios ni que no deba considerar el hecho de que los usuario que se registren tengan el máximo de privacidad posible de sus datos.
Si el software es legible, comprensible y modular siempre es mucho más fácil de revisar y corregir por todos.
El esfuerzo siempre vale la pena.
-------------------------------------------------
Pues sinceramente , no debes de ser muy buen programador , si lo fueses ya sabrías que por mucho que trabajes y por muy bien que hagas las cosas siempre habrá uno o dos gilipollas dispuestos a tirar por tierra el trabajo de días , meses o años.
Y si sigues pensando lo mismo porque creas que ha sido dejadez o falta de interés .... lamento decirte que un fallo lo puede tener cualquiera , hasta el más pintado ... aunque a ti la movida te ha venido bien , de momento ya has soltado el enlace y el "curriculo".
Lito, todo programa tiene fallos y debo admitir que el que tenía era una tontería y ya está arreglado.
No hay ningún software, ninguno, que no tenga fallos de seguridad, absolutamente todos los tienen. Desde el Wordpress hasta el kernel Linux, no hace falta mencionar supongo a los e Windows o Internet Explorer (o Mozilla).
¿Dices que todas esas personas, que son miles, son unos impresentables? ¿que un programa de miles de línea de código tenga un bug significa "dejadez"? Qué poco conoces la informática.
Encontrar errores de otros está muy bien, avisar, publicarlo y quizás enviar parches está aún mejor, sobre todo si el software es libre y el código es susceptible de revisión. Pero dedicarse a modificar el contenido o intentar tirar abajo un servidor público NO es desde ningún punto de vista ético, todo lo contrario.
Y además hacerlo de una forma que te puedan descubrir tan rápido tampoco habla muy bien de la inteligencia de los atacantes. Es como ir a robar y olvidarse el DNI.
PS: estaré encantado que hagas auditoría del código y exliques los problemas, podemos discutirlo. Pero hablar por hablar y al mismo tiempo justificar a script kiddies dañinos no tiene sentido.
Sólo faltaría que ahora les tenga que dar las gracias por la noche de mierda y estresante que me han hecho pasar.
"si lo fueses ya sabrías que por mucho que trabajes y por muy bien que hagas las cosas siempre habrá uno o dos gilipollas dispuestos a tirar por tierra el trabajo de días , meses o años."
Si lo has hecho mal, está mal y punto. No importa el tiempo que te ha llevado programarlo, y cuanto antes se conozcan los problemas y errores antes los podrás solucionar. Llegará un momento en el que el error se encontrará y es mejor que esto suceda cuanto antes ya que menos código estará basado en un error.
Estos "gilipollas" son los que nos dicen que nuestro trabajo no es perfecto y nos ayudan a encontrar y solucionar los errores. Sin estos "gilipollas" todas las aplicaciones serían perfectas... a nuestros ojos.
En la web relacionada con el PHPfileNavigator existen varios temas ( http://pfn.sf.net ) y te aseguro que el único tema que me interesa es el de bugs.
Lito, eres informático y todo eso que dices está quedando escrito. Cuidado que te estás obligando a algo que sólo se atrevió el Papa, hasta ahora: la infalibilidad.
1) No existe el programa perfecto. Pero si existe un código mejor que otro.
2) Puedes darle las gracias por que ahora tú código es más seguro.
3) Gracias a esas noches de mierda que te has pasado intentando encontrar el problema has encontrado otros problemas y los has corregido?
4) Uso tu código y te aseguro que yo si que me he estresado intentando entenderlo (no por dificil sino por exageradamente lioso y desorganizado)
5) Realizar un programa requiere cierta responsabilidad sobre el mismo, tanto sea gratuito como no. Te pordrían haber jodido mucho más de lo que te hicieron y no lo han hecho... por que? pues a lo mejor no querían joderte, solo avisarte.
Cuando el código se abre es más facil ver estas cosas, pero esperas que te avisarán en lugar de atacar modificando noticias de los demás y mofándose del resto de trabajo bien hecho. Es la diferencia entre el hacker y el cracker, pero hay gente pa'tó.
Yo tambien soy desarrollador de software libre y abierto (un poco de autobombo http://www.litoweb.net/pfn2/ ) y aunque se que nadie me puede hechar en cara que funcione o deje de funcionar, tengo una obligación moral de intentar hacerlo lo mejor posible y sobre todo seguro.
El que sea libre y gratuito no significa que deba ir plagado de errores serios ni que no deba considerar el hecho de que los usuario que se registren tengan el máximo de privacidad posible de sus datos.
Si el software es legible, comprensible y modular siempre es mucho más fácil de revisar y corregir por todos.
Lito, esto es un hobbie, no pretende ganarse la vida en ello. Tampoco es un profesional, por lo que creo que no hay que echarle nada en cara. Ha triunfado el código, porque se está extendiendo de manera rapidísima, e incluso hay varios sistemas con la misma idea de digg.
Wordpress está desarrollado por mucha gente y tiene fallos, todo el software libre tiene fallos (y el no libre también) pero si te dan las instrucciones de como funciona, es muy fácil ver errores.
"#4 Nota: Usuarios del menéame, cambiad contraseñas por favor, por las dudas."
Si realmente lo crees que es necesario, sugiero que envies un mail a todos los correos registrados, mucha gente no leerá esta noticia.
Saludos.
Señores por que tanto drama?? habia un error bastante feo, ya se corrigió. Se que no están de acuerdo conque hayan modificado una entrada pero entendamos que pudieron hacer mucho más que eso...al final se logró lo que se busca...mejorar!
No le sigais el rollo al lito este... es un troll en toda regla. Algunos tienen demasiado tiempo libre para ponerse a criticar lo que hacen otros. 'don't feed the troll'
Comentarios
He actualizado el wiki con la noticia y la sugerencia de Ricardo
Totalmente de acuerdo.
>Yo tambien soy desarrollador de software libre y abierto (un poco de autobombo http://www.litoweb.net/pfn2/ ) y aunque se que nadie me puede hechar en cara que funcione o deje de funcionar, tengo una obligación moral de intentar hacerlo lo mejor posible y sobre todo seguro.
El que sea libre y gratuito no significa que deba ir plagado de errores serios ni que no deba considerar el hecho de que los usuario que se registren tengan el máximo de privacidad posible de sus datos.
Si el software es legible, comprensible y modular siempre es mucho más fácil de revisar y corregir por todos.
El esfuerzo siempre vale la pena.
-------------------------------------------------
Pues sinceramente , no debes de ser muy buen programador , si lo fueses ya sabrías que por mucho que trabajes y por muy bien que hagas las cosas siempre habrá uno o dos gilipollas dispuestos a tirar por tierra el trabajo de días , meses o años.
Y si sigues pensando lo mismo porque creas que ha sido dejadez o falta de interés .... lamento decirte que un fallo lo puede tener cualquiera , hasta el más pintado ... aunque a ti la movida te ha venido bien , de momento ya has soltado el enlace y el "curriculo".
Bugs ? No te da vergüenza ? Deberías ser más cuidadoso.
Nota: Usuarios del menéame, cambiad contraseñas por favor, por las dudas.
Lito, todo programa tiene fallos y debo admitir que el que tenía era una tontería y ya está arreglado.
No hay ningún software, ninguno, que no tenga fallos de seguridad, absolutamente todos los tienen. Desde el Wordpress hasta el kernel Linux, no hace falta mencionar supongo a los e Windows o Internet Explorer (o Mozilla).
¿Dices que todas esas personas, que son miles, son unos impresentables? ¿que un programa de miles de línea de código tenga un bug significa "dejadez"? Qué poco conoces la informática.
Encontrar errores de otros está muy bien, avisar, publicarlo y quizás enviar parches está aún mejor, sobre todo si el software es libre y el código es susceptible de revisión. Pero dedicarse a modificar el contenido o intentar tirar abajo un servidor público NO es desde ningún punto de vista ético, todo lo contrario.
Y además hacerlo de una forma que te puedan descubrir tan rápido tampoco habla muy bien de la inteligencia de los atacantes. Es como ir a robar y olvidarse el DNI.
PS: estaré encantado que hagas auditoría del código y exliques los problemas, podemos discutirlo. Pero hablar por hablar y al mismo tiempo justificar a script kiddies dañinos no tiene sentido.
Sólo faltaría que ahora les tenga que dar las gracias por la noche de mierda y estresante que me han hecho pasar.
Estas totalmente fuera de orbita al decir que
"si lo fueses ya sabrías que por mucho que trabajes y por muy bien que hagas las cosas siempre habrá uno o dos gilipollas dispuestos a tirar por tierra el trabajo de días , meses o años."
Si lo has hecho mal, está mal y punto. No importa el tiempo que te ha llevado programarlo, y cuanto antes se conozcan los problemas y errores antes los podrás solucionar. Llegará un momento en el que el error se encontrará y es mejor que esto suceda cuanto antes ya que menos código estará basado en un error.
Estos "gilipollas" son los que nos dicen que nuestro trabajo no es perfecto y nos ayudan a encontrar y solucionar los errores. Sin estos "gilipollas" todas las aplicaciones serían perfectas... a nuestros ojos.
En la web relacionada con el PHPfileNavigator existen varios temas ( http://pfn.sf.net ) y te aseguro que el único tema que me interesa es el de bugs.
"Sí, skuark, me suena de otros foros"... me quedo perplejo, pero bueno es lo que hay.
(de que otros foros te sueno?) si no es mucha molestia preguntar?
Sí, skuark, me suena de otros foros, gracias por confirmarlo. Será don't feed
Lito, eres informático y todo eso que dices está quedando escrito. Cuidado que te estás obligando a algo que sólo se atrevió el Papa, hasta ahora: la infalibilidad.
1) No existe el programa perfecto. Pero si existe un código mejor que otro.
2) Puedes darle las gracias por que ahora tú código es más seguro.
3) Gracias a esas noches de mierda que te has pasado intentando encontrar el problema has encontrado otros problemas y los has corregido?
4) Uso tu código y te aseguro que yo si que me he estresado intentando entenderlo (no por dificil sino por exageradamente lioso y desorganizado)
5) Realizar un programa requiere cierta responsabilidad sobre el mismo, tanto sea gratuito como no. Te pordrían haber jodido mucho más de lo que te hicieron y no lo han hecho... por que? pues a lo mejor no querían joderte, solo avisarte.
Cuando el código se abre es más facil ver estas cosas, pero esperas que te avisarán en lugar de atacar modificando noticias de los demás y mofándose del resto de trabajo bien hecho. Es la diferencia entre el hacker y el cracker, pero hay gente pa'tó.
Yo tambien soy desarrollador de software libre y abierto (un poco de autobombo http://www.litoweb.net/pfn2/ ) y aunque se que nadie me puede hechar en cara que funcione o deje de funcionar, tengo una obligación moral de intentar hacerlo lo mejor posible y sobre todo seguro.
El que sea libre y gratuito no significa que deba ir plagado de errores serios ni que no deba considerar el hecho de que los usuario que se registren tengan el máximo de privacidad posible de sus datos.
Si el software es legible, comprensible y modular siempre es mucho más fácil de revisar y corregir por todos.
El esfuerzo siempre vale la pena.
Lito, esto es un hobbie, no pretende ganarse la vida en ello. Tampoco es un profesional, por lo que creo que no hay que echarle nada en cara. Ha triunfado el código, porque se está extendiendo de manera rapidísima, e incluso hay varios sistemas con la misma idea de digg.
Wordpress está desarrollado por mucha gente y tiene fallos, todo el software libre tiene fallos (y el no libre también) pero si te dan las instrucciones de como funciona, es muy fácil ver errores.
Saludos!
Creo que deberías ser algo más serio y ordenando programando. Y lo primeiro es la seguridad.
Tu has creado meneame, tu sabrás si hay dudas razonables como para tener que cambiar las contraseñas (algo que no me apetece nada)
Por supuesto, el código abierto del software libre es siempre lo mejor. Como la buena gente. Buena gente y software libre es la hostia
"#4 Nota: Usuarios del menéame, cambiad contraseñas por favor, por las dudas."
Si realmente lo crees que es necesario, sugiero que envies un mail a todos los correos registrados, mucha gente no leerá esta noticia.
Saludos.
No si ya sabía yo que estos de Astroseti eran peligrosos
http://www.cyberlatam.com/internet/meneame-bajo-ataque.html
Señores por que tanto drama?? habia un error bastante feo, ya se corrigió. Se que no están de acuerdo conque hayan modificado una entrada pero entendamos que pudieron hacer mucho más que eso...al final se logró lo que se busca...mejorar!
No le sigais el rollo al lito este... es un troll en toda regla. Algunos tienen demasiado tiempo libre para ponerse a criticar lo que hacen otros. 'don't feed the troll'