#4 "el core es abierto tu mismo puedes analizarlo" Pero resulta que no puedo hacerlo, ni siquiera la fundación bitcoin podia hacerlo hasta que ha contratado a un desarrollador del nucleo especializado en seguridad. En la nsa y en cualquier empresa intentan optimizar costes y tiempo y si sale mas barato hacer lo que digo yo, frente a las otras opciones (comprar vulnerabilidades a empresas especializadas y hacer una auditoria completa de seguridad), pues se la plantearán.

#1 puedes editarlo tú mismo, todavía estás a tiempo.

Aunque la noticia es antigua y probablemente duplicada, por lo que con el culatar por lo menos te queda gracioso. #jarl

#1 y el tiro por la culatarrrr pecadorr cobarrdee

#29 No creo que esta distribución esté diseñada para poder acceder a los servicios de la administración pública desde un equipo comprometido (lo que sería de locos). Es, simplemente, un sistema listo para acceder a ellos con todo configurado e instalado.

Los fallos de seguridad como poodle o heartbleed son inevitables
El problema de la seguridad del software es que, sinceramente, a nadie le importa una mierda hasta que algo se pega fuego. Piensa en esto un segundo: Windows XP fue lanzado al mercado en 2001 y, hoy, trece años más tarde, aún se siguen solucionando fallos de seguridad. Esto quiere decir que Windows XP ha tenido fallos de seguridad que no se han descubierto hasta trece años después de ponerlo a la venta. Y hablar de ¿quien es más seguro?, ¿Windows o Linux? es como hablar de ¿qué partido político es más honrado? ¿el PP o PSOE? (pista: la respuesta es: NO).

Una amena lectura sobre el tema: https://medium.com/message/everything-is-broken-81e5f33a24e1

#31 Ya empezamos con los flame. Si un sistema operativo lleva 13 años es porque las empresas pagan soporte como se hace con Ubuntu LTS que son 5 años extensibles y puedes tener una distribucion de GNU/Linux perfectamente 15 años a base de parches y mantenida por una empresa como Canonical. Los fallos de seguridad no es que tengan 13 años es que cada año aparecen nuevas tecnicas para explotar fallos que antes se consideraban de menos impacto o que se podian mitigar. Por ejemplo Microsoft lanza EMET que es lo maximo que hay en protecciones de software ante vulnerabilidades y a la semana se lanza un metodo para saltarse estas protecciones. Por ejemplo Chrome añade una sandbox para evitar que un fallo de seguridad salga del proceso del navegador y afecte al usuario y cada año en Pwn2Own alguien hackea la sandbox y puede ejecutar codigo en el sistema operativo. Todo eso es la misma discusion de siempre, fallos hay y habra atemporales, hace poco OpenBSD "el sistema mas seguro del mundo por defecto" parcheo un fallo de seguridad que llevaba 20 años. Lo que vengo a decir es quien es tan idiota para usar una maquina virtual por bonita y preconfigurada que sea sin tu saber que hace realmente y si alguien se ha preocupado por eso. Otro ejemplo la mayoria de personas comprando telefonos Xiaomi que son telefonos Android baratos y con unas especificaciones decentes (creo que en Dealxtreme etc los encuentras) y resulta que todos vienen con Spyware que envia tus SMS, navegacion, etc a China.. Seamos un poquito inteligentes en saber que usar ante todo con una base de confianza como puede ser Microsoft, Canonical (Ubuntu) o Mac OSX Apple y con navegadores como Firefox/Chrome

#24 Pues eso, lo normal... La auditoría por la comunidad se hace siempre después de usarla... Y si funciona como dice y se tiene un poco de cuidado no hay mmayor problema. La otra opción es no usar esos servicios, porque realmente no hay ninguna distribución segura y auditada del todo (mira poodle o heartbleed) (y del resto no hablo).

#25 Los fallos de seguridad como poodle o heartbleed son inevitables, son fallos de implementacion que ocurren siempre. Cuando hablo de auditoria me refiero a que no tenga ningún tipo de rootkit, este medio actualizada a los parches finales y disponga de los minimos mecanismos de seguridad de un sistema operativo. Por ejemplo que no tenga un servidor de DNS propio y una CA propia y te esten haciendo un man in the middle para robarte tus datos, etc. Eso es lo que te da una comunidad de usuarios, mantenedores de paquetes, etc. Fiarse de una maquina virtual como hizo mucha gente fiandose de maquinas virtuales en Amazon EC2 sin conocer el origen y acabo siendo victima de su propia estupidez.

#20 Siempre será mejor que usar windows... Soy usuario asiduo de la administración electrónica y es una PESADILLA, sea en windows, Linux o Mac y prefiero tener una distribución estable que funcione, lo de auditarlo tampoco se hace con el resto de los so que se utilizan para acceder a los sitios seguros. Como tu dices. alguien va a rellenar un formulario con todos sus datos privados en una máquina windows que usa todos los días para navegar por internet e instalar mierdecillas sin garantía alguna. La estupidez humana es mejor que cualquier malware... Y lo digo para que os penséis dos veces lo que hacéis (usar windows y eso).

#23 Que mania con MS vs GNU/Linux que no viene al caso. Si me dan una maquina virtual Windows tampoco me fiaria. Y auditar lo audita la comunidad de usuarios que es quien la desarrolla y reporta problemas como pasa con Debian o empresas como Canonical detrás de Ubuntu. Seamos un poco inteligentes y dejemos los flame sobre Microsoft y GNU/Linux.. hablamos de una maquina virtual de alguien para que tu la uses para tus documentos personales.

#24 Pues eso, lo normal... La auditoría por la comunidad se hace siempre después de usarla... Y si funciona como dice y se tiene un poco de cuidado no hay mmayor problema. La otra opción es no usar esos servicios, porque realmente no hay ninguna distribución segura y auditada del todo (mira poodle o heartbleed) (y del resto no hablo).

#25 Los fallos de seguridad como poodle o heartbleed son inevitables, son fallos de implementacion que ocurren siempre. Cuando hablo de auditoria me refiero a que no tenga ningún tipo de rootkit, este medio actualizada a los parches finales y disponga de los minimos mecanismos de seguridad de un sistema operativo. Por ejemplo que no tenga un servidor de DNS propio y una CA propia y te esten haciendo un man in the middle para robarte tus datos, etc. Eso es lo que te da una comunidad de usuarios, mantenedores de paquetes, etc. Fiarse de una maquina virtual como hizo mucha gente fiandose de maquinas virtuales en Amazon EC2 sin conocer el origen y acabo siendo victima de su propia estupidez.

#20 Hay gente que se instala versiones personalizadas por vete tú a saber quien de Windows así que imagínate lo que se plantea la gente.

#27 Hablo de condiciones normales de usuario, haber hay de todo. No por tener una maquina virtual estando en un Windows con malware es que estes mejor digo yo.

#29 No creo que esta distribución esté diseñada para poder acceder a los servicios de la administración pública desde un equipo comprometido (lo que sería de locos). Es, simplemente, un sistema listo para acceder a ellos con todo configurado e instalado.

Los fallos de seguridad como poodle o heartbleed son inevitables
El problema de la seguridad del software es que, sinceramente, a nadie le importa una mierda hasta que algo se pega fuego. Piensa en esto un segundo: Windows XP fue lanzado al mercado en 2001 y, hoy, trece años más tarde, aún se siguen solucionando fallos de seguridad. Esto quiere decir que Windows XP ha tenido fallos de seguridad que no se han descubierto hasta trece años después de ponerlo a la venta. Y hablar de ¿quien es más seguro?, ¿Windows o Linux? es como hablar de ¿qué partido político es más honrado? ¿el PP o PSOE? (pista: la respuesta es: NO).

Una amena lectura sobre el tema: https://medium.com/message/everything-is-broken-81e5f33a24e1

#31 Ya empezamos con los flame. Si un sistema operativo lleva 13 años es porque las empresas pagan soporte como se hace con Ubuntu LTS que son 5 años extensibles y puedes tener una distribucion de GNU/Linux perfectamente 15 años a base de parches y mantenida por una empresa como Canonical. Los fallos de seguridad no es que tengan 13 años es que cada año aparecen nuevas tecnicas para explotar fallos que antes se consideraban de menos impacto o que se podian mitigar. Por ejemplo Microsoft lanza EMET que es lo maximo que hay en protecciones de software ante vulnerabilidades y a la semana se lanza un metodo para saltarse estas protecciones. Por ejemplo Chrome añade una sandbox para evitar que un fallo de seguridad salga del proceso del navegador y afecte al usuario y cada año en Pwn2Own alguien hackea la sandbox y puede ejecutar codigo en el sistema operativo. Todo eso es la misma discusion de siempre, fallos hay y habra atemporales, hace poco OpenBSD "el sistema mas seguro del mundo por defecto" parcheo un fallo de seguridad que llevaba 20 años. Lo que vengo a decir es quien es tan idiota para usar una maquina virtual por bonita y preconfigurada que sea sin tu saber que hace realmente y si alguien se ha preocupado por eso. Otro ejemplo la mayoria de personas comprando telefonos Xiaomi que son telefonos Android baratos y con unas especificaciones decentes (creo que en Dealxtreme etc los encuentras) y resulta que todos vienen con Spyware que envia tus SMS, navegacion, etc a China.. Seamos un poquito inteligentes en saber que usar ante todo con una base de confianza como puede ser Microsoft, Canonical (Ubuntu) o Mac OSX Apple y con navegadores como Firefox/Chrome

#43 #45 #47 Una distro basada en linux no sé, pero estaría bien que ReactOS estuviera lo suficientemente maduro como para eso.

#49 Yo no hablo de estandarizar una distribución Linux, digo de crear un navegador basado en Firefox/Chrome, que sea open source y que esté para el mayor número de plataformas posible: Linux, Mac, Win, (Android, iOS etc ya sería mucho pedir)

#51 ¿Pero por qué tenemos NOSOTROS que crear algo para soportar algo que debería servirnos a todos, que ha sido hecho CON NUESTRO DINERO? ¿no deberían hacer que las cosas funcionen para todos y en todos los casos que cubran los estándares? (que pa eso están) y de paso seguir sus propias directrices. Que yo he programado cosas para la administración y nos exigían todo lo que ellos mismos no se exigen. ¡Y nos ponían pegas porque querían hacerlo todo en java, que es todo lo contrario a lo que piden!

#53 Creo que no has programado en entorno web----ya de por sí intentar soportar IE es un logro y eso sólo en una versión, ya si luego intentas que sea compatible en varias versiones de IE con el cachondo, y jodido, "modo de compatibilidad" es un milagro que te funcione, si le añades Firefox y Chrome alucinas y eso que éstos dos últimos cumplen los estándares muy bien.

Por otro lado tenemos el lado Java, no hay ningún problema con él salvo que los plugins para enlazar con los navegadores son una patata con problemas de seguridad, incompatibilidades y múltiples problemas ( https://support.google.com/chrome/answer/2429779?hl=en ). De hecho el año que viene Chrome deja de permitir plugins NPAPI ( http://www.firebreath.org/display/documentation/Browser+Plugins+in+a+post-NPAPI+world ) y Java dejará de funcionar, lo mismo para Firefox.

Por eso la mejor opción no es hacer que 200 empresas hagan 500 productos en las Administraciones compatibles con todo lo habido y por haber que puede existir en el PC de millones de usuarios. Lo más sencillo es coger un navegador, añadirle plugins nativos (nada de Java) para realizar alguna tarea que a día de hoy no se soporta de forma estándar (el Crypto todavía es un draft no es estándar), empaquetarlo y distribuirlo. De esa forma, esas 200 empresas sólo deberán desarrollar para una plataforma que además seguirá los estándares lo más fielmente posible y no podrán cobrar el doble o el triple para que funcione en todas las plataformas cuando además al final no funcionará de forma correcta a la primera actualización de navegador/java/sistema operativo disponible.

#54 Precisamente porque trabajo en web se de lo que me hablo. Si te ciñes a los estándares no tienes ningún problema con ningún navegador actual o con menos de cinco años (y no me vale estándares en periodo de discusión o con implementaciones de prueba o no completas).

El java tiene muchos problemas:
-Es un plugin; hay que instalarlo en el sistema (y muchos navegadores lo bloquean directamente, al menos las versiones que se saben peligrosas).
-No va en todos los equipos porque es muy pesado y lento y no está soportado por todas las plataformas o arquitecturas.
-La versión java para dispositivos móviles recorta muchas cosas en pos de la flexibilidad y ahorro de recursos, lo que no permite usar programas java normales en ella.
-Frecuentes problemas GORDOS de seguridad.
-Versiones incompatibles unas con otras, necesidad de portar tus programas a la nueva versión.
-NO es accesible. Una persona con deficiencias con su navegador adaptado no puede acceder a contenidos hechos en java.

Tomemos la administración media que hizo en su día un programa para java 6. Así a bote pronto estás dejando fuera a:
-Todo aquel que use dispositivos móviles para hacer gestiones.
-Todo aquel que no use una implementación java oracle (las implementaciones de referencia, libres y abiertas no funcionan igual de bien, al menos con java 7 y 8 la brecha entre la de referencia y la de oracle es menor) porque le va a dar problemas en algún momento dado o le va a hacer inservible.
-Todo aquel que no use internet explorer, porque siendo java un entorno "neutro" se las apañan para tirar esa neutralidad a la basura.

Los móviles solo son millones de potenciales usuarios de tu aplicación que no pueden usarla (en españa ahora mismo hay registrados 53 millones, de los cuales 26 millones se conectan a internet con ellos, de los cuales 10 millones pueden usarlos para algo más que el whatsapp, de los cuales...). Si contamos que ahora mismo solo un tercio de españoles usan explorer, estarías limitando aún más el número de personas que podrían acceder a.

Y te repito otra vez más: no 5000 millones de versiones de un producto que resuelvan cada pequeña variación de características, solo una y que siga los estándares, que solo con eso ya permites que potencialmente TODO el mundo pueda acceder a tus servicios. Y repito de nuevo, si algún navegador no cumple un estándar o falla, basta entrar en su bugzilla y crear un bug, que ya se encargarán ellos de resolver el problema (porque la culpa no será de tu producto).

Porque ahora mismo hay una, pero falla por todos lados por pensarse y hacerse para un entorno concreto fuera de estándares.

Sobre tu propuesta: ¿Qué navegador escogerías? ¿te venderías a google? ¿irías por mozilla por aquello de ser una fundación y tal? ¿desarrollarías tu propio navegador? ¿por qué elegirías de ese modo? ¿qué razones darías para ello? ¿por qué la gente tendría que bajar tu navegador si ya está contento con el que tiene? ¿qué pasa si alguien no puede acceder a las cosas porque le has obligado a instalar un navegador que igual no tiene versión para su arquitectura/SO/loquesea o tu tienes binarios para él o no has portado tu código a esa versión del navegador?

Hablas de criptografía (en cliente) como escudo para darle valor a java, Http dispone de formas de encriptar los datos que transmites (no es lo mismo que encriptar antes de mandar, claro, pero tampoco es que los datos vayan por cauces inseguros, hay millones de webs de tiendas y tal que realizan operaciones bastante sensibles para los datos de los usuarios y no necesitan java).

Lo de los lectores de dni electrónico fue una chapuza total, y en gran parte la poca extensión que ha tenido ha sido culpa de unos drivers de mierda (y cerrados) y la implementación en java (que vino muy bien para que todas las administraciones que ya tenían sus programas en java no tuvieran que tocar mucho, pero que ha ignorado al resto del mercado potencial). Conozco mucha gente que en su día consiguió el lector de marras y no ha podido usarlo (alguno ni siquiera en windows).