Ideas, vivencias y demás

Aprovechando que reposo mi almuerzo, paso a mencionar y/o comentar sobre dos "perlitas" en la seguridad de productos software de las cuales me enteré via Hispasec.

La primera
Una va para la empresa de 100% seguridad. Se trata de Windows Vista y su UAC (User Account Control). De cara al usuario, se muestran distintos colores basados en la firmas digitales de los ejecutables, para hacer mas facil la decision del usuario sobre instalar/ejecutar o no dichos archivos. Cuando el sistema identifica al ejecutable como peligroso, avisa al usuario con un mensaje rojo, lo cual llama la atencion del usuario. Existen otros colores que representan distinas situaciones, entre ellos, el verde, que se muestra cuando el ejecutable en cuestion se encuentra firmado por Microsoft.

El problema es que existe una vulnerabilidad descrita en el articulo que lei, mediante la cual es posible que ejecutables dañinos puedan "mandar una advertencia verde", es decir, engañar que son de Microsoft, y que puedes instalarlos sin ningún temor ( algunos podrían decir que si la fuente real fuera Microsoft, debería sentirse mas temor ). Un usuario común ejecutaria el archivo y … las consecuencias pueden ser muchas, dependiendo de la maldad del dueño del ejecutable.

Pues, ya veo que el 100% seguridad que ofrecen ahora con vista, sigue siendo el mismo 100% seguridad que ofrecián con SO anteriores.

Ahora, la segunda "perlita", me apena un poco, puesto que soy usuario e "hincha" de Php. Hispasec señala que Stefan Esser, impulsor del PHP Security Response Team (PHP-SRT en adelante), ha abandonado dicho proyecto por discrepancias avergonzantes con el resto del equipo Php. Señala Stefan Esser que existen innumerables fallos de seguridad al interior del codigo php (dejemos de lado la parte del programador que usa php (inyeccion sql, etc)). Sin embargo, el problema (que tambien es de Arjona ), no es la existencia de los fallos, sino que el PHP-SRT se hace de la vista gorda y sigue anunciando que Php no tiene errores, fallos, y todo va de maravilla.

Por esta razon, Stefan Esser anunció que Marzo será el mes de las vulnerabilidades de Php, puesto que piensa publicar diariamente una, dos, o las que considere conveniente ( ojala no sean mas de dos ) de dichos problemas. Espero sea marzo porque he de admitir que la curiosidad hace de mi su presa, pero habra que esperar.

Para terminar, observar que a ambos lados del charco, las cosas no van siempre como nos quieren hacer creer.

PS: ahora ando programando sobre windows y utilizando php xD.

Con necudeco andamos desarrollando un ORM (Object Relational Mapping) para  PHP: PHP-ORM, yo aporto algunas ideas y testeo, mientras él codifica .

Aclaremos algunas cosas:
En los sistemas de programación persistentes, el programador no precisa crear procedimientos específicos para guardar y recuperar las estructuras de datos que utiliza en sus programas, ya que este proceso se realiza de forma totalmente transparente por el propio sistema. (Fuente)

Siempre es engorroso tener que estar creando metodos que implementen el acceso a datos, ya sea ejecutando SQL directamente o llamando a procedimientos almacenados. Esto es porque la mayoria de los motores de BD no son orientados a objetos, sino que trabajan en un modelo relacional, de tal forma que como programadores tenemos que en nuestras aplicaciones escribir codigo que permita la comunicacion entre el modelo orientado a objetos con el modelo relacional. (Algo más de información)

Para evitarnos dicha labor existen los ORM, que gestiona en acceso a datos mapeando las estructuras y relaciones de la base de datos para vinculandolos con los del sistema que se este desarrollando.

PHP-ORM es una clase abstracta la cual debe ser el padre de nuestras demas clases. Al momento se puede acceder a los metodos de construccion, set, get y actualizacion de datos. Aqui tenemos un ejemplo de como utilizarla, y aquí la web del proyecto.