Ideas, vivencias y demás

Complementando este post, donde se hablaba del mes de las vulnerabilidades en php, aquí esta la web donde se publican los fallos. Algo "bueno", o mejor dicho, lo rescatable para los desarrolladores que utilizan php, es que los fallos no pueden ser aprovechados de forma remota, lo cual libra en algo de responsabilidad y preocupaciones. Sin embargo, dicha responsabilidad no desaparece, sino que es cargada a los administradores de los servidores que dan hosting, que deben de cuidar, con más esmero que el de costumbre, las formas de acceso al servidor (detalles aquí).

Aprovechando que reposo mi almuerzo, paso a mencionar y/o comentar sobre dos "perlitas" en la seguridad de productos software de las cuales me enteré via Hispasec.

La primera
Una va para la empresa de 100% seguridad. Se trata de Windows Vista y su UAC (User Account Control). De cara al usuario, se muestran distintos colores basados en la firmas digitales de los ejecutables, para hacer mas facil la decision del usuario sobre instalar/ejecutar o no dichos archivos. Cuando el sistema identifica al ejecutable como peligroso, avisa al usuario con un mensaje rojo, lo cual llama la atencion del usuario. Existen otros colores que representan distinas situaciones, entre ellos, el verde, que se muestra cuando el ejecutable en cuestion se encuentra firmado por Microsoft.

El problema es que existe una vulnerabilidad descrita en el articulo que lei, mediante la cual es posible que ejecutables dañinos puedan "mandar una advertencia verde", es decir, engañar que son de Microsoft, y que puedes instalarlos sin ningún temor ( algunos podrían decir que si la fuente real fuera Microsoft, debería sentirse mas temor ). Un usuario común ejecutaria el archivo y … las consecuencias pueden ser muchas, dependiendo de la maldad del dueño del ejecutable.

Pues, ya veo que el 100% seguridad que ofrecen ahora con vista, sigue siendo el mismo 100% seguridad que ofrecián con SO anteriores.

Ahora, la segunda "perlita", me apena un poco, puesto que soy usuario e "hincha" de Php. Hispasec señala que Stefan Esser, impulsor del PHP Security Response Team (PHP-SRT en adelante), ha abandonado dicho proyecto por discrepancias avergonzantes con el resto del equipo Php. Señala Stefan Esser que existen innumerables fallos de seguridad al interior del codigo php (dejemos de lado la parte del programador que usa php (inyeccion sql, etc)). Sin embargo, el problema (que tambien es de Arjona ), no es la existencia de los fallos, sino que el PHP-SRT se hace de la vista gorda y sigue anunciando que Php no tiene errores, fallos, y todo va de maravilla.

Por esta razon, Stefan Esser anunció que Marzo será el mes de las vulnerabilidades de Php, puesto que piensa publicar diariamente una, dos, o las que considere conveniente ( ojala no sean mas de dos ) de dichos problemas. Espero sea marzo porque he de admitir que la curiosidad hace de mi su presa, pero habra que esperar.

Para terminar, observar que a ambos lados del charco, las cosas no van siempre como nos quieren hacer creer.

PS: ahora ando programando sobre windows y utilizando php xD.