jueves, agosto 11, 2005
Reacciones desmedidas
Leo hoy varias reacciones desmedidas a un presunto bug en el código de WordPress. Esto me pone a pensar en lo fácil que se malinterpretan las cosas y lo sencillo que puede llegar a ser aprovecharse de situaciones como estas para exparcir problemás aún mayores entre los usuarios de un software.
Comencemos por analizar el "bug", que no es tal cosa, sino que es una vulnerabilidad, producida no por el código de WordPress en sí, sino por un valor de configuración del PHP que no es recomendado ni por la gente de WordPress ni por la mismisima gente de PHP: la directiva register_globals puesta en "on". Esta directiva normalmente es parte del archivo php.ini y determina si PHP debe manejar los parametros que recibe en cada request como variables globales o no.
Donde entra a jugar el código de WordPress? La situación es que en el archivo /wp-includes/functions.php existe una linea que no prevee este tipo de situaciones antes de utilizar una variable. El problema, a nivel técnico, junto con su solución están muy bien explicados en este post de 16-bits.com.ar. El asunto en cuestión es determinar que tan responsable es el código de WordPress de no incluir un control más estricto de la "sanidad" del dato, si la vulnerabilidad sólo se produce al usar una configuración de PHP no recomendada en la propia documentación del lenguaje?
Creo que si bien WordPress trata de cumplir la meta de acercar un software de blogging a todo tipo de usuarios, más allá de su conocimiento técnico, hay cuestiones a nivel configuración que exceden las posibilidades de precaución que pueda tomar este software. Y si bien hoy la víctima es WordPress mañana puede ser cualquier otro software que algún script kiddie se ponga a revisar en busca de un control débil, y el origen del problema va a ser siempre el mismo, una directiva de configuración inadecuada que viene siendo desaconsejada desde hace más de 4 años.
Aqui entra otra cuestión en juego, Debe WordPress proveer un parche para esto o es responsabilidad del administrador de cada sitio utilizar una configuración de php adecuada? Muchos fueron los que en un acto desesperado salieron a recomendar que la gente baje una versión del archivo en cuestión provista por un tercero, sin considerar los potenciales riesgos de seguridad que esto significa, en lugar de modificar una configuración que ni siquiera requiere de acceso al php.ini ya que puede ser modificar desde un .htaccess ... peor el remedio que la enfermedad.
Actualización:
Analizando en detalle el asunto con un amigo, veo que cabe aún más responsabilidad sobre WordPress de la que originalmente pensaba. La cuestión es que incluso con register_globals en off, si no se valida el formato de la cookie puedo editar la cookie antes de enviarla y lograr el mismo resultado que pasandola por parámetro.
Actualización 2:
No hagan caso de lo anterior, eso era en el supuesto caso de reemplazar el uso directo de la variable por su equivalente en el array $_COOKIE.
Leer más...
Comencemos por analizar el "bug", que no es tal cosa, sino que es una vulnerabilidad, producida no por el código de WordPress en sí, sino por un valor de configuración del PHP que no es recomendado ni por la gente de WordPress ni por la mismisima gente de PHP: la directiva register_globals puesta en "on". Esta directiva normalmente es parte del archivo php.ini y determina si PHP debe manejar los parametros que recibe en cada request como variables globales o no.
Donde entra a jugar el código de WordPress? La situación es que en el archivo /wp-includes/functions.php existe una linea que no prevee este tipo de situaciones antes de utilizar una variable. El problema, a nivel técnico, junto con su solución están muy bien explicados en este post de 16-bits.com.ar. El asunto en cuestión es determinar que tan responsable es el código de WordPress de no incluir un control más estricto de la "sanidad" del dato, si la vulnerabilidad sólo se produce al usar una configuración de PHP no recomendada en la propia documentación del lenguaje?
Creo que si bien WordPress trata de cumplir la meta de acercar un software de blogging a todo tipo de usuarios, más allá de su conocimiento técnico, hay cuestiones a nivel configuración que exceden las posibilidades de precaución que pueda tomar este software. Y si bien hoy la víctima es WordPress mañana puede ser cualquier otro software que algún script kiddie se ponga a revisar en busca de un control débil, y el origen del problema va a ser siempre el mismo, una directiva de configuración inadecuada que viene siendo desaconsejada desde hace más de 4 años.
Aqui entra otra cuestión en juego, Debe WordPress proveer un parche para esto o es responsabilidad del administrador de cada sitio utilizar una configuración de php adecuada? Muchos fueron los que en un acto desesperado salieron a recomendar que la gente baje una versión del archivo en cuestión provista por un tercero, sin considerar los potenciales riesgos de seguridad que esto significa, en lugar de modificar una configuración que ni siquiera requiere de acceso al php.ini ya que puede ser modificar desde un .htaccess ... peor el remedio que la enfermedad.
Actualización:
Analizando en detalle el asunto con un amigo, veo que cabe aún más responsabilidad sobre WordPress de la que originalmente pensaba. La cuestión es que incluso con register_globals en off, si no se valida el formato de la cookie puedo editar la cookie antes de enviarla y lograr el mismo resultado que pasandola por parámetro.
Actualización 2:
No hagan caso de lo anterior, eso era en el supuesto caso de reemplazar el uso directo de la variable por su equivalente en el array $_COOKIE.
Leer más...
viernes, agosto 05, 2005
Mozilla Corporation
En una movida inesperada la Mozilla Foundation acaba de crear la Mozilla Corporation para manejar el desarrollo, la distribución y la promoción de sus proyectos Firefox y Thunderbird. Esta jugada, que seguramente desencadenará todo tipo de reacciones dentro del movimiento Open Source, se anuncia como una forma de sortear ciertas cuestiones que se presentan a la hora de generar ingresos para financiar los proyectos, y promete ser algo transparente para el usuario final que podrá seguir disfrutando libremente de estos productos.
El anuncio, hecho el miercoles, detalla el por qué de la creación de la nueva empresa, que será propiedad de la Fundación Mozilla y será controlada por esta. Según se afirma en MozillaZine, tdas las ganancias generadas por esta Corporación serán utilizadas para financiar los proyectos de la Fundación Mozilla, y el 100% de las acciones de la nueva empresa permanecerán bajo el control de la Fundación, sin posibilidad de que se vendan, otorgen stock options o se acerquen a los mercados bursátiles.
Al igual que Eduardo, pienso que muchos fundamentalistas del Software Libre se sentirán indignados y repudiarán maniobras de este estilo, pero en el fondo pienso como él sobre esto, y creo que es una salida práctica para destrabar cuestiones que solamente nos beneficiarán a todos los usuarios de los productos Mozilla.
Leer más...
El anuncio, hecho el miercoles, detalla el por qué de la creación de la nueva empresa, que será propiedad de la Fundación Mozilla y será controlada por esta. Según se afirma en MozillaZine, tdas las ganancias generadas por esta Corporación serán utilizadas para financiar los proyectos de la Fundación Mozilla, y el 100% de las acciones de la nueva empresa permanecerán bajo el control de la Fundación, sin posibilidad de que se vendan, otorgen stock options o se acerquen a los mercados bursátiles.
Al igual que Eduardo, pienso que muchos fundamentalistas del Software Libre se sentirán indignados y repudiarán maniobras de este estilo, pero en el fondo pienso como él sobre esto, y creo que es una salida práctica para destrabar cuestiones que solamente nos beneficiarán a todos los usuarios de los productos Mozilla.
Leer más...
jueves, agosto 04, 2005
Quién pudiera...
David Heinemeier Hansson, uno de los miembros de 37signals y uno de los desarrolladores de Ruby on Rails, fue galardonado ayer como el "Best Hacker" durante la edición 2005 de la "Open Source Convention" (OSCON).
El premio en cuestión consistió en un diploma y la para nada despreciable suma de u$d 5.000. David fue elegido ganador en base a su aporte al desarrollo de ROR, un framework para desarrollo de aplicaciones web sobre Ruby, que potencia aplicaciones como Basecamp, Ta-da List, Backpack, 43things o Blinksale, entre otras.
Habrá algún día un desarrollador hispano con el mérito suficiente para recibir este tipo de reconocimientos?
Leer más...
El premio en cuestión consistió en un diploma y la para nada despreciable suma de u$d 5.000. David fue elegido ganador en base a su aporte al desarrollo de ROR, un framework para desarrollo de aplicaciones web sobre Ruby, que potencia aplicaciones como Basecamp, Ta-da List, Backpack, 43things o Blinksale, entre otras.
Habrá algún día un desarrollador hispano con el mérito suficiente para recibir este tipo de reconocimientos?
Leer más...
Yahoo! Audio Search
Leyendo El Telendro me entero que Yahoo! acaba de lanzar la beta de su Audio Search, un sitio donde podemos buscar todo tipo de archivos de sonido en internet. Desde música hasta entrevistas, efectos sonoros, podcasts o discursos todo está indexado por Yahoo e incluso tenemos información sobre precios en caso de que sean descargas pagas.
Además de la lógica integración en los resultados de Y! Music, también se muestran resultados de iTunes Store, MSN Music, Rhapsody, Musicmatch y Napster entre otros. A primera vista parece bastante útil y la interface está muy clara y lograda, con cosas que me recuerdan mucho a la primera época de mp3.com.
Leer más...
Además de la lógica integración en los resultados de Y! Music, también se muestran resultados de iTunes Store, MSN Music, Rhapsody, Musicmatch y Napster entre otros. A primera vista parece bastante útil y la interface está muy clara y lograda, con cosas que me recuerdan mucho a la primera época de mp3.com.
Leer más...
miércoles, agosto 03, 2005
Seguimos con IE7
Al parecer IE7 está generando mucho más revuelo del previsible teniendo en cuenta que es sólo la primera beta. Vía Mariano me entero que Paul Thurrott, un WinUser a ultranza y responsable de WinSupersite se ha lanzado contra IE7 y ha llamado a boicotear el navegador de la empresa de Redmond.
Esto va en un tono similar, pero desde un punto de vista razonable, a un reciente post de Minid en el que se criticaba con ¿excesiva? dureza al IE, pero a mi entender no se usaba el criterio adecuado, ya que una cosa es criticar cuestiones como los años perdidos por MS en el terreno de los navegadores o el pésimo soporte de estándares, y otra es exagerar cuestiones de tiempos, formas y hasta cuestionar la integridad de los desarrolladores.
Me parece que si bien Internet Explorer 7 es más de lo mismo y encima tarde, ni el Open Source necesita que se ataque a nadie para difundirlo, ni los empleados de Microsoft merecen ser tratados de caraduras por hacer su trabajo... o si?
Leer más...
Esto va en un tono similar, pero desde un punto de vista razonable, a un reciente post de Minid en el que se criticaba con ¿excesiva? dureza al IE, pero a mi entender no se usaba el criterio adecuado, ya que una cosa es criticar cuestiones como los años perdidos por MS en el terreno de los navegadores o el pésimo soporte de estándares, y otra es exagerar cuestiones de tiempos, formas y hasta cuestionar la integridad de los desarrolladores.
Me parece que si bien Internet Explorer 7 es más de lo mismo y encima tarde, ni el Open Source necesita que se ataque a nadie para difundirlo, ni los empleados de Microsoft merecen ser tratados de caraduras por hacer su trabajo... o si?
Leer más...
lunes, agosto 01, 2005
IE7 beta 1... más de lo mismo
Si bien IE7 fue anunciado como la solución a la interminable lista de bugs y carencias del tristemente célebre Internet Explorer, la primera beta "disponible" del mismo no trae demasiadas soluciones a lo antes mencionado.
La mayor parte de los bugs relacionados a CSS siguen ahí y si bien existe la promesa de acabar con muchos de ellos para la beta 2, el sabor que deja el nuevo navegador de Microsoft es un tanto soso... por decirlo de alguna forma.
No me malinterpreten, pero IE7 es más de lo mismo, fuera de los tabs, el soporte para RSS y alguna que otra mejora a la interfase y la seguridad (un poco tarde quizás), los problemas siguen siendo los mismos y son más las promesas y las expectativas que se crean que las soluciones que se proporcionan con esta nueva versión.
Yo personalmente no espero nada del otro mundo cuando llegue la versión definitiva de este producto, principalmente porque Microsoft no parece tener ningún as bajo la manga para contrarrestar los más de 4 años sin innovación de su parte en este rubro, y todas las "nuevos" funcionalidades de esta versión son la réplica de lo que Firefox y Opera vienen aportando de un tiempo a esta parte. Será cuestión de esperar y ver como los otros navegadores aprovechan esta situación.
Leer más...
La mayor parte de los bugs relacionados a CSS siguen ahí y si bien existe la promesa de acabar con muchos de ellos para la beta 2, el sabor que deja el nuevo navegador de Microsoft es un tanto soso... por decirlo de alguna forma.
No me malinterpreten, pero IE7 es más de lo mismo, fuera de los tabs, el soporte para RSS y alguna que otra mejora a la interfase y la seguridad (un poco tarde quizás), los problemas siguen siendo los mismos y son más las promesas y las expectativas que se crean que las soluciones que se proporcionan con esta nueva versión.
Yo personalmente no espero nada del otro mundo cuando llegue la versión definitiva de este producto, principalmente porque Microsoft no parece tener ningún as bajo la manga para contrarrestar los más de 4 años sin innovación de su parte en este rubro, y todas las "nuevos" funcionalidades de esta versión son la réplica de lo que Firefox y Opera vienen aportando de un tiempo a esta parte. Será cuestión de esperar y ver como los otros navegadores aprovechan esta situación.
Leer más...