Holas, > Me extraña su respuesta Sr. profesor. > Si nadie reporta este tipo de cosas, como hacer que avance el proyecto? >
se supone que el proyecto existe para brindar un cierto nivel de "tranquilidad" a los usuarios. Sobretodo si estaba en stable, o en testing (que se supone ahora que tambien tiene updates desde security). > Es una pequeñez esto que toco, pero precisamente aqui es donde va el > caracter principal del software libre, en la colaboracion de la comunidad. > Me imagino que Ud. lo tiene muy claro...espero. lo cual no excluye la responsabilidad del autor. No porque sea un proyecto open source se te van a filtrar ranas por todos lados > Cada uno ciertamente tiene sus preferencias. No por un comentario me voy a > alejar del proyecto que creo, a mi parecer, es uno de los mejores. > Es normal cometer errores. Y arreglarlos a tiempo es la gracia de > cualquier proyecto. No veo irresponsabilidad alguna con la seguridad como > usted afirma. el problema es que no es un tema menor el del sticky bit. Puede llevar a serias complicaciones para el usuario. Sobretodo si el pobre angelito encuentra en google soluciones como: "chmod ugo+w /tmp" que claramente pueden llevar a problemas serios. Un solo ejemplo (inventado, apliquenlo a la situacion que se les ocurra): 1. /tmp con permisos ugo+w 2. Un servicio establece un socket para comunicacion con procesos ayudantes en el directorio tmp. 3. Un usuario "avanzado" se percata de la situacion, y se percata de que no hay sticky bit y procede a borrar el socket y cambiarlo por un nuevo socket adaptado a sus necesidades. 4. El "usuario avanzado" espera que uno de los procesos ayudantes se contacte con el socket y voila! Probablemente tomara unas 100 iteraciones dar con el momento exacto para borrar el socket y cambiarlo por otro, pero no es nada que un script y un par de cervezas no solucionen. Pregunta: Que pasa si el proceso que abrio el socket, era un proceso de autentificacion de usuarios? En cambio, el sticky bit existe para garantizar que esa situacion no se de. A no ser (y eso depende del sistema en cuestion, si utiliza sistemas mas avanzados como SELinux), que seas root con lo cual el sticky bit puede ser pasado a llevar. Esa clase de cosas, debiera ser revisada antes de que salga a la luz publica o de lo contrario mas de un dolor de cabeza te vas a llevar. A todo esto, no tengo ninguna intencion de criticar al mentado proyecto. Solo quiero resaltar que lo que parece una "pequennez" puede convertirse en la piedra angular de muchos problemas. Xhau -- http://toolchains.com/personal/blog
