Rodrigo Fuentealba escribió:
> El 19/12/06, Alvaro Herrera<[EMAIL PROTECTED]> escribió:
> >Arturo Mardones escribió:
> >
> >> Ahora sobre el tema de seguridad, que por cierto me preocupa pues
> >> estoy proximo a sacar algunas paginas web en la empresa... alguien
> >> sabe que tan "facil" o mejor dicho, que nivel de conocimientos hay que
> >> tener para hacer pishing en apache, esto varia mucho entre 1.3 o 2.
> >> Que pasa con IIS 5 o 6? es mas facil o dificil hacer estas maldades?
> >
> >Si tienes sistemas en PHP, "all bets are off" ... No es que no se
> >puedan hacer en otros sistemas, solo que PHP es horriblemente peor.
> >(Se descubren problemas en sistemas hechos en PHP a cada rato).
>
> oh oh... presiento que con este thread llegamos a los 300.
300 fueron los guerreros espartanos que defendieron las Termopilas ante
el ataque de los persas ... te referias a eso?
> PHP es asegurable. Lee sobre Stefan Esser, algo que el 99.95% de los
> phperos no hace...
Ja. Busque en Google y llegue a su blog, la primera entrada del cual
dice
I was quite amused today when I saw a commit to the Zend Engine
by Dmitry Stogov. With this commit PHP now has a safe unlink
protection, a technique originally created by me for the glibc
heap implementation in 2003, that was also ripped by Microsoft
for XP-SP2. Basically the whole commit is a rip-off of a memory
manager protection similiar to the one in Suhosin. A protection
that was always considered a no-no for vanilla PHP while I was
among the PHP Security Response Team.
Yeah, well you do not need to be Harry Potter to guess what Zend
is trying to do with this commit and why it is commited now.
Fact is, that the people behind this patch have obviously not a
security background and therefore it is not a suprise that the
implementation violates several DONOTS that exist for heap
protections. It is less secure than the one in Suhosin and
therefore it is quite likely that I will have to completely
remove the code from this commit in future versions of our
patch.
Creeme que el nivel de confianza que me da sobre PHP es enorme,
aproximadamente similar (bueh, quizas un poco menor) a la cantidad de
veces que he visto camellos pasando por ojos de agujas.
En todo caso mi punto se mantiene. De que sirve que haya un PHP
"mejorado" para seguridad (Suhosin) si realmente el problema es el PHP
"de vainilla" que esta lleno de pifias y que miles de monos en Internet
usan para escribir software que la gente instala en sus sistemas sin
tener idea de las implicancias?
--
Alvaro Herrera http://www.PlanetPostgreSQL.org/
"Prefiero omelette con amigos que caviar con tontos"
(Alain Nonnet)
From [EMAIL PROTECTED] Wed Dec 20 01:06:50 2006
From: [EMAIL PROTECTED] (Horst H. von Brand)
Date: Wed Dec 20 01:27:11 2006
Subject: Microsoft & Novell [Was]Re: Instalacion de Kubuntu Dapper
In-Reply-To: Your message of "Tue, 19 Dec 2006 13:29:05 -0300."
<[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>
Cristian Rodriguez <[EMAIL PROTECTED]> wrote:
> El 18/12/06, Horst H. von Brand<[EMAIL PROTECTED]> escribió:
> > Rodrigo Fuentealba <[EMAIL PROTECTED]> wrote:
[...]
> > > Yo no puedo crear una licencia para prohibirle a usted, señor
> > > desarrollador de SuSE, que se junte con Microsoft u otra empresa. Yo
> > > no condiciono su comportamiento, solamente condiciono lo que usted
> > > hace con /mi/ producto o el producto que /yo/ le entrego a Usted...
> > El punto es que una parte bastante substancial de SUSE es codigo bajo
> > GPL, y el arreglin bajo discusion lo viola.
> No, el acuerdo esta fuera de la competencia de la licencia GPL.
Porque? GPLv2 indica claramente que si yo te distribuyo a ti, tu a su vez
tienes que tener la posibilidad de distribuir a un tercero X /con
exactamente las mismas prerrogativas y privilegios/ que tu mismo. Si por un
arreglin entre yo y M, y por el detallito que tu me pagas y X no, xX esta
en situacion menos protegida que la tuya al recibir el codigo de tu parte,
*automaticamente* pierdo el derecho de distribuir el codigo del caso.
> y es
> mas , desde novell han dicho muchas veces que ellos estan apoyando la
> GPLv3 (que segun el FUD estaria invalidando el acuerdo)
Y? GPLv3 es cuando mucho un volador de luces hoy, por lo menos falta un
an~o antes que se formalice. Y luego las versiones "enterprise" tendran
vidas de unos 5 an~os mas, usando el codigo antiguo (GPLv2) de base. Para
cuando una posible GPLv3 aplicada a "nuevas versiones" del codigo (que no
hay mucho entusiasmo de parte de las piezas de real importancia de migrar
de licencia, mas lo contrario) haga alguna mella, el arreglin habra
expirado.
Y no he escuchado bulla pro-GPLv3 de Novell despues del arreglin...
--
Dr. Horst H. von Brand User #22616 counter.li.org
Departamento de Informatica Fono: +56 32 2654431
Universidad Tecnica Federico Santa Maria +56 32 2654239
Casilla 110-V, Valparaiso, Chile Fax: +56 32 2797513
