-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Victor Hugo dos Santos escribió: > 2008/6/11 David Aravena <[EMAIL PROTECTED]>: >>> No veo el problema. Es obvio que hay una vulnerabilidad y que eso es >>> malo. Esto no es exclusivo del software libre;
Más bien, parece ser una regla del software. >>> el software comercial >>> también sufre de estos problemas. De otra forma, no existirian los service packs de windows. >> Alvaro, >> >> Si tienes razón pero quiero ir más allá, esto es "dos años" más allá >> desde que el paquete está marcado como "estable" No existe forma alguna de saber si un paquete tendra problemas de seguridad o no. La auditoria de paquetes debe ser constante, y como regla general, no usar nada que este desactualizado en un periodo largo. >> pero aun así quiza >> falta una instancia de control más potente. ¿Que mejor auditoria que la que proviene de los usuarios? Si un problema de seguridad se descubre, el usuario debe reportar ese problema de seguridad. Por lo demas, OpenSSL es algo totalmente no trivial. > no seas ingenuo !! > que el software diga "estable", significa en el mejor de los casos que > esta libre de problemas conocidos y/o bugs detectados desde las > versiones alpha, beta y/o RC !!! Decidir si un paquete es estable o no es, al menos en mi experiencia, un verdadero cacho, porque implica que en el mejor de los casos las bibliotecas de las que dependen los paquetes entren en un estado de produccion y esto no es sincronizado. En Slackware cuando mantenia PHP, debia esperar a que GCC y el Kernel no tenga problemas reportados de hardware y memoria, que pase un tiempo para saber si otras distribuciones han encontrado problemas con ese kernel y si las ultimas versiones estables de cada biblioteca utilizada por PHP funcionan adecuadamente. No, nada de esto es trivial, considerando que aparte de la funcionalidad, debe haber licenciamientos compatibles, ver que dice el jefe, coordinar con los otros packagers... > ve por ejemplo, "Oracle Unbreakable", realmente era "Unbreakable" ??? Nada lo es. Repito: la inseguridad es una regla del software. > y por mas riguroso que sean las pruebas, los testes y duendes mágicos > que revisan los códigos.. siempre estarán propenso a problemas, sea > hoy, dentro de un mes o dentro de 5 anos !!!! > > el tema acá, es como se aborda la solución, cuanto tiempo se demora y > la transparencia hacia los usuarios. Correcto. - -- Rodrigo Fuentealba Concepción, Región del Bío-Bío, Chile -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.9 (GNU/Linux) iEYEARECAAYFAkhQGC4ACgkQoqmdUrqLMt2VvgCfRYlCrvWlwhq/LztCBxcPnghI izMAoJSswZbq2n4XWRPqYQxYzKJWDNRM =xfww -----END PGP SIGNATURE----- From [EMAIL PROTECTED] Wed Jun 11 15:14:47 2008 From: [EMAIL PROTECTED] (Pedro GM) Date: Wed Jun 11 15:14:59 2008 Subject: "Los Contras del Codigo Abierto" In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> David Aravena escribió: > Amigos, > > Quise colocar esta increible noticia acerca el descubrimiento de una > vulnerabilidad severa en el generador aleaorio de OpenSSL, osea desde > hace aprox 2 años que la salida de las llaves pueden ser > "predictibles". Como debian viene siendo uno de los S.O s más > utilizados durante años en servidores no quiero imaginar la cantidad > de fraudes en páginas webs con "fakes" de certificados en los tipicos > asaltos de Phising. > Como lo han destacado en respuestas anteriores, este tema ya fue saneado y como es tipico, /en muy poco tiempo/, y no sera el primero ni el ultimo de los problemas de sofware con respecto a la seguridad.. > La "Contra" es en el sentido de que esta clase de problemas pueden ser > detectados muy avanzado el tiempos en servidores de Producción, esto > por que muy pocos se dedican a revisar el código en busca de errores. > IMHO, yo creo que no es tan asi, ya que las comunidades opensource son las que mas (y por mucho) revisan su codigo, siempre hay mucha gente(tamaño variable) buscando innovar o mejorar lo ya hecho, ese "contra" se da mucho en los codigos cerrados donde "limitada cantidad" de recursos humanos se dedica a la correccion y mejora. > Aqui Enlace, > > http://lists.debian.org/debian-security-announce/2008/msg00152.html > > Saludos, > Saludos! -- :Pedro:G:M: Linux User #397462 == http://counter.li.org ==
