Del cluster lobogris me movieron las ip sin avisar, ya las chequé y se supone que el tiempo ya bajó bastante después de cambiar los scripts de conexión (unas cuatro a ocho horas no dieron respuesta algunos sitios pero ahora ya noto la diferencia aunque no están optimizados todavía).

Y en la oficina, el internet se volvió a caer.

Una de las cosas extrañas es que el gobierno para algunos procesos de México pide personas certificadas en CCISP (http://en.wikipedia.org/wiki/Certified_Information_Systems_Security_Professional) y CRISK.

Lo malo es que para lo que nosotros vamos a hacer, una certificación CCMI2 o una CISA son las correctas.

Revisé con dos contactos que tienen certificaciones ISO Lead Auditor para 27001 y también se sacaron de onda por el contexto. Uno de ellos comentó que esas certificaciones no son costeables, y la otra hace certificaciones de 27001 para Secofi.

Parece camisa hecha a la medida, porque segun lo que yo se ni siquiera hay quien certifique en México para CRISK (que por otra parte no necesito aunque una de mis especialidades es la continuidad de negocio de ONG)

De todos modos, los contactos con diversas secretarías de estado me hacen pensar que la burocracia de México es surrealista, para decirlo decentemente.

Noté un problema raro con este dominio hace unos dias, que resultó ser un problema de que las bases de datos estan en Miami y el host en otro estado. Ya se supone que lo estan verificando, pero no se ve bien.

Hice un codigo simple para validar el tiempo de carga real de manera externa, necesita Curl.
======================================
$url=’http://www.Example.com’; loadtime($url);

function loadtime($url){
echo “
Testing time needed to serve the Url: $url”;
$starttime = microtime();
$startarray = explode(” “, $starttime);
$starttime = $startarray[1] + $startarray[0];
file_get_contents($url);
$endtime = microtime();
$endarray = explode(” “, $endtime);
$endtime = $endarray[1] + $endarray[0];
$totaltime = ($endtime – $starttime);
echo ” $totaltime”;
} // loadtime
======================================

Ayudando a la persona del CMS GPL que decía ayer, me puse a investigar porqué el minieditor causa problemas diversos.

El me pidió ayuda sobre los caracteres raros (htmlentities lo resolvió), pero lo que me choca es el limite duro de alrededor de 4k por mensaje. El problema parece residir en la forma en que funciona INNERHTML para procesar nodos de texto grandes.

De entrada Innerhtml es una forma elegante o sucia según a quien se le pregunte, para solución rápida de edición online, pero es la unica si se requiere compatibilidad con IE 5 o 6, que no soportan el estandard DOM completo.

Una búsqueda a detalle de los nodos y su limite, me hace pensar que el problema puede ser por sistema operativo. Lo probé en la toshiba del trabajo (windows home premium), explorer 8 ff y chrome actualizados, y lo mejor es chrome en cuanto a largo. Sin embargo, opera 9 y 11 se cortan a 2k aunque el supuesto largo de opera 9 es 32k.

En resumen: Ese cms es excelente para contenido corto. Quizá un ajuste de 1 kb aprox, me permita editar de 20 a 32k por un post / textarea standard. Interesante de todos modos.

El fork se impone.

Esta semana he estado colaborando en un sistema opensoruce del que supongo puedo hacer un fork, es un CMS bastante decente con el problema que solo maneja texto de menos de 4k por entrada por limitaciones de post pero es una idea bastante decente. Hay un problemita que quedé de arreglar para mañana (no introducido por mi) por codigo que no es utf8.

El fork pensaba hacerlo en lobo blanco.

Lo bueno es que me quedaba un solo cliente en el server loboblanco y estoy en proceso de migración pero implica cambiar de una plataforma a otra (hsphere a cpanel)

Este es el checklist aproximado hecho y por hacer:

Checklist para migrar Dominios de hsphere a Cpanel.

Hecho:
1 ) suspender el account del dominio actual
2 ) respaldar base de datos por base de datos en archivos independientes.
3 ) respaldar files del dominio (170 mb aprox)
4 ) crear en nuevo server el dominio
5 ) preparar las cuentas de correo
6 ) migrar el contenido de las cuentas de correo
7 ) subir el respaldo del punto 3

Sigue:

1 ) Subir el respaldo y verificarlo
2 ) Crear bases de datos en nuevo server.
3 ) Migrar dominio en el registrar para que apunte al nuevo servidor
4 ) editar mi archivo hosts para estar seguros que esta apuntando al nuevo server.
5 ) subir bases de datos al nuevo server.
6 ) ajustar las aplicaciones
7 ) probar aplicación por aplicación
8 ) sacar respaldo nuevo ok y descargarlo
9 ) ajustes y pruebas a cuentas de correo.
10 ) despues de unos dias, eliminar el account de hsphere

Hace un momento quiise entrar a este blog y me dió un problema secundario extraño como si el load del cluster fuera excesivo.

El proveedor estaba funcionando raro a principios del año pasado y se corrigió a mediados, pero los ajustes que hizo la semana pasada pueden estar pasando la factura.

Estamos en proceso de estabilización de servers con el, y espero que el próximo fin de semana se elimine el cluster lobogris, quedando solamente lobonegro.

Sin embargo, creo que de todo el cluster los dominios actuales menos este y un foro de Dark Crow no usan bases de datos, asi que no debería ser un load alto en estas circunstancias. Observaré.

El analizador de código probablemente sale al aire en versión beta hoy o mañana.

UPDATE: El proveedor dejó el server de base de datos en el otro cluster… Los sitios estáticos se cargan de volada pero no aquellos con base de datos.

Uno de los problemas extraños que he encontrado con el analizador de código, es que algunos proyectos populares, como wordpress, tienen código que no sigue ciertas normas. También he visto que drupal, por ejemplo, permite que archivos de su build no lleven cierre de tags php (ejemplo, install.php )

El problema es de enfoque. A pesar que Joomla es uno de los peores códigos que he visto, y tiene mas hoyos de seguridad que un queso, las personas los seleccionan por lo que son capaces de hacer, no por la calidad del código.

El analizador de código no tiene nada que ver con lo que el programa trata de hacer o hace, solamente busca calidad del código.

Las pruebas de hoy dan resultados positivos. Sin embargo, el problema básico sigue siendo el mismo. En el trabajo necesitamos una jerarquía de que llama a qué, de donde, y no solo los problemas individuales del archivo. Parece que la solución será crear un html en el estilo hypertexto del antiguo Norton Guides.

Algunas métricas que ya tiene:
1 ) Espacios vacíos
2 ) SLOC
3 ) Funciones
4 ) Count de requires

Por implementar:
1 ) Avisos de shorttags.

Aunque no se ha definido bien de donde viene el problema, y que el internet ya se resolvió en la oficina, no podemos dejar de lado que las redes Wan son bastante mas inseguras.

Hay dos o tres razones que justifican la inestabilidad anterior:
1 ) Cable troceado
2 ) Intercepción pasiva o Sniffing
3 ) Tampering o Intercepción activa. Paso previo a un ataque de MITM.

Los ataques de MITM Son especialmente problemáticos con la naturaleza del trabajo que realizamos en la empresa, y una red WAN es un problema serio que facilita estos ataques. Pasamos a tener demasiados puntos de falla.

La solución evidente es tener acceso nosotros a una conexión independiente o cableada, así que podríamos estar mas seguros de si hay o no un MITM. La red cableada restringe el campo de posibles MITM, y una conexión tipo BAM o Ego ayudaría.

Pensando en esto, y que el código que enviamos por correo puede ser interceptado, me pareció bueno usar el método de aescrypt.zip, un software de encriptado via AES que usé hace tiempo, que edita archivos de texto con passphrase. El problema fue que no corre en Windows 7 home premium, y cambiar la plataforma de los programadores de aquí no sería opción porque las máquinas virtuales no correrian en windows 7 home, que sería el downgrade a la licencia que tenemos en las laptops.

Así que la alternativa es simple.. y el problema mayor. Independientemente de la posibilidad de MITM la necesidad de un cifrado Rijndael o similar para notas de juntas confidenciales, está presente.

Descargué varios editores con criptografia pero no regresan el texto como debía ser cuando no vienen en UTF-8 (y si la idea implica en cierto nivel manejo de correo, mejor sigo al RFC 1642 para envío seguro por correo, y por lo tanto no es UTF8 sino
UTF7). Por lo mismo, decidí hacer un editor rijndael propio (fueron unas dos horas y 70 SLOC en PHP). Incluso este texto lo estoy capturando en ese editor y luego el texto lo subiré al blog. El lunes edito el mensaje para poner el código.

Básicamente para un editor hecho en casa me quedaban dos alternativas: Twofish o rijndael. Para evitar complicaciones elegí Rijndael.

Que necesita para mi un editor seguro de texto seguro ?
1 ) Evidentemente contraseña reversible
2 ) No necesitar login, pero guardar passphrase en memoria
3 ) No preguntar demasiado la passphrase. Los editores que use en su momento eran molestos en ese aspecto.
4 ) Permitir desconexión rápida para ir al baño, por ejemplo.
5 ) Permitirme abrir tres archivos fijos a la vez. Como pueden ser enviados por correo en scripts, manejaré como archivos editables editor.txt editor2.txt y editor3.txt

Estos objetivos se cumplieron muy rápido con CURL y unos cambios en mcrypt. Como los programadores de php tienen puesto WAMPSERVER, el editor puede ser un solo archivo, y los archivos texto finales pueden copiarse a un USB o enviarse por correo, sin que sean crackeables.

En una etapa posterior, el no usar utf8 permite que este editor evolucione a un editor de código PHP que mande la información a un Sftp seguro o via post CURL. Tiene que ser un FTP con SSL porque a pesar que en el server destino se implemente un ftp, si no tiene SFTP el password del ftp es texto plano y un sniffer o MITM obtiene la credencial, haciendo lo demás inútil. Un post de información via CURL tiene limitaciones prácticas en tamaño a menos uqe revises un crc32 del post, pero es poco fiable, asi que de entrada la solución actual me permite una tercera opción. Enviar por un correo bajo socket seguro, y que el server lo lea del correo. Así el password estaría menos expuesto.

El objetivo previo se cumple: Editor seguro con estándar Rijndael en pocas SLOC de PHP.

Otra función práctica podría ser en la casa como clipboard. Se pone el dato en un sitio sin problemas. No sirve en ese caso como defensa ante MITM, pero es otra posible aplicación.

Edit del 7 de febrero:
Se coloca en http://www.alfonsoorozcoaguilar.com/codigo/rijndael.txt el codigo fuente del editor rijndael, y se deja un ejemplo operativo en

http://www.alfonsoorozcoaguilar.com/codigo/editor.php