Categoría: codigo

Publicado en
por

Encontré un problema serio en el diseño actual que se usa en la empresa. Básicamente no hay un sitemap que considere el grado de visibilidad o de nivel de acceso.

Y de repente me cae como un mazazo.

No hay herramientas para sitios web que lean robots.txt para hacer los sitemaps o por lo menos que te deje definir el alcance de visibilidad de los bots, lo que en ambos casos lo hace totalmente inutil.

Que estupidez.

Tampoco hay herramientas de sitemap que lean el contenido de una base de datos de un open source específico considerando la visibilidad (estar publicado o no ) y el nivel de perfil.

O sea que un sitemap multidominio y multirol, debe ser un access rewrite a un script php que lo considere.

Publicado en
por

Hoy casi llegué a mi límite de paciencia informática.

Una persona me pidió que le revisara un presupuesto que le mandaron. Básicamente era revisar si cumplía con los principios una cotización. Hay un sistema legacy que estas personas tienen funcionando en python, hecho hace unos dos años por un europeo sobre PB en lugar de JSON o XML. PB es la abreviatura de protocol Buffer, y se supone iba a funcionar como entorno Web.

http://www.google.com/#sclient=psy&hl=es&biw=1280&bih=651&source=hp&q=protocol+buffer&aq=f&aqi=&aql=&oq=&pbx=1&bav=on.2,or.r_gc.r_pw.&fp=a0ccdfe7824bbb43

Surprise.

Cotización implicaba lo no pedido de rehacer el sistema bajo Php 5.2 (??? porque no 5.3 ? )y rehacer los 2 .proto para integrar los nuevos enum.

Supuse que iba a pasar lo que pasó, y me contacté por skype con la persona que mandó la cotización. El puntos suspensivos estaba seguro de que podía manejarse un sitio web bajo php con PB porser lenguaje C la base de php y que puede compilarse, pero el modo web es diferente al modo intérprete. En el skype al preguntarle no me pudo decir la diferencia entre 5.2 y 5.3 de php, y tampoco sabía que era globals off.

Su presupuesto era de 2400 euros sin darse cuenta que ofrecía un imposible. Educadamente le dí un .proto de hello world, y le dije que nos enviara la prueba de concepto de lectura.

Supongo que se vaa tener que hacer en XML-RPC a final de cuentas y el europeo no dará señales de vida. le dije que hay que tomar una decisión el lunes y que nos mande la prueba de concepto funcional. Supongo que será lo ultimo que se sepa de el.

Publicado en
por

Hoy Me reportaron un problema las herramientas automáticas que diseñé hace años, pero que no corro diariamente.

Básicamente me informó que el sitio de un profesionista peruano que se dedica a hacer sitios web y es cliente de una PYME tenía un error. El error era debido a que el estaba usando una dirección de nombre de host diferente a la actual que contenía la base de datos.

Solucionado. Muchas semanas sin que el verificara sus propios archivos. Esa es una de las ventajas de tener pocas visitas. Lo que sí, no le va a servir de nada el enlace a gráficas de google si quiere buscar las estadísticas desde que empezó el problema.

No se para que se toma la molestia de usar encode en datos que sustituyen el localhost. Yo me di cuenta al encontrar una lectura a base64_decode que no tenía que estar ahí.

Tuve que poner el server correcto, base64_encode y sustituir su programa.

Publicado en
por

La paradoja de código dice que un código abierto es mas «seguro» porque otras personas pueden revisarlo y encontrarle errores. Sin embargo implica también mas trabajo para el que revisa el subversion, git o sistema de merges para evitar puertas traseras.

Por otra parte, muchas empresas manejan como secreto industrial los algoritmos de programación por lo que no es posible hacerlo publico.

A lo largo de los años he realizado pen testing (http://www.google.com/#sclient=psy&hl=es&site=&source=hp&q=pen%20testing&aq=1&aqi=g-s1g2&aql=&oq=pen+test&pbx=1&bav=on.2,or.r_gc.r_pw.&fp=18f19db784e74cbb&pf=p&pdl=300 ) para diversas empresas e instituciones de gobierno. En la mañana de ayer se me ocurrió una idea para solucionar un problema que tiene el potencial de matar tres pajaros de un tiro, siempre y cuando lo registre como código cerrado, preferentemente con una PYME nueva creada solamente para ser holder de derechos de autor.

hay que pensarlo con calma, pero espero tener el software listo el 31 de mayo 2012 en un sitio específico. No es mala idea empezar a detallar parte de ese proyecto, aunque sin código a la vista.

Y codigo cerrado. No hay que dejar en código libre algo que puede usarse para pentesting, aunque la integración de servidores múltiples y automatización de servers puede ser libre, el pentesting automatizado sobre dominios propios debe ser cerrado.

Publicado en
por

El dia de hoy me toco hablar un poco con algunas personas sobre el problema de los archivos de aplicaciones si se guardan o no en la base de datos.

Supongo que fue por el archivo de barrapunto de la mañana. En el trabajo tenemos en este momento un servidor con 3 gb de espacio usado en archivos, donde la mayor parte corresponde a pdf generados y xml.

Este problema es mas extraño de lo que parece.

Si consideramos que muchas veces la gente habla de oidas, no se dan cuenta que el problema es otro.

Nuestra prioridad debe ser guardar información de manera segura, y poder revisar a través de bitácoras quien accede a la información. En este caso nos estamos basando en posibles bitacoras de apache mismas que evidentemente no tienen filtro de busqueda ni podemos hacer consultas relacionales sobre lo buscado.

En cambio los archivos que sirvo del sistema de repositorio(desarrollado por mi), puede saberse y filtrarse quien que cuando browser e ip. Esa información de acceso no esta disponible por archivos sueltos.

Por otra parte, si se hace por archivos sueltos incluso con ext4 ya hay baja de rendimiento cuando se manejan mas de 4000 archivos (y podemos darnos un tiro en el pie con inodes).

http://www.google.com/#sclient=psy&hl=es&site=&source=hp&q=inodes&aq=f&aqi=g5&aql=&oq=&pbx=1&bav=on.2,or.r_gc.r_pw.&fp=d2c6e4c2397eeac2

A la larga o a la corta se va a tener que migrar esta información a base de datos, probablemente mi propio repositorio. Nosotros no necesitamos filtrar el archivo, sino encontrarlo rápido y en niveles de archivos grande es mas rapido saber ruta directa por base de datos referencial.

Cosas a favor de base de datos con blobs:

1 ) posibilidad de restringir acceso por paises o usuarios a un registro.
2 ) Forma rapida de encontrar archivos duplicados (lo hice en el repositorio de semarnat con ORACLE guardando ademas del blob el md5_file )
3 ) respaldo en un solo paso. Solo respaldo de datos, porque los archivos de texto o imagenes ya estan en la base. Respaldas base de datos y no directorio.
4 ) Escalabilidad. Si se te llena el directorio en un sistema raid5, como amplias el disco duro si tienes un cluster de reserva ?
5 ) Si usas round robbin es mil veces mas simple sincronizar solo base de datos y ordenes sql que bases de datos y archivos.
6 ) Inodes.

Etc.

Publicado en
por

Hace unas semanas escribi en un mensaje de un editor seguro RIJNDAEL y puse un ejemplo operativo.

http://alfonsoorozcoaguilar.com/node/552

Hace un momento entre y alguien dejo, por segunda vez en estos meses, mensajes. El mensaje del editor 1 y 2 se ven iguales el tres es mas largo.

Pero hay una barrera de lenguaje y ese es el propósito.

Si alguien prefiere dejar un mensaje cifrado que nunca voy a leer, mejor.

Podría poner cambios para detectar la contraseña.

No hace falta, es un honeypot y va a seguir cumpliendo su cometido guardando datos en bitácoras de apache. 3 de mayo 2011 =)

http://www.google.com/#sclient=psy&hl=es&source=hp&q=honeypot&aq=f&aqi=&aql=&oq=&pbx=1&bav=on.2,or.r_gc.r_pw.&fp=d2c6e4c2397eeac2

Deja que me persigan los abyectos
quiero sentir la envidia aunque me abrume

Publicado en
por

Una nota de sentido común: No necesariamente lo que tiene precio no es gratuito.

He seguido viendo problemas varios en el trabajo por la migración a Linux, y supongo que los problemas provocados por Skype en Ubuntu Nerval van a ser peor.

Explico el contexto:
Como parte de las políticas de uso, y porque varias implementaciones las están haciendo in site, y uno de los «programadores de formatos» (angel) está ahora escribiendo desde otro estado, en el trabajo requieren conectividad con varios de ellos. Ya tuvimos un problema cuando alguien se le ocurrió dar los skypes a todos los clientes.

El caso es que deben usar skype para comunicarse con clientes. Ayer tuve un problema con el nuevo ubuntu 11.04, ya que no instala bien desde el apt-get a menos que uses primero un repositorio de Maverick (ubuntu 10.10). Si bien la solución evidente es usar jabber, nuestras políticas de seguridad lo impiden.

Así que , tuve que permitir el uso de repositorio de Maverick, en una de las pc.

Por cuestiones del personal nuevo, llevo un mes usando mi laptop propia dell inspiron 1525, y se supone que en unos días reponen mi laptop toshiba, aunque a esa le pondré mint o algún slackware.

De las 4 pc que tengo, la dell tiene de momento xp downgrade de vista , la mini hp traer windows7 starter, la lg del disco duro dañado ubuntu 11.04 y la desktop de 23 pulgadas windows 7 home premium.

No faltará el que diga que «usa linux por tal tal tal».

Es una herramienta. Lo que sé es que todas vienen con sistema operativo incluido y una de las razones de usar monitor de 23 pulgadas en mi desktop de la casa es para poder cargar maquinas virtuales de debian al mismo tiempo que uso los programas de windows que necesitamos por dependencias oficiales.

http://h10010.www1.hp.com/wwpc/es/es/sm/WF06b/382087-382087-64283-3181048-3181048-4184767-4173677.html

Un problema de principios… y de sentido común. Si bien la dell tiene dual boot con slackware, no tiene caso cambiar de sistema operativo al ubuntu reciente en las live usb que uso, sobre todo considerando el problema de skype en instalaciones limpias que no tienen las dependencias de maverick establecidas.

Es decir, es extraño que si instalo skype desde un paquete de versión bajado hace dos o otres meses si se instala en nerval, pero en instalaciones limpias, como máquinas virtuales remotas, por lo general no se tiene acceso a bajar paquetes , y el hecho que el paquete de skype esté roto, no implica que lo mejor sea buscar paquete viejo o ubuntu viejo. Si las pc ya vienen con licencia de windows, y el problema es skype, es una estupidez cambiar a linux, sobre todo considerando que hay paquetes de solo windows, y que las reinstalaciones como las de la HP que me pasaron hace una semanas para revisarla no tienen discos de instalación correctos.

Un efecto secundario mas de hacer lo simple. Cuando a mediados de año pasado coincidió la enésima falla de fuente de poder de la pc armada con la necesidad de un monitor de 23 pulgadas, me resultó mejor comprar la desktop de hp. Y quitarle windows puede ser poético, pero es estúpido.

Publicado en
por

En el medio que me muevo, de programación, servidores, seguridad y cosas web, el tiempo de respuesta es algo buscado pero que pocas veces obtiene uno de ciertos individuos.

Por ejemplo, de momento tengo detenidos cuatro proyectos porque he hecho lo posible con el material que me han dado.

Hace una media hora, despues de una cuidadosa selección de un bien necesario de licencia de un shareware, lo compré. Esperaba yo recibir un software de tipo digital, hice mi proceso y el intercambio se terminó en menos de 15 minutos, sin ser automatizado.

Ojalá Amazon, Barnes and Nobles y otros sistemas de cobro de bienes digitales fueran tan directos.

Lo malo es que es un producto Unico de esa empresa, así que los tiempos no se volverán a repetir, con ellos al menos.

Publicado en
por

Me reporta hoy uno de los programadores nuevos un problema con el sistema anticopia del sistema que hice hace casi ocho meses y que desde hace cinco meses revisa otra unidad.

Cambiaron la pantalla de login interna por una externa con photoshop, pero al accesar al certificado via direccion ip, no entra porque se compró a nombre del dominio.

Todo esto porque a alguien se le ocurrió hacer una redirección de puertos a través de las máquinas virtuales.

Tuve que comentar el código antiinyeccciones que evitaba malos referer, y deje este comentario en el código:
=========
El proceso de bloqueo de inyeccion SQL queda desconfigurado por que se supone, por ser https, que usamos DOMINIO.
Cuando usamos direccion ip, parece que es inyeccion , porque una ip no puede correr bajo https AOA deshabilita el sistema de inyeccion de referers, cambiando la condicion a 1<>1 el 18 abr 2011,
basicamente porque la direccion ip desvirtua la llamada normal de posts, y el referrer solo funcionaba por dominio, no por ip. Hacer una regla que considere tanto ip como dominios (www), seria redundante porque estamos hablando de https. Asi que, la decisión tomada por terceras personas de llamar a direccion ip fija, deja de lado a fuerza la validacion de puerto 443, porque entra por 80. Y si lo están corriendo por direccion fija, desde firefox (linux), solo pueden entrar por excepcion autorizada de
seguridad, asi que, de entrada no se respetan los criterios de seguridad.

A opinion de AOA, este puede ser un punto de inyeccion SQL. Es responsabilidad de otro checarlo.

Solución real: no redirects. La pantalla que pide el login deberia ser parte de este código, no el añadido, que deshabilitó la original ya incluida en este archivo. El problema tiene origen estético, y DESCONOZCO como llaman o entran desde maquinas virtuales. AOA 18 ABR 2011.

Publicado en
por

El trabajo del jueves al viernes quedó bien y la interfaz RVM es funcional. Sin embargo, los cambios de los ultimos días en el corporativo me muestran un problema en ciernes y no mio. El dia de hoy los dos programadores nuevos, que a la hora de la hora contrataron sinseguir el procedimiento que yo fijé en agosto/septiembre, están teniendo problemas. Uno de ellos es mas bien becario que programador y no vino hoy (2do dia en una semanas ?) Y el que se ve mas prometedor, pidió permiso. Por lo que se no le hicieron exámen de programación, solo entrevista (y las notas que vi le pusieron medio).

Es una consecuencia lógica de no pasar sufiiente tiempo haciendo la selección de personal. Los dos que contraté el año pasado me tardé casi un mes , y fueron los mas decentes.. pero la rapidez en la contratación en labores especializadas, es contraproducente. Afortunadamente no laboran directamente en la empresa en que estoy, pero la presión sobre el programador que queda en esa empresa, va a ser mayor y va a estar mas propenso a errores.

Paciencia y esperar.

Los 460 mil mensajes se han reducido a 420 mil. Por cuestiones de load no puedo usar scripts pesados de telnet ni de php, asi que estoy usando un método seguro pero lento. Cada paso elimino unos mil y dura 10 minutos cada paso pero es recuperable a fallos.

En cuanto a los servidores, de momento me encuentro con dos servidores cpanel, mas tres clusters que desaparecerán a dos. Me doy cuenta que hay problemas no solamente delconsumo de ancho de banda de algunas personas a las que dono espacio (que impiden un cluster), sino que algo esta mal con mayúsculas en la economía mexicana y rotación de personal. Por lo general C-P hacía su pago puntual (simbólico) pero en esta ocasión, no. Uno de los clientes fuertes de la PYME mas antigua ha cambiado a su personal de sistemas unas tres veces en el último año, y ninguno contesta lo evidente.

¿Quien está comprando los productos?

Los supermercados (SAMS, bodega aurrerà, comercial mexicana etc) que voy mas o menos frecuentemente, muestran una cantidad tremenda de espacios muertos no importando el día de la semana, así que si hago caso a los comunicados de AMECE sobre ventas y desplazamiento, se sigue vendiendo igual, pero el espacio muerto me lleva a la conclusión que se vende igual en dinero pero menos articulaje.

A su vez, por los cambios en la certificación del corporativo, y su relación con secretarías de estado, nos es materialmente imposible tener nuevos clientes hasta que salgan los nuevos parámetros, pero sè que los productos que manejan las PYMES propias o de las que soy apoderado legal, funciona. Sin embargo, las opciones relativas a servidores web y su consolidación tienen cierta relación y nada que ver con espacios muertos.

Tendré que echar números el fin de semana y un pronóstico de entradas, ya que debe quedar repartida la carga entre las PYMES.