admin – Página 181 – Alfonsoorozcoaguilar.com

Uno de tantos problemas del encode 64

27 mayo, 2011 5:16 pm por admin

Hoy Me reportaron un problema las herramientas automáticas que diseñé hace años, pero que no corro diariamente.

Básicamente me informó que el sitio de un profesionista peruano que se dedica a hacer sitios web y es cliente de una PYME tenía un error. El error era debido a que el estaba usando una dirección de nombre de host diferente a la actual que contenía la base de datos.

Solucionado. Muchas semanas sin que el verificara sus propios archivos. Esa es una de las ventajas de tener pocas visitas. Lo que sí, no le va a servir de nada el enlace a gráficas de google si quiere buscar las estadísticas desde que empezó el problema.

No se para que se toma la molestia de usar encode en datos que sustituyen el localhost. Yo me di cuenta al encontrar una lectura a base64_decode que no tenía que estar ahí.

Tuve que poner el server correcto, base64_encode y sustituir su programa.

Dias de Loft y Calor, iso 17799

20 junio, 2025 2:09 pm26 mayo, 2011 12:47 pm por admin

Hace una semana alguien consciente de la seguridad decidió cambiar el acabado de presentación visual de la empresa pero de pilón causó problemas que nadie esperó.

Cuando llegamos a estas oficinas, me pareció excelente el acabado tipo loft (http://es.wikipedia.org/wiki/Loft) en lugar de las típicas oficinas oscuras o estilo Dilbert (llena de casilleros). La principal razón o ventaja de ser Loft para mí, era la rapidez que implica en certificarnos en ISO 17799 0 27002 y hasta en HIPAA aunque nuestro sector no aplica a derivados de la salud humana aunque incidentalmente tratamos con el IMSS.

http://privacy.med.miami.edu/glossary/xd_iso_phys_env_sec.htm

La idea básica era que cualquier auditor podía desde afuera ver nuestro cumplimiento de la norma y seguridad (menos el server de una de las unidades de negocio) que está a proposito fuera de la vista.

De cara a la escalera y al elevador tenemos unos paneles de vidrio que cubren en total unos 2 metros 30 por 9 metros, y los vidrios de los extremos de la oficina son poco vulnerables a robos, tanto por las alarmas como por la altura. El problema es que por el ángulo y el tipo de vidrio se concentra el calor en ocasiones.

Y a una persona se le hizo facil mandar polarizar el vidrio del panel largo, supuse que para poner un logo polarizado de las empresas del grupo pero no, la barrera de 2 metros 30 por 9 metros ahora está polarizada en su totalidad y nos estamos asando.

De pasada la certificación de iso 27002 nos exigirá comprobaciones adicionales.

Sigo sin ver el caso de polarizar el vidrio, aunque entiendo que otras empresas del edificio se sorprendan por el número de laptops y el haberlo vuelto loft. Recuerdo haber visto en ocasiones dos o tres personas sorprendidas viendo los pizarrones de cristal y relieve y las cámaras por todas partes.

Descartes

8 mayo, 2024 5:12 pm26 mayo, 2011 10:02 am por admin

Las bases del discurso del método de Descartes son cuatro:

* El primero, no admitir jamás cosa alguna como verdadera sin haber conocido con evidencia que así era.
* “El segundo, en dividir cada una de las dificultades que examinare, en tantas partes fuere posible y en cuantas requiriese su mejor solución.”
* El tercero, en conducir con orden mis pensamientos, empezando por los objetos más simples y más fáciles de conocer, para ascender poco a poco, gradualmente, hasta el conocimiento de los más compuestos, e incluso suponiendo un orden entre los que no se preceden naturalmente»
* “Y el último, en hacer en todo recuentos tan integrales y unas revisiones tan generales, que llegase a estar seguro de no omitir nada.»

O :
Intuición primera o evidencia, Análisis, Síntesis, Comprobación.

Es intersante la tendencia de los vendedores de lo sagrado a la pista falsa, tomando como verdaderas sus fantasías, usando defensa chewbacca metiendo cosas irrelevantes en los cálculos del paso tres. Básicamente presentar como pruebas hipótesis basadas en hechos no comprobables, que para ellos son identicos a las conclusiones, no son validar conclusiones ni seguir el método científico ni el método de Descartes.

Resultan intersantes en Descartes también dos disgresiones: Una tener que mostrar pruebas sobre la existencia de Dios (aunque deja claro que lo hace para no interferir con los doctos, es decir no ser juzgado por hereje), y el fragmento donde menciona las razones válidas para no seguir en ocasiones el mismo su método.

La verdad es simple.

A el le resultaba ese método para obtener claridad de mente, y no es un tratado de lógica simbólica, sino reglas de lógica dialéctica que después fueron precusoras del método científico, aunque el método empírico analítico (Descartiano) no olvidando el validar e incluir todas las pruebas, es el único que corresponde al sentido común en conceptos teóricos de las ciencias sociales.

Es imposible aplicar métodos experimentales a fenómenos sociales.

El problema es que los pseudo científicos modernos solo toman en cuenta la tesis y no la antítesis, y que en otros casos considerar la antítesis de preceptos morales, resulta el medio en que las sectas enrarecen el ambiente con ataques personales sin fundamento. Asi que las antítesis solo son válidas si estan sustentadas en algo, porque mostrar hipótesis ad hominem (contradichas por los resultados de una persona o empresa o documentos) suelen ser usada por personas incapaces de pensar para llegar a una supuesta síntesis Hegeliana.

Paradoja de código y mes de mayo 2012

25 mayo, 2011 12:01 pm por admin

La paradoja de código dice que un código abierto es mas «seguro» porque otras personas pueden revisarlo y encontrarle errores. Sin embargo implica también mas trabajo para el que revisa el subversion, git o sistema de merges para evitar puertas traseras.

Por otra parte, muchas empresas manejan como secreto industrial los algoritmos de programación por lo que no es posible hacerlo publico.

A lo largo de los años he realizado pen testing (http://www.google.com/#sclient=psy&hl=es&site=&source=hp&q=pen%20testing&aq=1&aqi=g-s1g2&aql=&oq=pen+test&pbx=1&bav=on.2,or.r_gc.r_pw.&fp=18f19db784e74cbb&pf=p&pdl=300 ) para diversas empresas e instituciones de gobierno. En la mañana de ayer se me ocurrió una idea para solucionar un problema que tiene el potencial de matar tres pajaros de un tiro, siempre y cuando lo registre como código cerrado, preferentemente con una PYME nueva creada solamente para ser holder de derechos de autor.

hay que pensarlo con calma, pero espero tener el software listo el 31 de mayo 2012 en un sitio específico. No es mala idea empezar a detallar parte de ese proyecto, aunque sin código a la vista.

Y codigo cerrado. No hay que dejar en código libre algo que puede usarse para pentesting, aunque la integración de servidores múltiples y automatización de servers puede ser libre, el pentesting automatizado sobre dominios propios debe ser cerrado.

De los Arboles y de como WinWord mata Linux

8 mayo, 2024 5:20 pm25 mayo, 2011 9:16 am por admin

Hace unos minutos perdí un texto escrito en web de 10 minutos, porque la portátil se apagó por sobrecalentamiento (la barrera de los 53 grados) al copiar un respaldo de un sitio web de 2 gb a un usb.

Los arboles siguen dando frutos, no hay porqué preocuparse por una cosecha de manzanas. Saldrá otra.

El enfoque equivocado sería: Porqueria de windows, hay que cambiar a linux !! o «Voy a guardar con autosave en gmail»

Solamente que gmail solo permite actualmente una cuenta abierta, razón por la que uso Outlook express para manejar 12 cuentas de correo, incluyendo dos de gmail.

Usar linux no es posible en este momento para mi en horas de trabajo, porque uso aejecutables de gobierno que solo jalan con Internet explorer, y aunque tengo slackware en esta pc y un ubuntu en mi usb, uso bastante el outlook express.

Solución: escribir borradores en word por el autoguardado, y no preocuparme por las manzanas perdidas. Hay mas tiempo que vida, y las pérdidas temporales suelen ser aceptables.

La opción Karamazov

8 mayo, 2024 5:20 pm24 mayo, 2011 10:26 am por admin

Los hermanos Karamazov es una novela rusa que queda inconclusa, basada en la historia de tres hermanos, de los cuales cada uno de ellos representa a uno de los tres arquetipos de Gurdjieff, el fisico, el mental y el emocional ( fakir monje y yogui ).

Se supone que la historia concluiría después , mostrando a Aliosha 20 años después. ¿En que se habría convertido Aliosha?

De momento es una historia inconclusa, que quedo inconclusa. Un misterio de la humanidad.

En lo personal , me parece que la muerte del autor es bastante clara. Muchas personas piensan en lo que van a hacer en veinte años pero no están preparados para morir. No es que «la muerte nos alcanza a todos», sino sentido común.

Podría decirse que no tuvo tiempo suficiente . O que para algunos la muerte es la única manera de escapar a la realidad.

Por eso la importancia de Ivan Karamazov.

Lo interesante hubiera sido ver el futuro de Ivan y no de Aliosha.

En rebeldía y el gran inquisidor plantea una interesante metàfora que transcribo:
=====================
No quiero que la madre
perdone al verdugo: no tiene derecho a hacerlo. Le puede
perdonar su dolor de madre, pero no el de su hijo,
despedazado por los perros. Aunque su hijo concediera el
perdón, ella no tiene derecho a concederlo. Y si el derecho de
perdonar no existe, ¿adónde va a parar la armonía eterna?
¿Hay en el mundo algún ser que tenga tal derecho?

Mi amor a la humanidad me impide desear esa armonía. Prefiero
conservar mis dolores y mi indignación no rescatados,
¡aunque me equivoque! Además, se ha enrarecido la armonía
eterna. Cuesta demasiado la entrada. Prefiero devolver la
mía. Como hombre honrado, estoy dispuesto a devolverla
inmediatamente. Ésta es mi posición. No niego la existencia
de Dios, pero, con todo respeto, le devuelvo la entrada.
=====================
Otra vez la ley sagrada de la desigualdad entre los hombres.

Y era el siglo XIX

El problema de los browsers para desarrollo de PHP

8 mayo, 2024 11:36 am24 mayo, 2011 10:07 am por admin

Durante unos dos años usé de manera cotidiana Google Chrome , sobre todo por el modo incógnito y su disponibilidad en Linux. La ventaja del modo incógnito es el desaparecerde un plumazo todos los archivos de caché de sesión.

Por razones que creo ya publiqué en otro lugar, en todos los desarrollos web que intervengo prohibo todo el uso de cookies y limito las llamadas de java a php para regresar el largo de pantalla,y uso de manera repetida no cache y no pragma.

Comenté hace unos días acerca de los problemas que me estaba dando chrome al administrar dominios bajo hsphere por el exceso de ljs (light java script) y la sobreoptimización de java que provocaba la caída del browser. Además las nuevas versiones del browser Chrome usan muchoi mas memoria que las originales. A ojo de buen cubero, unas 10 a 20 veces más y creciendo de manera exponencial en base a las ventanas abiertas.

Esta semana estuve probando maxthon, y con lo que me dió problemas fue al hacer un pago en tienda electrónica de amazon, debido a que al cambiar a mi account de paypal, me cerraba la sesión bajo el motor de firefox, impidiéndome cambiar para que cobrara de balance en lugar de tarjeta.

Dedicaré unas semanas a probar browsers alternos bajo xp. Maxthon sigue siendo bueno para desarrollo por su opción de un botón, pero no para compra electrónica. Me resulta igual de parcial que el chrome, que para mi juicio era mejor hace uno o dos años que ahora que hace sobreoptimización de cachés que me causan problemas con los jqueries del colegio.

¿nadie piensa en mediano plazo siquiera ?

23 mayo, 2011 5:55 pm por admin

No acabo de entender porqué tanta gente de 35 años no tiene la mas mínima idea de que va a hacer de su vida excepto ilusiones. Ni hablar de largo plazo. Aunque no llego a los 40, decidí a los 17 como iba a estar a los 70 y todo va de acuerdo al plan.

Veo aquí a varias personas dando tumbos. Una de mis empresas factura a este lugar al que llamo «trabajo» por simplicidad. Ser empleado no es necesariamente malo, pero no acaban de darse cuenta que tener mis propias empresas con todo lo que conlleva me da un punto de vista diferente y la experiencia de veinte años no es solamente de código y programación sino de preveer lo que van a hacer los idiotas (aunque es imposible predecir cual de los idiotas en turno va a ser).

El plan al momento va bien.

Archivos dentro o afuera de la base de datos

23 mayo, 2011 5:55 pm por admin

El dia de hoy me toco hablar un poco con algunas personas sobre el problema de los archivos de aplicaciones si se guardan o no en la base de datos.

Supongo que fue por el archivo de barrapunto de la mañana. En el trabajo tenemos en este momento un servidor con 3 gb de espacio usado en archivos, donde la mayor parte corresponde a pdf generados y xml.

Este problema es mas extraño de lo que parece.

Si consideramos que muchas veces la gente habla de oidas, no se dan cuenta que el problema es otro.

Nuestra prioridad debe ser guardar información de manera segura, y poder revisar a través de bitácoras quien accede a la información. En este caso nos estamos basando en posibles bitacoras de apache mismas que evidentemente no tienen filtro de busqueda ni podemos hacer consultas relacionales sobre lo buscado.

En cambio los archivos que sirvo del sistema de repositorio(desarrollado por mi), puede saberse y filtrarse quien que cuando browser e ip. Esa información de acceso no esta disponible por archivos sueltos.

Por otra parte, si se hace por archivos sueltos incluso con ext4 ya hay baja de rendimiento cuando se manejan mas de 4000 archivos (y podemos darnos un tiro en el pie con inodes).

http://www.google.com/#sclient=psy&hl=es&site=&source=hp&q=inodes&aq=f&aqi=g5&aql=&oq=&pbx=1&bav=on.2,or.r_gc.r_pw.&fp=d2c6e4c2397eeac2

A la larga o a la corta se va a tener que migrar esta información a base de datos, probablemente mi propio repositorio. Nosotros no necesitamos filtrar el archivo, sino encontrarlo rápido y en niveles de archivos grande es mas rapido saber ruta directa por base de datos referencial.

Cosas a favor de base de datos con blobs:

1 ) posibilidad de restringir acceso por paises o usuarios a un registro.
2 ) Forma rapida de encontrar archivos duplicados (lo hice en el repositorio de semarnat con ORACLE guardando ademas del blob el md5_file )
3 ) respaldo en un solo paso. Solo respaldo de datos, porque los archivos de texto o imagenes ya estan en la base. Respaldas base de datos y no directorio.
4 ) Escalabilidad. Si se te llena el directorio en un sistema raid5, como amplias el disco duro si tienes un cluster de reserva ?
5 ) Si usas round robbin es mil veces mas simple sincronizar solo base de datos y ordenes sql que bases de datos y archivos.
6 ) Inodes.

Etc.

Mensajes al aire.

23 mayo, 2011 10:51 am por admin

Hace unas semanas escribi en un mensaje de un editor seguro RIJNDAEL y puse un ejemplo operativo.

https://alfonsoorozcoaguilar.com/node/552

Hace un momento entre y alguien dejo, por segunda vez en estos meses, mensajes. El mensaje del editor 1 y 2 se ven iguales el tres es mas largo.

Pero hay una barrera de lenguaje y ese es el propósito.

Si alguien prefiere dejar un mensaje cifrado que nunca voy a leer, mejor.

Podría poner cambios para detectar la contraseña.

No hace falta, es un honeypot y va a seguir cumpliendo su cometido guardando datos en bitácoras de apache. 3 de mayo 2011 =)

http://www.google.com/#sclient=psy&hl=es&source=hp&q=honeypot&aq=f&aqi=&aql=&oq=&pbx=1&bav=on.2,or.r_gc.r_pw.&fp=d2c6e4c2397eeac2

Deja que me persigan los abyectos
quiero sentir la envidia aunque me abrume