Código y Programadores

Noté un problema raro con este dominio hace unos dias, que resultó ser un problema de que las bases de datos estan en Miami y el host en otro estado. Ya se supone que lo estan verificando, pero no se ve bien.

Hice un codigo simple para validar el tiempo de carga real de manera externa, necesita Curl.

En modo interno
======================================
$url=’http://www.Example.com’; loadtime($url);

function loadtime($url){
echo »
Testing time needed to serve the Url: $url»;
$starttime = microtime();
$startarray = explode(» «, $starttime);
$starttime = $startarray[1] + $startarray[0];
file_get_contents($url);
$endtime = microtime();
$endarray = explode(» «, $endtime);
$endtime = $endarray[1] + $endarray[0];
$totaltime = ($endtime – $starttime);
echo » $totaltime»;
} // loadtime
======================================

en modo externo ya con curl

function loadtime_curl($url) {
echo «Testing time needed to serve the URL: $url\n»;

$start = microtime(true);

$ch = curl_init($url);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true); // No mostrar contenido
curl_exec($ch);
curl_close($ch);

$end = microtime(true);

$total = $end – $start;
echo «Total load time: » . number_format($total, 3) . » seconds\n»;
}

$url = ‘http://www.example.com’;
loadtime_curl($url);

Ayudando a la persona del CMS GPL que decía ayer, me puse a investigar porqué el minieditor causa problemas diversos.

El me pidió ayuda sobre los caracteres raros (htmlentities lo resolvió), pero lo que me choca es el limite duro de alrededor de 4k por mensaje. El problema parece residir en la forma en que funciona INNERHTML para procesar nodos de texto grandes.

De entrada Innerhtml es una forma elegante o sucia según a quien se le pregunte, para solución rápida de edición online, pero es la unica si se requiere compatibilidad con IE 5 o 6, que no soportan el estandard DOM completo.

Una búsqueda a detalle de los nodos y su limite, me hace pensar que el problema puede ser por sistema operativo. Lo probé en la toshiba del trabajo (windows home premium), explorer 8 ff y chrome actualizados, y lo mejor es chrome en cuanto a largo. Sin embargo, opera 9 y 11 se cortan a 2k aunque el supuesto largo de opera 9 es 32k.

En resumen: Ese cms es excelente para contenido corto. Quizá un ajuste de 1 kb aprox, me permita editar de 20 a 32k por un post / textarea standard. Interesante de todos modos.

El fork se impone.

Uno de los problemas extraños que he encontrado con el analizador de código, es que algunos proyectos populares, como wordpress, tienen código que no sigue ciertas normas. También he visto que drupal, por ejemplo, permite que archivos de su build no lleven cierre de tags php (ejemplo, install.php )

El problema es de enfoque. A pesar que Joomla es uno de los peores códigos que he visto, y tiene mas hoyos de seguridad que un queso, las personas los seleccionan por lo que son capaces de hacer, no por la calidad del código.

El analizador de código no tiene nada que ver con lo que el programa trata de hacer o hace, solamente busca calidad del código.

Las pruebas de hoy dan resultados positivos. Sin embargo, el problema básico sigue siendo el mismo. En el trabajo necesitamos una jerarquía de que llama a qué, de donde, y no solo los problemas individuales del archivo. Parece que la solución será crear un html en el estilo hypertexto del antiguo Norton Guides.

Algunas métricas que ya tiene:
1 ) Espacios vacíos
2 ) SLOC
3 ) Funciones
4 ) Count de requires

Por implementar:
1 ) Avisos de shorttags.

Se coloca en http://www.alfonsoorozcoaguilar.com/codigo/rijndael.txt el codigo fuente del editor rijndael, y se deja un ejemplo operativo en

http://www.alfonsoorozcoaguilar.com/codigo/editor.php

Es el código que mencioné en https://alfonsoorozcoaguilar.com/node/550

Aunque no se ha definido bien de donde viene el problema, y que el internet ya se resolvió en la oficina, no podemos dejar de lado que las redes Wan son bastante mas inseguras.

Hay dos o tres razones que justifican la inestabilidad anterior:
1 ) Cable troceado
2 ) Intercepción pasiva o Sniffing
3 ) Tampering o Intercepción activa. Paso previo a un ataque de MITM.

Los ataques de MITM Son especialmente problemáticos con la naturaleza del trabajo que realizamos en la empresa, y una red WAN es un problema serio que facilita estos ataques. Pasamos a tener demasiados puntos de falla.

La solución evidente es tener acceso nosotros a una conexión independiente o cableada, así que podríamos estar mas seguros de si hay o no un MITM. La red cableada restringe el campo de posibles MITM, y una conexión tipo BAM o Ego ayudaría.

Pensando en esto, y que el código que enviamos por correo puede ser interceptado, me pareció bueno usar el método de aescrypt.zip, un software de encriptado via AES que usé hace tiempo, que edita archivos de texto con passphrase. El problema fue que no corre en Windows 7 home premium, y cambiar la plataforma de los programadores de aquí no sería opción porque las máquinas virtuales no correrian en windows 7 home, que sería el downgrade a la licencia que tenemos en las laptops.

Así que la alternativa es simple.. y el problema mayor. Independientemente de la posibilidad de MITM la necesidad de un cifrado Rijndael o similar para notas de juntas confidenciales, está presente.

Descargué varios editores con criptografia pero no regresan el texto como debía ser cuando no vienen en UTF-8 (y si la idea implica en cierto nivel manejo de correo, mejor sigo al RFC 1642 para envío seguro por correo, y por lo tanto no es UTF8 sino
UTF7). Por lo mismo, decidí hacer un editor rijndael propio (fueron unas dos horas y 70 SLOC en PHP). Incluso este texto lo estoy capturando en ese editor y luego el texto lo subiré al blog. El lunes edito el mensaje para poner el código.

Básicamente para un editor hecho en casa me quedaban dos alternativas: Twofish o rijndael. Para evitar complicaciones elegí Rijndael.

Que necesita para mi un editor seguro de texto seguro ?
1 ) Evidentemente contraseña reversible
2 ) No necesitar login, pero guardar passphrase en memoria
3 ) No preguntar demasiado la passphrase. Los editores que use en su momento eran molestos en ese aspecto.
4 ) Permitir desconexión rápida para ir al baño, por ejemplo.
5 ) Permitirme abrir tres archivos fijos a la vez. Como pueden ser enviados por correo en scripts, manejaré como archivos editables editor.txt editor2.txt y editor3.txt

Estos objetivos se cumplieron muy rápido con CURL y unos cambios en mcrypt. Como los programadores de php tienen puesto WAMPSERVER, el editor puede ser un solo archivo, y los archivos texto finales pueden copiarse a un USB o enviarse por correo, sin que sean crackeables.

En una etapa posterior, el no usar utf8 permite que este editor evolucione a un editor de código PHP que mande la información a un Sftp seguro o via post CURL. Tiene que ser un FTP con SSL porque a pesar que en el server destino se implemente un ftp, si no tiene SFTP el password del ftp es texto plano y un sniffer o MITM obtiene la credencial, haciendo lo demás inútil. Un post de información via CURL tiene limitaciones prácticas en tamaño a menos uqe revises un crc32 del post, pero es poco fiable, asi que de entrada la solución actual me permite una tercera opción. Enviar por un correo bajo socket seguro, y que el server lo lea del correo. Así el password estaría menos expuesto.

El objetivo previo se cumple: Editor seguro con estándar Rijndael en pocas SLOC de PHP.

Otra función práctica podría ser en la casa como clipboard. Se pone el dato en un sitio sin problemas. No sirve en ese caso como defensa ante MITM, pero es otra posible aplicación.

Edit del 7 de febrero:
Se coloca en http://www.alfonsoorozcoaguilar.com/codigo/rijndael.txt el codigo fuente del editor rijndael, y se deja un ejemplo operativo en

http://www.alfonsoorozcoaguilar.com/codigo/editor.php

Uno de los problemas actuales del área de desarrollo de la empresa en que estoy por nómina, es el que los dos programadores jovenes no tienen idea de como usar una librería, ni de sus ventajas. Desde los ajustes de noviembre, uno de ellos se ha dedicado a la implementación y el otro a los formatos PDF, pero falta verificar las desviaciones al estándar.

La mayoría de los documentadores GPL y no GPL que he visto tienen el problema de ser «verbose», es decir, dan información inútil. Una vez en el año 2000, recuerdo que me quisieron dar en un lugar un archivo de 600 páginas generado con Data Architect de Sybase, y yo me NEGUE a recibirlo. Mi argumento fue simple: Generaste esa documentación con Data Architect, así que si me das la impresión del esquema entidad relación, Se entiende mucho mas rápido. El archivo que me das en este momento es inútil.

Mas adelante En otra empresa una persona que no era técnica (teóricamente si pero en realidad hacía powerpoints) me dio tres esquemas de datos para integrarlo a mi reporteador al mismo tiempo. Uno era powerpoint, otro excel y un tercero word… con estructura de campos diferentes.

En esa ocasión ya había avisado a mi superior inmediato, que si manejaba esquemas identidad relación. El asunto estuvo bastante ridículo, porque todo el mundo menos la powerpointera estuvo de acuerdo que debía ella darme un solo esquema, y preferentemente en un sistema entidad relación. Como dato al margem se acabó ignorando completamente su trabajo e hice un reporteador autoconfigurable.

La premisa básica de la documentación es:

La documentación se debe enfocar a quien va dirigida.

Necesitamos un reporte simple de dependencias, duplicados, contenido, porcentaje de documentación, duplicados e información relevante sobre código fuente para uso de los programadores y líderes de proyecto.

¿Cual es el problema en este momento?

Hay código que no sabemos de que depende, ni a que llama. Ya Tenemos especificaciones funcionales que hice yo, que documentan los límites, pero lo que necesitamos en este momento es un analizador de código que verifique por requires e includes que llama a qué , así como si hay funciones repetidas, etc.

¿De donde sale y Cual es la idea general?

En el año 95 hice un sistema de código Turbo Pascal que revisaba archivos *.pas y reemplazaba llamadas de Tp3 a Tp4, además de varias correcciones y quitar espacios sobrantes. Lo que busco es hacer algo similar, además de dar un reporte simple que me indique funciones documentadas, jerarquía de archivos, relevancia y analizador de archivos sobrantes.

¿Bajo que licencia?

GPL 2.0. Básicamente por que la versión GPL3 sigue en borrador y la gpl3 identifica de manera clara «Unless specifically stated, the Program has not been tested for use in safety critical systems.», lo cual causa bastantes quebradores de cabeza adicionales y subidas en fianzas para sistemas que deben cumplir con HIPAA, http://en.wikipedia.org/wiki/Health_Insurance_Portability_and_Accountability_Act