Categories
Provocación WordPress

Realidad (¿ligeramente?) distorsionada de un bug

Un fenómeno que últimamente noto en relación a WordPress -- al menos en bloggers hispanos, es que cada vez existe menos tolerancia a los errores que se presentan en cada versión. En mi opinión, estos errores se deben principalmente a que el proceso de desarrollo de este CMS y el código en si, son en cierta forma desordenados; pero por otro lado, la comunidad tampoco ayuda mucho en el reporte de errores, me pregunto ¿cuántos de los que lo usan y usualmente se quejan han tomado parte de su tiempo para reportar algún fallo o comportamiento erróneo en el lugar adecuado?.

He leído también por ahí a un blogger que comentaba que con usar y darle "publicidad" (léase enlaces) a WordPress era más que suficiente para de cierto modo "pagar" por el uso de éste, pero particularmente creo ese comportamiento se aleja de lo que debería ser y/o hacerse en una verdadera comunidad de un proyecto de Software Libre.

En fin, todo este desvarío de ideas se debe a un curioso caso que empezó con una entrada que publicó Héctor titulada "Bug grave en WordPress 2.5.1", a lo cual -- probablemente por el título -- otros bloggers escribieron entre otras cosas (negritas intencionalmente resaltadas):

Un gran problema de seguridad presenta la ultima versión de WordPress 2.5.1, gracias a la ayuda de sigt tenemos una simple y rápida solución. S recomienda modificar estos archivos ya que el bug no estara resuelto hasta la proxima version de WP 2.5.2

Código Geek

Pues sí, salió la actualización WordPress 2.5.1, y ya han descubierto un bug de seguridad. Además, si usaban el plugin XML Sitemaps actualícenlo ya a la última versión si no quieren que su servidor eche humo.

La Brújula Verde

[...] Por otro lado, apenas salió la actualización, se encontró un nuevo error bastante crítico, como explican en SigT y Bitperbit, el cual ya tiene solución. [...]

Geek Spot

Ahora, supongo que a cada uno le corresponde determinar que tan grave es no poder resetear la contraseña de sus propios blogs, "afortunadamente" para mi, hasta el momento no tuve la necesidad de hacer eso ni una sola vez.

Finalmente, me gustaría acotar que este "gravísimo" error se produjo porque había que corregir un problema de seguridad real y el que hizo la corrección no se percató del código que dependía de dicha funcionalidad -- posiblemente si se usaran pruebas unitarias y de integración se evitarían este tipo de casos.

Categories
Perú Provocación

Telefónica y el monopolio de Internet en Perú

Luego de leer una entrada que publicó David con respecto a su conexión de Internet y por otro lado, ver que varios bloggers peruanos que -- al parecer -- acaban de conocer OpenDNS, mencionando a ésta alternativa como "la solución" al problema de Internet que nos afecta desde hace bastante tiempo, me hacen reflexionar sobre el porqué una empresa, que a pesar de mostrar ineptitud para brindar servicios, sigue como si nada hubiera pasado.

Lo que les comento a continuación, es una serie de quejas/experiencias que tengo gracias al monopolio de Internet que existe en Perú y antes de empezar, muestro la relación velocidad/tarifa que Telefónica cobra (precios aproximados en dólares americanos):

  • Speedy 200 (Kbps): $33.
  • Speedy 400: $40.
  • Speedy 600: $49.
  • Speedy 900: $86.
  • Speedy 1200: $142.
  • Speedy 2000: $320.

Aunque los precios son algo caros en comparación a otros países, no diría nada si la velocidad ofertada fuera real, pero en el contrato (Speedy Convencional) estipula lo siguiente para la velocidad de transmisión:

QUINTO: VELOCIDAD DE TRANSMISIÓN DEL SERVICIO
La velocidad de transmisión del Servicio dependerá de la modalidad elegida por el CLIENTE. El CLIENTE declara conocer que la posibilidad de contar con la velocidad de transmisión contratada depende entre otros factores, de los siguientes:

  1. el volumen de tráfico y congestión de la red en Internet;
  2. las condiciones tecnológicas y capacidades de su computadora;
  3. el uso que el CLIENTE haga del Servicio. El CLIENTE conoce que el uso excesivo por parte de éste de aplicaciones “peer to peer” (punto a punto o P2P) u otras similares, podrá afectar la velocidad de navegación y generar interrupciones en el Servicio;

El CLIENTE declara conocer que los mencionados factores se encuentran fuera del control de TdP. TdP hará sus mejores esfuerzos para permitir que, a través del Servicio que presta, el CLIENTE cuente con la mayor velocidad que sea posible. En cualquier caso, la velocidad mínima del Servicio será el 10% de la velocidad contratada, todo ello de acuerdo a lo establecido por las normas regulatorias aplicables. Asimismo, por propia iniciativa, TdP podrá incrementar la velocidad del Servicio contratada, sin que ello implique un incremento en la retribución señalada en la cláusula segunda.

La parte resaltada con negrita, al menos en mi caso es una vil mentira, puesto que en condiciones normales nunca llega al 10% (con las justas se llega a este porcentaje utilizando algún acelerador de descargas) y en horas punta existe inclusive cortes intermitentes del servicio (aún usando los servidores de nombre de OpenDNS) -- ver la aclaración de este punto.

Por otro lado, este problema con los servidores de nombre de Telefónica sobre el que comentan varios bloggers peruanos, al parecer es porque el número de usuarios de Internet se incrementó vertiginosamente estos últimos años -- la última vez que pedí que me cambiaran a otro plan con velocidad de transmisión un poco más alta, me dijeron que la zona donde vivía estaba muy saturada.

No sé si tenga la suerte de ver que esta situación cambie algún día, porque da la impresión de que los políticos de Perú o no usan Internet o tienen lineas dedicadas. 😕

Categories
Provocación Seguridad

¿Las certificaciones sirven para algo?

En mi lectura diaria, encontré una entrada en la que se comenta que SANS creó un instituto de seguridad (Software Security Institute), en el cual se tomará un examen que determina si los candidatos conocen sobre técnicas de seguridad para escribir código seguro (por el momento los lenguages que se mencionan son C/C++, Java/J2EE y próximamente Perl, PHP, .NET y ASP.NET).

Como curioso que soy 🙂 me puse a resolver una prueba gratuita de Java/J2EE -hice esto porque actualmente no existen pruebas para .NET o PHP-, entre las que se incluían algunas preguntas generales y otras específicas con respecto a técnicas de seguridad usando este lenguaje. Esta es la calificación que obtuve:

SANS Software Security Institute Test Results

Ustedes se preguntarán que hay de malo con esta calificación, pues el pequeño detalle es que yo en este momento conozco muy poco de Java y jamás desarrollé una aplicación con J2EE.

Aunque los conceptos de seguridad se pueden aplicar en varios lenguajes, esto dista mucho de los objetivos que SANS -o cualquier empresa que se dedica a certificar gente- desea lograr... si alguien llegara a contratarme basándose solamente en este resultado, es obvio que sería un desastre para el trabajo que me asignen los primeros meses.

No es por desmerecer a las personas que tienen certificaciones -y saben de lo que hablan, pero en mi humilde opinión, éstas solo sirven para adornar el curriculum vitae y casi siempre para convencer a empleadores que sólo se fijan en estas cosas.