Entradas etiquetadas fallos

Un fallo sutil

2012/04/19 a 18:38 · Archivado en fallos ·Etiquetado , , ,

Parece que últimamente, además de tener este sitio un poco abandonado, apostamos por historias un poco truculentas y sutiles. Supongo que para temas más del día a día hay otros blogs y a uno le gustan las cosas que le gustan. En I Saw An Extremely Subtle Bug Today And I Just Have To Tell Someone cuentan como encontraron un fallo bastante sutil y cómo descubrieron el origen.

De hecho, en este caso se trata de una condición de carrera que es un fallo difícil de encontrar, sobre todo cuando ni siquiera se está pensando en ello.

Podemos extraer enseñanzas generales: tenemos sistemas muy complejos (combinación de hardware diverso, sobre el que va el sistema operativo, y seguramente varios niveles más de software apildos). Cuando el fallo es obvio, está más o menos claro donde mirar; pero cuando hay interacciones, la cosa se complica.

Dejar un comentario

El tamaño (del código) importa

2012/02/22 a 15:32 · Archivado en programación ·Etiquetado , , , , ,

En Size is the best predictor of code quality un par de enlaces y punteros a estudios sobre el tema (cuando los lea tal vez volvamos sobre ello).
Comenta sobre las métricas de código y su impacto en la robustez y fiabilidad del código y cómo parece que el tamaño sigue siendo un buen predictor.

Creo que habíamos hablado del tema en algún momento, pero no lo encuentro.

Dejar un comentario

SMS y fallos. Ahora en Windows Phone

2011/12/15 a 13:56 · Archivado en seguridad ·Etiquetado , , , , , ,

Lo veo en Descubierta vulnerabilidad a través de mensajes SMS en Windows Phone 7 y apunta a Windows Phone SMS attack discovered, reboots device and disables messaging hub donde cuentan más detalles (pero no muchos). El envío de un mensaje ‘adecuado’ reiniciaría el teléfono y deshabilitaría algunas funciones.

Ya hemos hablado en vidas anteriores de otros problemas con los SMS:

Dejar un comentario

Cuidado con los secretos

2011/06/16 a 20:00 · Archivado en fallos, seguridad ·Etiquetado , , , , ,

Hay gente que cree que es suficiente con ofuscar algo para que otros no puedan acceder a la información (de hecho, creen que sus métodos de ofuscación son realmente métodos de cifrado). En Nuclear sub secrets revealed by mod ‘schoolboy error’ nos cuentan un caso de estos:

But in what was described as “a schoolboy ­error” the technique used by MoD staff to censor the ­document was easy to reverse. The bunglers turned the text background black – making the words unreadable – but crucially left them in place. That meant anyone wanting to read the censored sections just had to copy the text.

Dejar un comentario

Fallos frecuentes en el código

2011/05/10 a 1:28 · Archivado en fallos, programación ·Etiquetado , , , , ,

En Olores de código (Code Smells). Ya hablábamos antes de las metodologías ágiles de este tipo de problemas pero no hay que negar que la literatura con la que lo adornan los hacen todavía más atractivos.

Buscando, encuentro aquella entrada sobre la complejidad y la seguridad.

Dejar un comentario

Pagar la ‘deuda técnica’

2011/02/21 a 20:51 · Archivado en fallos ·Etiquetado , , ,

Me pareció muy sugerente el concepto y quiero dejarlo anotado aquí: En ¿Como pagar la “deuda técnica”? se hace la analogía económica con las ‘hipotecas’ en que incurrimos cada vez que aceptamos una chapuza o una mala solución en nuestros sistemas, pensando que ya lo arreglaremos más adelante. Apuntan a la entrada de la Wikipedia, Technical debt y se puede leer algo más sobre el tema en Technical Debt

Comentarios (1)

12 errores de programación que deberíamos evitar

2010/12/13 a 12:00 · Archivado en programación ·Etiquetado , , , , ,

En 12 programming mistakes to avoid. Cuidado con tomarse nada muy a pecho, porque casi todas tienen su contra-parte: se trata de un compromiso entre hacer algo demasiado, o demasiado poco.

  1. Hacerlo rápido y con poco cuidado
  2. Decicarse en exceso a los detalles
  3. No simplificar el control
  4. Delegar demasiado a las herramientas (frameworks)
  5. Confiar en el cliente
  6. No confiar suficiente en el cliente
  7. Confiar demasiado en soluciones mágicas
  8. Reinventar la rueda
  9. Dar demasiado control al usuario
  10. Controlar excesivamente la experiencia de usuario
  11. Cerrar el código
  12. Suponer que la apertura lo cura todo

Esto es el resumen pero lo mejor es leer la explicación asociada a estos puntos en el artículo.

Dejar un comentario

Un fallo de 17 años

2010/05/06 a 20:21 · Archivado en fallos, seguridad, vulnerabilidades ·Etiquetado , , , , , , , ,

Esta vez se trata de un fallo en Windows, Windows plagued by 17-year-old privilege escalation bug. Concretamente afecta a la ‘Virtual DOS Machine’ introducida en 1993 con Windows NT. En Microsoft Windows NT #GP Trap Handler Allows Users to Switch Kernel Stack se pueden ver más detalles del fallo.

Es una cosa medio técnica y poco ‘glamourosa’ (creo), pero ¿por qué lo traigo aquí?
Me gusta recopilar este tipo de cosas, y ya habíamos hablado de fallos que permanecen mucho tiempo y que aparecen años después (en esta ocasión casi con la ‘mayoría de edad’) en El mito de los miles de ojos, hablando del software libre y este que traemos ahora es de software privativo, pero de difusión muy amplia.

Comentarios (2)

Actualización del OWASP Top 10

2010/04/28 a 20:01 · Archivado en fallos, OWASP, seguridad, top ·Etiquetado , , , , , ,

Tenía pendiente comentarlo desde hace unos días y la gente de Hispasec me da la ocasión: OWASP: Los diez riesgos más importantes en aplicaciones web (2010).

En OWASP Top 10 for 2010 hay más detalles y puede ser una lista de los fallos que sí o sí debería conocer cualquier desarrollador web:

* A1: Injection
* A2: Cross-Site Scripting (XSS)
* A3: Broken Authentication and Session Management
* A4: Insecure Direct Object References
* A5: Cross-Site Request Forgery (CSRF)
* A6: Security Misconfiguration
* A7: Insecure Cryptographic Storage
* A8: Failure to Restrict URL Access
* A9: Insufficient Transport Layer Protection
* A10: Unvalidated Redirects and Forwards

También se puede descargar de OWASP Top 10 2010 – PDF

Comentarios (2)

Sobre la divulgación de fallos de seguridad

2009/12/28 a 22:38 · Archivado en seguridad ·Etiquetado , , , , ,

¿Qué hacer cuando encontramos un fallo de seguridad en una aplicación? Y el responsable de la misma, ¿cómo debería comportarse? Habitualmente todo lo regula el buen juicio y las habilidades sociales y técnicas de las dos partes implicadas.

Hace algunos años Steve Christey y Chris Wysopal trataron de proponer el Responsible Vulnerability Disclosure Process draft-christey-wysopal-vuln-disclosure-00.txt . Se puede leer un poco sobre el tema en Retirada del borrador de RFC sobre publicación de vulnerabilidades.

Pero volviendo a la actualidad, en Informático y Segurata nos avisaban hace unos días en Responsible disclosure de la existencia de un debate renovado, porque se anuncia para diciembre de 2010 la ISO/IEC NP 29147 Information technology – Security techniques – Responsible Vulnerability Disclosure.

Hay algo de información en Responsible Disclosure – Old Debate, Fresh Aspects?!.

También descubrimos que existía el Common Frameworks for Vulnerability Disclosure and Response (CVRF).

Comentarios (1)

Entradas más antiguas »
Seguir

Get every new post delivered to your Inbox.