Por segunda vez en mi vida, hoy me he dejado las llaves de casa puestas por dentro. Una putadilla, la verdad. La ocasión anterior, que vivía en un primero, pase desde la casa del vecino, pero claro, ahora desde un octavo, pues como que impresiona un poco más.
Así que el seguro de la casa nos ha mandado un cerrajero. En 20 minutos. Que aprendan algunas empresas de servicios...
Hemos subido el cerrajero y yo hasta la puerta de mi casa, y con otra llave le he enseñado que no podía abrir. Así que se iba a poner manos a la obra-puerta,...
Cerrajero:- ¿puedes bajar al descansillo?
Yo: - ¿ehh? (ya me lo imaginaba, pero me he hecho el loco)
- Sí, es por motivos de seguridad.
- Pero si es mi casa y mi puerta. No tengo ningún problema.
- Pero no puedes ver cómo abro la puerta, por seguridad.
- Vaya, pero entonces tampoco sabré como puedo asegurarla si lo necesito.
- Debes bajar al descansillo...
- ¿y no hay más gente que sepa cómo se abre una puerta?
- Pero a los cerrajeros no debes verlos por seguridad.
- Claro, y a los ladrones por seguridad tampoco, por su seguridad...
- ...
- O sea, que tú sabes cómo abrir cualquier puerta en un momento, y la forma de que no se sepa es no dejando ver cómo se hace.
- Más o menos.
- ¿no sería mejor que todos lo supiesemos, y que cuando realmente queremos que no nos abran podamos tomar medidas y asegurarnos?
- Pero entonces todo el mundo sabría abrir puertas muy fácil.
- Pero también sabría todo el mundo cómo asegurarlas, ¿no?
- ¿y entonces en qué trabajo yo?
- Bueno, habrá puertas que necesiten mayor especialización, conocimientos especiales, que no todo el mundo tendrá el tiempo de aprender. O te puedes dedicar a revisar las puertas para asegurar como experto que no tienen entradas fáciles...
Casi estuve por soltarle la célebre frase de "
tu fallido modelo de negocio no sería mi problema", pero me contuve. :)
En fin, que al final me he bajado al descansillo, y no he visto como abría la puerta en menos de 10 segundos. Así que ahora tengo un dilema: Si siempre cierro con las llaves puestas por dentro, lo más probable es que me las vuelva a dejar. Si no cierro, algún malvado cerrajero podría entrar en mi casa sin que yo me entere, mientras duermo por ejemplo.
¿Qué es más seguro? ¿exponer el código fuente a la revisión de la comunidad? ¿o esconder los fallos tras el oscurantismo?
Si (expones) liberas el código fuente:
- Los usuarios se aseguran de la funcionalidad de ese software es la indicada Y NO MAS.
- Los usuarios más expertos pueden solucionar fallos de seguridad haciendolos públicos a su vez.
- Los cerrajeros malvados pueden buscar fallos en el sistema desde dentro.
Si utilizas código "oscuro":
- Los usuarios no conocen que hace realmente ese software en su máquina.
- Los usuarios más expertos pueden indicar que encuentran fallos al mega-cerrajero que creo la puerta de la oscuridad del código.
- Los cerrajeros malvados pueden hacer cosas curiosas con el software que los usuarios pueden ni enterarse y quizás no gustarles demasiado, como abrir una puerta especial para ellos mismos para cuando duermas...
Y al hilo de esto, a
R. Galli le ha sucedido algo que tiene que ver con la seguridad de su producto estrella: sus clases de Sistemas operativos, ¡no!:
Meneame. Es de software libre, y parece que un par de personas habían encontrado unas vulnerabilidades. Lamentablemente estos pájaros eran de los cerrajeros malvados y las han utilizado para pegarse una gracia en el portal.
Ahora bien, Ricardo ha publicado la correción enseguida, y ya está disponible para los cienes y cienes de clones de
Meneame que han surgido. Código fuente, clarito, y disponible al momento.
De todas maneras, le recomendaré a Ricardo, que se lea los
"Top 10" de los elementos a comprobar en la seguridad de las aplicaciones web, que parece que se le ha ido la mano justo con el primero, tal y como lo cuenta él: la comprobación de los parámetros de entrada. A ver si así se vuelve un poco más humilde... ;)