Foro de elhacker.net

Heartbleed es una vulnerabilidad que afecta a todos los clientes y servidores que utilizan OpenSSL de manera que mediante solicitudes maliciosas, un atacante podría llegar a obtener claves privadas de usuarios de manera que podrían conseguir descifrar el tráfico y las conexiones obteniendo la información en ellas. Hasta ahora, el responsable directo de esta vulnerabilidad no se había pronunciado a los usuarios de internet pero, casi una semana más tarde del descubrimiento de esta vulnerabilidad, finalmente ha decidido hablar.

Según las declaraciones de Robin Seggelmann, estudiante de doctorado y desarrollador de la parte del código vulnerable, la vulnerabilidad es culpa de un descuido a la hora de escribir las validaciones necesarias para dicho módulo. Este error tampoco fue revisado durante las versiones de prueba, por lo que finalmente llegó sin quererlo a la versión final y de ahí siguió adelante en nuevas versiones.

Este desarrollador también ha afirmado que dicha parte vulnerable del código fue trabajo de varias semanas y que también parte de la culpa por el despiste se debe a que coincidió con Navidad a la hora de la publicación del código y, por esas fechas, los controles que se suelen aplicar a los diferentes software suelen ser menores generalmente.

Pocas horas tardaron en actualizar el módulo vulnerable de OpenSSL aunque, sin embargo, la peor tarea recae sobre los administradores de sistemas que necesitan actualizar sus sistemas manualmente para protegerlos de dicha vulnerabilidad.

Esta vulnerabilidad ha afectado a más de medio millón de equipos. Aunque ya hay disponible un parche para solucionarla, es posible que aún algunos servidores o clientes sean vulnerables ante Heartbleed porque no hayan sido actualizados correctamente. Aún tendrá que pasar más tiempo hasta que todo se solucione y podamos volver a confiar al 100% de todas las conexiones OpenSSL de la red.

¿Qué opinas de las declaraciones del desarrollador de la vulnerabilidad que ha afectado a tantos equipos a nivel mundial?

Fuente: Welivesecurity

http://www.redeszone.net/2014/04/14/el-responsable-de-la-vulnerabilidad-heartbleed-de-openssl-se-disculpa/

Un poco INUTIL ese programador, en un trabajo que puede afectar a tantos usuarios no se puede permitir descuidos ni despistes, y comprobar bién la aplicación antes de darla por buena.

Lo minimo es que lo despidan, coja una caña y se vaya a pescar al rio.


Saludos.

Así es la licencia, casi que puedo decir que la culpa es de los usuarios.

Lo más facil siempre es echarle la culpa a los usuarios....

Este hombre reconoce que:


A pescar al rio....y si hay pirañas mejor.... ;D


Saludos.

Casi todas las licencias de software libre dice claramente que viene sin ninguna garantía. Así que desde el punto de vista jurídico, la culpa no es del programador, y desde el punto de vista ético, de nadie, puesto que es lo que tiene el software libre, lo usas sin ninguna garantía de que funcione como deba.

Aunque ese software fuera cubierto por una compensación económica, esas cosas pasan.

La duda es, verisign y toda la pesca que dicen que tienes una garantía de 200.000$ si te revientan el sitio o la clave de cifrado, qué van a hacer? De quién es la culpa? Mi verdadera pregunta es esa, y es la que todos deberían hacerse.

Si, si, todo lo que querais, pero eso no quita que un profesional tiene que hacer bién su trabajo, y ese programador no ha lo ha hecho.

A los leones......

Saludos.

en este caso me parece que no es culpa única de el, también están el resto de los programadores que deben revisar el código y corregir los errores dejados (limpieza, corrección y optimización del código), cualquier puede dejar un error incluso uno tan pequeño (que aunque en alcance es grande, normalmente no se piensa en ello al momento, y es posiblemente una linea de código entre cientos diarias)

por otro lado "Lo más fácil siempre es echarle la culpa a los usuarios...." cuando adquieres un software te atienes a sus licencias, no es culpa expresa de los usuarios, pero deben saber que si no quieren tomar riesgos reales consecuencia de esto, deben pagar licencias que les aseguren que en estos casos les pagarán indemnización (porque es mentira que nunca se van a equivocar)

Los que tenian que revisar el codigo se columpiaron, pero el que empezó el desaguisado fue el programador despistado.

A los cocodrilos.... ;D


Saludos.

Cualquier persona puede cometer errores, algunos más que otros. Yo me pongo en el lugar de ese programador (y mira que odio programar) y pienso en cada detalle que tiene que pensar para que no pasen estas cosas. En fin, la licencia los salva. Él no tiene la culpa ni como persona ni como profesional.

Creo yo.

Salu2

Cualquier programador por más experto que sea tiende a equivocarse. Sobretodo en proyectos tan complejos, le dan demasiado auge a algo que ya fue solucionado.

Sí, por supuesto, pero eso no es lo que se espera de un profesional.

Cuando lleves tu coche a que lo pinten y digas que lo quieres azul, y te encuentres una puerta verde y te digan: "ho, me he despistado", veremos si dices lo mismo.  ;D

Saludos.

Pues claro que le diría, la diferencia es que ese servicio lo pago. Estamos hablando de openssl. Has pagado algo? No puedes reclamar nada. Si la puerta me la pintaran gratis, tampoco reclamaría nada.

Lo dicen bien claro, software libre<->no garantía de ninguna clase.

Los de Verising dirán que fue culpa de otro y blablabla (yo haría lo mismo).

¡Buenas!

No es que el software libre venga sin ningún tipo de garantía, sino que incluso las empresas que crean software privativo se lavan las manos. No se si habéis leído alguna vez algún EULA de los que habéis aceptado. Cuando me compré el portátil y fui a activar uno de los programas que traía por defecto, me dio por leer las condiciones de aceptación y uso y al final hice click en rechazar. Básicamente negaban toda responsabilidad sobre cualquier daño que su software produjese en el equipo y por cualquier perdida de datos debido a un mal funcionamiento de su producto y pitos y flautas. Todo eso y mas es lo que aceptamos cuando hacemos click en "siguiente" sin pararnos a leer hasta que altura de las piernas nos van a bajar los pantalones.

Así que puesto a asumir cualquier error derivado del uso de cualquier pieza de software que vaya a utilizar, mejor que sea libre. Que por lo menos no me lo vende un jeta que luego se lava las manos ante cualquier error, ah, y que no permite copiarlo ni compartirlo y me limita el número de copias que debo usar por algo que ya he pagado y... bueno todo eso...

¡Saludos!

Por supuesto, pero hay que ver qué empresas hacen eso. El software privado se lava las manos, el abierto directamente ni te ofrece ninguna garantía. Osease, que es lo mismo.

Luego está la garantía "de facto" que todos sabemos cómo funciona y si da problemas.

Por ejemplo, en el caso de windows se sabe que "extraer con seguridad" no da ningún problema o no ha dado y no pierdes datos, mientras que en debian un montón de veces me ha pasado que al extraer el dispositivo me saliera una ventana de error, y la próxima vez que metí el pen no habían datos, o no estaban todos y se veían mal o directamente no se veían, etc. En ese aspecto sabes las garantías (aunque no vengan escritas).