Una grave negligencia informática del Ministerio de Justicia ha descubierto material privado de todo el colectivo judicial español. ¿Ha sido un incidente aislado? Algunos avisan: esto se veía venir
#11:
Una chapuza completa. Miles de fallos, entre ellos este:
"No podemos saber los fallos técnicos porque es un sistema oculto, no conocemos el código fuente. Lo hemos pedido y nos lo han denegado."
La transparencia en las Administraciones Públicas (=dinero pagado por todos), si eso, 'ya tal'...
Vergonzoso e indignante.
#6:
Por lo poco que leí ayer (corregidme si tenéis más información), el fallo vino por una actualización.
Inicialmente el sistema se diseñó para que sólo un abogado pudiese ver sus casos.
Pero introdujeron una modificación (que fue la que desató el error): un abogado puede designar un sustituto (lo que significa que 2 personas tienen acceso a los casos) y también el multibuzón (una persona tiene accesos a varios buzones de otros abogados, y varios abogados pueden ver un mismo buzón).
Es decir, han cambiado radicalmente uno de los requisitos iniciales.
Que sí, que las cosas se pueden hacer bien y no tiene por qué fallar.
Pero si en la toma de requisitos hubieran puesto a alguien competente (en los 2 lados: informático y usuario), esto no hubiera pasado.
Por ejemplo, yo no sé cómo trabajan los abogados pero es muy básico la figura del sustituto.
Para cualquier sistema de acciones "personales" tienes que tenerlo en cuenta.
#19:
#6 No les exime de culpa. Para empezar, los requisitos siempre van a cambiar o se van a refinar. El cliente nunca sabe a ciencia cierta lo que quiere, y por mucho que intentes acotar como empresa desarrolladora, siempre hay cambios. Es más, las metodologías ágiles abrazan el cambio y por otro lado existen los contratos con mantenimiento evolutivo , como debe ser el caso de LexNet.
Lo que yo veo aquí es incompetencia pura y dura por parte de la empresa desarrolladora. Para empezar, no se ve que esté diseñada teniendo en cuenta la seguridad y confidencialidad de la información. Y por otro lado, cualquier cambio, y más si es tan importante como el de añadir abogados sustitutos, debe pasar una batería de pruebas de integración y regresión antes de pasar a producción, para saber si se sigue integrando bien con otros subsistemas de la aplicación y que no ha afectado a otras funcionalidades. Es un sistema crítico, pero más bien me imagino que es una chapuza y que no tiene implementada ni una puñetera prueba.
#44:
Para los que no sepan mucho, el error es un falló básico. Controlar las sesiones de usuario y que no se pueda ver lo de otro usuario cambiando un numerito en la dirección de la página es lo mínimo que hay que tener en cuenta en seguridad.
Entre otras cosas porque no hay que ser hacker para romper la seguridad (porque esta no existe). Cualquier usuario cotilla te romperá el sistema. Y si tienes muchos usuarios ...
Vamos, que es una cagada enorme.
#13:
Y esto otro es tan habitual que ya ni sorprende a nadie:
"Para empezar, solo funciona con Windows. ¿Por qué un Ministerio diseña una plataforma que solo funciona con el sistema operativo de una multinacional? Es como si me obligan a comprar un boli especial para rellenar las instancias judiciales. Todos los sericios de la administración pública tendrían que valer para software libre, esto es una negligencia y una falta de comunicación de cómo funcionan los sistemas tecnológicos"
Han pasado más de 20 años desde que se lanzó Windows 95. ¿Hasta cuando las "nuevas tecnologías" siguen siendo 'nuevas'?
En aquella época (mediados de los 90) yo era un veinteañero estudiante de ingeniería. Veía a estos "señores mayores" (secretarios judiciales, médicos, administrativos, funcis en general...) como dinosaurios escribiendo a máquina e incapaces de adaptarse a un ordenador.
Han pasado VEINTE PUTOS AÑOS... ¿Ni siquiera se garantiza una formación básica en informática a nivel de usuario, para evitar que ocurran las atrocidades que se ven cada día??
¿Qué pintan aquí los funcionarios?. De hecho en multitud de ocasiones los funcionarios se han quejado del desvío de trabajos a contratas externas mientras a ellos los tenían haciendo el indio. NO es culpa de los funcionarios, es culpa de esos que nombran a dedo aquellos otros a los que das tu voto cada 4 años.
#88:
#1 Es el problema de subcontratar el desarrollo de este tipo de sistemas, en la administración pública meten a empresas amigas (sobres y mamoneo) a las que pagan pastizales por trabajadores técnicos a precio de jamón pata negra, y meten a cuatro novatos a hacer el trabajo para ampliar los márgenes de beneficio y después pasa lo que pasa (los informáticos senior escapan de las consultoras y de la subcontratación como alma que lleva el diablo, y los que quedan están tan quemados que les da igual todo).
Menudos funcionarios tenemos y sistema corrupto de subcontratación pública.
#130:
#44 Y si tienen ese fallo tan idiota, no digo nada de cosas más complejas, como simples XSS o inyecciones SQL.
Esa aplicación pide una auditoría de seguridad a gritos.
#94:
#80 Leyendo la Wiki facilitada en #30 se ve que lo del desarrollo de ese engendro es un engendro, como no podía ser de otro modo. Un amasijo de empresas diferentes, y ni siquiera se sabe quien hizo qué.
Me temo que seguramente LexNet no tenga arreglo, y probablemente sería más productivo diseñar un producto de 0.
#9:
#3 Si ponían en ID del usuario en la URL ya puedes imaginar el nivel con el que estará hecho todo lo demás.
#65:
#31 ¿Metodologías ágiles? No hace falta tener una metodología ágil para tener un equipo de testeadores (QA), he estado en bastantes proyectos gordos con metodologías clásicas (prácticamente waterfall) donde había el triple de horas asignadas al equipo de QA y de seguridad que al de programadores, porque los cambios eran sencillos pero afectaban a muchas cosas y habría que probar casi todas las funcionalidades de nuevo.
#46:
LEX debe entrar, por méritos propios, en el Olimpo de los grandes proyectos IT patrios, esa lista que muestra la gran chapuza que impera en este pais y concretamente en el campo de las tecnologías IT. No obstante, os digo que 7 millones por este sistema es una miseria. Un sistema de este tipo ha de costar desarrollar e implementar al menos 10 veces mas. Pero la falta de transparencia en la contratacion, los fondos raquíticos que al final se habrán dedicado a los temas clave (subcos de subcos de subcos y un becario) la falta de conocimiento de los directores de proyecto, etc etc.
Todos sabemos que en este pais cuando una empresa gana un proyecto de este tipo todos se llevan su mordida y el que trabaja solo cacahuetes y un contrato por horas (ver Lezos, Gurteles y compañía). El sistema LEX se eleva a la categoría mítica de la Web de Renfe, la 'estabilidad' de la Web de Iberia, el sistema tributario del Ayto de Madrid, o la inmensa chapuza del DNI digital....o, en general, a cualquier Web del gobierno de España o autonomias. De verdad nadie aquí sabe el nombre del perpetrador de LEX? Sería interesante para ponerlo en la placa eterna de GRANDES CHAPUZAS DE LAS TI ESPAÑOLAS. que compiten con otros hitos como los submarinos que no flotan.........
#95:
#89 Elijen Java porque en las cárnicas hay mucho pipiolo que ha aprendido Java en la universidad. No hay otra razón.
#54:
#11 No pedir el código en 2017 es estar como mínimo 20 años atrasado o no tener ni puta idea de lo que se hace... o que los sobres corren más que Bolt...
#32:
Para que quieres un id de usuario en la url cuando ya estas logado? No tienes el id de sesion? O un token de sesion si es una autenticacio unica o algo?
Una chapuza completa. Miles de fallos, entre ellos este:
"No podemos saber los fallos técnicos porque es un sistema oculto, no conocemos el código fuente. Lo hemos pedido y nos lo han denegado."
La transparencia en las Administraciones Públicas (=dinero pagado por todos), si eso, 'ya tal'...
#11 Qué fuerte.
Hasta en el desarrollo más pequeño, se exige siempre el código fuente.
Te tienen secuestrado.
No lo puedes auditar, no lo puedes mantener..
#24 Se exige el código fuente de los desarrollos a medida, pero no del software propietario en el que se basan.
Por ejemplo, al hacer un desarrollo en java, no se entrega el código fuente de la JVM (máquina virtual de Java).
Tú pides el códigos, carácteristicas de compilación y ya te encargas de hacer la compilación del producto. Para facilitar dicha tarea puedes pedirlo en base a herramientas como maven o gradle.
Si le añades software de control de versiones, puedes seguir fácilmente los cambios aplicados.
Y si le aplicas ya metodologías ágiles, ya sería la bomba
#11#24 Creo que os habéis liado, el que dice que no conoce el código fuente es un tío externo al ministerio/jueces. Es lógico que el código no se conozca en algo así. Si se conociera se podrían explotar las vulnerabilidades. Evidentemente el código sí que lo tiene el ministerio
#11 No pedir el código en 2017 es estar como mínimo 20 años atrasado o no tener ni puta idea de lo que se hace... o que los sobres corren más que Bolt...
#66 Que hicieran la directiva europea de pedir en cada web que aceptes las cookies, deja claro que en temas técnicos no tienen ni puta idea. Ni tampoco esos asesores nombrados a dedo que cobran un pastizal por no hacer nada.
#66 baja modesto, que sube chavi. Parece que nunca ha mandado a nadie, debe ser por vago o porque el título más cualificado que tiene es una etiqueta de anís del mono.
#54 en todos los concursos públicos que implican un desarrollo a medida la propiedad Intelectual es del estado, la empresa no tiene ningún derecho sobre el código fuente. Llevo 20 años trabajando para la AGE y nunca he tenido copia del software fuera de las instalaciones habilitadas para ello
Por lo poco que leí ayer (corregidme si tenéis más información), el fallo vino por una actualización.
Inicialmente el sistema se diseñó para que sólo un abogado pudiese ver sus casos.
Pero introdujeron una modificación (que fue la que desató el error): un abogado puede designar un sustituto (lo que significa que 2 personas tienen acceso a los casos) y también el multibuzón (una persona tiene accesos a varios buzones de otros abogados, y varios abogados pueden ver un mismo buzón).
Es decir, han cambiado radicalmente uno de los requisitos iniciales.
Que sí, que las cosas se pueden hacer bien y no tiene por qué fallar.
Pero si en la toma de requisitos hubieran puesto a alguien competente (en los 2 lados: informático y usuario), esto no hubiera pasado.
Por ejemplo, yo no sé cómo trabajan los abogados pero es muy básico la figura del sustituto.
Para cualquier sistema de acciones "personales" tienes que tenerlo en cuenta.
#6 No les exime de culpa. Para empezar, los requisitos siempre van a cambiar o se van a refinar. El cliente nunca sabe a ciencia cierta lo que quiere, y por mucho que intentes acotar como empresa desarrolladora, siempre hay cambios. Es más, las metodologías ágiles abrazan el cambio y por otro lado existen los contratos con mantenimiento evolutivo , como debe ser el caso de LexNet.
Lo que yo veo aquí es incompetencia pura y dura por parte de la empresa desarrolladora. Para empezar, no se ve que esté diseñada teniendo en cuenta la seguridad y confidencialidad de la información. Y por otro lado, cualquier cambio, y más si es tan importante como el de añadir abogados sustitutos, debe pasar una batería de pruebas de integración y regresión antes de pasar a producción, para saber si se sigue integrando bien con otros subsistemas de la aplicación y que no ha afectado a otras funcionalidades. Es un sistema crítico, pero más bien me imagino que es una chapuza y que no tiene implementada ni una puñetera prueba.
#19 Las metodologías ágiles en papel quedan muy monas, pero para aplicarlas implica un compromiso fuerte entre el equipo de desarrollo y el usuario. Y habría que ver primero si se están aplicando y si es así, de que manera.
Por otro lado, puedes cambiar el funcional, pero no puede tocar ciertos puntos, es decir, no puedes empezar diseñando un barco para acabar con un avión con ruedas que navege.
Por lo que comenta el artículo, el cambio se hizo en 5 horas, que tiene pinta de cambio urgente del usuario, seguramente por parte de algún jefazo con pocas ganas de esperar y quitarse el marrón de encima (recordemos que llega agosto ). Ya que salvo que estuviera en el propio funcional, tiene pinta de evolutivo, y eso es algo que la empresa puede cobrar más fácilmente que si fuera un correctivo.
Aquí creo que habría que mirarlo en detalle para saber que ha pasado realmente.
De todas maneras, el tema de seguridad que comentan me parece muy muy muy gordo.
#31 ¿Metodologías ágiles? No hace falta tener una metodología ágil para tener un equipo de testeadores (QA), he estado en bastantes proyectos gordos con metodologías clásicas (prácticamente waterfall) donde había el triple de horas asignadas al equipo de QA y de seguridad que al de programadores, porque los cambios eran sencillos pero afectaban a muchas cosas y habría que probar casi todas las funcionalidades de nuevo.
#65 Yo he visto de todo. Desde lo que dices tu a otros casos que te dan la risa. Como por ejemplo que no se haga ni un solo test durante la integración porque la gente se hace 4 clases main cutres en local para probar en lugar de tener un source para todo lo referentes a tests con una libreria decente de mockeo y pruebas. O en otros sitios he visto que en lugar de tener una batería de pruebas acorde a la logica funcional, hacen las pruebas para que de un OK indpendientemente de si lo está haciendo bien o mal. Y da gracias si el test tiene una cobertura superior al 50%.
#6 Esto lo vería más creíble, usuarios cambiando la funcionalidad cuando empiezan realmente a usar la aplicación o que el funcional sea elaborado no por los curritos si no por los jefes, y luego la gente con prisas (tanto gerentes de empresa como de usuario) para que se apliquen los cambios.
Esas situaciones las he vivido, al final acabas saliendo como puedes.
De todas maneras, muchas veces los temas de seguridad suele pasarse de puntillas, que si sería un tema fundamental e inquebrantable.
Sin saber toda la historia, es dificil saber que ha pasado al 100%
#21 El proyecto ha costado 7 millones, y va de temas judiciales. La seguridad debería haber sido una prioridad. No estamos hablando de la web de un restaurante.
#73 El fallo de seguridad es horrible, no tienen excusa ninguna.
El cambio de funcionalidad, siendo que es tan esencial, y viendo que esto lleva 5 años, que no se ha puesto ayer en funcionamiento, me parece error de los usuarios salvo que estuviera en los requisitos o en funcional inicial y la empresa lo pasara por alto.
En cuanto a que se aplique un cambio en 5 horas, huele a prisas por cubrir el error antes de agosto, bien por parte de la empresa o por parte de los usuarios o por ambas.
Yo el tema lo miraría con lupa, puede ser un conjunto de cosas, no solo de una empresa chapucera, que bien podría serlo.
#78 sin tener acceso al pliego no sabría decirte... Pero me da que estaba en los requisitos iniciales y que hasta que no se ha hecho obligatorio en todas las comunidades autónomas el uso de lexnet para las comunicaciones, no han hecho antes.
#6 Año 2017, agile existe y el manifiesto agile es de los inicios de este siglo. Responder al cambio es uno de los principios de ese manifiesto, poner como excusa que me has cambiado un requerimiento es ridículo a estas alturas, es perfectamente posible aceptar ese tipo de cambios.
Otra cosa es que se haya aplicado la gestión de productos que se estila por España con lo que seguramente se acepto el cambio pero no se pusieron los recurso necesarios, principalmente en tiempo.
#23 Que a nivel empresarial existan ciertos productos no implica que inmediatamente se aprueben su uso en la administración, que suele ser más burocrática (cómites de cálidad, cómites estándares, distintos departamentos, ...).
Pese a todo, si se aceptara su uso, habría que ver en que condiciones se aplica dichas metologías de trabajo, donde tanto empresa como usuario deben aceptar una fuerte implicación.
El cambio en si se puede tener 2 escenarios:
1. La administración no quiso aprobar un presupuesto que implicaba varios días (análisis, desarrollo, pruebas)
2. La administración se dió cuenta que ese requisito tonto era esencial para el funcionamiento diario de sus usuarios. Por tanto se aplicó un cambio urgente, y a partir de ahí a correr como pollos sin cabeza.
No exonero a la empresa, ya que también debe de velar por dar un buen producto, pero a veces los usuarios también son para echar de comer a parte.
#23 pues yo creo que el problema viene por el agile. No por el agile en si, que es un modo de gestion y esto parece una chapuza de formularios GET y falta de validaciones*, si no porque ahora se pasa mas tiempo pensando en que se tiene usar agile, tdd, integracion continua, pair programming, etc, y menos tiempo con un lapiz y una hoja pensando como hacer las cosas. Se empieza a darle a la tecla y a correr, que total, ya se podra cambiar despues. Y para eso te basta un arquitecto que hace 3 años termino la carrera.
Y stackoverflow tambien ha hecho mucho daño, porque ahora se copian y pegan snipets sin saber exactamente que esta pasando por debajo. Muy poca gente es realmente experta en Spring o Hibernate (por ejemplo, omnipresentes en Java) y sabe que esta pasando por debajo, asi que despues vienen las sorpresas cuando alguien coge un wireshark o lanza unos explains, que todo va como el culo.
* con formularios POST y una hoja de estilos personalizada tambien se puede hacer, pero hay que currarselo. Con GET lo puede hacer cualquiera.
#48 No hay expertos en Spring o Hibernate, porque no se paga lo que hay que pagar a un experto. Yo conozco a muchos Españoles ingenieros expertos en eso (y otras tecnologías). Estamos todos fuera.
En cuanto a lo de agile, eso no es cierto. A lo mejor es lo que tu has visto, yo también lo he visto, pero el problema no es la metodología, sino el aplicarla mal. Yo no empiezo un sprint sin tener una idea de lo que vamos a hacer y como. Primero se planifica, se coge papel y lápiz (o pizarra) como tu bien dices. Yo he pasado por sitios que dicen que hacen agile, y luego de agile tiene poco. Por ejemplo, en uno eramos un equipo de 4 y los stand-up duraban 20 minutos, cuando deberían durar 5.
#61 ya, si el problema esta ahí, es lo que he dicho en otro comentario. En otros paises en europa, los ministerios contratan expertos en modalidad de autónomo, contratos de 3 a 18 meses, y les pagan mas de 400€ al día. En España, contratan a la cárnica amiga del político de turno, que se queda casi toda la pasta (incluyendo los posibles sobres en B para el/los políticos), y a los pobres programadores les dejan las migajas. Marca España, nada nuevo.
#48 No estoy de acuerdo. Una cosa es la metodología y otra cosa la solución técnica. Que uses agile no te exime de hacer validaciones o formularios con GET, o de implementar pruebas (de hecho las metodologías ágiles y TDD se llevan bien).
Simplificando: con agile tienes una historia de usuario que dice "El usuario debe poder delegar sus funciones en un letrado sustituto" y que lo vas a entregar en 3 semanas. Que lo diseñes bien o mal ya es solución técnica y arquitectura, no metodología.
#56 Por eso lo decía, que el problema no es que te cambien el requisito, eso es algo asumido y aceptado hoy en día, sino que no se asignen los recursos apropiados.
Por otra parte sigue siendo una chapuza porque cualquier test mínimo de seguridad incluye el caso positivo, que tengas las credenciales válidas para acceder a un recurso y puedas hacerlo, y el negativo que sería tener unas credenciales válidas pero que no den acceso al recurso, con lo cual he de suponer que tampoco han realizado ningún tipo de test, ni antes ni después del cambio sino se habría detectado mucho antes de llegar a producción.
Y esto otro es tan habitual que ya ni sorprende a nadie:
"Para empezar, solo funciona con Windows. ¿Por qué un Ministerio diseña una plataforma que solo funciona con el sistema operativo de una multinacional? Es como si me obligan a comprar un boli especial para rellenar las instancias judiciales. Todos los sericios de la administración pública tendrían que valer para software libre, esto es una negligencia y una falta de comunicación de cómo funcionan los sistemas tecnológicos"
Han pasado más de 20 años desde que se lanzó Windows 95. ¿Hasta cuando las "nuevas tecnologías" siguen siendo 'nuevas'?
En aquella época (mediados de los 90) yo era un veinteañero estudiante de ingeniería. Veía a estos "señores mayores" (secretarios judiciales, médicos, administrativos, funcis en general...) como dinosaurios escribiendo a máquina e incapaces de adaptarse a un ordenador.
Han pasado VEINTE PUTOS AÑOS... ¿Ni siquiera se garantiza una formación básica en informática a nivel de usuario, para evitar que ocurran las atrocidades que se ven cada día??
#13 ¿Quién garantiza esa formación básica? ¿El ministerio de justicia, en este caso? No creo que la mayor parte de funcionarios esté muy por la labor.
Esos conocimientos, entiendo yo, les harían ir más allá de Word y Windows y así evitar ataduras a un sistema operativo único; como las de esta plataforma. Pero luego los de administración de sistemas se tirarían de los pelos con las incidencias abiertas por los usuarios.
No creo que haya interés por ninguna de las partes en salir de sus conocimientos ofimáticos en Windows.
#14 Cada uno debe garantizársela. El tener un puesto de trabajo no quiere decir que ya no tienes que aprender nada más, si no todo lo contrario.
A no ser que sea algo muy especializado. Pero estamos hablando de "cultura general básica" para tu trabajo.
#13 es tal la oscuridad de todo esto que no tengo claro si es la parte servidor o el cliente. Si es el cliente, tiene cierto sentido por el tema de la firma electrónica, el lector de DNI y dudo que más del 1% de abogados usen Linux (aunque me llama la atención MacOS).
#13 Si solo funciona en windows solo puede estar desarrollada con el culo. El que hoy en día no haga los desarrollos multiplataforma es un imcompetente o un gilipollas
#67 no sólo. Yo he sufrido en mis carnes supuestos desarrollos multiplataforma basados en web que eran una puta pesadilla: como no tuvieras un navegador determinado en una determinada versión (vi hasta cómo tenían que downgradear IE a una versión más antigua para que funcionara alguna cosa), con unos determinados permisos y plugins no había tu tía... aparte de la lentitud inherente de casi todo lo desarrollado en web, especialmente en plan chapuza cárnica... Hubo gente que llegó a exigir a dirección que pidiera a la consultora una versión nativa Windows de la aplicación, que antes daba menos problemas e iba más rápido.... Pa cagarse...
Para los que no sepan mucho, el error es un falló básico. Controlar las sesiones de usuario y que no se pueda ver lo de otro usuario cambiando un numerito en la dirección de la página es lo mínimo que hay que tener en cuenta en seguridad.
Entre otras cosas porque no hay que ser hacker para romper la seguridad (porque esta no existe). Cualquier usuario cotilla te romperá el sistema. Y si tienes muchos usuarios ...
Echo en falta documentos públicos más oficiales, pero al menos se ve como fue yendo su implementación (desde 29 de Junio de 2011 las primeras pruebas en real ..... )
#114#89 pero por dios tios ¿que decis? leeros por favor el link al menos. Se usa(ba) java en applets para que se pudieran ejecutar independientemente del SSOO que tuviera el cliente ergo "portabilidad en el lado del cliente"
#80 Leyendo la Wiki facilitada en #30 se ve que lo del desarrollo de ese engendro es un engendro, como no podía ser de otro modo. Un amasijo de empresas diferentes, y ni siquiera se sabe quien hizo qué.
Me temo que seguramente LexNet no tenga arreglo, y probablemente sería más productivo diseñar un producto de 0.
#1 Es el problema de subcontratar el desarrollo de este tipo de sistemas, en la administración pública meten a empresas amigas (sobres y mamoneo) a las que pagan pastizales por trabajadores técnicos a precio de jamón pata negra, y meten a cuatro novatos a hacer el trabajo para ampliar los márgenes de beneficio y después pasa lo que pasa (los informáticos senior escapan de las consultoras y de la subcontratación como alma que lleva el diablo, y los que quedan están tan quemados que les da igual todo).
Menudos funcionarios tenemos y sistema corrupto de subcontratación pública.
¿Qué pintan aquí los funcionarios?. De hecho en multitud de ocasiones los funcionarios se han quejado del desvío de trabajos a contratas externas mientras a ellos los tenían haciendo el indio. NO es culpa de los funcionarios, es culpa de esos que nombran a dedo aquellos otros a los que das tu voto cada 4 años.
#88 Ufff... Qué pereza, multiplicar el número de informáticos funcionarios de carrera, bufff y despídete de los sobres y de ayudar contratando la empresa del cuñao ufff y que más dará si la empresa contratada programa deprisa y corriendo con bugs para magnificar los beneficios y entrega el código cerrado si yo veo que tiene un manual y las opciones las leo en castellano
Buaaaaa esos frikis dicen que odian las corbatas pero temen la responsabilidad, sólo podemos llevarlas los mejores jajaja
#1 Y a saber que becario de la recontrata de la subcontrata ha sido el pobrecillo que la ha cagado.
editado:
Joder, la creme de la creme...
Responsable del desarrollo e implantacion
Aparecen varios organismos privados y públicos en la historia de Lexnet:
- SGNTJ - Subdirección General de Nuevas Tecnologías de la Justicia desde 2010 (fechas en revisión)
- IECISA como desarrollador al principio del proyecto (sobre 2001-2003). Parece haber sido la primera empresa en participar en el desarrollo, pero han quitado toda alusión al proyecto en su web.
- Indra Sistemas o Software Labs durante un periodo posterior a 2008 y anterior a 2016. Jugando un papel importante para la coordinación de la implantación del producto en varias ciudades [21] [22] y también en algunos aspectos de desarrollo [23]. Tampoco menciona el proyecto en su web actualmente.
- Avalon como desarrollador desde 2007 y hasta 2014. Parece que ha jugado un papel importante en el desarrollo de la implementación Java desde 2007 y también de analítica de negocio de la información recopilada por Lexnet (notificaciones y documentos adjuntos).
- Satec al menos entre 2008 y 2009 [24] que según publica en su web ha participado en todas las fases (Análisis, Diseño (software, hardware), Construcción, Implantación y Aceptación) [25]
- Novasoft como soporte técnico a la implantación desde 2009 y hasta 2013 (fechas en revisión)
- Sermicro como soporte técnico a la implantación desde 2012 y hasta 2015 (fechas en revisión)
- Numerosas empresas conocidas por dar servicios de formación a usuario final y usuarios técnicos de perfil bajo o medio (no expertos en pilas de producto). Estas empresas a priori no tendrían porque ser responsables de los problemas de la arquitectura ni implantación.
Para que quieres un id de usuario en la url cuando ya estas logado? No tienes el id de sesion? O un token de sesion si es una autenticacio unica o algo?
LEX debe entrar, por méritos propios, en el Olimpo de los grandes proyectos IT patrios, esa lista que muestra la gran chapuza que impera en este pais y concretamente en el campo de las tecnologías IT. No obstante, os digo que 7 millones por este sistema es una miseria. Un sistema de este tipo ha de costar desarrollar e implementar al menos 10 veces mas. Pero la falta de transparencia en la contratacion, los fondos raquíticos que al final se habrán dedicado a los temas clave (subcos de subcos de subcos y un becario) la falta de conocimiento de los directores de proyecto, etc etc.
Todos sabemos que en este pais cuando una empresa gana un proyecto de este tipo todos se llevan su mordida y el que trabaja solo cacahuetes y un contrato por horas (ver Lezos, Gurteles y compañía). El sistema LEX se eleva a la categoría mítica de la Web de Renfe, la 'estabilidad' de la Web de Iberia, el sistema tributario del Ayto de Madrid, o la inmensa chapuza del DNI digital....o, en general, a cualquier Web del gobierno de España o autonomias. De verdad nadie aquí sabe el nombre del perpetrador de LEX? Sería interesante para ponerlo en la placa eterna de GRANDES CHAPUZAS DE LAS TI ESPAÑOLAS. que compiten con otros hitos como los submarinos que no flotan.........
Menuda puta estafa de gobierno tenemos. Si lo que me extraña es que estemos tan bien.
A veces pienso que nuestro sistema es como el cuerpo del señor Burn, tiene tanta mierda que unas anulan a las otras y eso nos hace no explotar.
Esto se llama robar...7 millones por esa parida? Para qué pagamos a los funcionarios ... en serio: se tocan el rabo a dobles y no es el primer ni segundo consultor que me lo dice. Yo les revisaba cada cinco años como en Noruega o Suecia y por objetivos y si no a la puta calle. 7 millones que se pueden Invertir en agilizar todo y lo tiran... cuántos proyectos innovadores harían maravillas con medio millón y estos dan presupuestos de 7 millones!!!! Como informático digo que esto es un robo e inflar a lo bestia el presupuesto!
#15 si son necesarios ok! Pero primero comprobar si son necesarios. No caigamos en el típico error de tener 22 funcionarios tocandose el Higo y 5 haciendo a saco lo de todos y 10 interinosnputeados viendo cómo se ríen en su jeta, ok?
#17 Hagamos como en la liga de fútbol. Se saca la medida de la productividad de cada uno, agrupados por funciones, y el 5% que menos productivo ha sido en su grupo, a la puta calle, perdiendo la plaza.
#77 Me gusta, teniendo en cuenta que los criterios de productividad no los toque Villar o similar y que sean objetivos, iguales, medibles, publicados y transparentes. Que se peléen por el puesto y veremos cómo el país revienta de salud. Incluso las auditorías a los políticos se harían a rajatabla!
#8 Habría que ver el pliego que sacaron para determinar si se infló o no los presupuestos.
En cuanto al tiempo aplicado, miraría tanto a la empresa como a los usuarios.
No es raro que haya cierta dejadez a veces por parte de los usuarios para definir funcionales, incluso con cambios de gobierno entre medias (más de 4 años), y por tanto de jefes, el nuevo jefe de turno decida que no le vale el análisis aprobado por el jefe anterior y se tenga que revisar el funcional
#25 Lo de los cambios de jefes es una pasada. Yo solo he trabajado un año para la administración y lo primero que tuve que hacer fue ayudar a un chico de Everis a hacer funcionar la aplicación que había hecho Everis, y que el anterior jefe de servicio la habia dado como probada y terminada. No funcionaba nada. El nuevo jefe tuvo que amenazar a Everis con no renovar el mantenimiento si no dejaban la aplicación lista para su uso. Supongo que el otro lo aprobó para colgarse la medallita de "yo he hecho esto" antes de irse.
#62 Y una leche! Bien que para los trienios, sexenios y otras mierda la montan: la culpa es de los que hacen mal su trabajo, empezando por permitir que les toquen los cojones y que hagan su curro o no tener iniciativa. Queiren un perfil bajo y que les caiga del cielo muchos y así va. Tienen un poder de cojones y lo usan: o no has oído cómo institucionalizan cuando quieren a otros currantes funcionarios novatos?
#68 ¿?
Iniciativa?. O sea, que segun tú, algún funcionario tenía que haber levantado el dedo y decir "yo desarrollo LexNet".
Joder, menuda ignorancia. No apuntes al funcionario, que ni pincha ni corta. Apunta al que toma las decisiones, que es el responsable de tomarlas y se le paga MUY BIEN por ello.
#8 Lo que se hace es sacar cada vez menos plazas de funcionarios para después justificar los contratos millonarios a empresas externas. ¿Que puede salir mal?
#98 Repite conmigo: COR-PO-RA-TI-VIS-MO Las empresas, si respetasen de verdad lo que tienen que respetar (tuvieran un fin que no fuera solo ganar dinero, como debería ser), no son malas en contratos con la administración (ni tampoco buenas). Se las debe dejar hacer su trabajo y medir.
Lo que no se puede es crear un ejército de apoltronados y un reducido número de héroes y heroínas que les sufren a tope (y esto pasa en cada uno de los servicios de la administración pública).
Hasta en el Camino de Santiago te pueden decir que los albergues públicos de la Xunta en su mayoría (con muy contadas excepciones) son una puta mierda desde que son funcionarios. Incluso los que dan la compostelana te tratan como ganadoDonde hay personas comprometidas, todo es volcarse con el peregrino... ¿Coincidencia o es que les suda tres cojones que disfrutes o seas feliz?
Y en lo demás multiplica por lo inimaginable: Profesionales de vocación, currando al máximo por el ciudadano o a la puta calle, que pagamos un cojón de impuestos como para aguantar privilegios inmerecidos: Aprobar un examen difícil es jodido y meritorio: pero también lo es trabajar cada día a las 5 de la mañana para hacer el pan y esos no pueden permitirse tratar mal a los clientes: somos sus clientes, que no se nos olvide, porque les pagamos
Dicho y hecho. A finales de enero de 2016, Cantabria, País Vasco, Cataluña y la Comunidad Valenciana no podían cumplir con el reglamento, mientras que otras Comunidades Autónomas lo hacían a medias o con muchísimas dificultades.
País Vasco no solo no podía cumplir con el reglamento si no que ademas como tiene transferidas ciertas competencias de justicia, tiene su propio sistema, JusitziaSIP, que también en el que también se han volcado millones de euros y esta resultando ser un desproposito
#53 Los abogados con los que he hablado del tema, están bastante quemados con ambos.
Pero muy, muy, muy quemados con las notificaciones de JustiziaSIP, lo que me han transmitido es que parece ser que solo llegan notificaciones en la aplicación (no hay avisos por mail o sms), y al de tres días se da por hecho que los has leído y se te archivan como tal.
#45 Dicen que lo cifran pero con un cirado relativamente debil y mediante metodologías obsoletas y facilmente "hackeables" en determinadas situaciones.
#83 El cifrado del que hablas es el del SSL, no tiene que ver con la programación y el bug que se ha descubierto #45 Lo que ocurre es que en la url se puede poner el id de otro usuario y el programa no comprueba si tienes la cookie de sesión de ese usuario, con lo cual si los ids son correlativos es muy facil entrar en la cuenta de otro usuario, simplemente si tienes el id 10000 pues pones 9999, 9998, 10001, etc y entrarás. Lo que no creo que se pudiera es entrar a un usuario en concreto si no te sabes el id.
Leo los comentarios y compruebo, con resignación, que el sector de la informática en general y el desarrollo de aplicaciones en particular es caldo de cultivo para cuñadismos varios.
¿Un cambio ctítico de una aplicación en Julio? ¿y va y sale mal? ¿en serio? En julio-agosto la mitad de la plantilla, como poco, está de vacaciones. Y en la parte cliente también. Si en esas condiciones te pones ha hacer un cambio pues... luego no te sorprendas de que ha sido una cagada.
Manda cojones. Todas las empresas migrando sus aplicaciones a frameworks en javascript para que sean multiplataforma, y estos borregos hacen una aplicación que sólo funciona en windows. Sólo este detalle sería ya para ahorcar del palo mayor a unos pocos.
De todas formas vaya tela la noticia, hablan de un informe de seguridad que le cambian la nota de la A a la F. Ese "informe de seguridad" es un análisis del protocolo SSL de la página.
No voy a decir que no sea importante, pero POODLE no es el ataque más fácil de llevar a cabo, y tiene que ser llevado especificamente contra usuarios que se conecten a la Web, o directamente teniendo acceso al tráfico del servidor y además bajo unas circustancias muy concretas: que el usuario negocie con el servidor con SSL 3.0, cosa que no hace ningún navegador actualizado.
En fin, un poco sensacionalista en esa parte si que es.
En el artículo se mencionan bastantes cosas... El tradicional estado de los cortijos administrativos, por comunidad, contra la centralización y sus peligros. Tener los sistemas desconectados entre sí logra inherentemente una mejor compartmentalización; a la par que impide transferir datos entre administraciones (para bien y para mal).
Tiendo a preferir un sistema centralizado en este caso -- porque uno distribuido e interoperable parece mucho pedir. El problema es que no se le dé suficiente importancia a auditorías previas (imagino) tras nuevas versiones, e igualmente que ese código no esté disponible para auditorías y mejoras externas. Eso debería haber estado en los requisitos para una contratación pública, por mucho que la responsable del desarrollo sea una empresa con ánimo de lucro.
¿La chapuza ha costado 7 millones? ¿O ha costado eso todo LexNet?
Si un coche de, pongamos, 10.000€ tiene un fallo mecánico, ¿alguien estaría hablando de una avería de 10.000€?
Puestos a exagerar también podrían haber puesto todo el presupuesto del Ministerio de Justicia.
#55 Si el fallo mecánico es del motor, para arreglarlo necesitas reconstruirlo de 0 y además el coche tiene el chasis jodido..... ya sabes. Tiraste 7 millones y necesitas un coche nuevo.
#5 La cosa es que lo he leído y no me ha parecido ver esa información.
Asumo que el id de usuario que aparece en la URL no es la id que desencripta los archivos, sino algún tipo de clave pública.
#131 Te sigues equivocando. Cito a #45 y resalto las palabras clave.
"Asumo que el id de usuario que aparece en la URL no es la id que desencripta los archivos, sino algún tipo de clave pública."
Por eso le digo lo del cifrado y por eso en otro comentario te digo que no he especificado que estuviese hablando de esa vulnerabilidad de las IDs. Y si te fijas, mi explicación sobre el cifrado es "dicen". Insisto, me limito a decir lo que dice la noticia sobre ello. Dale las vueltas que quieras.
#9, uhm, el que la ID de usuario aparezca en la URL es algo que a día de hoy se sigue dando en muchos sitios, por ejemplo en Adsense del mismísimo Google.
Otra cosa es que con copiar esa URL de un sitio a otro se pueda acceder a la misma información sin necesidad de tener que meter de nuevo contraseña ni nada. Eso sí que es raro.
#74 que el ID de usuario aparezca en la URL no es un problema a priori siempre y cuando en el backend valides que el usuario que hace la petición es el mismo que el que te llega en la URL. Aparte de eso también hay otras técnicas: como usar UUIDs (cadenas de caracteres aleatorios) en lugar de valores numéricos para los identificadores de usuario, caso, tribunal, etc.
#97 En realidad la información tiene que ir del cliente al servidor, es irrelevante (salvo estéticamente) que vaya en la url o simplemente en la cabecera de la petición.
#28 algo me dice que ha sido Indra. Si le dan a dedo los procesos electorales y su cupula esta llena de pperos, un sistema informatico judicial dado a dedo deberia ir a....
#75 Pues desde mi ignorancia, opino que si hubo concurso público, estará en algún BOE. Aunque también desde mi ignorancia, opino que si no se sabe, será que no hubo concurso público...
Un sistema como LexNet deber existir*, pero que el sistema que tienen que usar los abogados, fiscales y jueces lo adminsitre el Ministerio de Justicia** es un despropósito porque los datos van (espero qeu cifrados) al control de ministerio.
*Que funcione bien, obviamente.
**O la contrata de la contrata.
Comentarios
Una chapuza completa. Miles de fallos, entre ellos este:
"No podemos saber los fallos técnicos porque es un sistema oculto, no conocemos el código fuente. Lo hemos pedido y nos lo han denegado."
La transparencia en las Administraciones Públicas (=dinero pagado por todos), si eso, 'ya tal'...
Vergonzoso e indignante.
#11 Qué fuerte.
Hasta en el desarrollo más pequeño, se exige siempre el código fuente.
Te tienen secuestrado.
No lo puedes auditar, no lo puedes mantener..
#24 Se exige el código fuente de los desarrollos a medida, pero no del software propietario en el que se basan.
Por ejemplo, al hacer un desarrollo en java, no se entrega el código fuente de la JVM (máquina virtual de Java).
#29 nadie esta pidiendo el codigo fuente de windows, lo estan pidiendo de lexnet
#29 ¿Y para que quieres el código fuente de JVM?
Tú pides el códigos, carácteristicas de compilación y ya te encargas de hacer la compilación del producto. Para facilitar dicha tarea puedes pedirlo en base a herramientas como maven o gradle.
Si le añades software de control de versiones, puedes seguir fácilmente los cambios aplicados.
Y si le aplicas ya metodologías ágiles, ya sería la bomba
#38 ágil y justicia...No sé yo
#41
#29 OpenJDK...
#29 Los coches tienen ruedas. ¿Alguna otra obviedad?
#11 #24 Creo que os habéis liado, el que dice que no conoce el código fuente es un tío externo al ministerio/jueces. Es lógico que el código no se conozca en algo así. Si se conociera se podrían explotar las vulnerabilidades. Evidentemente el código sí que lo tiene el ministerio
#11 porque saben que es un truño de mucho cuidado y que daría pistas a posibles atacantes.
#49 o que incluso contiene mensajes de socorro en una botella
#11 No pedir el código en 2017 es estar como mínimo 20 años atrasado o no tener ni puta idea de lo que se hace... o que los sobres corren más que Bolt...
#54 Sobres y que los que mandan son unos ignorantes e incompetentes.
#66 Que hicieran la directiva europea de pedir en cada web que aceptes las cookies, deja claro que en temas técnicos no tienen ni puta idea. Ni tampoco esos asesores nombrados a dedo que cobran un pastizal por no hacer nada.
#66 baja modesto, que sube chavi. Parece que nunca ha mandado a nadie, debe ser por vago o porque el título más cualificado que tiene es una etiqueta de anís del mono.
#54 goto #110
#54 en todos los concursos públicos que implican un desarrollo a medida la propiedad Intelectual es del estado, la empresa no tiene ningún derecho sobre el código fuente. Llevo 20 años trabajando para la AGE y nunca he tenido copia del software fuera de las instalaciones habilitadas para ello
Por lo poco que leí ayer (corregidme si tenéis más información), el fallo vino por una actualización.
Inicialmente el sistema se diseñó para que sólo un abogado pudiese ver sus casos.
Pero introdujeron una modificación (que fue la que desató el error): un abogado puede designar un sustituto (lo que significa que 2 personas tienen acceso a los casos) y también el multibuzón (una persona tiene accesos a varios buzones de otros abogados, y varios abogados pueden ver un mismo buzón).
Es decir, han cambiado radicalmente uno de los requisitos iniciales.
Que sí, que las cosas se pueden hacer bien y no tiene por qué fallar.
Pero si en la toma de requisitos hubieran puesto a alguien competente (en los 2 lados: informático y usuario), esto no hubiera pasado.
Por ejemplo, yo no sé cómo trabajan los abogados pero es muy básico la figura del sustituto.
Para cualquier sistema de acciones "personales" tienes que tenerlo en cuenta.
#6 No les exime de culpa. Para empezar, los requisitos siempre van a cambiar o se van a refinar. El cliente nunca sabe a ciencia cierta lo que quiere, y por mucho que intentes acotar como empresa desarrolladora, siempre hay cambios. Es más, las metodologías ágiles abrazan el cambio y por otro lado existen los contratos con mantenimiento evolutivo , como debe ser el caso de LexNet.
Lo que yo veo aquí es incompetencia pura y dura por parte de la empresa desarrolladora. Para empezar, no se ve que esté diseñada teniendo en cuenta la seguridad y confidencialidad de la información. Y por otro lado, cualquier cambio, y más si es tan importante como el de añadir abogados sustitutos, debe pasar una batería de pruebas de integración y regresión antes de pasar a producción, para saber si se sigue integrando bien con otros subsistemas de la aplicación y que no ha afectado a otras funcionalidades. Es un sistema crítico, pero más bien me imagino que es una chapuza y que no tiene implementada ni una puñetera prueba.
#19 #23 Tenéis toda la razón.
No es excusa.
#19 Las metodologías ágiles en papel quedan muy monas, pero para aplicarlas implica un compromiso fuerte entre el equipo de desarrollo y el usuario. Y habría que ver primero si se están aplicando y si es así, de que manera.
Por otro lado, puedes cambiar el funcional, pero no puede tocar ciertos puntos, es decir, no puedes empezar diseñando un barco para acabar con un avión con ruedas que navege.
Por lo que comenta el artículo, el cambio se hizo en 5 horas, que tiene pinta de cambio urgente del usuario, seguramente por parte de algún jefazo con pocas ganas de esperar y quitarse el marrón de encima (recordemos que llega agosto ). Ya que salvo que estuviera en el propio funcional, tiene pinta de evolutivo, y eso es algo que la empresa puede cobrar más fácilmente que si fuera un correctivo.
Aquí creo que habría que mirarlo en detalle para saber que ha pasado realmente.
De todas maneras, el tema de seguridad que comentan me parece muy muy muy gordo.
#31 ¿Metodologías ágiles? No hace falta tener una metodología ágil para tener un equipo de testeadores (QA), he estado en bastantes proyectos gordos con metodologías clásicas (prácticamente waterfall) donde había el triple de horas asignadas al equipo de QA y de seguridad que al de programadores, porque los cambios eran sencillos pero afectaban a muchas cosas y habría que probar casi todas las funcionalidades de nuevo.
#65 Yo ya he visto de todo.
Estimar un tiempo para pruebas y anunciar la puesta en producción sin ni siquiera haber pasado las pruebas.
Amen que todo fuera como indicas.
#65 Yo he visto de todo. Desde lo que dices tu a otros casos que te dan la risa. Como por ejemplo que no se haga ni un solo test durante la integración porque la gente se hace 4 clases main cutres en local para probar en lugar de tener un source para todo lo referentes a tests con una libreria decente de mockeo y pruebas. O en otros sitios he visto que en lugar de tener una batería de pruebas acorde a la logica funcional, hacen las pruebas para que de un OK indpendientemente de si lo está haciendo bien o mal. Y da gracias si el test tiene una cobertura superior al 50%.
#31 Creo recordar que lo del cambio en 5 horas se refiere a la corrección del error
#31 velocidad con el tocino, la monumental cagada no tiene que ver con ninguna metodología.
#19 y tú qué sabes en qué contexto se ha desarrollado? Sabes cuánto tiempo ha fallado?
#6 Esto lo vería más creíble, usuarios cambiando la funcionalidad cuando empiezan realmente a usar la aplicación o que el funcional sea elaborado no por los curritos si no por los jefes, y luego la gente con prisas (tanto gerentes de empresa como de usuario) para que se apliquen los cambios.
Esas situaciones las he vivido, al final acabas saliendo como puedes.
De todas maneras, muchas veces los temas de seguridad suele pasarse de puntillas, que si sería un tema fundamental e inquebrantable.
Sin saber toda la historia, es dificil saber que ha pasado al 100%
#21 El proyecto ha costado 7 millones, y va de temas judiciales. La seguridad debería haber sido una prioridad. No estamos hablando de la web de un restaurante.
#73 El fallo de seguridad es horrible, no tienen excusa ninguna.
El cambio de funcionalidad, siendo que es tan esencial, y viendo que esto lleva 5 años, que no se ha puesto ayer en funcionamiento, me parece error de los usuarios salvo que estuviera en los requisitos o en funcional inicial y la empresa lo pasara por alto.
En cuanto a que se aplique un cambio en 5 horas, huele a prisas por cubrir el error antes de agosto, bien por parte de la empresa o por parte de los usuarios o por ambas.
Yo el tema lo miraría con lupa, puede ser un conjunto de cosas, no solo de una empresa chapucera, que bien podría serlo.
#78 Todo apunta a una aplicacion chapucera, una empresa chapucera y una administración chapucera. Todo junto.
#78 sin tener acceso al pliego no sabría decirte... Pero me da que estaba en los requisitos iniciales y que hasta que no se ha hecho obligatorio en todas las comunidades autónomas el uso de lexnet para las comunicaciones, no han hecho antes.
#6 Año 2017, agile existe y el manifiesto agile es de los inicios de este siglo. Responder al cambio es uno de los principios de ese manifiesto, poner como excusa que me has cambiado un requerimiento es ridículo a estas alturas, es perfectamente posible aceptar ese tipo de cambios.
Otra cosa es que se haya aplicado la gestión de productos que se estila por España con lo que seguramente se acepto el cambio pero no se pusieron los recurso necesarios, principalmente en tiempo.
#23 Que a nivel empresarial existan ciertos productos no implica que inmediatamente se aprueben su uso en la administración, que suele ser más burocrática (cómites de cálidad, cómites estándares, distintos departamentos, ...).
Pese a todo, si se aceptara su uso, habría que ver en que condiciones se aplica dichas metologías de trabajo, donde tanto empresa como usuario deben aceptar una fuerte implicación.
El cambio en si se puede tener 2 escenarios:
1. La administración no quiso aprobar un presupuesto que implicaba varios días (análisis, desarrollo, pruebas)
2. La administración se dió cuenta que ese requisito tonto era esencial para el funcionamiento diario de sus usuarios. Por tanto se aplicó un cambio urgente, y a partir de ahí a correr como pollos sin cabeza.
No exonero a la empresa, ya que también debe de velar por dar un buen producto, pero a veces los usuarios también son para echar de comer a parte.
#33 Que yo sepa, en la administración pública se utilizaba METRICA-3, no se si se sigue con eso.
#23 los cambios culturales que llevan a agile y similares no se dan de un dia para otro.
Es como decir que hay robots que hacen el trabajo manual para usarlos donde no hay electricidad.
#23 pues yo creo que el problema viene por el agile. No por el agile en si, que es un modo de gestion y esto parece una chapuza de formularios GET y falta de validaciones*, si no porque ahora se pasa mas tiempo pensando en que se tiene usar agile, tdd, integracion continua, pair programming, etc, y menos tiempo con un lapiz y una hoja pensando como hacer las cosas. Se empieza a darle a la tecla y a correr, que total, ya se podra cambiar despues. Y para eso te basta un arquitecto que hace 3 años termino la carrera.
Y stackoverflow tambien ha hecho mucho daño, porque ahora se copian y pegan snipets sin saber exactamente que esta pasando por debajo. Muy poca gente es realmente experta en Spring o Hibernate (por ejemplo, omnipresentes en Java) y sabe que esta pasando por debajo, asi que despues vienen las sorpresas cuando alguien coge un wireshark o lanza unos explains, que todo va como el culo.
* con formularios POST y una hoja de estilos personalizada tambien se puede hacer, pero hay que currarselo. Con GET lo puede hacer cualquiera.
#48 No hay expertos en Spring o Hibernate, porque no se paga lo que hay que pagar a un experto. Yo conozco a muchos Españoles ingenieros expertos en eso (y otras tecnologías). Estamos todos fuera.
En cuanto a lo de agile, eso no es cierto. A lo mejor es lo que tu has visto, yo también lo he visto, pero el problema no es la metodología, sino el aplicarla mal. Yo no empiezo un sprint sin tener una idea de lo que vamos a hacer y como. Primero se planifica, se coge papel y lápiz (o pizarra) como tu bien dices. Yo he pasado por sitios que dicen que hacen agile, y luego de agile tiene poco. Por ejemplo, en uno eramos un equipo de 4 y los stand-up duraban 20 minutos, cuando deberían durar 5.
#58 Pues mira, yo creo que el problema viene por el modo de trabajo y contratacion de las cárnicas.
Probablemente los cambios los hizo uno o varios monos, dado que seguramente pagan con cacahuetes. No creo que sea un problema "metodológico"
#61 ya, si el problema esta ahí, es lo que he dicho en otro comentario. En otros paises en europa, los ministerios contratan expertos en modalidad de autónomo, contratos de 3 a 18 meses, y les pagan mas de 400€ al día. En España, contratan a la cárnica amiga del político de turno, que se queda casi toda la pasta (incluyendo los posibles sobres en B para el/los políticos), y a los pobres programadores les dejan las migajas. Marca España, nada nuevo.
#61 crees que tienes un salario superior a ellos, "mono"?
#48 No estoy de acuerdo. Una cosa es la metodología y otra cosa la solución técnica. Que uses agile no te exime de hacer validaciones o formularios con GET, o de implementar pruebas (de hecho las metodologías ágiles y TDD se llevan bien).
Simplificando: con agile tienes una historia de usuario que dice "El usuario debe poder delegar sus funciones en un letrado sustituto" y que lo vas a entregar en 3 semanas. Que lo diseñes bien o mal ya es solución técnica y arquitectura, no metodología.
#23 exactamente lo que dices en el segundo párrafo es el problema.
#56 Por eso lo decía, que el problema no es que te cambien el requisito, eso es algo asumido y aceptado hoy en día, sino que no se asignen los recursos apropiados.
Por otra parte sigue siendo una chapuza porque cualquier test mínimo de seguridad incluye el caso positivo, que tengas las credenciales válidas para acceder a un recurso y puedas hacerlo, y el negativo que sería tener unas credenciales válidas pero que no den acceso al recurso, con lo cual he de suponer que tampoco han realizado ningún tipo de test, ni antes ni después del cambio sino se habría detectado mucho antes de llegar a producción.
#6 17 sistemas judiciales es una auténtica basura.
Y esto otro es tan habitual que ya ni sorprende a nadie:
"Para empezar, solo funciona con Windows. ¿Por qué un Ministerio diseña una plataforma que solo funciona con el sistema operativo de una multinacional? Es como si me obligan a comprar un boli especial para rellenar las instancias judiciales. Todos los sericios de la administración pública tendrían que valer para software libre, esto es una negligencia y una falta de comunicación de cómo funcionan los sistemas tecnológicos"
Han pasado más de 20 años desde que se lanzó Windows 95. ¿Hasta cuando las "nuevas tecnologías" siguen siendo 'nuevas'?
En aquella época (mediados de los 90) yo era un veinteañero estudiante de ingeniería. Veía a estos "señores mayores" (secretarios judiciales, médicos, administrativos, funcis en general...) como dinosaurios escribiendo a máquina e incapaces de adaptarse a un ordenador.
Han pasado VEINTE PUTOS AÑOS... ¿Ni siquiera se garantiza una formación básica en informática a nivel de usuario, para evitar que ocurran las atrocidades que se ven cada día??
#13 ¿Quién garantiza esa formación básica? ¿El ministerio de justicia, en este caso? No creo que la mayor parte de funcionarios esté muy por la labor.
Esos conocimientos, entiendo yo, les harían ir más allá de Word y Windows y así evitar ataduras a un sistema operativo único; como las de esta plataforma. Pero luego los de administración de sistemas se tirarían de los pelos con las incidencias abiertas por los usuarios.
No creo que haya interés por ninguna de las partes en salir de sus conocimientos ofimáticos en Windows.
#14 Cada uno debe garantizársela. El tener un puesto de trabajo no quiere decir que ya no tienes que aprender nada más, si no todo lo contrario.
A no ser que sea algo muy especializado. Pero estamos hablando de "cultura general básica" para tu trabajo.
#13 es tal la oscuridad de todo esto que no tengo claro si es la parte servidor o el cliente. Si es el cliente, tiene cierto sentido por el tema de la firma electrónica, el lector de DNI y dudo que más del 1% de abogados usen Linux (aunque me llama la atención MacOS).
#47 Hoy en día no tiene sentido ni por el lector de DNI, ni por el cifrado ni por la firma digital. Son temas resueltos hace mucho tiempo.
#13 Si solo funciona en windows solo puede estar desarrollada con el culo. El que hoy en día no haga los desarrollos multiplataforma es un imcompetente o un gilipollas
#67 no sólo. Yo he sufrido en mis carnes supuestos desarrollos multiplataforma basados en web que eran una puta pesadilla: como no tuvieras un navegador determinado en una determinada versión (vi hasta cómo tenían que downgradear IE a una versión más antigua para que funcionara alguna cosa), con unos determinados permisos y plugins no había tu tía... aparte de la lentitud inherente de casi todo lo desarrollado en web, especialmente en plan chapuza cárnica... Hubo gente que llegó a exigir a dirección que pidiera a la consultora una versión nativa Windows de la aplicación, que antes daba menos problemas e iba más rápido.... Pa cagarse...
#81 Pues ya son ganas de hacerlo mal........
Hoy en día no existe disculpa de ningún tipo, existiendo frameworks y librerías a paladas....
#81 Es que el IE es un puto infierno, cada versión funciona como quiere y se pasa los estándares por el forro de los cojones.
#81 ¿Por qué me habrás recordado el sistema de hacienda con las facturas electrónicas?
Para los que no sepan mucho, el error es un falló básico. Controlar las sesiones de usuario y que no se pueda ver lo de otro usuario cambiando un numerito en la dirección de la página es lo mínimo que hay que tener en cuenta en seguridad.
Entre otras cosas porque no hay que ser hacker para romper la seguridad (porque esta no existe). Cualquier usuario cotilla te romperá el sistema. Y si tienes muchos usuarios ...
Vamos, que es una cagada enorme.
#44 cagada ¿impune?
#44 Y si tienen ese fallo tan idiota, no digo nada de cosas más complejas, como simples XSS o inyecciones SQL.
Esa aplicación pide una auditoría de seguridad a gritos.
Vaya tela, será la empresa de un amigote está claro.
#1 Correcto, y no sólo la LexNet, lo del FIVA es otra mierda de amiguete, probablemente el mismo, que han clavao en Madrid.
#1 Aqui teneis la historia de este desastre http://www.ingenio2010.com/index.php/Lexnet
#30 Mola la recopilación.
Echo en falta documentos públicos más oficiales, pero al menos se ve como fue yendo su implementación (desde 29 de Junio de 2011 las primeras pruebas en real ..... )
#42 Menudo despropósito.
#30 El desarrollo se orientó hacia java con la idea de la portabilidad en el lado del cliente,
¿?. Estos tíos no saben lo que es un servicio web? No distinguen entre lado cliente y lado servidor?... acojonante.
Si eligen Java como plataforma de servidor, que no sea por "portabilidad", por DIOS.
#89 Elijen Java porque en las cárnicas hay mucho pipiolo que ha aprendido Java en la universidad. No hay otra razón.
#95 Java es el lenguaje dominante en backend en el mundo empresarial (quitando banca que usa cosas antediluvianas).
Eso no quita que la justificación no tiene sentido, el frontend debería funcionar en cualquier OS y (casi) cualquier navegador.
#89 Si, la frase no tiene sentido.
#114 #89 pero por dios tios ¿que decis? leeros por favor el link al menos. Se usa(ba) java en applets para que se pudieran ejecutar independientemente del SSOO que tuviera el cliente ergo "portabilidad en el lado del cliente"
#89 "Si eligen Java como plataforma de servidor, que no sea por "portabilidad", por DIOS.
#89 sí que tiene api con servicios web
#80 Leyendo la Wiki facilitada en #30 se ve que lo del desarrollo de ese engendro es un engendro, como no podía ser de otro modo. Un amasijo de empresas diferentes, y ni siquiera se sabe quien hizo qué.
Me temo que seguramente LexNet no tenga arreglo, y probablemente sería más productivo diseñar un producto de 0.
#94 Se lo encargarán a otro amiguete y lo que empezará de cero será otro despropósito.
#1 Es el problema de subcontratar el desarrollo de este tipo de sistemas, en la administración pública meten a empresas amigas (sobres y mamoneo) a las que pagan pastizales por trabajadores técnicos a precio de jamón pata negra, y meten a cuatro novatos a hacer el trabajo para ampliar los márgenes de beneficio y después pasa lo que pasa (los informáticos senior escapan de las consultoras y de la subcontratación como alma que lleva el diablo, y los que quedan están tan quemados que les da igual todo).
Menudos funcionarios tenemos y sistema corrupto de subcontratación pública.
#88 Menudos funcionarios tenemos
¿Qué pintan aquí los funcionarios?. De hecho en multitud de ocasiones los funcionarios se han quejado del desvío de trabajos a contratas externas mientras a ellos los tenían haciendo el indio. NO es culpa de los funcionarios, es culpa de esos que nombran a dedo aquellos otros a los que das tu voto cada 4 años.
#88 Yo soy de los que estan bien quemados por culpa de las carnicas y me da todo igual.!
Asi que no esperen que me mate por ningun proyecto.
#88 Ufff... Qué pereza, multiplicar el número de informáticos funcionarios de carrera, bufff y despídete de los sobres y de ayudar contratando la empresa del cuñao ufff y que más dará si la empresa contratada programa deprisa y corriendo con bugs para magnificar los beneficios y entrega el código cerrado si yo veo que tiene un manual y las opciones las leo en castellano
Buaaaaa esos frikis dicen que odian las corbatas pero temen la responsabilidad, sólo podemos llevarlas los mejores jajaja
#1 Y a saber que becario de la recontrata de la subcontrata ha sido el pobrecillo que la ha cagado.
Joder, la creme de la creme...
Responsable del desarrollo e implantacion
Aparecen varios organismos privados y públicos en la historia de Lexnet:
- SGNTJ - Subdirección General de Nuevas Tecnologías de la Justicia desde 2010 (fechas en revisión)
- IECISA como desarrollador al principio del proyecto (sobre 2001-2003). Parece haber sido la primera empresa en participar en el desarrollo, pero han quitado toda alusión al proyecto en su web.
- Indra Sistemas o Software Labs durante un periodo posterior a 2008 y anterior a 2016. Jugando un papel importante para la coordinación de la implantación del producto en varias ciudades [21] [22] y también en algunos aspectos de desarrollo [23]. Tampoco menciona el proyecto en su web actualmente.
- Avalon como desarrollador desde 2007 y hasta 2014. Parece que ha jugado un papel importante en el desarrollo de la implementación Java desde 2007 y también de analítica de negocio de la información recopilada por Lexnet (notificaciones y documentos adjuntos).
- Satec al menos entre 2008 y 2009 [24] que según publica en su web ha participado en todas las fases (Análisis, Diseño (software, hardware), Construcción, Implantación y Aceptación) [25]
- Novasoft como soporte técnico a la implantación desde 2009 y hasta 2013 (fechas en revisión)
- Sermicro como soporte técnico a la implantación desde 2012 y hasta 2015 (fechas en revisión)
- Numerosas empresas conocidas por dar servicios de formación a usuario final y usuarios técnicos de perfil bajo o medio (no expertos en pilas de producto). Estas empresas a priori no tendrían porque ser responsables de los problemas de la arquitectura ni implantación.
Para que quieres un id de usuario en la url cuando ya estas logado? No tienes el id de sesion? O un token de sesion si es una autenticacio unica o algo?
#32 y da gracias porque el password no sea también un parámetro de la url
LEX debe entrar, por méritos propios, en el Olimpo de los grandes proyectos IT patrios, esa lista que muestra la gran chapuza que impera en este pais y concretamente en el campo de las tecnologías IT. No obstante, os digo que 7 millones por este sistema es una miseria. Un sistema de este tipo ha de costar desarrollar e implementar al menos 10 veces mas. Pero la falta de transparencia en la contratacion, los fondos raquíticos que al final se habrán dedicado a los temas clave (subcos de subcos de subcos y un becario) la falta de conocimiento de los directores de proyecto, etc etc.
Todos sabemos que en este pais cuando una empresa gana un proyecto de este tipo todos se llevan su mordida y el que trabaja solo cacahuetes y un contrato por horas (ver Lezos, Gurteles y compañía). El sistema LEX se eleva a la categoría mítica de la Web de Renfe, la 'estabilidad' de la Web de Iberia, el sistema tributario del Ayto de Madrid, o la inmensa chapuza del DNI digital....o, en general, a cualquier Web del gobierno de España o autonomias. De verdad nadie aquí sabe el nombre del perpetrador de LEX? Sería interesante para ponerlo en la placa eterna de GRANDES CHAPUZAS DE LAS TI ESPAÑOLAS. que compiten con otros hitos como los submarinos que no flotan.........
#46 las licitaciónes son públicas y ya se sabe que participaron IECISA, Indra, etc...
Entiendo que lo que no se sabe es lo que se les ha pagado al final.
Menuda puta estafa de gobierno tenemos. Si lo que me extraña es que estemos tan bien.
A veces pienso que nuestro sistema es como el cuerpo del señor Burn, tiene tanta mierda que unas anulan a las otras y eso nos hace no explotar.
Esto se llama robar...7 millones por esa parida? Para qué pagamos a los funcionarios ... en serio: se tocan el rabo a dobles y no es el primer ni segundo consultor que me lo dice. Yo les revisaba cada cinco años como en Noruega o Suecia y por objetivos y si no a la puta calle. 7 millones que se pueden Invertir en agilizar todo y lo tiran... cuántos proyectos innovadores harían maravillas con medio millón y estos dan presupuestos de 7 millones!!!! Como informático digo que esto es un robo e inflar a lo bestia el presupuesto!
#8 "Yo les revisaba cada cinco años como en Noruega o Suecia y por objetivos y si no a la puta calle. "
Vale. Te lo compro. A cambio aumenta el ratio de empleados públicos por habitante a los niveles de Noruega o Suecia.
#15 si son necesarios ok! Pero primero comprobar si son necesarios. No caigamos en el típico error de tener 22 funcionarios tocandose el Higo y 5 haciendo a saco lo de todos y 10 interinosnputeados viendo cómo se ríen en su jeta, ok?
#17 Hagamos de la necesidad virtud.
#20 Y hablemos del milenarismo!
#17 Ya te han hecho caso. La aplicacion está desarrollada por una cárnica
#17 Hagamos como en la liga de fútbol. Se saca la medida de la productividad de cada uno, agrupados por funciones, y el 5% que menos productivo ha sido en su grupo, a la puta calle, perdiendo la plaza.
#77 Me gusta, teniendo en cuenta que los criterios de productividad no los toque Villar o similar y que sean objetivos, iguales, medibles, publicados y transparentes. Que se peléen por el puesto y veremos cómo el país revienta de salud. Incluso las auditorías a los políticos se harían a rajatabla!
#8 Habría que ver el pliego que sacaron para determinar si se infló o no los presupuestos.
En cuanto al tiempo aplicado, miraría tanto a la empresa como a los usuarios.
No es raro que haya cierta dejadez a veces por parte de los usuarios para definir funcionales, incluso con cambios de gobierno entre medias (más de 4 años), y por tanto de jefes, el nuevo jefe de turno decida que no le vale el análisis aprobado por el jefe anterior y se tenga que revisar el funcional
#25 Lo de los cambios de jefes es una pasada. Yo solo he trabajado un año para la administración y lo primero que tuve que hacer fue ayudar a un chico de Everis a hacer funcionar la aplicación que había hecho Everis, y que el anterior jefe de servicio la habia dado como probada y terminada. No funcionaba nada. El nuevo jefe tuvo que amenazar a Everis con no renovar el mantenimiento si no dejaban la aplicación lista para su uso. Supongo que el otro lo aprobó para colgarse la medallita de "yo he hecho esto" antes de irse.
#8 Que no haya funcionarios haciendo estos desarrollos no es culpa de los funcionarios.
#62 Y una leche! Bien que para los trienios, sexenios y otras mierda la montan: la culpa es de los que hacen mal su trabajo, empezando por permitir que les toquen los cojones y que hagan su curro o no tener iniciativa. Queiren un perfil bajo y que les caiga del cielo muchos y así va. Tienen un poder de cojones y lo usan: o no has oído cómo institucionalizan cuando quieren a otros currantes funcionarios novatos?
#68 ¿?
Iniciativa?. O sea, que segun tú, algún funcionario tenía que haber levantado el dedo y decir "yo desarrollo LexNet".
Joder, menuda ignorancia. No apuntes al funcionario, que ni pincha ni corta. Apunta al que toma las decisiones, que es el responsable de tomarlas y se le paga MUY BIEN por ello.
#8 Lo que se hace es sacar cada vez menos plazas de funcionarios para después justificar los contratos millonarios a empresas externas. ¿Que puede salir mal?
#98 Repite conmigo: COR-PO-RA-TI-VIS-MO Las empresas, si respetasen de verdad lo que tienen que respetar (tuvieran un fin que no fuera solo ganar dinero, como debería ser), no son malas en contratos con la administración (ni tampoco buenas). Se las debe dejar hacer su trabajo y medir.
Lo que no se puede es crear un ejército de apoltronados y un reducido número de héroes y heroínas que les sufren a tope (y esto pasa en cada uno de los servicios de la administración pública).
Hasta en el Camino de Santiago te pueden decir que los albergues públicos de la Xunta en su mayoría (con muy contadas excepciones) son una puta mierda desde que son funcionarios. Incluso los que dan la compostelana te tratan como ganadoDonde hay personas comprometidas, todo es volcarse con el peregrino... ¿Coincidencia o es que les suda tres cojones que disfrutes o seas feliz?
Y en lo demás multiplica por lo inimaginable: Profesionales de vocación, currando al máximo por el ciudadano o a la puta calle, que pagamos un cojón de impuestos como para aguantar privilegios inmerecidos: Aprobar un examen difícil es jodido y meritorio: pero también lo es trabajar cada día a las 5 de la mañana para hacer el pan y esos no pueden permitirse tratar mal a los clientes: somos sus clientes, que no se nos olvide, porque les pagamos
#8 Que los suecos no hablen muy alto Una agencia gubernamental filtra los datos de todos los ciudadanos de Suecia
Una agencia gubernamental filtra los datos de todo...
profesionalreview.comDicho y hecho. A finales de enero de 2016, Cantabria, País Vasco, Cataluña y la Comunidad Valenciana no podían cumplir con el reglamento, mientras que otras Comunidades Autónomas lo hacían a medias o con muchísimas dificultades.
País Vasco no solo no podía cumplir con el reglamento si no que ademas como tiene transferidas ciertas competencias de justicia, tiene su propio sistema, JusitziaSIP, que también en el que también se han volcado millones de euros y esta resultando ser un desproposito
#7 Lo prefiero a Justiziasip.
Aunque no puedo enviar escritos como en lexnet, lo prefiero ante el caos que supone enviarlos por lexnet.
#53 Los abogados con los que he hablado del tema, están bastante quemados con ambos.
Pero muy, muy, muy quemados con las notificaciones de JustiziaSIP, lo que me han transmitido es que parece ser que solo llegan notificaciones en la aplicación (no hay avisos por mail o sms), y al de tres días se da por hecho que los has leído y se te archivan como tal.
#100 lo confirmo. Es asi. Una faena si notifican jueves por la tarde
Y tienes un viernes liado y no entras a ver.
Me queman los dos.
#45 Dicen que lo cifran pero con un cirado relativamente debil y mediante metodologías obsoletas y facilmente "hackeables" en determinadas situaciones.
#83 El cifrado del que hablas es el del SSL, no tiene que ver con la programación y el bug que se ha descubierto
#45 Lo que ocurre es que en la url se puede poner el id de otro usuario y el programa no comprueba si tienes la cookie de sesión de ese usuario, con lo cual si los ids son correlativos es muy facil entrar en la cuenta de otro usuario, simplemente si tienes el id 10000 pues pones 9999, 9998, 10001, etc y entrarás. Lo que no creo que se pudiera es entrar a un usuario en concreto si no te sabes el id.
Esto paso cuando subcontratas informáticos a la cárnica amiga de turno a precios de risa.
Ayer puede haber sido un gran día para los corruptos.
Leo los comentarios y compruebo, con resignación, que el sector de la informática en general y el desarrollo de aplicaciones en particular es caldo de cultivo para cuñadismos varios.
¿Un cambio ctítico de una aplicación en Julio? ¿y va y sale mal? ¿en serio? En julio-agosto la mitad de la plantilla, como poco, está de vacaciones. Y en la parte cliente también. Si en esas condiciones te pones ha hacer un cambio pues... luego no te sorprendas de que ha sido una cagada.
#70 Si en esas condiciones te pones ha hacer un cambio pues... luego no te sorprendas de que ha sido una cagada.
De eso estamos hablando. La empresa "no lo sabía".....
Esto parece hecho por el cuñado de su prima.
#70 Yo una año parcheé servidores de sistemas críticos 24x7 en pleno mes de agosto.
Manda cojones. Todas las empresas migrando sus aplicaciones a frameworks en javascript para que sean multiplataforma, y estos borregos hacen una aplicación que sólo funciona en windows. Sólo este detalle sería ya para ahorcar del palo mayor a unos pocos.
¿ Pero esto es posible en un país normal ?
#99 no somos un país normal.
De todas formas vaya tela la noticia, hablan de un informe de seguridad que le cambian la nota de la A a la F. Ese "informe de seguridad" es un análisis del protocolo SSL de la página.
No voy a decir que no sea importante, pero POODLE no es el ataque más fácil de llevar a cabo, y tiene que ser llevado especificamente contra usuarios que se conecten a la Web, o directamente teniendo acceso al tráfico del servidor y además bajo unas circustancias muy concretas: que el usuario negocie con el servidor con SSL 3.0, cosa que no hace ningún navegador actualizado.
En fin, un poco sensacionalista en esa parte si que es.
#40 Pero lo del TLS si es gordo. Joder, hasta en mi curro que nunca actualizamos una mierda se ha cambiado a TLS 1.2
En el artículo se mencionan bastantes cosas... El tradicional estado de los cortijos administrativos, por comunidad, contra la centralización y sus peligros. Tener los sistemas desconectados entre sí logra inherentemente una mejor compartmentalización; a la par que impide transferir datos entre administraciones (para bien y para mal).
Tiendo a preferir un sistema centralizado en este caso -- porque uno distribuido e interoperable parece mucho pedir. El problema es que no se le dé suficiente importancia a auditorías previas (imagino) tras nuevas versiones, e igualmente que ese código no esté disponible para auditorías y mejoras externas. Eso debería haber estado en los requisitos para una contratación pública, por mucho que la responsable del desarrollo sea una empresa con ánimo de lucro.
Tremendo el artículo; el capitalismo de amiguetes Españistaní en estado puro...
"Para empezar, solo funciona con Windows. "
Que casualidad, este fallo le viene bien a mas de uno, estarán preparando ya los nuevos sobres, para felicitar el verano..
¿La chapuza ha costado 7 millones? ¿O ha costado eso todo LexNet?
Si un coche de, pongamos, 10.000€ tiene un fallo mecánico, ¿alguien estaría hablando de una avería de 10.000€?
Puestos a exagerar también podrían haber puesto todo el presupuesto del Ministerio de Justicia.
#55 Si el fallo mecánico es del motor, para arreglarlo necesitas reconstruirlo de 0 y además el coche tiene el chasis jodido..... ya sabes. Tiraste 7 millones y necesitas un coche nuevo.
#55 Los 7 millones han costado todo el proyecto
Y un problema añadido puede ser la anulación de muchos procedimientos,
Una pregunta. ¿El sistema no guarda la información cifrada?
#3 lee el artículo. La respuesta está ahí fuera
#5 La cosa es que lo he leído y no me ha parecido ver esa información.
Asumo que el id de usuario que aparece en la URL no es la id que desencripta los archivos, sino algún tipo de clave pública.
#131 Te sigues equivocando. Cito a #45 y resalto las palabras clave.
"Asumo que el id de usuario que aparece en la URL no es la id que desencripta los archivos, sino algún tipo de clave pública."
Por eso le digo lo del cifrado y por eso en otro comentario te digo que no he especificado que estuviese hablando de esa vulnerabilidad de las IDs. Y si te fijas, mi explicación sobre el cifrado es "dicen". Insisto, me limito a decir lo que dice la noticia sobre ello. Dale las vueltas que quieras.
#3 Si ponían en ID del usuario en la URL ya puedes imaginar el nivel con el que estará hecho todo lo demás.
#9, uhm, el que la ID de usuario aparezca en la URL es algo que a día de hoy se sigue dando en muchos sitios, por ejemplo en Adsense del mismísimo Google.
Otra cosa es que con copiar esa URL de un sitio a otro se pueda acceder a la misma información sin necesidad de tener que meter de nuevo contraseña ni nada. Eso sí que es raro.
#74 que el ID de usuario aparezca en la URL no es un problema a priori siempre y cuando en el backend valides que el usuario que hace la petición es el mismo que el que te llega en la URL. Aparte de eso también hay otras técnicas: como usar UUIDs (cadenas de caracteres aleatorios) en lugar de valores numéricos para los identificadores de usuario, caso, tribunal, etc.
#97 En realidad la información tiene que ir del cliente al servidor, es irrelevante (salvo estéticamente) que vaya en la url o simplemente en la cabecera de la petición.
La seguridad por "ocultación" NO funciona.
#9 El problema no es ese. Es un poco cutre pero bah. El problema es que no compruebe si estás autorizado a acceder.
#3 Sí, pero con un cifrado que se rompe sólo con mirarlo mal.
7 Millones para enseñar al púbico todos los casos de Justicia y que sean fácilmente hakeables.
No os quejéis. Peor lo hubiera hecho Indra.
#28 algo me dice que ha sido Indra. Si le dan a dedo los procesos electorales y su cupula esta llena de pperos, un sistema informatico judicial dado a dedo deberia ir a....
#35 http://www.ingenio2010.com/index.php/Lexnet esta Indra
#28 mirate esto: http://www.ingenio2010.com/index.php/Lexnet Como yo esperaba, Indra esta en el ajo.
#59 qué raro...
ACOJONANTE. No se sabe quien hizo y lleva el desarrollo, el gobierno no lo dice.
Increible.
#75 Pues desde mi ignorancia, opino que si hubo concurso público, estará en algún BOE. Aunque también desde mi ignorancia, opino que si no se sabe, será que no hubo concurso público...
#75 ¿Para que lo van a decir?
Un sistema como LexNet deber existir*, pero que el sistema que tienen que usar los abogados, fiscales y jueces lo adminsitre el Ministerio de Justicia** es un despropósito porque los datos van (espero qeu cifrados) al control de ministerio.
*Que funcione bien, obviamente.
**O la contrata de la contrata.
el Ministro estará de vacaciones, ya lo miramos en Septiembre