Vaya tela, será la empresa de un amigote está claro.

#1 Correcto, y no sólo la LexNet, lo del FIVA es otra mierda de amiguete, probablemente el mismo, que han clavao en Madrid.

#29 nadie esta pidiendo el codigo fuente de windows, lo estan pidiendo de lexnet

#3 Sí, pero con un cifrado que se rompe sólo con mirarlo mal.

#6 Año 2017, agile existe y el manifiesto agile es de los inicios de este siglo. Responder al cambio es uno de los principios de ese manifiesto, poner como excusa que me has cambiado un requerimiento es ridículo a estas alturas, es perfectamente posible aceptar ese tipo de cambios.

Otra cosa es que se haya aplicado la gestión de productos que se estila por España con lo que seguramente se acepto el cambio pero no se pusieron los recurso necesarios, principalmente en tiempo.

#11 Qué fuerte.
Hasta en el desarrollo más pequeño, se exige siempre el código fuente.
Te tienen secuestrado.
No lo puedes auditar, no lo puedes mantener..

#28 algo me dice que ha sido Indra. Si le dan a dedo los procesos electorales y su cupula esta llena de pperos, un sistema informatico judicial dado a dedo deberia ir a....

#32 y da gracias porque el password no sea también un parámetro de la url

#35 http://www.ingenio2010.com/index.php/Lexnet esta Indra

Menuda puta estafa de gobierno tenemos. Si lo que me extraña es que estemos tan bien.
A veces pienso que nuestro sistema es como el cuerpo del señor Burn, tiene tanta mierda que unas anulan a las otras y eso nos hace no explotar.

#6 Esto lo vería más creíble, usuarios cambiando la funcionalidad cuando empiezan realmente a usar la aplicación o que el funcional sea elaborado no por los curritos si no por los jefes, y luego la gente con prisas (tanto gerentes de empresa como de usuario) para que se apliquen los cambios.

Esas situaciones las he vivido, al final acabas saliendo como puedes.

De todas maneras, muchas veces los temas de seguridad suele pasarse de puntillas, que si sería un tema fundamental e inquebrantable.

Sin saber toda la historia, es dificil saber que ha pasado al 100%

#99 no somos un país normal.

#11 porque saben que es un truño de mucho cuidado y que daría pistas a posibles atacantes.

Dicho y hecho. A finales de enero de 2016, Cantabria, País Vasco, Cataluña y la Comunidad Valenciana no podían cumplir con el reglamento, mientras que otras Comunidades Autónomas lo hacían a medias o con muchísimas dificultades.

País Vasco no solo no podía cumplir con el reglamento si no que ademas como tiene transferidas ciertas competencias de justicia, tiene su propio sistema, JusitziaSIP, que también en el que también se han volcado millones de euros y esta resultando ser un desproposito

#49 o que incluso contiene mensajes de socorro en una botella

#23 Que a nivel empresarial existan ciertos productos no implica que inmediatamente se aprueben su uso en la administración, que suele ser más burocrática (cómites de cálidad, cómites estándares, distintos departamentos, ...).
Pese a todo, si se aceptara su uso, habría que ver en que condiciones se aplica dichas metologías de trabajo, donde tanto empresa como usuario deben aceptar una fuerte implicación.

El cambio en si se puede tener 2 escenarios:

1. La administración no quiso aprobar un presupuesto que implicaba varios días (análisis, desarrollo, pruebas)

2. La administración se dió cuenta que ese requisito tonto era esencial para el funcionamiento diario de sus usuarios. Por tanto se aplicó un cambio urgente, y a partir de ahí a correr como pollos sin cabeza.

No exonero a la empresa, ya que también debe de velar por dar un buen producto, pero a veces los usuarios también son para echar de comer a parte.

#83 El cifrado del que hablas es el del SSL, no tiene que ver con la programación y el bug que se ha descubierto
#45 Lo que ocurre es que en la url se puede poner el id de otro usuario y el programa no comprueba si tienes la cookie de sesión de ese usuario, con lo cual si los ids son correlativos es muy facil entrar en la cuenta de otro usuario, simplemente si tienes el id 10000 pues pones 9999, 9998, 10001, etc y entrarás. Lo que no creo que se pudiera es entrar a un usuario en concreto si no te sabes el id.

#21 El proyecto ha costado 7 millones, y va de temas judiciales. La seguridad debería haber sido una prioridad. No estamos hablando de la web de un restaurante.

#61 ya, si el problema esta ahí, es lo que he dicho en otro comentario. En otros paises en europa, los ministerios contratan expertos en modalidad de autónomo, contratos de 3 a 18 meses, y les pagan mas de 400€ al día. En España, contratan a la cárnica amiga del político de turno, que se queda casi toda la pasta (incluyendo los posibles sobres en B para el/los políticos), y a los pobres programadores les dejan las migajas. Marca España, nada nuevo.

#94 Se lo encargarán a otro amiguete y lo que empezará de cero será otro despropósito.

#19 Las metodologías ágiles en papel quedan muy monas, pero para aplicarlas implica un compromiso fuerte entre el equipo de desarrollo y el usuario. Y habría que ver primero si se están aplicando y si es así, de que manera.

Por otro lado, puedes cambiar el funcional, pero no puede tocar ciertos puntos, es decir, no puedes empezar diseñando un barco para acabar con un avión con ruedas que navege.

Por lo que comenta el artículo, el cambio se hizo en 5 horas, que tiene pinta de cambio urgente del usuario, seguramente por parte de algún jefazo con pocas ganas de esperar y quitarse el marrón de encima (recordemos que llega agosto ). Ya que salvo que estuviera en el propio funcional, tiene pinta de evolutivo, y eso es algo que la empresa puede cobrar más fácilmente que si fuera un correctivo.

Aquí creo que habría que mirarlo en detalle para saber que ha pasado realmente.

De todas maneras, el tema de seguridad que comentan me parece muy muy muy gordo.

#65 Yo ya he visto de todo.
Estimar un tiempo para pruebas y anunciar la puesta en producción sin ni siquiera haber pasado las pruebas.

Amen que todo fuera como indicas.

#28 mirate esto: http://www.ingenio2010.com/index.php/Lexnet Como yo esperaba, Indra esta en el ajo.

#58 Pues mira, yo creo que el problema viene por el modo de trabajo y contratacion de las cárnicas.

Probablemente los cambios los hizo uno o varios monos, dado que seguramente pagan con cacahuetes. No creo que sea un problema "metodológico"

#9, uhm, el que la ID de usuario aparezca en la URL es algo que a día de hoy se sigue dando en muchos sitios, por ejemplo en Adsense del mismísimo Google.

Otra cosa es que con copiar esa URL de un sitio a otro se pueda acceder a la misma información sin necesidad de tener que meter de nuevo contraseña ni nada. Eso sí que es raro.

#66 Que hicieran la directiva europea de pedir en cada web que aceptes las cookies, deja claro que en temas técnicos no tienen ni puta idea. Ni tampoco esos asesores nombrados a dedo que cobran un pastizal por no hacer nada.

#67 no sólo. Yo he sufrido en mis carnes supuestos desarrollos multiplataforma basados en web que eran una puta pesadilla: como no tuvieras un navegador determinado en una determinada versión (vi hasta cómo tenían que downgradear IE a una versión más antigua para que funcionara alguna cosa), con unos determinados permisos y plugins no había tu tía... aparte de la lentitud inherente de casi todo lo desarrollado en web, especialmente en plan chapuza cárnica... Hubo gente que llegó a exigir a dirección que pidiera a la consultora una versión nativa Windows de la aplicación, que antes daba menos problemas e iba más rápido.... Pa cagarse...

Esto paso cuando subcontratas informáticos a la cárnica amiga de turno a precios de risa.

#8 Habría que ver el pliego que sacaron para determinar si se infló o no los presupuestos.

En cuanto al tiempo aplicado, miraría tanto a la empresa como a los usuarios.
No es raro que haya cierta dejadez a veces por parte de los usuarios para definir funcionales, incluso con cambios de gobierno entre medias (más de 4 años), y por tanto de jefes, el nuevo jefe de turno decida que no le vale el análisis aprobado por el jefe anterior y se tenga que revisar el funcional

Ayer, por un problema de filtraciones de datos 2 ministros tuvieron que abandonar su cargo asumiendo su responsabilidad en los hechos:
agencia-gubernamental-filtra-datos-todos-ciudadanos-suecia/c048#c-48

Hace 6 años | Por peponazo a profesionalreview.com

Publicado hace 6 años por peponazo a profesionalreview.com

Una agencia gubernamental filtra los datos de todo...

profesionalreview.com

#13 ¿Quién garantiza esa formación básica? ¿El ministerio de justicia, en este caso? No creo que la mayor parte de funcionarios esté muy por la labor.

Esos conocimientos, entiendo yo, les harían ir más allá de Word y Windows y así evitar ataduras a un sistema operativo único; como las de esta plataforma. Pero luego los de administración de sistemas se tirarían de los pelos con las incidencias abiertas por los usuarios.

No creo que haya interés por ninguna de las partes en salir de sus conocimientos ofimáticos en Windows.

#38 ágil y justicia...No sé yo

#30 Mola la recopilación.

Echo en falta documentos públicos más oficiales, pero al menos se ve como fue yendo su implementación (desde 29 de Junio de 2011 las primeras pruebas en real ..... )

#11 #24 Creo que os habéis liado, el que dice que no conoce el código fuente es un tío externo al ministerio/jueces. Es lógico que el código no se conozca en algo así. Si se conociera se podrían explotar las vulnerabilidades. Evidentemente el código sí que lo tiene el ministerio

#8 "Yo les revisaba cada cinco años como en Noruega o Suecia y por objetivos y si no a la puta calle. "

Vale. Te lo compro. A cambio aumenta el ratio de empleados públicos por habitante a los niveles de Noruega o Suecia.

#68 ¿?
Iniciativa?. O sea, que segun tú, algún funcionario tenía que haber levantado el dedo y decir "yo desarrollo LexNet".

Joder, menuda ignorancia. No apuntes al funcionario, que ni pincha ni corta. Apunta al que toma las decisiones, que es el responsable de tomarlas y se le paga MUY BIEN por ello.

#8 Que no haya funcionarios haciendo estos desarrollos no es culpa de los funcionarios.

#75 Pues desde mi ignorancia, opino que si hubo concurso público, estará en algún BOE. Aunque también desde mi ignorancia, opino que si no se sabe, será que no hubo concurso público...

#47 Hoy en día no tiene sentido ni por el lector de DNI, ni por el cifrado ni por la firma digital. Son temas resueltos hace mucho tiempo.

Ayer puede haber sido un gran día para los corruptos.

#17 Ya te han hecho caso. La aplicacion está desarrollada por una cárnica

Leo los comentarios y compruebo, con resignación, que el sector de la informática en general y el desarrollo de aplicaciones en particular es caldo de cultivo para cuñadismos varios.

¿Un cambio ctítico de una aplicación en Julio? ¿y va y sale mal? ¿en serio? En julio-agosto la mitad de la plantilla, como poco, está de vacaciones. Y en la parte cliente también. Si en esas condiciones te pones ha hacer un cambio pues... luego no te sorprendas de que ha sido una cagada.

#73 El fallo de seguridad es horrible, no tienen excusa ninguna.

El cambio de funcionalidad, siendo que es tan esencial, y viendo que esto lleva 5 años, que no se ha puesto ayer en funcionamiento, me parece error de los usuarios salvo que estuviera en los requisitos o en funcional inicial y la empresa lo pasara por alto.

En cuanto a que se aplique un cambio en 5 horas, huele a prisas por cubrir el error antes de agosto, bien por parte de la empresa o por parte de los usuarios o por ambas.

Yo el tema lo miraría con lupa, puede ser un conjunto de cosas, no solo de una empresa chapucera, que bien podría serlo.

#100 lo confirmo. Es asi. Una faena si notifican jueves por la tarde
Y tienes un viernes liado y no entras a ver.
Me queman los dos.

Manda cojones. Todas las empresas migrando sus aplicaciones a frameworks en javascript para que sean multiplataforma, y estos borregos hacen una aplicación que sólo funciona en windows. Sólo este detalle sería ya para ahorcar del palo mayor a unos pocos.

¿ Pero esto es posible en un país normal ?

De todas formas vaya tela la noticia, hablan de un informe de seguridad que le cambian la nota de la A a la F. Ese "informe de seguridad" es un análisis del protocolo SSL de la página.

No voy a decir que no sea importante, pero POODLE no es el ataque más fácil de llevar a cabo, y tiene que ser llevado especificamente contra usuarios que se conecten a la Web, o directamente teniendo acceso al tráfico del servidor y además bajo unas circustancias muy concretas: que el usuario negocie con el servidor con SSL 3.0, cosa que no hace ningún navegador actualizado.

En fin, un poco sensacionalista en esa parte si que es.

#13 es tal la oscuridad de todo esto que no tengo claro si es la parte servidor o el cliente. Si es el cliente, tiene cierto sentido por el tema de la firma electrónica, el lector de DNI y dudo que más del 1% de abogados usen Linux (aunque me llama la atención MacOS).

#48 No hay expertos en Spring o Hibernate, porque no se paga lo que hay que pagar a un experto. Yo conozco a muchos Españoles ingenieros expertos en eso (y otras tecnologías). Estamos todos fuera.

En cuanto a lo de agile, eso no es cierto. A lo mejor es lo que tu has visto, yo también lo he visto, pero el problema no es la metodología, sino el aplicarla mal. Yo no empiezo un sprint sin tener una idea de lo que vamos a hacer y como. Primero se planifica, se coge papel y lápiz (o pizarra) como tu bien dices. Yo he pasado por sitios que dicen que hacen agile, y luego de agile tiene poco. Por ejemplo, en uno eramos un equipo de 4 y los stand-up duraban 20 minutos, cuando deberían durar 5.

#3 lee el artículo. La respuesta está ahí fuera

#19 #23 Tenéis toda la razón.
No es excusa.

Para Montorito somos muchísimos sub-subcontratados.
Y mientras tanto, los sobres siguen su camino y las cosas salen como salen. Eso si, hacienda somos todos, se honrado, ¿Eh?.

#78 Todo apunta a una aplicacion chapucera, una empresa chapucera y una administración chapucera. Todo junto.

#110 Ah, menos mal, lo otro me parecía una locura...pero posible

En el artículo se mencionan bastantes cosas... El tradicional estado de los cortijos administrativos, por comunidad, contra la centralización y sus peligros. Tener los sistemas desconectados entre sí logra inherentemente una mejor compartmentalización; a la par que impide transferir datos entre administraciones (para bien y para mal).

Tiendo a preferir un sistema centralizado en este caso -- porque uno distribuido e interoperable parece mucho pedir. El problema es que no se le dé suficiente importancia a auditorías previas (imagino) tras nuevas versiones, e igualmente que ese código no esté disponible para auditorías y mejoras externas. Eso debería haber estado en los requisitos para una contratación pública, por mucho que la responsable del desarrollo sea una empresa con ánimo de lucro.

#74 que el ID de usuario aparezca en la URL no es un problema a priori siempre y cuando en el backend valides que el usuario que hace la petición es el mismo que el que te llega en la URL. Aparte de eso también hay otras técnicas: como usar UUIDs (cadenas de caracteres aleatorios) en lugar de valores numéricos para los identificadores de usuario, caso, tribunal, etc.

#70 Yo una año parcheé servidores de sistemas críticos 24x7 en pleno mes de agosto.

#75 ¿Para que lo van a decir?

Un sistema como LexNet deber existir*, pero que el sistema que tienen que usar los abogados, fiscales y jueces lo adminsitre el Ministerio de Justicia** es un despropósito porque los datos van (espero qeu cifrados) al control de ministerio.

*Que funcione bien, obviamente.
**O la contrata de la contrata.

#29 ¿Y para que quieres el código fuente de JVM?

Tú pides el códigos, carácteristicas de compilación y ya te encargas de hacer la compilación del producto. Para facilitar dicha tarea puedes pedirlo en base a herramientas como maven o gradle.

Si le añades software de control de versiones, puedes seguir fácilmente los cambios aplicados.

Y si le aplicas ya metodologías ágiles, ya sería la bomba

#23 pues yo creo que el problema viene por el agile. No por el agile en si, que es un modo de gestion y esto parece una chapuza de formularios GET y falta de validaciones*, si no porque ahora se pasa mas tiempo pensando en que se tiene usar agile, tdd, integracion continua, pair programming, etc, y menos tiempo con un lapiz y una hoja pensando como hacer las cosas. Se empieza a darle a la tecla y a correr, que total, ya se podra cambiar despues. Y para eso te basta un arquitecto que hace 3 años termino la carrera.

Y stackoverflow tambien ha hecho mucho daño, porque ahora se copian y pegan snipets sin saber exactamente que esta pasando por debajo. Muy poca gente es realmente experta en Spring o Hibernate (por ejemplo, omnipresentes en Java) y sabe que esta pasando por debajo, asi que despues vienen las sorpresas cuando alguien coge un wireshark o lanza unos explains, que todo va como el culo.

* con formularios POST y una hoja de estilos personalizada tambien se puede hacer, pero hay que currarselo. Con GET lo puede hacer cualquiera.

#70 Si en esas condiciones te pones ha hacer un cambio pues... luego no te sorprendas de que ha sido una cagada.

De eso estamos hablando. La empresa "no lo sabía".....
Esto parece hecho por el cuñado de su prima.

#14 Cada uno debe garantizársela. El tener un puesto de trabajo no quiere decir que ya no tienes que aprender nada más, si no todo lo contrario.
A no ser que sea algo muy especializado. Pero estamos hablando de "cultura general básica" para tu trabajo.

#59 qué raro...

Tremendo el artículo; el capitalismo de amiguetes Españistaní en estado puro...

#23 los cambios culturales que llevan a agile y similares no se dan de un dia para otro.

Es como decir que hay robots que hacen el trabajo manual para usarlos donde no hay electricidad.

#41

#46 las licitaciónes son públicas y ya se sabe que participaron IECISA, Indra, etc...

Entiendo que lo que no se sabe es lo que se les ha pagado al final.

#30 El desarrollo se orientó hacia java con la idea de la portabilidad en el lado del cliente,

¿?. Estos tíos no saben lo que es un servicio web? No distinguen entre lado cliente y lado servidor?... acojonante.

Si eligen Java como plataforma de servidor, que no sea por "portabilidad", por DIOS.

#31 Creo recordar que lo del cambio en 5 horas se refiere a la corrección del error

#110 Si tiene vulnerabilidades explotables, habrá que corregirlas. Alguien puede estarlas explotando impunemente y sin que nadie lo sepa. La seguridad por ocultación no es seguridad, es una INSEGURIDAD, y muy grave.

#56 Por eso lo decía, que el problema no es que te cambien el requisito, eso es algo asumido y aceptado hoy en día, sino que no se asignen los recursos apropiados.

Por otra parte sigue siendo una chapuza porque cualquier test mínimo de seguridad incluye el caso positivo, que tengas las credenciales válidas para acceder a un recurso y puedas hacerlo, y el negativo que sería tener unas credenciales válidas pero que no den acceso al recurso, con lo cual he de suponer que tampoco han realizado ningún tipo de test, ni antes ni después del cambio sino se habría detectado mucho antes de llegar a producción.

"Para empezar, solo funciona con Windows. "

Quizá con una de estas nos demos cuenta de que fabricar software en España es como tirar caviar a una piara de cerdos. Por lo general tengo en alta estima al desarrollador/analista patrio. No por orgullo ni idioteces similares, sino porque objetivamente creo que es así. En general somos bastante buenos haciendo nuestro trabajo... cuando nos dejan hacerlo. Pienso que un equipo de desarrolladores consolidadado puede enfrentarse a cualquier problema por grave o complejo que sea, pero para eso hace falta un jefe de proyecto a la altura y un contratista que sepa de lo que habla.

Todos sabemos lo que pasa con los contratos así que no voy a seguir echando leña. Igual que con las cárnicas.
Para mí el problema es un problema de cultura. Cuando cualquiera de nosotros es un proveedor siempre echamos la culpa de los problemas al cliente. El problema es que cuando somos clientes hacemos lo mismo: "yo he pagado por esto y lo quiero bien y ya... pero si me puedes hacer una rebajilla...". Y este es el principio de desastre.

Ya está bien de hacer el idiota, digo yo. Cada uno en su puesto y a trabajar en equipo, que es la única manera de sacar algo decente. Pero cuando a los de la empresa X les pagan un extra por llegar a tal fecha, o el director general de nosequé cree que esto debería estar corregido mañana todo se va al garete.

Mientras no cambiemos de mentalidad esto va a seguir pasando. Y cada vez más me temo.

En mi caso conozco el sector banca, y muchos lloraríais de terror al ver cómo funcionan ciertos servicios...

Que casualidad, este fallo le viene bien a mas de uno, estarán preparando ya los nuevos sobres, para felicitar el verano..

#55 Si el fallo mecánico es del motor, para arreglarlo necesitas reconstruirlo de 0 y además el coche tiene el chasis jodido..... ya sabes. Tiraste 7 millones y necesitas un coche nuevo.

#139 Yo lo leí hace tiempo pero es un ladrillo de la leche.....

#31 velocidad con el tocino, la monumental cagada no tiene que ver con ninguna metodología.