Un fallo en la característica enviar más tarde del cliente de correo de KDE se saltaba OpenPGP sin notificárselo al usuario en absoluto, que pensaba que su mensaje se enviaba cifrado
"Por suerte el fallo ya ha sido corregido. En la nueva versión de KDE Applications (la 17.04.2) ya no debería presentarse, así que si no estás ejecutando esta versión o una posterior dseberías pensar en actualizar a ella tan pronto como te sea posible."
#6 Esa es la gran mentira del software libre. Nadie controla nada.
Que el código esté libre y disponible no quiere decir que nadie, salvo el desarrollador, 4 amigos, y un señor de Cuenca revisen nada del código.
Simplemente el código de un software mínimamente decente hoy tiene varias decenas de miles de líneas de código, dependencias, interconexiones, usos de librerias de terceros... que hace imposible una auditoría de código seria.
Y si, hay programas que auditan el código de manera automática, pero para corregir errores de desbordamientos, etc etc, no para corregir que un programador por error se cargue la encriptación.
Pasó lo mismo con ¿OpenSSL? Un día un desarrollador decidió "que este código, que no se bien que hace, y que ocupa mucha máquina, no vale", y lo borró. Era el código que generaba la semilla aleatoria para cifrar la comunicación.
Aquí en Menéame se nos llena la boca con las bondades del código libre, audible y seguro, cuando lo cierto es que realmente el kernel de Linux seguramente lo auditan Linus Torvalds, un puñado de desarrolladores, y Richard Stallman para dar por culo.
#7 Es un problema que encuentro que está mejor resuelto con la filosofía Unix (programas pequeños que se interconectan) que con los mastodontes que se hacen actualmente. No es lo mismo buscar los fallos en un programa con unos pocos miles de líneas de código que en uno con millones de líneas.
#10 tienes cierta razón, pero cuando te refieres a kernels monolíticos , pero en un programa 'suite ofimatica ' no te queda más remedio que hacer un programa grande y poco compartimentado
#11 No necesariamente. Puedes hacer que el frontend vaya llamando a distintos programas pequeños. En este caso, sería poner en un módulo/programa la parte de enviar correos, por ejemplo.
#7
Te has marcado una buena falacia.
El tiempo desde que se descubre un fallo hasta que se corrige es muy inferior en el software libre. El número de bugs por línea también es inferior.
Cc #6.
#15
Que el fallo estuviera ahí durante 4 años no significa que fuera detectado hace 4 años. Significa que el commit con el que se introdujo el fallo se hizo hace 4 años.
Los datos los saco de por ejemplo Minix 3 u OpenBSD y otras compañías que informan de ello.
Cc #14.
Falacia la que acabas de soltar.
¿Y como sabes el número de bugs por línea en software privativo si no tienes ni el código fuente ni el número de bugs?
Curiosa afirmación basado en datos de tus huevos en bata...
Comentarios
«Enviar más tarde»
Lo que puedas hacer hoy no lo dejes para mañana.
Los procastinadores han recibido su debido castigo.
#5 ya si eso te contesto luego
"Por suerte el fallo ya ha sido corregido. En la nueva versión de KDE Applications (la 17.04.2) ya no debería presentarse, así que si no estás ejecutando esta versión o una posterior dseberías pensar en actualizar a ella tan pronto como te sea posible."
Miles de ojos controlando el código open source y tardan 4 años en darse cuenta.
#6 Esa es la gran mentira del software libre. Nadie controla nada.
Que el código esté libre y disponible no quiere decir que nadie, salvo el desarrollador, 4 amigos, y un señor de Cuenca revisen nada del código.
Simplemente el código de un software mínimamente decente hoy tiene varias decenas de miles de líneas de código, dependencias, interconexiones, usos de librerias de terceros... que hace imposible una auditoría de código seria.
Y si, hay programas que auditan el código de manera automática, pero para corregir errores de desbordamientos, etc etc, no para corregir que un programador por error se cargue la encriptación.
Pasó lo mismo con ¿OpenSSL? Un día un desarrollador decidió "que este código, que no se bien que hace, y que ocupa mucha máquina, no vale", y lo borró. Era el código que generaba la semilla aleatoria para cifrar la comunicación.
Aquí en Menéame se nos llena la boca con las bondades del código libre, audible y seguro, cuando lo cierto es que realmente el kernel de Linux seguramente lo auditan Linus Torvalds, un puñado de desarrolladores, y Richard Stallman para dar por culo.
#7 Es un problema que encuentro que está mejor resuelto con la filosofía Unix (programas pequeños que se interconectan) que con los mastodontes que se hacen actualmente. No es lo mismo buscar los fallos en un programa con unos pocos miles de líneas de código que en uno con millones de líneas.
#10 tienes cierta razón, pero cuando te refieres a kernels monolíticos , pero en un programa 'suite ofimatica ' no te queda más remedio que hacer un programa grande y poco compartimentado
#11 No necesariamente. Puedes hacer que el frontend vaya llamando a distintos programas pequeños. En este caso, sería poner en un módulo/programa la parte de enviar correos, por ejemplo.
#7
Te has marcado una buena falacia.
El tiempo desde que se descubre un fallo hasta que se corrige es muy inferior en el software libre. El número de bugs por línea también es inferior.
Cc #6.
#13 Si, como mucho 4 años.
#15
Que el fallo estuviera ahí durante 4 años no significa que fuera detectado hace 4 años. Significa que el commit con el que se introdujo el fallo se hizo hace 4 años.
Los datos los saco de por ejemplo Minix 3 u OpenBSD y otras compañías que informan de ello.
Cc #14.
#13 di que sí.... 4 años nada menos....
Falacia la que acabas de soltar.
¿Y como sabes el número de bugs por línea en software privativo si no tienes ni el código fuente ni el número de bugs?
Curiosa afirmación basado en datos de tus huevos en bata...
#6 Posiblemente porque casi nadie usa ya esa función, con lo que hay menos mensajes de error y menos posibilidades de que salte la alarma.
Suena más a una feature cortesía de la NSA.
#2 No creo que muchos terroristas usen KDE
#3 Para la NSA todos somos terroristas en potencia.
Pues "K Mail"