[opensuse-es] Evitar que los programas llamen a casa
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Hola,
Hay programas que se conectan a la red sin nuestro permiso expreso. Un ejemplo es el adobe reader,
que permite que los ficheros PDF contengan scripts, código, que sirve para hacer muchas cosas
guapas, pero también permite a los autores de un PDF hacer que cada vez que abras sus ficheros, el
acrobat se conecte por internet y le diga que tú estás leyendo su fichero y donde estás. No conozco
ejemplos concretos de quien hace eso, pero está publicado desde hace años.
Eso permite también vulnerabilidades como la de ahora.
Hace también años que se han publicado "trucos" para, usando iptables, o el cortafuegos de la suse,
bloquear esas conexiones salientes.
http://lists.opensuse.org/opensuse-security/2005-04/msg00118.html
- ----
Re: [suse-security] How to block Acroread 7 with SuSE FW2?
* From: nordi
El Sábado, 12 de Junio de 2010 12:16:50 Carlos E. R. escribió:
Hola,
Hay programas que se conectan a la red sin nuestro permiso expreso. Un ejemplo es el adobe reader, que permite que los ficheros PDF contengan scripts, código, que sirve para hacer muchas cosas guapas, pero también permite a los autores de un PDF hacer que cada vez que abras sus ficheros, el acrobat se conecte por internet y le diga que tú estás leyendo su fichero y donde estás. No conozco ejemplos concretos de quien hace eso, pero está publicado desde hace años.
Eso permite también vulnerabilidades como la de ahora.
Hace también años que se han publicado "trucos" para, usando iptables, o el cortafuegos de la suse, bloquear esas conexiones salientes.
http://lists.opensuse.org/opensuse-security/2005-04/msg00118.html
----
Re: [suse-security] How to block Acroread 7 with SuSE FW2?
* From: nordi
* Date: Sun, 17 Apr 2005 18:52:27 +0200 * Message-id: <4262944B.7020805@xxxxxxxxx> In order to block that traffic you could make the acroread executable SGID 'acro' and then block all traffic coming from group 'acro'. Iptables has an option for doing this by using the --gid-owner option. Of course that works only with a local firewall.
----
Muy bueno Carlos!!! Claro y conciso. Me lo apunto. Salu2
Voy a demostrar ahora como se usa eso.
1) Primer paso: añadir al sistema el grupo "talker". Ese u otro nombre.
2) /etc/sysconfig/scripts/SuSEfirewall2-custom:
fw_custom_after_chain_creation() {
....
#Cer iptables -A OUTPUT -m owner --gid-owner talker -j LOG --log-prefix 'Do not talk home: ' iptables -A OUTPUT -m owner --gid-owner talker -j REJECT
true }
3) /etc/sysconfig/SuSEfirewall2:
FW_CUSTOMRULES="/etc/sysconfig/scripts/SuSEfirewall2-custom" #FW_CUSTOMRULES=""
4) reiniciar el cortafuegos:
Elessar:~ # SuSEfirewall2 SuSEfirewall2: Setting up rules from /etc/sysconfig/SuSEfirewall2 ... SuSEfirewall2: Warning: no default firewall zone defined, assuming 'ext' SuSEfirewall2: using default zone 'ext' for interface eth1 SuSEfirewall2: Firewall customary rules loaded from /etc/sysconfig/scripts/SuSEfirewall2-custom SuSEfirewall2: batch committing... SuSEfirewall2: Firewall rules successfully set
5) Probar con telnet.
Elessar:~ # which telnet /usr/bin/telnet Elessar:~ # l /usr/bin/telnet -rwxr-xr-x 1 root root 104128 Oct 19 2009 /usr/bin/telnet* Elessar:~ # chgrp talker /usr/bin/telnet Elessar:~ # chmod g+s /usr/bin/telnet Elessar:~ # l /usr/bin/telnet -rwxr-sr-x 1 root talker 104128 Oct 19 2009 /usr/bin/telnet*
······^···········^^^^^^
Lo probamos:
Elessar:~ # telnet router Trying 192.168.X.X... telnet: connect to address 192.168.X.X: Connection refused
¿Veis? El telnet es incapaz de conectar. El cortafuegos cierra el paso:
Jun 12 11:50:31 Elessar kernel: [101756.086915] Do not talk home: IN= OUT=eth0 SRC=192.168.1.14 DST=192.168.X.X LEN=60 TOS=0x10 PREC=0x00 TTL=64 ID=32394 DF PROTO=TCP SPT=35432 DPT=23 WINDOW=5840 RES=0x00 SYN URGP=0 Jun 12 11:50:34 Elessar kernel: [101759.086027] Do not talk home: IN= OUT=eth0 SRC=192.168.1.14 DST=192.168.X.X LEN=60 TOS=0x10 PREC=0x00 TTL=64 ID=32395 DF PROTO=TCP SPT=35432 DPT=23 WINDOW=5840 RES=0x00 SYN URGP=0
Bueno, pues ahora hay que quitar eso del telnet y ponerselo al adobe. Eso es la parte complicada.
Elessar:~ # which acroread /usr/bin/acroread Elessar:~ # l /usr/bin/acroread lrwxrwxrwx 1 root root 33 May 7 02:43 /usr/bin/acroread -> ../lib/Adobe/Reader9/bin/acroread* Elessar:~ # l /usr/lib/Adobe/Reader9/bin/ total 20 drwxr-xr-x 2 root root 72 May 7 02:43 ./ drwxr-xr-x 6 root root 144 Apr 19 04:06 ../ -rwxr-xr-x 1 root root 20112 Apr 19 04:06 acroread*
Primero comprobamos que el acrobat puede leer un pdf desde la red (puede ser de vuestra red).
acroread http://sitio/doc.pdf
Hacemos los cambios: Elessar:~ # chgrp talker /usr/lib/Adobe/Reader9/bin/acroread Elessar:~ # chmod g+s /usr/lib/Adobe/Reader9/bin/acroread Elessar:~ # l /usr/lib/Adobe/Reader9/bin/acroread -rwxr-sr-x 1 root talker 20112 Apr 19 04:06 /usr/lib/Adobe/Reader9/bin/acroread*
Probamos:
acroread http://sitio/doc.pdf
sigue funcionando. Mmmm...
Podría ser esto:
Elessar:~ # find /usr/lib/Adobe/Reader9/ -type f -executable -exec chgrp talker '{}' \; Elessar:~ # find /usr/lib/Adobe/Reader9/ -type f -executable -exec chmod g+s '{}' \;
Pero con eso no sólo no sale a internet, es que ni siquiera arranca:
cer@Elessar:~> acroread /usr/lib/Adobe/Reader9/Reader/intellinux/bin/acroread: error while loading shared libraries: libBIB.so: cannot open shared object file: No such file or directory
Y cambiando ese fichero no vale. Así que deshago el cambiazo:
Elessar:~ # find /usr/lib/Adobe/Reader9/ -type f -executable -exec chmod g-s '{}' \;
Y lo dejo aquí a ver si alguno de vosotros encuentra la combinación de ficheros que hay que hacer sGID para que el acrobat funcione pero no llame a casa. Yo lo tenía hecho, pero con otra versión del reader.
Y me voy a hacer cosas útiles como fregar suelos, que no me dejan tiempo para hacer cosas interesantes como leer los avisos de seguridad que hay por ahí >:-)
-- Cheers / Saludos,
Carlos E. R. (from 11.2 x86_64 "Emerald" GM (Elessar))
-- No imprima este correo si no es necesario. El medio ambiente está en nuestras manos. __________________________________________ Clist UAH a.k.a Angel __________________________________________ No le daría Cocacola Zero, ni a mi peor enemigo. Para eso está el gas Mostaza que es mas piadoso. -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El Sat, 12 Jun 2010 12:16:50 +0200, Carlos E. R. escribió:
Hay programas que se conectan a la red sin nuestro permiso expreso. Un ejemplo es el adobe reader, que permite que los ficheros PDF contengan scripts, código, que sirve para hacer muchas cosas guapas, pero también permite a los autores de un PDF hacer que cada vez que abras sus ficheros, el acrobat se conecte por internet y le diga que tú estás leyendo su fichero y donde estás. No conozco ejemplos concretos de quien hace eso, pero está publicado desde hace años.
Si desactivas (o bloqueas) esa funcionalidad, bien desactivando javascript o bien bloqueando la conexión al servidor remoto, es más que posible que no puedas rellenar los formularios interactivos en PDF correctamente.
Eso permite también vulnerabilidades como la de ahora.
Eso (el uso de javascript en Acrobat Reader para acceder al sistema) es más vejo que Matusalén :-) Y no, bloquear el acceso a la red al Acrobat Reader hoy en día no es viable. Por cierto ¿AppArmor no debería gestionar este tipo de cosas? Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 On 2010-06-12 12:48, Camaleón wrote:
El Sat, 12 Jun 2010 12:16:50 +0200, Carlos E. R. escribió:
Hay programas que se conectan a la red sin nuestro permiso expreso. Un ejemplo es el adobe reader, que permite que los ficheros PDF contengan scripts, código, que sirve para hacer muchas cosas guapas, pero también permite a los autores de un PDF hacer que cada vez que abras sus ficheros, el acrobat se conecte por internet y le diga que tú estás leyendo su fichero y donde estás. No conozco ejemplos concretos de quien hace eso, pero está publicado desde hace años.
Si desactivas (o bloqueas) esa funcionalidad, bien desactivando javascript o bien bloqueando la conexión al servidor remoto, es más que posible que no puedas rellenar los formularios interactivos en PDF correctamente.
Seguramente. Pero esos formularios, al menos los que yo he usado, son intranet, y no tengo acceso a ellos. Los otros son formularios totalmente locales y sólo puedes imprimirlos.
Eso permite también vulnerabilidades como la de ahora.
Eso (el uso de javascript en Acrobat Reader para acceder al sistema) es más vejo que Matusalén :-)
No sólo javascript, me parece que el flash cae también en ese problema.
Y no, bloquear el acceso a la red al Acrobat Reader hoy en día no es viable.
Para mi si >:-) Puedes tenerlo bloqueado, y cuando lo necesites, abrirlo temporalmente. En teoría, puedes cerrar el acceso en preferencias del adobe, pero (si no lo han cambiado) sólo afectan a la sesión actual, no es un cambio permanente.
Por cierto ¿AppArmor no debería gestionar este tipo de cosas?
No, para nada. Salvo que lo hayan ampliado bastante. Por cierto, AA es mantenido ahora en Ubuntu >:-) Lo que hace el AA es impedir, por ejemplo, que un programa pueda modificar un fichero de sistema, aún corriendo como root, si previamente no le has dicho al AA que puede escribir en ese fichero. Básicamente es eso. Claro, si tienes al flash (pe) metido en el AA, y el flash te lo petan e intenta escribir en el sudoers (pe) para tener acceso posterior, pues le va a decir que no. Eso si te lo va a proteger. Ahora bien, meter el flash en un perfil del AA es para nota... a ver como defines que directorios y ficheros puede leer, porque son arbitrarios. El AA está pensado para proteger servicios que tienen un comportamiento definido y conocido, y bloquea los accesos no previstos (desconocidos). Es muy dificil hacer un perfil para una cosa como un editor. - -- Cheers / Saludos, Carlos E. R. (from 11.2 x86_64 "Emerald" GM (Elessar)) -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.12 (GNU/Linux) Comment: Using GnuPG with SUSE - http://enigmail.mozdev.org/ iEYEARECAAYFAkwTd5UACgkQU92UU+smfQXV9gCffTElDzYLFBeyrOsRtVvNibhG fw0AnR7YyZErS2oPX1+KCpHKc6HsfNIj =4wf8 -----END PGP SIGNATURE----- -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El Sat, 12 Jun 2010 14:03:33 +0200, Carlos E. R. escribió:
On 2010-06-12 12:48, Camaleón wrote:
Si desactivas (o bloqueas) esa funcionalidad, bien desactivando javascript o bien bloqueando la conexión al servidor remoto, es más que posible que no puedas rellenar los formularios interactivos en PDF correctamente.
Seguramente.
Pero esos formularios, al menos los que yo he usado, son intranet, y no tengo acceso a ellos. Los otros son formularios totalmente locales y sólo puedes imprimirlos.
Cada vez más empresas (también estatales) están utilizando los servicios de LiveCycle de Adobe para gestionar estas cosas. No digo todas, pero yo sí he tenido que rellenar algún formulario de ese tipo, que me pedía conexión a Internet.
Eso (el uso de javascript en Acrobat Reader para acceder al sistema) es más vejo que Matusalén :-)
No sólo javascript, me parece que el flash cae también en ese problema.
Sí, de hecho no sé quién tiene más fallos, si Acrobat Reader o Flash Player. El problema de Acrobat Reader es que afecta más a las empresas que el Flash Player (por ejemplo, yo instalo el plugin de flash sólo en algunos equipos que sé que se van a utilizar para presentaciones, pero no lo pongo en las estaciones de trabajo, aunque suene un poco duro). En cambio, Acrobat Reader (o la versión completa) sí está instalada en todos los equipos.
Y no, bloquear el acceso a la red al Acrobat Reader hoy en día no es viable.
Para mi si >:-)
Puedes tenerlo bloqueado, y cuando lo necesites, abrirlo temporalmente.
Entonces haz algo más sencillo, que es no activar Javascript. Eso se puede configurar desde el propio programa.
En teoría, puedes cerrar el acceso en preferencias del adobe, pero (si no lo han cambiado) sólo afectan a la sesión actual, no es un cambio permanente.
No sé cómo será en el Acrobat Reader de Linux pero en la versión para windows, sí, es una opción global y permanente.
Por cierto ¿AppArmor no debería gestionar este tipo de cosas?
No, para nada. Salvo que lo hayan ampliado bastante.
Por cierto, AA es mantenido ahora en Ubuntu >:-)
Anda... ¿puedes explicar eso? :-?
Lo que hace el AA es impedir, por ejemplo, que un programa pueda modificar un fichero de sistema, aún corriendo como root, si previamente no le has dicho al AA que puede escribir en ese fichero. Básicamente es eso.
Claro, si tienes al flash (pe) metido en el AA, y el flash te lo petan e intenta escribir en el sudoers (pe) para tener acceso posterior, pues le va a decir que no. Eso si te lo va a proteger. Ahora bien, meter el flash en un perfil del AA es para nota... a ver como defines que directorios y ficheros puede leer, porque son arbitrarios.
Mira, eso sería una opción muy interesante para mantener al Flash Player a raya :-)
El AA está pensado para proteger servicios que tienen un comportamiento definido y conocido, y bloquea los accesos no previstos (desconocidos). Es muy dificil hacer un perfil para una cosa como un editor.
Yo sólo espero que llegue el día en que Flash Player no sea más que un mal recuerdo de Internet. No conozco un programa que haya hecho tanto daño a los usuarios como ese plugin :-/ Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 On 2010-06-12 16:23, Camaleón wrote:
El Sat, 12 Jun 2010 14:03:33 +0200, Carlos E. R. escribió:
On 2010-06-12 12:48, Camaleón wrote:
Si desactivas (o bloqueas) esa funcionalidad, bien desactivando javascript o bien bloqueando la conexión al servidor remoto, es más que posible que no puedas rellenar los formularios interactivos en PDF correctamente.
Seguramente.
Pero esos formularios, al menos los que yo he usado, son intranet, y no tengo acceso a ellos. Los otros son formularios totalmente locales y sólo puedes imprimirlos.
Cada vez más empresas (también estatales) están utilizando los servicios de LiveCycle de Adobe para gestionar estas cosas. No digo todas, pero yo sí he tenido que rellenar algún formulario de ese tipo, que me pedía conexión a Internet.
¿A internet? Esas cosas solían ser en red local, ¿no?
Eso (el uso de javascript en Acrobat Reader para acceder al sistema) es más vejo que Matusalén :-)
No sólo javascript, me parece que el flash cae también en ese problema.
Sí, de hecho no sé quién tiene más fallos, si Acrobat Reader o Flash Player.
El problema de Acrobat Reader es que afecta más a las empresas que el Flash Player (por ejemplo, yo instalo el plugin de flash sólo en algunos equipos que sé que se van a utilizar para presentaciones, pero no lo pongo en las estaciones de trabajo, aunque suene un poco duro). En cambio, Acrobat Reader (o la versión completa) sí está instalada en todos los equipos.
Es razonable.
Y no, bloquear el acceso a la red al Acrobat Reader hoy en día no es viable.
Para mi si >:-)
Puedes tenerlo bloqueado, y cuando lo necesites, abrirlo temporalmente.
Entonces haz algo más sencillo, que es no activar Javascript. Eso se puede configurar desde el propio programa.
El cortafuegos es global e intocable. Una configuración de usuario puede ser cambiada por un fallo de ese software privativo. Me parece más fiable. Ahora bien, date cuenta de que, en el correo inicial que puse, la solución está incompleta. No he conseguido hallar la combinación exacta para bloquearlo, os he dejado a vosotros hallarla...
En teoría, puedes cerrar el acceso en preferencias del adobe, pero (si no lo han cambiado) sólo afectan a la sesión actual, no es un cambio permanente.
No sé cómo será en el Acrobat Reader de Linux pero en la versión para windows, sí, es una opción global y permanente.
Pues no lo se. Si que recuerdo hace años ese problema se comentó, que los cambios en la configuración del acrobat para evitar que se conectase a internet no eran permanentes. http://lists.opensuse.org/opensuse-security/2005-07/msg00042.html anyways, disabling javascript is not a viable solution unless you don't mind that acroread asks you to enable it every time you quit acroread... Los usuarios pueden desactivarla incluso por accidente.
Por cierto, AA es mantenido ahora en Ubuntu >:-)
Anda... ¿puedes explicar eso? :-?
Lo ignoro. Sé que es un hecho, me he enterado de casualidad cuando han cambiado mi subscripción de la lista de correo del AA a otra hospedada en ubuntu. http://lists.opensuse.org/opensuse/2010-06/msg00279.html En ese hilo está lo poco que sé.
Claro, si tienes al flash (pe) metido en el AA, y el flash te lo petan e intenta escribir en el sudoers (pe) para tener acceso posterior, pues le va a decir que no. Eso si te lo va a proteger. Ahora bien, meter el flash en un perfil del AA es para nota... a ver como defines que directorios y ficheros puede leer, porque son arbitrarios.
Mira, eso sería una opción muy interesante para mantener al Flash Player a raya :-)
Si eres capaz de crearle un perfil...
El AA está pensado para proteger servicios que tienen un comportamiento definido y conocido, y bloquea los accesos no previstos (desconocidos). Es muy dificil hacer un perfil para una cosa como un editor.
Yo sólo espero que llegue el día en que Flash Player no sea más que un mal recuerdo de Internet. No conozco un programa que haya hecho tanto daño a los usuarios como ese plugin :-/
Hay un plugin para el FF que lo bloquea. - -- Cheers / Saludos, Carlos E. R. (from 11.2 x86_64 "Emerald" GM (Elessar)) -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.12 (GNU/Linux) Comment: Using GnuPG with SUSE - http://enigmail.mozdev.org/ iEYEARECAAYFAkwT2uMACgkQU92UU+smfQXYJQCdETWzgWw0za8PTk9Iy7irFaLm mJ8An2FO0+PmPo2RsJsbK251k847zmDo =tIWj -----END PGP SIGNATURE----- -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El Sat, 12 Jun 2010 21:07:15 +0200, Carlos E. R. escribió:
On 2010-06-12 16:23, Camaleón wrote:
Cada vez más empresas (también estatales) están utilizando los servicios de LiveCycle de Adobe para gestionar estas cosas. No digo todas, pero yo sí he tenido que rellenar algún formulario de ese tipo, que me pedía conexión a Internet.
¿A internet? Esas cosas solían ser en red local, ¿no?
http://en.wikipedia.org/wiki/Adobe_LiveCycle (...) Adobe positions LiveCycle ES2 as a platform to help with customer engagement by providing end users with more compelling experiences which can be extended outside the organization to customers, partners, and citizens. LiveCycle applications also function in both online or offline ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ environments. These capabilities are enabled through the use of Adobe Reader and the Flash Player clients that are found on the majority of desktop computers and mobile devices. ***
Entonces haz algo más sencillo, que es no activar Javascript. Eso se puede configurar desde el propio programa.
El cortafuegos es global e intocable. Una configuración de usuario puede ser cambiada por un fallo de ese software privativo. Me parece más fiable.
El cortafuegos puede ser global y más difícil de boicotear, correcto, pero tiene como contrapartida que es más complejo de administrar por lo que algunos usuarios lo tienen desactivado. En cambio, marcar una opción de configuración en un programa es sencillo de hacer y de administrar (on/off).
Ahora bien, date cuenta de que, en el correo inicial que puse, la solución está incompleta. No he conseguido hallar la combinación exacta para bloquearlo, os he dejado a vosotros hallarla...
Sí, lo leí.
No sé cómo será en el Acrobat Reader de Linux pero en la versión para windows, sí, es una opción global y permanente.
Pues no lo se. Si que recuerdo hace años ese problema se comentó, que los cambios en la configuración del acrobat para evitar que se conectase a internet no eran permanentes.
Si tienes el Acrobat Reader instalado, podrás probarlo y decirnos qué comportamiento tiene. Yo no lo tengo instalado en ninguno de los equipos con linux.
Por cierto, AA es mantenido ahora en Ubuntu >:-)
Anda... ¿puedes explicar eso? :-?
Lo ignoro. Sé que es un hecho, me he enterado de casualidad cuando han cambiado mi subscripción de la lista de correo del AA a otra hospedada en ubuntu.
http://lists.opensuse.org/opensuse/2010-06/msg00279.html
En ese hilo está lo poco que sé.
Ostras... esto es lo que comenta Marcus M. *** The last developer was laid off by Novell last year and has moved to Ubuntu in the meantime. They have kinda picked up the kernel development of Apparmor. *** Bueno, al menos el proyecto de AppArmor sigue vivo. (...)
Yo sólo espero que llegue el día en que Flash Player no sea más que un mal recuerdo de Internet. No conozco un programa que haya hecho tanto daño a los usuarios como ese plugin :-/
Hay un plugin para el FF que lo bloquea.
El problema con este plugin es que no puede vivir "ni con él ni sin él". Por algún extraño motivo las empresas lo siguen usando para sus proyectos en la web (y no me refiero sólo para vídeos), con lo cual obligan al usuario a tener que instalar el dichoso plugin. Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 On 2010-06-13 12:31, Camaleón wrote:
El Sat, 12 Jun 2010 21:07:15 +0200, Carlos E. R. escribió:
On 2010-06-12 16:23, Camaleón wrote:
Cada vez más empresas (también estatales) están utilizando los servicios de LiveCycle de Adobe para gestionar estas cosas. No digo todas, pero yo sí he tenido que rellenar algún formulario de ese tipo, que me pedía conexión a Internet.
¿A internet? Esas cosas solían ser en red local, ¿no?
http://en.wikipedia.org/wiki/Adobe_LiveCycle
(...)
Adobe positions LiveCycle ES2 as a platform to help with customer engagement by providing end users with more compelling experiences which can be extended outside the organization to customers, partners, and citizens. LiveCycle applications also function in both online or offline ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ environments. These capabilities are enabled through the use of Adobe Reader and the Flash Player clients that are found on the majority of desktop computers and mobile devices. ***
Vale, si eso lo entiendo. ¿Pero online es internet, o solo la red interna de la empresa? Lo digo porque yo he tenido que rellenar formularios de la administración que, si pides hora para que te lo rellenen "ellos" su adobe hace cosas que cuando yo me descargo el mismo formulario para rellenarlo en casa no hace. Y sin esas cosas rellenar el formulario se vuelve complicado, porque no te hace las cuentas. No conecta con el servidor de la administración, ese es interno.
Entonces haz algo más sencillo, que es no activar Javascript. Eso se puede configurar desde el propio programa.
El cortafuegos es global e intocable. Una configuración de usuario puede ser cambiada por un fallo de ese software privativo. Me parece más fiable.
El cortafuegos puede ser global y más difícil de boicotear, correcto, pero tiene como contrapartida que es más complejo de administrar por lo que algunos usuarios lo tienen desactivado.
Si, bueno...
En cambio, marcar una opción de configuración en un programa es sencillo de hacer y de administrar (on/off).
Vale, cierto. Bueno, si necesitas el scripting para algo pero no necesitas/quieres que conecte a internet, o quieres saber cuando lo intenta, pues a tocar el cortafuegos.
No sé cómo será en el Acrobat Reader de Linux pero en la versión para windows, sí, es una opción global y permanente.
Pues no lo se. Si que recuerdo hace años ese problema se comentó, que los cambios en la configuración del acrobat para evitar que se conectase a internet no eran permanentes.
Si tienes el Acrobat Reader instalado, podrás probarlo y decirnos qué comportamiento tiene. Yo no lo tengo instalado en ninguno de los equipos con linux.
Parece que permanece y no pregunta. Preguntará cuando pruebe con uno que tenga javascript, supongo. Aunque no me fio de que desaparezca un dia...
Por cierto, AA es mantenido ahora en Ubuntu >:-)
Anda... ¿puedes explicar eso? :-?
Lo ignoro. Sé que es un hecho, me he enterado de casualidad cuando han cambiado mi subscripción de la lista de correo del AA a otra hospedada en ubuntu.
http://lists.opensuse.org/opensuse/2010-06/msg00279.html
En ese hilo está lo poco que sé.
Ostras... esto es lo que comenta Marcus M.
*** The last developer was laid off by Novell last year and has moved to Ubuntu in the meantime. They have kinda picked up the kernel development of Apparmor. ***
Bueno, al menos el proyecto de AppArmor sigue vivo.
Si. Pero nadie aclara cual es el soporte que tendrá en el YaST, porque configurar el AA sin ayuda no es plato de mi gusto.
(...)
Yo sólo espero que llegue el día en que Flash Player no sea más que un mal recuerdo de Internet. No conozco un programa que haya hecho tanto daño a los usuarios como ese plugin :-/
Hay un plugin para el FF que lo bloquea.
El problema con este plugin es que no puede vivir "ni con él ni sin él".
¿El plugin de bloqueo, o el flash?
Por algún extraño motivo las empresas lo siguen usando para sus proyectos en la web (y no me refiero sólo para vídeos), con lo cual obligan al usuario a tener que instalar el dichoso plugin.
Si, el flash hace falta. - -- Cheers / Saludos, Carlos E. R. (from 11.2 x86_64 "Emerald" GM (Elessar)) -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.12 (GNU/Linux) Comment: Using GnuPG with SUSE - http://enigmail.mozdev.org/ iEYEARECAAYFAkwUvhYACgkQU92UU+smfQUeIQCgkeyb4r0atO5I1XGxXnI3B1J4 ZFkAn03dWOmJkNDKWp8takGhlyVg+eRH =LjTz -----END PGP SIGNATURE----- -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El Sun, 13 Jun 2010 13:16:38 +0200, Carlos E. R. escribió:
On 2010-06-13 12:31, Camaleón wrote:
Vale, si eso lo entiendo. ¿Pero online es internet, o solo la red interna de la empresa?
Internet. http://www.adobe.com/products/livecycle/forms/capabilities/
Lo digo porque yo he tenido que rellenar formularios de la administración que, si pides hora para que te lo rellenen "ellos" su adobe hace cosas que cuando yo me descargo el mismo formulario para rellenarlo en casa no hace. Y sin esas cosas rellenar el formulario se vuelve complicado, porque no te hace las cuentas. No conecta con el servidor de la administración, ese es interno.
"Esas cosas" que dices que hace su Acrobat pueden ser extensiones de LiveCycle que tiene el Acrobat Professional (o el Reader) y que no están disponibles para Linux. No lo sé, hay muchas extensiones de Acrobat Reader que no están disponibles para plataformas Linux (gestión de DRM, por ejemplo). http://www.adobe.com/products/livecycle/readerextensions/capabilities/
Hay un plugin para el FF que lo bloquea.
El problema con este plugin es que no puede vivir "ni con él ni sin él".
¿El plugin de bloqueo, o el flash?
El Flash, claro. Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 On 2010-06-13 13:33, Camaleón wrote:
El Sun, 13 Jun 2010 13:16:38 +0200, Carlos E. R. escribió:
Lo digo porque yo he tenido que rellenar formularios de la administración que, si pides hora para que te lo rellenen "ellos" su adobe hace cosas que cuando yo me descargo el mismo formulario para rellenarlo en casa no hace. Y sin esas cosas rellenar el formulario se vuelve complicado, porque no te hace las cuentas. No conecta con el servidor de la administración, ese es interno.
"Esas cosas" que dices que hace su Acrobat pueden ser extensiones de LiveCycle que tiene el Acrobat Professional (o el Reader) y que no están disponibles para Linux. No lo sé, hay muchas extensiones de Acrobat Reader que no están disponibles para plataformas Linux (gestión de DRM, por ejemplo).
http://www.adobe.com/products/livecycle/readerextensions/capabilities/
El "Author, update, and decode 2D barcoded forms" es una de las cosas que noté que no hacía. Pero me dió la impresión de que lo que no hacía era porque los de la administración tienen el servidor intranet, no para los administrados. - -- Cheers / Saludos, Carlos E. R. (from 11.2 x86_64 "Emerald" GM (Elessar)) -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.12 (GNU/Linux) Comment: Using GnuPG with SUSE - http://enigmail.mozdev.org/ iEYEARECAAYFAkwUxIsACgkQU92UU+smfQXKIACfZx1lR2P3K6idzX/sHdtrU2ff DWoAoId4xAqpv/1El0qlUFNfrL44bmE3 =+UiG -----END PGP SIGNATURE----- -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El Sun, 13 Jun 2010 13:44:11 +0200, Carlos E. R. escribió:
On 2010-06-13 13:33, Camaleón wrote:
"Esas cosas" que dices que hace su Acrobat pueden ser extensiones de LiveCycle que tiene el Acrobat Professional (o el Reader) y que no están disponibles para Linux. No lo sé, hay muchas extensiones de Acrobat Reader que no están disponibles para plataformas Linux (gestión de DRM, por ejemplo).
http://www.adobe.com/products/livecycle/readerextensions/capabilities/
El "Author, update, and decode 2D barcoded forms" es una de las cosas que noté que no hacía. Pero me dió la impresión de que lo que no hacía era porque los de la administración tienen el servidor intranet, no para los administrados.
Estás especulando. No sabes siquiera si los formularios de la administración usan LiveCycle como plataforma de administración. Lo que no es una especulación es que hay empresas que sí utilizan los servicios de comprobación y verificación en línea que proporciona LiveCycle y que por tanto necesitan que el cliente tenga conexión a Internet para poder validar los datos. Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 On 2010-06-13 16:02, Camaleón wrote:
El Sun, 13 Jun 2010 13:44:11 +0200, Carlos E. R. escribió:
On 2010-06-13 13:33, Camaleón wrote:
"Esas cosas" que dices que hace su Acrobat pueden ser extensiones de LiveCycle que tiene el Acrobat Professional (o el Reader) y que no están disponibles para Linux. No lo sé, hay muchas extensiones de Acrobat Reader que no están disponibles para plataformas Linux (gestión de DRM, por ejemplo).
http://www.adobe.com/products/livecycle/readerextensions/capabilities/
El "Author, update, and decode 2D barcoded forms" es una de las cosas que noté que no hacía. Pero me dió la impresión de que lo que no hacía era porque los de la administración tienen el servidor intranet, no para los administrados.
Estás especulando.
No sabes siquiera si los formularios de la administración usan LiveCycle como plataforma de administración.
Bueno, vale, no se si usan exactamente eso. Pero sí sé que usan códigos de puntos que no se generan si te descargas el PDF para hacerlo en casa, y que sí se generan si te lo hacen ellos. Y lo sé porque lo intenté y estuve buscando varios días porqué yo no conseguía generar los puntos.
Lo que no es una especulación es que hay empresas que sí utilizan los servicios de comprobación y verificación en línea que proporciona LiveCycle y que por tanto necesitan que el cliente tenga conexión a Internet para poder validar los datos.
Pero es precisamente lo que estoy preguntando, si eso funciona a través de internet o sólo dentro de una red interna. O para hacerlo vía internet necesitas una red privada virtual. - -- Cheers / Saludos, Carlos E. R. (from 11.2 x86_64 "Emerald" GM (Elessar)) -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.12 (GNU/Linux) Comment: Using GnuPG with SUSE - http://enigmail.mozdev.org/ iEYEARECAAYFAkwVMKoACgkQU92UU+smfQVXqgCbBdWWFG1zJblRkXBVIvtJHXtn dYgAnj8UHkufeXPpo1NVdnjm0e2IU2/F =AAcL -----END PGP SIGNATURE----- -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El Sun, 13 Jun 2010 21:25:30 +0200, Carlos E. R. escribió:
On 2010-06-13 16:02, Camaleón wrote:
Estás especulando.
No sabes siquiera si los formularios de la administración usan LiveCycle como plataforma de administración.
Bueno, vale, no se si usan exactamente eso. Pero sí sé que usan códigos de puntos que no se generan si te descargas el PDF para hacerlo en casa, y que sí se generan si te lo hacen ellos. Y lo sé porque lo intenté y estuve buscando varios días porqué yo no conseguía generar los puntos.
Sigues especulando. 1/ En primer lugar, en el caso de que ese formulario concreto de la administración estuviera gestionado bajo una plataforma de LiveCycle, es posible que te hiciera falta el Acrobat Reader para Windows con los complementos adecuados para poder rellenar ese formulario desde casa. El Acrobat Reader para linux no admite todas las funcionalidades del Reader para Windows. 2/ En segundo lugar, desconoces si ese formulario "concreto" está diseñado para que el usuario lo rellene desde su casa, directamente, y se valide en tiempo real. Por lo que he leído de la plataforma LiveCycle, permite controlar hasta el más mínimo detalle de la seguridad de los formularios PDF, restricciones de acceso, validación de los campos, verificación de firma... es decir, permite que el desarrollador de ese formulario tenga control *total* de lo que el cliente/usuario puede o no puede hacer y eso es algo que tampoco sabes. Es decir, pueden haberlo diseñado para que sólo sea posible validar el PDF desde los servidores de la administración, por seguridad.
Lo que no es una especulación es que hay empresas que sí utilizan los servicios de comprobación y verificación en línea que proporciona LiveCycle y que por tanto necesitan que el cliente tenga conexión a Internet para poder validar los datos.
Pero es precisamente lo que estoy preguntando, si eso funciona a través de internet o sólo dentro de una red interna. O para hacerlo vía internet necesitas una red privada virtual.
Me parece que ya te he dado documentación suficiente como para que sepas qué permite LiveCycle... pero supongo que es inútil que insista en ponerte algún enlace más o cualquier otro ejemplo ¿para qué? O no me crees, o no lees lo que mando, o no eres capaz de entenderlo, o no sé... Carlos, me temo que este va a ser el último correo tuyo al que responda porque sencillamente me cuesta muchísimo establecer un diálogo normal contigo. Cuando algo se te va de las manos, cuando no tienes razón, eres incapaz de reconocerlo y las conversaciones se vuelven muy largas... y muy extrañas :-( Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2010-06-13 a las 20:32 -0000, Camaleón escribió:
El Sun, 13 Jun 2010 21:25:30 +0200, Carlos E. R. escribió:
On 2010-06-13 16:02, Camaleón wrote:
Estás especulando.
No sabes siquiera si los formularios de la administración usan LiveCycle como plataforma de administración.
Bueno, vale, no se si usan exactamente eso. Pero sí sé que usan códigos de puntos que no se generan si te descargas el PDF para hacerlo en casa, y que sí se generan si te lo hacen ellos. Y lo sé porque lo intenté y estuve buscando varios días porqué yo no conseguía generar los puntos.
Sigues especulando.
Creo que no lees lo que escribo, sino lo que quieres leer. Yo no estoy afirmando que usen una cosa u otra. Afirmo simplemente que ciertas funcionalidades de esos PDFs, como los códigos de puntos, no me funcionan en casa, y en la administración sí funcionan. Y me dijeron que era así, no por error mio, sino porque no se puede. Arriba sabrán el motivo.
Lo que no es una especulación es que hay empresas que sí utilizan los servicios de comprobación y verificación en línea que proporciona LiveCycle y que por tanto necesitan que el cliente tenga conexión a Internet para poder validar los datos.
Pero es precisamente lo que estoy preguntando, si eso funciona a través de internet o sólo dentro de una red interna. O para hacerlo vía internet necesitas una red privada virtual.
Me parece que ya te he dado documentación suficiente como para que sepas qué permite LiveCycle... pero supongo que es inútil que insista en ponerte algún enlace más o cualquier otro ejemplo ¿para qué? O no me crees, o no lees lo que mando, o no eres capaz de entenderlo, o no sé...
No te entiendo.
Carlos, me temo que este va a ser el último correo tuyo al que responda porque sencillamente me cuesta muchísimo establecer un diálogo normal contigo. Cuando algo se te va de las manos, cuando no tienes razón, eres incapaz de reconocerlo y las conversaciones se vuelven muy largas... y muy extrañas :-(
Ahora eres tú la que necesita una tila. ¿Tan dificil te es entender que lo que para tí puede estar claro, para mí no lo está? Yo no entiendo claramente en esa documentación si ese chisme funciona a través de internet o no. Y te estoy preguntando que me lo aclares, simplemente. A lo mejor conoces de gente que lo use y sepa decirlo claramente, porque con el lenguaje de ese enlace yo no lo tengo seguro 100%. Seré idiota, pero por eso pregunto. Ya veo que te has cabreado y que no te da la gana responderme... que se le va a hacer. No te entiendo. Es un dialogo de besugos. Te empeñas en leer en mí cosas que no digo y llevarme la contraria, quizás para enfadarme... no se, tus razones tendrás. Yo no entiendo nada. :-/ - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux) iEYEARECAAYFAkwVXHUACgkQtTMYHG2NR9VKXgCeOGr1OaMErDPAYHYJbq7lA4+6 AqIAn2SyEBuhbEGhgIi8GcWlcZ6vkjeW =u8ko -----END PGP SIGNATURE-----
participants (4)
-
Angel Alvarez
-
Camaleón
-
Carlos E. R.
-
Carlos E. R.