Carlos E. R. escribió:
El 2005-06-21 a las 11:19 +0200, aux escribió:
# Bueno yo creo que si existen SSOO (y proyectos en general) mas seguros que otros, o almenos mas probados y mas auditados. Tienes varios ejemplos de proyectos. Un claro ejemplo es OpenBSD (www.openbsd.org) un Un*x BSD orientado a la seguridad (Only one remote hole in the default install, in more than 8 years), otro ejemplo cercano es Qmail que se ha programado pensando en la seguridad. En este ultimo caso por ejemplo su creador en 1997 ofreció 500$ a quien descubriera alguna vulnerabilidad (aun está esperando).
Pero eso es relativo. El programa será seguro, pero el usuario puede meter la pata. SuSE, que usa qmail precisamente para la lista (pero no para lo demás) metió una vez la gamba y se convirtió en un coladero. Le metieron la IP en las listas negras unos dias por culpa de la gambada.
La seguridad debe ser algo redundante. Un proceso que es seguro cuando falla debe darse una circustancia de fallos concurrentes. Esto es el error de una máquina, o de una persona no deben desencadenar el fallo. Si uno da una orden de formatear el disco duro debe advertirle la máquina de las consecuencias y preguntarle si está seguro de ello. El concepto de seguridad que se basa en el "no error" del operador es algo que está desechado hace un par de décadas -y en paises más avanzados hasta tres o cuatro décadas-. Si yo diseño un proceso y se produce un accidente no puedo decirle a mis superiores que es que falló el ordenador o falló una válvula de seguridad... porque me ponen directamente en la calle y si alguna persona sufre daños me pueden meter en el trullo. Tengo que explicarle que fallaron varias cosas a la vez por lo menos si quiero salvar el pellejo.