Bitácora de Fernando Tricas en la EINA
Notas sobre actualidad relacionada con mis asignaturas

Fri, 27 Feb 2015

Research Report: "GitHub rankings and its impact on the local free software development community"

We are working on a paper about local developer comunities that can be found at GitHub:

Abstract:
Creating rankings might seem like a vain exercise in belly-button gazing, even more so for people so unlike that kind of things as programmers. However, in this paper we will try to prove how creating city (or province) based on rankings in Spain has led to all kinds of interesting effects, including increased productivity and community building.

It can be read at: GitHub rankings and its impact on the local free software development community.

You can raise issues, make suggestions, participate, fork it at GitHub ranking.

[13:34] | [research] | Enlace # | Google |

Thu, 26 Feb 2015

Hablando de libertad de expresión en Heraldo de Aragón y de privacidad en Aragón TV

Hace unos cuantos días salía un reportaje en el Heraldo de Aragón sobre sobre libertad de expresión a raíz del ataque a la revista satírica Charlie Hebdo.

Estuvimos hablando un rato con Elena Pérez sobre el tema y publicó algunas frases. Se puede ver un resumen en En el Heraldo de Aragón hablando de libertad y redes sociales.

También me llamaron del programa Objetivo de Aragón TV para hablar de privacidad e intimidad en las redes sociales. Se puede ver el programa completo en Objetivo Cap. 146..

También se pueden ver las frases que sacaron de mi participación en este vídeo:


[23:30] | [otros] | Enlace # | Google |

Mon, 26 Jan 2015

Repaso sobre algunos temas de seguridad web

El vídeo de la charla de Troy Hunt con ejemplos de problemas en aplicaciones web puede servirnos para repasar antes del examen.

"How I hacked my way to Norway" video

Habla de cifrado en los formularios, datos envíados, inyección de SQL... en un tono ameno y simpático y con demostraciones en directo.

Se puede leer también NDC 2014, Vikings, passwords and pineapples (and session videos) y ver la otra conferencia que impartió (un poco más teórica) en el marco de Norwegian Developers Conference 2014.

[18:01] | [Asignaturas/seguridad] | Enlace # | Google |

Thu, 15 Jan 2015

Fundamentos de gestión de cuentas

Defensa

Aunque sólo se trata de una hipotética conversación entre un desarrollador y el experto en seguridad Troy Hunt podemos leer en Introducing the "Secure Account Management Fundamentals" course on Pluralsight un resumen de bastantes de las cuestiones que hay que tener en cuenta a la hora de desarrollar o poner en funcionamiento un sistema de gestión de cuentas para nuestra aplicación web, algunas bastante sutiles.

Avisos, almacenamiento de las contraseñas, recuperación de las mismas, correos de registro, reputación, sesiones, bloqueo ante ataques, cambios,...

En clase solemos decir que parece más fácil de lo que realmente resulta ser al final.
Puede ser un buen recordatorio de las clases que dedicamos en su día a este tema.

Publicado originalmente en Fundamentos de gestión de cuentas.

[17:15] | [Asignaturas/seguridad] | Enlace # | Google |

Tue, 23 Dec 2014

Cuidado con la gestión de nombres

Dar un curso de desarrollo seguro (y de seguridad en general) es bastante 'agradecido' desde el punto de vista de encontrar ejemplos, porque la actualidad siempre nos trae sorpresas.

Estábamos hablando en clase sobre los problemas de los nombres y de tomar decisiones sobre ellos y justo aparece el fallo en git: Vulnerability announced: update your Git clients:
The vulnerability concerns Git and Git-compatible clients that access Git repositories in a case-insensitive or case-normalizing filesystem. An attacker can craft a malicious Git tree that will cause Git to overwrite its own .git/config file when cloning or checking out a repository, leading to arbitrary command execution in the client machine. Git clients running on OS X (HFS+) or any version of Microsoft Windows (NTFS, FAT) are exploitable through this vulnerability. Linux clients are not affected if they run in a case-sensitive filesystem.
La negrita la he puesto yo.

Se puede leer también el anuncio en la lista de desarrollo de git, [ANNOUNCE] Git v2.2.1 (and updates to older maintenance tracks) y Git 1.8.5.6, 1.9.5, 2.0.5, 2.1.4 and 2.2.1 and thanking friends in Mercurial land.

Si nos interesa ver el código, al menos a una parte, podemos echarle un vistazo a path: add is_ntfs_dotgit() helper, donde hablan de:
On NTFS (and FAT32), there exist so-called "short names" for backwards-compatibility: 8.3 compliant names that refer to the same files as their long names. As ".git" is not an 8.3 compliant name, a short name is generated automatically, typically "git~1"
Y también a: read-cache: optionally disallow HFS+ .git variants donde se ven las invocaciones a la función añadida y alguna cosa más.

[23:35] | [Asignaturas/seguridad] | Enlace # | Google |




Ir a mi página web
Enviarme correo: ftricas@unizar.es


Estadísticas de acceso a este sitio



Para recibir por correo electrónico las actualizaciones de esta página:

Email:
R-mail powered


Calendario
< February 2015
SuMoTuWeThFrSa
1 2 3 4 5 6 7
8 91011121314
15161718192021
22232425262728



Historias viejas
2015
2014
2013
2012
2011
2010
2009
2008
2007
2006
2005
2004



Categorías



Enlaces:

Esta página se gestiona con pyblosxom.

Made with PyBlosxom