Programación

Como es sabido, el NIST tiene en marcha un concurso para seleccionar el algoritmo que se utilizará para SHA-3.

Pues bien; una primera aproximación con la herramienta de análisis de código de Fortify ya ha detectado varios bugs en las implementaciones de algunos de los algoritmos candidatos.

Entre los más destacables, varios desbordamientos de buffer en el MD6 de Ron Rivest y su equipo.

Dr. Dobb's publica un interesante artículo en tres partes que detalla un método para crear y verificar firmas digitales en los formularios web, garantizando de ese modo tanto la identidad electrónica del autor como la integridad de los datos transmitidos.

El método combina el uso de Javascript en el cliente (uhm?) con el de PHP en el servidor (aah!).

Aunque el artículo está escrito en inglés, los autores son Rafael Palacios y David de la Fuente, de la Universidad Pontificia de Comillas.

KeyCzar es un proyecto open source (licencia Apache 2.0) surgido del equipo de seguridad de Google, que intenta proporcionar al programador un "toolkit" que le permita implementar criptografía segura de forma rápida y sencilla.

De momento sólo dispone de implementaciones en Java y Python, con C++ en proyecto.

Los ejemplos disponibles en su página web son un perfecto ejemplo de cómo KeyCzar puede simplificar las cosas, pero también está disponible un documento más detallado.

Breaking the Bank es un interesante documento que reúne consejos básicos muy útiles para los programadores de aplicaciones financieras a la hora de manejar números mediante diversos lenguajes de programación.

En general, el documento persigue obtener la máxima exactitud a la hora de realizar y procesar cálculos numéricos y para ello llama la atención sobre la posibilidad de generar vulnerabilidades, unas muy obvias y otras no tanto, al manejar de forma inocente o descuidada las diversas APIs.

El documento incluye abundantes ejemplos con código fuente de fácil comprensión y desvela los desastres que pueden fácilmente generarse con tan sólo elegir un tipo inadecuado de datos o realizar una conversión desafortunada entre los diferentes tipos.

Interesante para cualquier programador. Imprescindible para aquellos cuyos programas manejen "dineros".