Estas aquiContenido / Carta abierta al señor Zalewski
Carta abierta al señor Zalewski
Estimado Sr. Zalewski (conste que "estimado" es sólo de forma):
Me dirijo a usted con el único fin de solicitarle sea tan amable de desarrollar los parches correspondientes a las vulnerabilidades halladas en Mozilla Firefox en base a sus sapientes investigaciones.
De lo contrario me inclino a pensar que su trabajo ha sido totalmente destructivo y meramente publicitario, un simple ejercicio de alimentación del ego y del super ego.
Esta conclusión, excesivamente personal y para nada apresurada, a la que he llegado después de leer y releer sus artículos en los que expone sus razones, totalmente justificadas según mi limitado entender, para eludir procedimientos y reglas impuestas de forma unilateral y totalmente arbitrarias por corporaciones con tendencias monopólicas y hegemónicas, de ninguna manera son aplicables a un desarrollo Open Source, de código libre y abierto a la buena voluntad de aquellos que deseen modificarlo en búsqueda de la excelencia o, cuanto menos, en pos de mejorar su funcionalidad y extremar las medidas de seguridad para tranquilidad de los usuarios amantes de la libertad y la gratuidad obtenidas como único pago a su desinteresado esfuerzo...
Si Ud. no hiciera lo sugerido por el abajo firmante, estaríamos presenciando el nacimiento de una nueva era en las ciencias, donde la tendencia investigadora estaría dirigida a demostrar como se destruye, se enferma, o se inutiliza, no sólo un desarrollo informático sino (y por qué no con tanto loco suelto), un ser vivo, una cosecha completa o la cerradura de la puerta del vecino, y sabido es que mucho más fácil es destruir que construir. Pero como esto no es biología donde la sumatoria de pares puede dar nones, así como usted analizó el código fuente para hacerlo estallar, haga lo mismo pero a la inversa, y no me diga que no puede ya que bajo ningún aspecto su argumento será creíble, recién entonces publique su hazaña, nunca antes, porque usted señor Zalewski no ignora que ahora, en este mismo momento, un ejército de idiotas desocupados está copiando el código de sus torpedos para inundar esta saturada red, más parecida a un campo minado que a un crucero de placer, la misma que a usted le sirve de teatro de operaciones e investigación, y reitero, por qué no de promoción, dicho esto con el mayor de los respetos y sin intención peyorativa alguna, conste.
En cambio si una vez demostrada la falla, usted publica la receta del antídoto, el reconocimiento público, quizás, llegaría hasta el mismo bronce.
Lo saluda atentamente, sin la mínima esperanza de recibir respuesta alguna de su parte, un simple observador y crítico de actitudes humanas insensatas.
Víctor Hugo
Comienzo diciendo que puedo haber malinterpretado la carta y por tanto todo lo que va a seguir estar tremendamente desencaminado de forma que, si ese fuera el caso, podrá ignorarse el comentario como la resultante del desentendimiento.
Dicho esto, debo decir que semejante reflexión cansa e irrita por incorrecta. En primer lugar por que exige soluciones y desacredita el trabajo realizado.
Sea o no sea encontrar una vulnerabilidad una forma de alimentar el ego propio (ejercicio que encuentro placentero en tanto en cuanto sea resultado de los meritos própios) no deja de ser loable el mero hecho de encontrarla y el hecho de encontrarla no implica la necesidad de corregirla. Si el programa o programas vulnerables no fueron programados por Zalewski ¿que derecho puede tener nadie a exigirle correcciones? ¿que derecho tiene nadie a exigir que alguien que vió que ahí había algo mal y demostró que efectivamente estaba mal solucione el problema? ¿Acaso cuando la teoría de gravitación enunciada por Newton comenzó a discrepar de las observaciones más detalladas le pedimos al observador que corrigiera dicha teoría de la gravedad?
El mero hecho de encontrar una vulnerabilidad es un servicio, no podemos ni debemos exigir nada más, aunque el anuncio se haga con la mayor de las soberbias. Es más, y dado que en Kripopolis hay mucho seguidor del software libre es contradictorio pedir que solo se publique la vulnerabilidad cuando ya se conoce la solución o el parche, conocida la vulnerabilidad más gente puede trabajar en ella y corregirla, aunando esfuerzos o no, y si fuera yo, me sentiría satisfecho solo con darla a conocer.
Por último me permito responder a la frase "y no me diga que no puede ya que bajo ningún aspecto su argumento será creíble. Es que quizá no quiera, ¿o es que pensamos que desarrollar software es gratis? ¿o es que corregir bugs es tan sencillo que se hace con los ojos cerrados? Quizá le resulte más divertido encontrar vulnerabilidades que corregirlas por lo que realiza lo primero de forma gratuíta (y lo da a conocer que es lo más importante) mientras que lo segundo no. Si esta usted interesado de verdad en que lo corrija, paguelo, paguelo bien, si la oferta es suficientemente alta estoy convencido de que corregirá ese fallo y los que sean necesarios. Estoy cansado de que la gente confunda software libre con software sin esfuerzo o con trabajo grátis. Muchos programadores disfrutamos programando pero disfrutamos mucho más programando unas cosas que otras, así que por favor, no vengan a dictarnos que debemos programar en nuestro tiempo libre, ni hacia donde encaminar nuestras aficiones.
a todos aquellos que, quizás, han malinterpretado mi mensaje al Sr. Zalewski. Lo único que pido -y sólo porque a mí me lo han pedido indirecta o implícitamente- es honestidad en las respuestas aunque no les den los "ánimos" para hacerlas públicas aquí.
¿Firefox se anuncia como un producto propietario, corporativo y comercial o de código abierto y libre?
¿Alguien ha pagado algo por bajarse, instalar y utilizar Firefox?
¿Alguien ha pagado un sólo dólar por las útiles extensiones y plugins que mejoran al navegador o les han exigido algo a cambio?
(Por favor no contestar apelando al "anillo de Moebius", con que "era la obligación de Mozilla..." ya que dichas mejoras están firmadas por gente tan común como nosotros y de las que, estoy seguro, nadie recuerda su nombre).
¿Alguien ha extraído el código fuente de los "torpedos" de Zalewski y los ha analizado, más o menos, profundamente?
Y por último: ¿alguien usa Linux sólo porque es gratis y no cuesta 199 dólares la licencia?
Demos a cada cosa su lugar y valor, no nos quedemos en la superficie de los anuncios, analicemos cuál es la intención de cada frase que intenta convencernos de que "esto" es mejor que "aquello", y sepamos distinguir, según nuestro propio criterio y conocimiento, entre la más pura intención figurativa y publicitaria, y aquélla genuina que, honestamente, pretende ayudar.
Muchos de los que aquí, de una u otra manera, arrimamos nuestro ínfimo grano de arena para sobrevivir medianamente seguros en este mundo informático cada vez más contaminado, lo hacemos por puro altruísmo, y nadie osaría cometer el despropósito de exigir a JMG una moneda por ello.
Y muchos de nosotros estamos en condiciones de producir los fallos que se nos ocurra en los programas que se nos cante si praticáramos el perverso deporte al que parece tan afecto el Sr. Zalewski, a quien no he negado el beneficio de la duda -no soy soberbio ni tan imbécil como para creerme el dueño de "la verdad"- pero me molesta, soberanamente, que se manden mensajes cambiados, que se tire la piedra y se esconda la mano, y como si fuera poco lo logrado, ya se haya hecho de un "club de fans" que aplaude su violencia anticorporativa sin percatarse que sus "torpedos" han sobrepasado la zona de "exclusión" para estallar en, y destruir a, lo que a muchos beneficia.
¿El Sr. Zalewski ha pasado factura por su "esfuerzo" según "¿o es que pensamos que desarrollar software es gratis?", o el cheque aún está pendiente de cobro?
Y por si no quedó suficientemente claro: la informática no es biología, sus "células" son simples líneas escritas e imaginadas por el hombre, y en este particular caso, más simple que ningun otro, su código es abierto y por lo tanto más vulnerable. No ha sido una gran hazaña, de ninguna manera, pero sí un acertado método publicitario.
Cómo se extraña la ética de Don Cuartango, como se extraña...
Víctor Hugo
PD: Sugiero enfáticamente la lectura de http://www.mozilla-europe.org/es/about/, servirá de ayuda para conocer las verdaderas intenciones de los fundadores de Mozilla, y sólo el tiempo nos dirá cuales son los porcentajes de verdad y de fines comerciales ocultos, si los hubiera, contenidos en dicha declaración.
Víctor Hugo
La pregunta no es esa sino, ¿cuantos seguirian usando Linux si costase 199 dolares la licencia?
Uy, y yo que pensaba que probar software era realmente complicado. Sin ironias, es bastante mas dificil que programar, y bastante mas frustrante. ¿Perverso deporte? Te invito Victor, a que nos demuestres lo facil que es descubriendo tu otras 3 vulnerabilidades de Firefox.
Bueno, insinuar que informatica=programacion (eso das a entender) me parece poco adecuado, y en el mismo parrafo hablar de la programacion como no mas que "simples lineas escritas e imaginadas por el hombre" ... ¿Son las matematicas "simples abstracciones"?.
Una vez mas te invito a demostrar como lo haces tu.
anv, no se si te refieres a este caso en concreto porque sinceramente no me he parado a ver las vulnerabilidades, pero en general encontrar un error no hace obvia su causa, ni por asomo vamos.
el saber nos hace libres
el saber nos hace libres
Mi querido Victor Hugo:
Compartiendo el tono general de tu escrito y admitiendo de entrada que tu conocimiento profesional de estas cosas es muy superior al mío, lo cual presupone una cantidad de respeto suficiente, me gustaría que reflexionaras sobre algo tan sencillo como la frase "El que escupe al cielo la saliva le cae en la cara".
Creo que es lo que les pasa a la gente de Mozilla. Sin discutir si su producto es mejor o peor que otros en "la escena" (omito deliberadamente la palabra "mercado"), lo que no se puede es ir por la vida con el rollo de "somos la alternativa, lo que vale es lo nuestro...." y cosas así.
Porque luego viene cualquiera, y te da un soplamocos que te deja tieso..."¿No eras el mejor, no eras la alternativa?...pues ahora jódete y baila"
Y es lo que ha pasado con los Torpedos esos.
No creo que el fulano ese tenga por qué decir cual es la solución a la avería, aunque claro que sería mejor que lo hiciera, con mostrarla ya ha hecho suficiente.
Creo que lo que hay que hacer es tener un poco más de humildad cuando se desarrolla un producto; Ya he comentado esta linea de pensamiento en este foro anteriormente.
Y por lo que veo, sigue lloviendo sobre mojado.
Espero que no te tomes a mal mis palabras. No están escritas en ese tenor.
Un abrazo
tú me conoces casi tanto como JMG y sabes que no cometería una torpeza a conciencia y dispararía un debate por el sólo hecho de llenar espacio, pero el Sr. Zalewski me ha sacado de las casillas con sus "torpedos".
Para que quede aún más claro mi pensamiento e intención declaro que: cuando me refiero a Mozilla/Firefox, no apunto a la fundación que lo desarrolla, sino a nosotros mismos, los buscadores de la libertad perdida. Al fin y al cabo, sea la fundación o futura empresa (no hay caso, no puedo con mi genio y siempre un resabio de desconfianza se desliza en mis escritos, es genético), la beneficiaria de nuestros esfuerzos conjuntos o individuales, por ahora creo en su "declaración de principios" desde el mismo momento en que en el desarrollo de Fire trabajan amigos míos y ex compañeros de la universidad, aquí en la Argentina y en Europa.
No obstante, guardo cautelosa reserva sobre los fines últimos de la fundación, y no me sorprendería en absoluto que cualquier día encontremos que el sitio se ha trasladado al dominio .com y su nombre a Mozilla Corp., pero por ahora es "nuestra" y libre. Por lo tanto, y haciendo abstracción total sobre el punto comercial, considero que atacar un código abierto y bloquear su producto no conlleva mérito alguno ni representa ninguna hazaña digna de admiración.
Para tí no, pero sí para aquellos que confunden gordura con hinchazón, fue mi "explicación explicada", ya que parece que en nuestros tiempos basta con leer los títulos y copetes para darse por informado, ni idea de lo que leerán de los mamotretos universitarios que tuvimos que tragar en nuestros tiempos de estudiantes, y que seguimos tragando para no perder el tren del "estado del arte".
Entonces, para que no quede duda alguna sobre mi "chuceada"* al Sr. Zalewski, que de seguro ni se dará por enterado de su existencia porque debe estar demasiado ocupado ahora con Opera, y mañana quien sabe con qué otro programa que le ofrezca suficiente promoción, le respondo a los que opinaron que "bastante había hecho con encontrar los fallos".
Mis estimados co-usuarios de Kripto: para encontrar una falla en el código de una aplicación/programa/navegador (lo que sea correcto y corresponda), hay que leerlo línea por línea, hasta llegar a la errónea -si existiera- después fabricar el "torpedo" y confirmar si se trata de una falla o un error de interpretación del "torpedero" en la lectura del código.
Llegado a ese punto, si estalla el objetivo al recibir el impacto, por esa sóla y única acción tenemos a la mano, por simple lógica, ambas cosas: la falla y el parche, ya que conociendo el motivo del error no nos es ajena su reparación. En otras palabras, tanto cuesta encontrar la falla como muy poco su correción. Publicar únicamente el error es un acto de egoísmo supino si se considera parte del ejército "libertador" ("te aviso que te has quedado si parque, pero no esperes que te dé alguno de mis cargadores").
Ahora si el torpedero espera retribución alguna por ello en un desarrollo "comunitario" y de código abierto, tengo derecho a pensar y sospechar que todo "su esfuerzo" estaba "orientado a objetos", objetos pecuniarios y ajenos al bien común.
Un abrazo Borinquín, y espero que los emprendimientos matrimoniales vayan viento en popa, discúlpame por no visitarlos, un accidente me tuvo fuera de juego durante algún tiempo, pero como podrás ver, he vuelto a la carga.
Víctor Hugo
*"chuceada": golpe más o menos mortal que aplicaban nuestros extintos indígenas con una especie de lanza a la que ataban un cuchillo, o afilaban su punta en bisel, y cuyo nombre común es "chuza". Úsase también en la actualidad, vulgarmente, como sinónimo de reto o provocación.
Víctor Hugo
Entonces me pregunto como se las arreglara el amigo para encontrar fallos en IE y Opera, ¿sera que las respectivas compañias le han cedido el codigo para que se lo revise?
Parece que desconocemos lo que son por ejemplo las pruebas de caja negra. Permiten encontrar fallos en aplicaciones sin disponer de una sola linea de codigo, y obviamente, encontrar un fallo y encontrar su causa son dos cosas que aunque al parecer todo el mundo crea que van juntas, se odian.
el saber nos hace libres
el saber nos hace libres
Hola Victor
El problema es cuando quieres jugar en las "Ligas Mayores".
Quizas exagerando los términos, hay que ver como empezó todo..."rebelión contra el sistema y tal y tal..."
La cosa fue creciendo algo incontroladamente hasta que, de algún modo, se quiso COMPETIR en igualdad de terminos con los "profesionales".
Y cuando se hace eso hay que ir armado con algo más que ilusión y tal y tal.
Hay que ser competente, porque salen escorpiones de las piedras y te pican.
Es lo que ha pasado.
...ahora resulta que el hombre tiene que arreglar los fallos de los programadores de Firefox sólo porque es mejor que ellos (eso parece) buscando vulnerabilidades.
1) Probar software es muy complicado (hacerlo bien, claro), más que programar además (aquí no se aplica tan a la ligera eso de que es más fácil destruir que construir), y desde luego no implica saber hacer esto último.
2) Encontrar un error y saber cual es su causa son cosas bastante distintas y no tienen porque ir de la mano. ¿O cuando se te estropea la lavadora sabes automáticamente por qué? Desde luego supongo que Zalewski no tiene ninguna gana de depurar buscando la causa de los fallos, yo tampoco la tendría, no es nada agradable.
3) Aunque este señor supiera programar nadie le paga por arreglar los bugs, por lo tanto lo hará si le dá la gana, ya bastante hace publicandolos. En vez de criticarlo habría que ser un poco más humilde, y la próxima vez que salgan bugs para otro navegador a ver si los firefoxeros no se echan encima a criticar a sus programadores, antes de arreglar los problemas del mundo empieza por arreglar los que tienes en casa.
4) Firefox es software libre, por lo tanto puede parchearlo cualquiera, bueno, ¿tú no eras programador Victor Hugo? ¿Cojes la indirecta? Lo mismo para el resto, ¿cuando se hace una colecta para pagar a alguien que parchee las vulnerabilidades? Alguno estará pensando... ¿Software Libre? ¿Pagar?
5) La verdad yo ya estoy bastante harto de que la gente crea que los informáticos comemos del aire. Y de los amantes del software libre que, o bien son programadores y no aportan nada, o bien no donan un duro a ningún proyecto. Llenarse la boca de elogios al S.L. está muy bien, pero el estómago de los desarrolladores no se llena a base de piropos, cada vez estoy más convencido que si hubiese que pagar por cualquier distribución GNU/Linux u otras aplicaciones como Firefox su "cuota de mercado" pasaría de pequeña a ridícula.
el saber nos hace libres
el saber nos hace libres
Yo creo que si, que puede ser bueno que publique su torpedo y no su solucion, pues puede incentivar a otros muchos a buscar el error y mejorar el software.
Puede parecer absurdo pero es cierto, si no dices donde esta el problema, habra que cavar mas hondo para encontrarlo;
¿Quien sabe cuantos tesoros podran encontrar?
Groucho, la broma ha terminado.
La lástima es que quien ya se tomó el trabajo (dificil por cierto) encontró el problema, no aprovechara que ya tenía el error justo debajo del cursor a corregirlo y aportar algo más a la comunidad.
Admito que ya el hecho de haber encontrado el error es un aporte muy importane y útil, pero no aportar la solución, siendo que es algo casi obvio una vez que se encontró el error, es... como dicen... "una putada" para los desarrolladores, que ahora tendrán que volver a trabajar buscando los problemas.
Alejandro Nestor Vargas
Alejandro Nestor Vargas