Las ilusiones perdidas

Yo creo que el problema es que se ve al programador como simple intérprete entre la máquina y el usuario. El verdadero programador debería estar preparado con un conjunto de conocimientos tan vasto y sólido que harían de él un verdadero especialista en la rama de su desempeño.

Como programador, es cierto, que muchas veces obvio bastantes "recovecos" referentes a la seguridad, pero no toda la culpa es de los programadores. La implementacion de la seguridad, es algo que no siempre es trivial, y a veces es casi mas dificil que el codigo "ejecutable". Como consecuencia, el precio del programa o web final, sube bastante, pero el cliente SIEMPRE quiere abaratar costes hasta limites en ocasiones ridiculos... "Yo solo quiero que funcione. Dejese de historias"...

Tambien es cierto, que para implementar codigo seguro para tal o cual aplicacion o web, es necesario saber los entresijos de este o aquel lenguaje... El programador deberia estar "obligado" a estudiar estos entresijos antes de ponerse a escribir codigo. Y esas cosas, estan en INet. el programador que diga que no estaba enterado de las vulnerabilidades de cualquier cosa, es porque antes de ponerse a escribir, no ha buscado bien todo lo referente a esas vulnerabilidades.

"Lo barato cuesta caro"

La solución es sencilla: Diseñar un lenguaje de programación inherentemente seguro.

Por supuesto no es una tarea trivial, deberá hacerse en estrecha colaboración de programadores y expertos en seguridad.

Ni ahora ni nunca te has podido fiar de que la información que llega a un servidor desde una máquina remota sea de confianza. Ni tan siquiera puedes fiarte de que tu propia aplicación te retorne información correcta.

Recuerdo que en los buenos tiempos de MS-DOS había programillas que vigilaban la memoria para encontrar dónde guardaba un juego el número de vidas, la puntuación e informaciones similares.

Game trainers are programs made to modify behaviour of a computer game, usually using addresses and values, in order to allow cheating[10]. It can "freeze" a memory address disallowing the game from lowering or changing the information stored at that memory address i.e. health meter. It simply manipulates the data at the memory addresses specified to suit the needs of the person cheating at the game. These methods of cheating are often less reliable than cheat codes included into a game by its creators; certain programming styles or quirks of internal game logic, different release versions of a game, or even using the same game at different times or on different hardware, may result in different memory usage and hence the trainer program might have no effect, or stop the game from running altogether.
Cheating (video games)

Esta frase es más real que la vida misma:

los libros sobre programación no suelen contemplar la seguridad, y los libros sobre seguridad no suelen contemplar la programación.

En realidad, se está tratando comunmente la programación y la seguridad de formas totalmente separadas, cuando en realidad la mejor programación es la que además de agregar funcionalidades no abre nuevas brechas.

Para programar bien, lo que hay que empezar es por aprenderse una serie de buenas costumbres (o buenas prácticas) y mantenerlas siempre que sea posible. Ser capaz de saber cuando una funcionalidad por diseño estará abriendo una nueva brecha... etcétera.

En definitiva, si se quiere programar y no empezar a abrir "boquetes" en los programas, hay que tener una visión muy global de todo el producto y todo aquello que lo rodea. Y además hay que ser bastante especialista con lo que se está tocando.

Porque en realidad, aquello de programar puede programar cualquiera (cito textualmente) es bastante falso. Al final a los empresarios que piensan así terminarán pasándoles factura, entre los SQL-Injects, las ejecuciones de código arbritrarias y demás cosas que sus empleados no llegan a considerar nunca... porque programar puede programar cualquiera.