Los que hemos trabajado en el sector de desarrollo de aplicaciones estamos acostumbrados a usar herramientas de bugtracking, plataformas que nos ayudan a registrar los errores que se detectan en las diferentes versiones de cada programa, así como a crear nuevas tareas que deben realizarse (nuevas funcionalidades, por ejemplo) y a definir el flujo de responsabilidades dentro del equipo de trabajo.
Mantis es una de las más conocidas en ese sector, una herramienta gratuita que lleva muchísimos años siendo uno de los líderes, presente en miles de empresas en todo el mundo para que no se escape nada, ni los errores detectados ni las tareas que cada uno está haciendo en cada momento (hablé de ella por primera vez aquí en WWWhatsnew en 2007, aunque llevo usándola personalmente desde mucho antes).
Hace un par de días os hablamos acerca del bug de iOS que permitía que cualquiera pudiese bloquear la aplicación Mensajes de un iPhone con la versión de iOS más reciente enviando una breve cadena de caracteres. A pesar de que Apple está trabajando en una actualización para evitar que suceda el error, la compañía ha actualizado su página de soporte indicando la mejor forma de solucionar el problema: mediante Siri, el asistente de voz virtual de la compañía.
Para ello, si eres uno de los afectados por el mensaje en cuestión, simplemente tendrás que pedirle a Siri que lea los mensajes nuevos. A continuación, podrás decirle que conteste al mensaje y, una vez hayas enviado una respuesta, podrás volver a acceder a la aplicación Mensajes sin ningún tipo de problema. De esta forma, será posible borrar la conversación completa o el mensaje que provoca el error. La solución oficial por parte de Apple es similar a la propuesta por muchos usuarios afectados por el fallo. De hecho, tal y como os comentamos en su momento, también es posible solucionar el problema enviando un nuevo mensaje al teléfono afectado, ya que el problema se produce cuando el mensaje en cuestión es el último recibido. Por otro lado, son muchos los usuarios que lo han solucionado accediendo a la conversación a través de la aplicación Mensajes para Mac, que no está afectada por el bug.
Sin duda, se trata de un fallo importante, ya que al recibir la cadena de caracteres en cuestión resulta imposible acceder a la aplicación Mensajes para borrarla. En cuanto a la actualización encargada de eliminar el bug, no debería de tardar mucho en estar disponible, aunque la compañía no ha indicado una fecha exacta.
Recientemente, un experto informático llamado Laxman Muthiyah ha descubierto una vulnerabilidad en Facebook que podría haber causado graves problemas a la compañía. Tal y como él mismo explica en su blog, descubrió el modo de borrar los álbumes de fotos de cualquier usuario en cuestión de minutos.
Para ello, únicamente era necesario emplear un pequeño fragmento de código que permitía borrar para siempre los álbumes de fotos del usuario deseado, algo posible debido a un error en la gestión de los permisos por parte de la API Facebook Graph, que no funcionaba correctamente. A pesar de ello, la vulnerabilidad contaba con una limitación, ya que únicamente era posible borrar los álbumes de los usuarios con cuentas públicas. Aun así, no por ello deja de tratarse de una vulnerabilidad de bastante gravedad, motivo por el cual es necesario destacar la buena fe del usuario que descubrió el bug. En lugar de explotarlo, no dudó en comunicarlo a través del programa de recompensas de Facebook, que tiene por objetivo premiar con recompensas económicas a los usuarios que descubren fallos en la red social.
Después de que Muthiyah reportase el fallo, Facebook le contestó a las dos horas confirmando que habían corregido el error y ofreciéndole 12.500 dólares a modo de recompensa económica por su aportación.
LastPass, el popular gestor de contraseñas compatible prácticamente con cualquier sistema operativo y plataforma existente, acaba de anunciar a través de de una entrada en su blog la existencia de algunas vulnerabilidades que afectarían a la seguridad del servicio. A pesar de ello, aseguran que no han sido explotadas ni han afectado de modo alguno a los usuarios, pero han creído necesario alertar a los mismos.
Tal y como explican en su blog, todo empezó cuando en agosto de 2013, Zhiwei Li, un investigador de seguridad, contactó con ellos con el fin de alertarles acerca de la existencia de algunas vulnerabilidades en su servicio. Concretamente, el problema se encontraba en los marcadores de LastPass (utilizados por menos del 1% de sus usuarios), así como en las contraseñas de un solo uso (OTPs). Al parecer, el problema podría haber sido explotado si el usuario hizo uso del marcador en un sitio web que conociese el fallo y estuviese preparado para aprovecharlo. Otra forma por la cual el fallo de seguridad podría haber sido explotado sería si el usuario accedió a un sitio web atacante mientras estaba conectado a su LastPass, habiendo permitido que el atacante utilizase los datos personales del usuario para crear una contraseña de un solo uso falsa. A pesar de ello, se trata de algo improbable, ya que es prácticamente imposible que se hayan dado todas estas condiciones con el fin de aprovechar el bug.
El equipo de LastPass asegura que no tiene constancia alguna de que nadie aparte de su equipo de investigadores haya tenido conocimiento del bug. A pesar de ello, si lo crees conveniente, puedes cambiar la contraseña del servicio o todas tus contraseñas almacenadas, aunque afirman que no es necesario en absoluto. Por supuesto, las vulnerabilidades ya han sido solucionadas.
¿Tienes un smartphone con Android instalado? Si es así y tu teléfono tiene menos de tres años, este podría estar enviando información acerca de todas las redes WiFi a las que te conectas, tal y como se ha descubierto gracias a una investigación de la Electronic Frontier Foundation (EFF).
Para llevar a cabo la investigación, se estudió el comportamiento de una función de Android conocida como «Preferred Network Offload (PNO)», que fue introducida con el lanzamiento del sistema operativo Honeycomb y permite la conexión automática a las redes WiFi conocidas. Gracias a este estudio, se ha descubierto que mientras el teléfono busca redes WiFi a las que poder conectarse, se encarga a la misma vez de enviar una lista con los nombres de todas las redes WiFi a las que nos hemos conectado. Debido a una vulnerabilidad en el sistema operativo, esta información es accesible por cualquiera con los conocimientos necesarios, lo cual, a pesar de que no se incluyan las contraseñas, puede suponer una grave invasión de la privacidad si los nombres de nuestras redes WiFi contienen nombres de ubicaciones reales o personas.
En Google ya han avisado de que trabajando con el fin de idear una solución para este problema en próximas actualizaciones, aunque por el momento puedes evitarlo de un modo sencillo. Únicamente tendrás que acceder a «Configuraciones avanzadas de WiFi» y desactivar la opción de «Mantener el WiFi encendido», lo que evitará que tu dispositivo no esté comprobando continuamente las redes WiFi disponibles cuando se encuentra en modo de suspensión.
Buena prueba de que no existen sistemas 100% seguros, como nada en la vida, la tenemos en un bug encontrado en la aplicación para Windows del gestor de contraseñas LastPass, servicio dedicado al almacenamiento de contraseñas en un servidor seguro para permitir a los usuarios identificarse automáticamente en aquellos sitios web donde estén registrados. El bug afecta únicamente a aquellos usuarios que usen la versión 1.0.20 del plugin de LastPass en equipos bajo Windows, afectando sólo al complemento para Internet Explorer, eliminándose los datos al cerrar sesión del propio navegador.
El bug permite mostrar algunas de las contraseñas de los propios usuarios, aunque para explotarlo, los atacantes deberían realizar un volcado de memoria, que se realizaría cuando los usuarios afectados intentan conectarse de un proceso a otro, permitiendo así al atacante tener acceso a las contraseñas utilizadas durante la última sesión de navegación, incluso si el navegador ya no hace registros con LastPass. Los atacantes también podrían aprovechar el acceso físico de los ordenadores afectados para explotar la vulnerabilidad.
Según un portavoz de la compañía:
Si se explota, las contraseñas almacenadas en LastPass eran accesibles al realizar un volcado de memoria del navegador (…) Si un usuario ha iniciado sesión en IE y en el complemento de LastPass descifraría así localmente sus datos, las contraseñas que se habían utilizado en esa sesión de navegación serían visibles en el volcado de memoria como resultado.
En este sentido, la misma compañía ya ha lanzado una actualización para solventar el problema, cumpliendo así con la privacidad y seguridad de los datos de los propios usuarios, como dijo el mismo portavoz a Mashable.
En cualquier caso, el alcance del problema hubiera sido mínimo, aunque el rápido ofrecimiento de una solución es un detalle muy a tener en cuenta para este tipo de situaciones. Además, los usuarios pueden seguir confiando en los servicios de gestión de contraseñas, ya que a juicio de LastPass, sigue siendo una vía más segura que confiar en la típica información de registro para acceder a las cuentas de usuarios en diferentes servicios.
Si eres uno de los usuarios afectados, puede descargarte la actualización desde este enlace.
HESK es un sistema gratuito, programado en php con mysql, que permite gestionar los tickets enviados por los clientes para poder tener organizadas todas las solicitaciones de nuevas funcionalidades o problemas detectados en nuestros productos o servicios.
La versión gratuita es completamente funcional, aunque incluye algunas referencias a hesk.com que pueden eliminarse comprando la versión «limpia» por poco menos de 40 dólares.
Entre sus características tenemos:
– Fácil administración, con posibilidad de tener más de un responsable por los tickets recibidos. – Ilimitadas categorías – Posibilidad de adjuntar archivos en los tickets – Sistema de anti-spam – Campos personalizados – Traducción sencilla a varios idiomas – Alertas por email …
Una buena forma de empezar con el pie derecho a establecer una relación de confianza con nuestros clientes.
A la hora de realizar un proyecto hay algo muy importante que muchas veces olvidamos: el hacer un correcto seguimiento de los errores.
Para ello lo mejor es usar alguna herramienta que nos ayude, y una de las mejores es Bugzilla. Esta herramienta web fue creada y usada por la fundación Mozilla y distribuida libremente en el año 1998. Por ello todos podemos descargarlo y usarlo para nuestro cometido, como ya lo hace la propia Mozilla.
Lo único que necesitamos para instalar el proyecto en nuestro servidor es tener un apache y mySQL como gestor de bases de datos, aunque también se puede adaptar para otros servidores HTTP e incluso otros gestores de bases de datos que cumplan las mismas características.
El sistema no solo registrará los errores, si no que se le podrán dar diferente prioridad, exponer recortes de código que pueden solucionar el problema, asignar los errores a un usuario determinado, notificárselo por correo, darle un tiempo máximo para solucionar la incidencia. Además la aplicación tiene una excelente estabilidad al ir ya por su versión 3.0.5 y una seguridad bastante aceptable.
Por último indicar que está bajo Licencia Pública Mozilla, la cual cumple con las reglas del código abierto y libre, pero además da la opción de que su software se pueda usar para proyectos de código cerrado.
A la hora de realizar un proyecto hay algo muy importante que muchas veces olvidamos: el hacer un correcto seguimiento de los errores.