-Para ser informático eres muy agresivo.
-¿A que te Ctrl+V una hostia?

Pues sin dudarlo, por mi mañana mismo.

Totalmente de acuerdo (y se vería mi código)

No sucederá, hay mucha corrupción y muchas chapuzas en juego.

También sería importante exigir API first, y para que cuando la administración haya una interfaz de usuario lamentable, al menos "la comunidad" pueda hacer una interfaz decente utilizando la API.

Codigo publico?
Que quereis ver un cagarro lleno de parches con el usuario y la contraseña a pelo escrita en todas partes?
Aun cuando estuviera bien escrito hay riesgo de que alguien vea agujeros de seguridad y los usara. Que ojo, defiendo que se haga publico pero siendo quienes lo hacen siempre (indra y compañia) es imposible. Daria una verguenza de tal nivel..

#4
Que a su vez la interfaz seria un cagarro llena de fallos de seguridad.

Me parece una iniciativa excelente, aplicable a todo el resto de la administración. Gasto público, transparencia absoluta hasta el último euro.

#5 Holi, yo he trabajado en Hacienda y ni estaba por Indra o similares y no había contraseñas por ningún lado en el código, aunque también supongo que no en todos los departamentos/proyectos trabajan igual, recuerdo que la gente con la que trabajé eran unos profesionales indudables.

#5 Aun cuando estuviera bien escrito hay riesgo de que alguien vea agujeros de seguridad y los usara.

La seguridad por obscuridad es un modelo fracasado.

El software de código libre ha puesto eso en evidencia desde hace ya muchas décadas.

#5 No está demás que, si es algo progresivo y no de golpe pero respaldado por una ley, al hacerlo público obligará a mejorar cosas en la calidad del propio software (que todos sabemos).

A ver si a pasitos se acaban prácticas de mierda con cárnicas que venden softwares de mierda a precio de oro a las administraciones, que pagamos bien todos y sufrimos todos (mal rendimiento o funcionalidad, etc).

Aparte, el negocio suele estar no en el "primer pliego" y saco de pasta que se llevan, si no en el mantenimiento a futuro ("cambiame esto, ahora hay que cambiar esta necesidad etc"). Dependencia que saben y aprovechan cobrando a precio de oro.

Y ojo que al final el programador de turno enmarronao y con presión ve como venden un pliegazo de 1.000.000 de euros y el cobra 1.000 por 12 horas.

#8
"holi" sabes de sobra que la mayoria de historias que hacen para el estado empresas tipo indra lo que ha pasado y como se han hecho. De lo ultimo fue aquello de que se filtraron datos de gente que se le cito para las vacunas del covid.
Si el codigo fuera publico no te digo nada.
Me viene a la cabeza la web de renfe tambien, webs de sanidad que seguro que gestionan otras empresas , la web del paro que la consultora que la gestionaba le colaron un ransomware y estuvo semanas cerrada (la gente no podia cobrar el paro), el buzon de denuncias de la seguridad social, tambien por ransomware.

#11 Okay, me estás dando como ejemplo 1 proyecto, ¿podrías decirme cuántos se están ejecutando en este momento en las administraciones públicas?.

*Edit, que sí, han salido proyectos chuscos, pero que conozco gente externa y funcionarios de informática, todos unos profesionales que se parten el lomo por sus sistemas y no veo lo que cuentas, la administración es mucho más grande que lo que ves en unos titulares de vez en cuando.

#10
Bueno, venderlo por fases como hacen todas y forrarse.

#12
Te he puesto varios, he editado el mensaje.

#14 Igualmente

¿Y que se sepa que las consultoras nos están cobrando millones por un software mediocre que vale 100 veces menos de lo que le cuesta a las arcas públicas?

Podemos esperar sentados.

#12
Si no digo que no, no se porque te das por aludido.
Pero en rasgos generales es una puta mierda.

#16
Esa es otra. muchas se bajan algo de licencia libre de internet, le ponen la pegatina y lo venden como algo propio por una pasta.

#17 Al revés, a rasgos generales está bien.
Me doy por aludido porque como te digo, he trabajado ahí, ahí hay código que he escrito yo.

Imposible, no lo verán tus ojos.

La calidad del software público es demasiado mala como para ser presentable, es exponer unas vergüenzas que no se quieren exponer.

EDIT: Además de exponer vulnerabilidades, que existen esperando a que alguien NO las encuentre.

#4 Bueno lo de API First... a ver, no todos los datos y flujos de datos pueden disponibilizarse así como así. Pero bueno, en muchos casos desde luego que sí, sobre todo aquellos dedicados al a transparencia.

#1 dice mi compañera de trabajo que... "a que te Ctrl+x los huevos"

#14 He trabajado en un departamento pequeño de Indra, antes se llamaba geoespacial. Solo en ese departamento se desarrollaban al año mas de 50 proyectos de todo tamaño... En teoría los técnicos hemos estudiado estadística.

#20 Hay un montón de proyectos Open Source en las AAPP

#20 Sí es posible, y no sólo eso sino que es necesario. ¿Que hay vergüenzas o agujeros de seguridad? No pasa nada, se rehace por informáticos contratados por el mismo servicio público y listos.

Edito: Código para ciertas administraciones es bueno que sea público. Es el trabajo de cara al futuro en la transparencia digital.

#4 Sí. Es más importante la existencia de API públicas, documentadas y de cumplimiento obligatorio que el código.

#18 Son cosas que pasan cuando llenas los proyectos de juniors, becarios y chavales en prácticas que no tienen nivel para hacer desarrollos completos, así que a veces no les queda otra que tirar de soluciones ya creadas, modificarlas y encajarlas como buenamente pueden.

Al final, el desarrollo es un frankenstein lleno de bugs y fallos de seguridad por todas partes, difícil de testear, difícil de mantener y que, a la larga, hay que deshechar y rehacer de nuevo, a ser posible por la misma consultora y por otra morterada de millones, que las cuentas corrientes de sus propietarios no se llenan solas.

#6 sin duda. Por eso es importante que sea de código abierto, para poder hacer PRs con fixes

#5 Pues sería una buena manera de controlar la calidad del código y descubrir y aun mejor probar que los contratos y el dinero desembolsado para el trabajo es excesivo.
¡Qué mejor manera de exponer las empresas que mencionas!

#FreeAssange

#5 si no tienes ni idea, mejor calla.

#5 Qué chorradas cuentas. ¿Crees que por no enseñar el código va a ser más seguro?

#18 Peor todavía. Parchean de manera guarra código, y no lo actualizan con los originales al no ser ya "compatible" con sus mierdas, arrastrando durante años problemas ya subsanados.

Dinero publico ESPAÑOL = código público PARA TODA ENTIDAD PÚBLICA ESPAÑOLA, no para que cualquier país del mundo pueda aprovecharse de lo generado con dinero que yo he pagado.

#5 Pues por ese motivo aún más debería ser el código público, para airear la mierda que se paga y para corregir los bugs. Si eres informático sabrás que la seguridad por ofuscación es la peor idea que se puede tener para proteger algo

#33 Que el código sea publico no implica necesariamente que la licencia de uso del mismo permita usarlo gratuitamente.

Creo que a estas alturas no hace falta explicar la filosofía del opensource que viene a resumirse en que cuanta mas gente use tu código, mas probabilidades tienes de que te notifiquen bugs, o de que se saque software adicional compatible con el tuyo que te pueda servir en el futuro, etc

#33 no vaya a ser que otros países hagan lo mismo y acabes usando software financiado por otros países

#10 Precisamente, lo que comentas es muy importante. Un grupo de informáticos en el mismo sector público podría dar mejor rendimiento que algunas licitaciones de empresas (o "cárnicas") explotadoras a sueldos semejantes pero con un volumen de trabajo totalmente asumible, ya que saldría más a cuenta tener varias decenas de trabajadores que contratar a gigantes que mucho tragan y poco aportan. A nivel de empleo no veo el inconveniente, se contratan a tantos informáticos como haga falta, incluso mejorando el rango público oficial de pretensiones económicas para el puesto.

Y pocos "peros" veo, el tema de la formación puede ser igual o más amplia en el sector público (aunque este caso lo desconozco).

En Cataluña está el CTTI, menudos unos. En lugar de asumir totalmente ellos el control tecnológico de las administraciones lo gestionan y licitan a empresas en las que, al parecer, alguna incluso ha llegado a cometer irregularidades sobre sus trabajadores. ¿Dinero bajo la mesa? No sé, yo no lo he visto...

#35 China por ejemplo no respeta eso nunca, todo lo copiable, se copia sin remordimientos ni miramientos. Cualquier sin escrúpulos, hará lo mismo. Aunque la vedad, es que cualquiera quenecesite copiar código en vez de desarrollarlo, es que no tiene dinero para hacerlo, ásí menos para pagar licencias de uso... Así que para que esforzarse en protegerlo y gastar mas recursos en ello?

Te doy la razón en todo.

Parece que nuestro vecinos en Francia se lo están tomando mucho más en serio: code.gouv.fr/

#38 Erm... mezclas cosas muy mal mezcladas.

Que china copie un producto puede llegar a implicar que el fabricante original pierda ventas (aunque esto tiene 40 matices). Pero el hecho de que alguien copie tu software no implica que tu dejes de usarlo. Es decir, si tu objetivo fuese la venta de un producto, la copia del mismo te afecta negativamente, pero en este caso tu software lo usas tu, que otros lo usen sin pagar no te produce a ti absolutamente ningún perjuicio.

Yo no soy especialmente ducho en temas de informática pero mi experiencia como usuario es desastrosa.

Sacaron el DNI smartcard que iba a solucionar todo para que no tuviéramos que ir en persona. Más de una década después solo lo usan las empresas y gente que se ve obligada. La realidad es que en general tienes que seguir haciendo las cosas en papel tradicional. Yo nunca he conseguido que mi ordenador pueda usar mi DNI digital porque hay que instalar varias cosas y no acaban de funcionar.

Joder que en el resto del mundo se bastan con los protocolos estándar del navegador pero aquí somos más listos que nadie y hay que instalarse varios programas más que van o no van.

He solicitado certificado digital y, con muchos problemas, consigo que me funcione y lo he usado para varias cosas pero para otras me dicen que hay que ir en persona. Hace poco, para entregar unos papeles, me hicieron ir en persona.

Han conseguido el máximo de complicación y problemas con el mínimo rendimiento. Typicalen Espanishen Brocrasnichen.

#39 Aquí tenemos esto: github.com/ctt-gob-es

#2 Ya se publica parte, aquí está disponible: github.com/ctt-gob-es

#42 Mira el número de repositorios... En España es totalmente marginal esto y mira que no es nada complicado hacer un plan para tener software de calidad y abierto en la Administración Pública.

Algo hay, pero no mucho que yo conozca. Por ejemplo el programa clienteafirma tiene código público: github.com/ctt-gob-es

#44 Fácil no es; muchas aplicaciones legacy, mucho acoplamiento… y muchas son aplicaciones internas llenas de remiendos y sin ningún interés.

Pero es un comienzo. La publicación como open source debería ser un requisito de todo nuevo sistema para el que pueda tener sentido, pero con los que ya están funcionando no es tan sencillo.

#41 Seguridad y usabilidad a veces no van de la mano. A eso únele que los navegadores no pueden firmar cualquier cosa por los algoritmos criptográficos, por lo que hay que llamar a aplicaciones externas.
Hay cosas que funcionan por ejemplo en Internet Explorer porque es mucho más permisivo, pero también es más inseguro usarlo.
No se como funcionan en otros paises, pero aquí se saco Clave para autenticar con las webs del gobierno como forma de evitar los certificados. Hay varias alternativas. Claro, que si quieres profundizar te toca leer y bastante, como que si quieres firmar con Clave necesitas aumentar la autoridad de firma y para ello es necesario hacer acto de presencia en algun organismo (seguridad).
La caducidad y el revocamiento de los certificados cuando se descubren vulnerabilidad también son una jodienda, pero igualmente, cosas de seguridad.

No hay que tomar a broma los certificados, porque estas firmando en tu nombre y con esa firma se hacen contratos válidos, etc.

#42 ¿Todo el software de la Administración es GNU?

#44 En la web hay alguna cosilla más, como el core de @firma y otras cuestiones relacionadas con firma electrónica: administracionelectronica.gob.es
Pero sí, no es mucho.

Si no recuerdo mal el programa de COVID que se hizo también se publicó, pero no recuerdo donde.

#31
Al menos no se vne las verguenzas, hay que buscarlas.

#30
14 años programando, no tengo ni idea.

#40 Si con mis impuestos tengo que pagar un desarrollo que otro país se lleva by the face para que lo aprovechen sus ciudadanos hay un problema de competitividad claro. A parte, claro, de la cara de gilipollas y pardillo que se me queda.

#47 Entiendo lo que dices pero nos las dábamos de ir a la cabeza del mundo cuando se implantó el DNI digital y la realidad es que a nivel de calle nadie lo usa. Como tantas cosas, gastamos un dineral en quedar bien pero después no tiene seguimiento. La realidad es que para el ciudadano de la calle el DNI digital no sirve porque si hay que estudiar y despues instalar mucho software y después es probable que o funcione pues mejor nos ahorramos el gasto.

Somos una cultura burocrática a tope. Puedo transferir miles de euros (millones si los tuviera) desde mi banco y basta con el navegador normal pero para una carta a la administración española que no tiene mayor importancia o efectos necesito instalar varios programas... que a veces van y a veces no.

Yo hago toda clase de gestiones con autoridades norteamericanas y no necesito certificados ni mandangas. La realidad es que en España seguimos anclados en la burocracia papelera más rancia. Si te dicen que hay que ir en persona no hay certificado ni poder que te ampare.

Recuerdo hace muchos años que yo le explicaba a la directora de mi banco en Madrid que en América yo compraba por teléfono dando el número de mi tarjeta y ella me decía que eso era imposible porque entonces cualquiera podría tomar el número de la tarjeta y comprar. Pasaron los años y lo que er imposible en España se convirtió en posible.

Los españoles no tenemos ningún sentido práctico de nada. para hacer cualquier cosa hay que hacer tanta gestión y papeleo que muchos desisten.

Lo curioso de los certificados y software digitales es que me suelen funcionar mejor en ordenadores antiguos y me falla en los más actualizados.

Como digo, software chapucero-problemático que en el extranjero no es que lo hagan mejor sino que no les hace falta. No creo que los españoles tengamos necesidades diferentes o superiores.

Acabo de renovar mi certificado digital y ha sido una odisea. Voy a una oficina de la Agencia tributaria pero me dicen que no lo hacen. Les digo que la web dice que si pero me dicen que la web puede decir lo que quiera pero que ellos no lo hacen. Un viaje pa ná. Si hay que ir se va pero ir pa ná es tontería.

Esto es lo mas inteligente que visto en años

#51 pues actualizate un poco, que ya va siendo hora.

#6 por definición una interfaz de lado cliente no tiene fallos de seguridad. La seguridad esta en backend robusto.

#41 Desde que salió el DNIe no he vuelto a pisar una administración. Pago de impuestos, renta, citas médicas... Me ha fallado muy pocas veces. Me regalaron el lector en comisaría y lo uso con Debian y Firefox.

#46 Paso presentación del intento del 2002 (otro año de linux en el escritorio)... es.tldp.org/Presentaciones/200211hispalinux/gracia/gnuine.pdf

#56 #55
Si creas una interfaz de mierda con fallos de seguridad, por mucho que consumas una api te van a joder

#27
Hablo de vender soluciones como propias pero que son simplemente open source.
Rascas y siempre es así.

#52 Yo con mis impuestos busco pagar un servicio de calidad para mi, si el servicio se me da, que otros lo copien no tiene porque tener implicaciones negativas. Evidentemente no hablo de publicar el algoritmo del sistema de guiado de un misil desarrollado por el ejercito español (ojalá), que por lógica debe ser secreto, sino de aplicaciones de gestión pública. ¿Sera que no hablamos de lo mismo?

¿Competitividad? Hombre para empezar dudo que los sistemas de gestión publica de dos países sean aplicables 1:1 por lo tanto eso de "copiar" lo veo entre muy difícil e imposible. Aparte de que montar y mantener la infraestructura requerida para desplegar todos estos servicios no es algo que puedas copiar, se necesitan profesionales, expertos, etc. Imagina que de repente países de terceros empiezan a contratar empresas españolas para que desplieguen el software con el que tienen experiencia en España.... no se, se me ocurren mas casos positivos que negativos.

#62 Serás de los que piensan que si le dan algo a todos tus vecinos pero y a ti no, no sales perjudicado pero desgraciadamente sales más pobre que tus vecinos.
No hace falta que el sistema sea 1:1 para sacar un sistema derivado al 10% del coste que del sistema inicial de modo que el agravio comparativo sigue ahí. ¿De verdad crees que si te copian el sistema adaptándolo van a contratarte y no al que lo ha adaptado a sus necesidades concretas, después de robarte todo lo posible? Eso en mi pueblo se llama ser además de puta, poner la cama. O ser un ingenuo.

#58 Es interesante. Me imagino que o trabajas o estás bien puesto en informática porque mi experiencia es funesta.

Tengo por lo menos una docena de lectores de Smartcard (que es lo que es el DNIe) pero no hay diferencia de uno a otro de modo que asumo que el problema no es el lector. Uso Linux Mint (Ubuntu) y Firefox y tengo instalado FirmaDigital y lo demás que haga falta pero parece que no reconocen el DNIe en el lector y sin embargo si que reconocen el certificado digital de la FNMT instalado en el navegador. Misterios de la informática pero, bueno, me podría apañar con el certificado digital.

Sí que he conseguido presentar bastantes documentos por internet con el certificado digital pero la verdad es que es muy engorroso y lleva mucho tiempo.

La segunda parte es que me parece absurdo que para mandar cualquier escrito haga falta todo esto que está fuera del alcance de la mayoría de la gente de la calle. Hace un rato he estado con el típico currito informático autónomo con tienda de barrio y la mayoría de su trabajo es mantener ordenadores de pequeñas empresas que necesitan el certificado por fuerza y me dice que a veces tiene mucho problema en que les funcione y una vez funciona les dice que no toquen el ordenador porque cualquier actualización del SO o del navegador puede descongojarlo todo.

Insisto, puedo mover miles de euros sin toda esta parafernalia, puedo gestionar cosas con las autoridades americanas sin todo esto. No entiendo por qué en España somos diferentes y necesitamos tanta complicación mientras el resto del mundo se apaña sin ella.

Pero es que además si al funcionario de turno no le sale de las gónadas aceptarlo pues no lo acepta y ya está. Aparte del certificado digital de mi mujer yo, como su marido que soy, tengo poder notarial para actuar en su nombre y a veces no aceptan ni eso y tiene que ir ella en persona y todo para entregar algo, es decir, ni siquiera para algo que por lógica solo pueda hacer ella. Cuando te toca una funcionaria que no está satisfecha con su vida sexual ya te puedes dar por jodido. Supongo que si pleiteas te darán la razón pero ellos saben que la justicia es una mierda y que no te vale la pena. No te puedes imaginar la bronca que me echó la funcionaria de la Agencia Tributaria cuando fui a hacer la gestión del certificado digital. La web dice que es allí pero ella dice que no y en su despacho ella manda más que nadie y ya está y se acabó. Y me tuve que ir a otra parte a encontrar alguien más receptivo. Y ahí me dicen que sí pero que hay que pedir cita previa. Cita previa para una gestión que consiste en enseñar el DNI!
Este País se ahiga en su propio enmierde burocrático.

Recuerdo que hace unos pocos años tenía yo que entregar un escrito en no sé qué organismo. Fui en persona y me dijeron que lo tenía que llevar a un notario para "reconocimiento de firma". Es decir, estoy yo en persona pero no basta con que lo firme delante del que lo recibe sino que tengo que ir a un notario, enseñarle mi DNI y que el notario certifique que la firma es mía. Es surrealista.

El DNIe se nos vendió como un gran avance en la informatización de España y la realidad es que para la persona de la calle no ha servido de nada.

#9 No creo que sea siempre cierto, eso aplica a proyectos con mucha colaboración y bien mantenidos, pero hay otros que tendrán poco interés y el único que le dedique tiempo será el que quiera encontrar las vulnerabilidades para explotarlas.

Dicho lo cuál creo que merecería la pena solo porque intenten hacerlo bien para que no les saquen los colores según publiquen el código.

#65 El grado de interés va en ambas direcciones, o no hay interés en el código por básicamente nadie o hay interés y ahí habrá gente interesada en explotar vulnerabilidades y otra en que no las haya para que no se exploten.

#63 No, soy de los que pienso que si a mi me han dado algo no pasa nada malo porque se lo den a otros también que es de lo que hablamos, especialmente si ese algo requiere experiencia y conocimientos para sacarle zumo. No se de donde sacas la comparación de a todos si y a mi no.

¿Que no hace falta que sea 1:1 para hacer algo al 10% de coste? Bueno esa cifra te la sacas literalmente del sobaco porque te apetece a ti. Dependerá de cada caso y las casuísticas en una administración publica son retorcidas de narices, si no se apañan entre provincias...se van a apañar entre países, claro que si. Hay que ser por otro lado, muy suicida para desplegar una solución compleja de otros sin tener personal cualificado y formado, no hablemos ya de mantenerla a flote o de depurar y solucionar problemas, buena suerte con eso.

¿Robarme? Nadie me roba si yo publico el código, y cuando publico código lo hago con una licencia concreta que puedo decidir yo si se puede reusar, de que manera y para que.

Sigo sin entender donde ves un robo en algo que tu no podías explotar de ninguna manera. Yo veo una oportunidad de abrir la puerta a que alguien me suba un parche a una ñapa mía GRATIS

Seré un ingenuo, pero llevo mas de 15 años trabajando con software libre y me han contratado para adaptar software mio, he publicado software y la comunidad me ha devuelto fixes o bug reports, he fixeado yo software de otros con cargo a mi empresa (nos interesaba que nuestro parche estuviese en la rama principal de varios proyectos) y nosotros (la empresa en la que trabajo) hemos contratado a autores de varios paquetes de software libre para que nos diesen mantenimiento y soporte, asique creo que he vivido suficientes combinaciones de casos como para decir que el resultado final me sale positivo.

#11 Cuando he visto el titular he pensado en la web de renfe

#12 Si quieres un proyecto chungo , la api de la CNMC para obtener los datos de los contadores electricos...para mear y no echar gota.

Ojo que tiene truco. Dice "que el software desarrollado por el sector público con dinero público". O sea, que no incluye el desarrollado por el sector privado y pagado con dinero público, que es la gran mayoría.

#60 es físicamente imposible, una interfaz del lado cliente es precisamente reemplazable por un hacker, si envías datos sensibles a la interfaz a quien no debes estás ya hackeado de fábrica

#64 Te entiendo. Que yo lo haya conseguido hacer funcionar no quita que sea complejo. La idea de DNIe no es mala, el desastre es su implementación. No sé el dinero que se habrá ido en esos desarrollos que siguen siendo penosos en funcionalidad y usabilidad.

#71
A ver amigo, sin ser experto en la materia: yo creo una mierda de web , llena de parches, vulnerable a inyecciones sql, contraseñas a pinrel por ahí...
Tendrás una api cojonuda que gracias a la web te van a follar todo.
#55
Cc

#73 y porque me pones en CC? Para "demostrar que eres un experto"? ay por favor..

#74
No, para que no vayas dando lecciones diciendo que si no se me calle cuando llevo más años programado que tu.
Igual no todo es ser un retry del último framework, seguro que edtad comiendo mierda a palas.

#73 da igual la.interfaz si tienes un backend seguro ,precisamente piensa en las apis, si las interfaces fuersn un problema no existirían apis.

#75

#77
ale, si , pon emoticonos, es lo unico que puedes hacer.

#76

Si yo consumo una API y soy un puto desastre van a poder robar las credenciales y acceder, o me equivoco?

#79 a la web le da igual lo qje hagas con su api

#80
Si yo hago una web de mierda y se puede con poco esfuerzo ver que me he dejado las contraseñas a pelo escritas o el servidor web se pueden bajar los ficheros php, me vas a decir de que sirve la API y su grandisima seguridad?

#81 Y como vas a poner las contraseñas a pelo si no las sabes , recuerda que estamos hablando de interfaces públicas hechas por la gente. Si has hecho una API robusta no tiene nada que ver con las contraseñas a pelo, es como decir que facebook es inseguro porque tu contraseña era 1234

#82
A ver amigo, una API puede usar contraseña, un token privado etc? verdad?

Si yo hago una web donde es facil que alguien vea debajo de las faldas y consiga acceso a la API? de que me sirve la seguridad?
Si una vez tenga el token/la contraseña entonces puede coger y modificar lo que le de la gana, bajarse la lista de usuarios, etc.
Porque hablamos de la tipica aplicacion de, yo que se, dar de alta usuarios, ver datos etc.
Eso se entiende o no?

#83 "A ver amigo, Facebook puede usar contraseña, un token privado etc? verdad?

Si yo hago una web donde es facil que alguien vea debajo de las faldas y consiga acceso a lmi contraseña de facebook? de que me sirve la seguridad?
Si una vez tenga el la contraseña a entonces puede coger y modificar lo que le de la gana." si te refieres a eso si, pero no tiene que ver con la estructura de fb ni les afecta, tampoco a los usuarios que guardaron bien su contraseña

#84
A ver, que no hablamos de montar un facebook que claro ahi habra una API publica que solo ves lo tuyo, bien aislado.
hablamos de que aqui la gente dice que si montas una API cojonuda ya es super seguro.
Ejemplo:
Una web para dar citas medicas
Si luego la consumes usando una web de mierda o una aplicacion cutre y alguien obtiene las credenciales (las que usa el medico para darte citas, ver las fichas de los pacientes etc) se baja toda la lista de personas, telefonos, direcciones...
me equivoco?

#85 no se si sabes que los medicos usan factor de autenticacion en 2 pasos con las tarjetas físicas no? precisamente es más seguro que la mayoría de apis que existen. Y de todas formas la interfaz repito que no afecta, ya que las autentificaciones siempre se comprueba en backup

#86
Ah, espera que te hablo de agujeros de seguridad garrafales y ahora la solucion es usar 2FA. Ostia que nivel macho.
Es como que tu casa no tenga cerradura pero pones un cepo en el suelo.

#87 eres tu el que saco el ejemplo de los medicos y no tienes ni idea de como funcionan , solo te epliqué al ,menos sabes lo que es 2FA pensé que tendría que explicártelo también

#87 Pero quizá tengas razón y todas las apis que existen tienen ahujeros de seguridad por dejar utilizar cualquier interfaz, mejor mándale un correo a todas las que existen, empieza por el Nasdaq y luego ya miramos por europa

#88
Te podrias enfocar en mi ejemplo?
Si tengo una web de mierda y obtienen la forma de autenticarse, de que cojones sirve que la API cojonuda?

#89
No te bajas de la burra amigo.
No hablamos de consumir una API de amazon que afecta a solamente tus pedidos, no a toda amazon.

Yo te puedo dar un ejemplo de una API que tengo yo, si alguien consigue la autenticacion, podria borrar todos los productos. Eso se entiende?

Creo que lo has entendido, pero bueno, tu nivel es " usar 2FA".

#91 la clave privada va por backend

#92
Eres cabezon a mas no poder.
Y que?
Si yo me dejo la clave privada escrita por ahi en el html (o alguien encuentra una vulnerabilidad) de que me sirve tu super API mega segura?

Te repito, yo tengo una API con usuario y contraseña, si consigues dichas credenciales puedes borrar todos los productos de la base de datos.
Me explicas como evitarlo?

#93 "Eres cabezon a mas no poder."

#94
Sigue, que no reconoces que no tienes ni puta idea.

#94
Ah, que encima me has votado negativo a todo Ale, suerte.

Con el código abierto sería gracioso ver las justificaciones para pagar a Indra millones por el mismo software utilizado una y otra vez en cada una de las elecciones...