Con nuestra iniciativa ¿Dinero público? ¡Código público! exigimos que el software desarrollado por el sector público con dinero público esté disponible para el público bajo una licencia de software libre. Para apoyar estas demandas, proporcionamos un exhaustivo folleto que está dedicado a los organismos públicos y que sirve como instrumento para dirigirse a los responsables de la toma de decisiones para informarles sobre las ventajas del software libre. Gracias a ello es más fácil convencerles de modernizar la infraestructura digital.
|
etiquetas: fsfe , software libre , dinero público , digitalización , sector público
-¿A que te Ctrl+V una hostia?
También sería importante exigir API first, y para que cuando la administración haya una interfaz de usuario lamentable, al menos "la comunidad" pueda hacer una interfaz decente utilizando la API.
Que quereis ver un cagarro lleno de parches con el usuario y la contraseña a pelo escrita en todas partes?
Aun cuando estuviera bien escrito hay riesgo de que alguien vea agujeros de seguridad y los usara. Que ojo, defiendo que se haga publico pero siendo quienes lo hacen siempre (indra y compañia) es imposible. Daria una verguenza de tal nivel..
Que a su vez la interfaz seria un cagarro llena de fallos de seguridad.
La seguridad por obscuridad es un modelo fracasado.
El software de código libre ha puesto eso en evidencia desde hace ya muchas décadas.
A ver si a pasitos se acaban prácticas de mierda con cárnicas que venden softwares de mierda a precio de oro a las administraciones, que pagamos bien todos y sufrimos todos (mal rendimiento o funcionalidad, etc).
Aparte, el negocio suele estar no en el "primer pliego" y saco de pasta que se llevan, si no en el mantenimiento a futuro ("cambiame esto, ahora hay que cambiar esta necesidad etc"). Dependencia que saben y aprovechan cobrando a precio de oro.
Y ojo que al final el programador de turno enmarronao y con presión ve como venden un pliegazo de 1.000.000 de euros y el cobra 1.000 por 12 horas.
"holi" sabes de sobra que la mayoria de historias que hacen para el estado empresas tipo indra lo que ha pasado y como se han hecho. De lo ultimo fue aquello de que se filtraron datos de gente que se le cito para las vacunas del covid.
Si el codigo fuera publico no te digo nada.
Me viene a la cabeza la web de renfe tambien, webs de sanidad que seguro que gestionan otras empresas , la web del paro que la consultora que la gestionaba le colaron un ransomware y estuvo semanas cerrada (la gente no podia cobrar el paro), el buzon de denuncias de la seguridad social, tambien por ransomware.
*Edit, que sí, han salido proyectos chuscos, pero que conozco gente externa y funcionarios de informática, todos unos profesionales que se parten el lomo por sus sistemas y no veo lo que cuentas, la administración es mucho más grande que lo que ves en unos titulares de vez en cuando.
Bueno, venderlo por fases como hacen todas y forrarse.
Te he puesto varios, he editado el mensaje.
Podemos esperar sentados.
Si no digo que no, no se porque te das por aludido.
Pero en rasgos generales es una puta mierda.
Esa es otra. muchas se bajan algo de licencia libre de internet, le ponen la pegatina y lo venden como algo propio por una pasta.
Me doy por aludido porque como te digo, he trabajado ahí, ahí hay código que he escrito yo.
La calidad del software público es demasiado mala como para ser presentable, es exponer unas vergüenzas que no se quieren exponer.
EDIT: Además de exponer vulnerabilidades, que existen esperando a que alguien NO las encuentre.
Edito: Código para ciertas administraciones es bueno que sea público. Es el trabajo de cara al futuro en la transparencia digital.
Al final, el desarrollo es un frankenstein lleno de bugs y fallos de seguridad por todas partes, difícil de testear, difícil de mantener y que, a la larga, hay que deshechar y rehacer de nuevo, a ser posible por la misma consultora y por otra morterada de millones, que las cuentas corrientes de sus propietarios no se llenan solas.
¡Qué mejor manera de exponer las empresas que mencionas!
#FreeAssange
Creo que a estas alturas no hace falta explicar la filosofía del opensource que viene a resumirse en que cuanta mas gente use tu código, mas probabilidades tienes de que te notifiquen bugs, o de que se saque software adicional compatible con el tuyo que te pueda servir en el futuro, etc
Y pocos "peros" veo, el tema de la formación puede ser igual o más amplia en el sector público (aunque este caso lo desconozco).
En Cataluña está el CTTI, menudos unos. En lugar de asumir totalmente ellos el control tecnológico de las administraciones lo gestionan y licitan a empresas en las que, al parecer, alguna incluso ha llegado a cometer irregularidades sobre sus trabajadores. ¿Dinero bajo la mesa? No sé, yo no lo he visto...
Te doy la razón en todo.
Que china copie un producto puede llegar a implicar que el fabricante original pierda ventas (aunque esto tiene 40 matices). Pero el hecho de que alguien copie tu software no implica que tu dejes de usarlo. Es decir, si tu objetivo fuese la venta de un producto, la copia del mismo te afecta negativamente, pero en este caso tu software lo usas tu, que otros lo usen sin pagar no te produce a ti absolutamente ningún perjuicio.
Sacaron el DNI smartcard que iba a solucionar todo para que no tuviéramos que ir en persona. Más de una década después solo lo usan las empresas y gente que se ve obligada. La realidad es que en general tienes que seguir haciendo las cosas en papel tradicional. Yo nunca he conseguido que mi ordenador pueda usar mi DNI digital porque hay que instalar varias cosas y no acaban de funcionar.
Joder que en el resto del mundo se bastan con los protocolos estándar del navegador pero aquí somos más listos que nadie y hay que instalarse varios programas más que van o no van.
He solicitado certificado digital y, con muchos problemas, consigo que me funcione y lo he usado para varias cosas pero para otras me dicen que hay que ir en persona. Hace poco, para entregar unos papeles, me hicieron ir en persona.
Han conseguido el máximo de complicación y problemas con el mínimo rendimiento. Typicalen Espanishen Brocrasnichen.
Pero es un comienzo. La publicación como open source debería ser un requisito de todo nuevo sistema para el que pueda tener sentido, pero con los que ya están funcionando no es tan sencillo.
Hay cosas que funcionan por ejemplo en Internet Explorer porque es mucho más permisivo, pero también es más inseguro usarlo.
No se como funcionan en otros paises, pero aquí se saco Clave para autenticar con las webs del gobierno como forma de evitar los certificados. Hay varias alternativas. Claro, que si quieres profundizar te toca leer y bastante, como que si quieres firmar con Clave necesitas aumentar la autoridad de firma y para ello es necesario hacer acto de presencia en algun organismo (seguridad).
La caducidad y el revocamiento de los certificados cuando se descubren vulnerabilidad también son una jodienda, pero igualmente, cosas de seguridad.
No hay que tomar a broma los certificados, porque estas firmando en tu nombre y con esa firma se hacen contratos válidos, etc.
Pero sí, no es mucho.
Si no recuerdo mal el programa de COVID que se hizo también se publicó, pero no recuerdo donde.
Al menos no se vne las verguenzas, hay que buscarlas.
14 años programando, no tengo ni idea.
Somos una cultura burocrática a tope. Puedo transferir miles de euros (millones si los tuviera) desde mi banco y basta con el navegador normal pero para una carta a la administración española que no tiene mayor importancia o efectos necesito instalar varios programas... que a veces van y a veces no.
Yo hago toda clase de gestiones con autoridades norteamericanas y no necesito certificados ni mandangas. La realidad es que en España seguimos anclados en la burocracia papelera más rancia. Si te dicen que hay que ir en persona no hay certificado ni poder que te ampare.
Recuerdo hace muchos años que yo le explicaba a la directora de mi banco en Madrid que en América yo compraba por teléfono dando el número de mi tarjeta y ella me decía que eso era imposible porque entonces cualquiera podría tomar el número de la tarjeta y comprar. Pasaron los años y lo que er imposible en España se convirtió en posible.
Los españoles no tenemos ningún sentido práctico de nada. para hacer cualquier cosa hay que hacer tanta gestión y papeleo que muchos desisten.
Lo curioso de los certificados y software digitales es que me suelen funcionar mejor en ordenadores antiguos y me falla en los más actualizados.
Como digo, software chapucero-problemático que en el extranjero no es que lo hagan mejor sino que no les hace falta. No creo que los españoles tengamos necesidades diferentes o superiores.
Acabo de renovar mi certificado digital y ha sido una odisea. Voy a una oficina de la Agencia tributaria pero me dicen que no lo hacen. Les digo que la web dice que si pero me dicen que la web puede decir lo que quiera pero que ellos no lo hacen. Un viaje pa ná. Si hay que ir se va pero ir pa ná es tontería.
Si creas una interfaz de mierda con fallos de seguridad, por mucho que consumas una api te van a joder
Hablo de vender soluciones como propias pero que son simplemente open source.
Rascas y siempre es así.
¿Competitividad? Hombre para empezar dudo que los sistemas de gestión publica de dos países sean aplicables 1:1 por lo tanto eso de "copiar" lo veo entre muy difícil e imposible. Aparte de que montar y mantener la infraestructura requerida para desplegar todos estos servicios no es algo que puedas copiar, se necesitan profesionales, expertos, etc. Imagina que de repente países de terceros empiezan a contratar empresas españolas para que desplieguen el software con el que tienen experiencia en España.... no se, se me ocurren mas casos positivos que negativos.
No hace falta que el sistema sea 1:1 para sacar un sistema derivado al 10% del coste que del sistema inicial de modo que el agravio comparativo sigue ahí. ¿De verdad crees que si te copian el sistema adaptándolo van a contratarte y no al que lo ha adaptado a sus necesidades concretas, después de robarte todo lo posible? Eso en mi pueblo se llama ser además de puta, poner la cama. O ser un ingenuo.
Tengo por lo menos una docena de lectores de Smartcard (que es lo que es el DNIe) pero no hay diferencia de uno a otro de modo que asumo que el problema no es el lector. Uso Linux Mint (Ubuntu) y Firefox y tengo instalado FirmaDigital y lo demás que haga falta pero parece que no reconocen el DNIe en el lector y sin embargo si que reconocen el certificado digital de la FNMT instalado en el navegador. Misterios de la informática pero, bueno, me podría apañar con el certificado digital.
Sí que he conseguido presentar bastantes documentos por internet con el certificado digital pero la verdad es que es muy engorroso y lleva mucho tiempo.
La segunda parte es que me parece absurdo que para mandar cualquier escrito haga falta todo esto que está fuera del alcance de la mayoría de la gente de la calle. Hace un rato he estado con el típico currito informático autónomo con tienda de barrio y la mayoría de su trabajo es mantener ordenadores de pequeñas empresas que necesitan el certificado por fuerza y me dice que a veces tiene mucho problema en que les funcione y una vez funciona les dice que no toquen el ordenador porque cualquier actualización del SO o del navegador puede descongojarlo todo.
Insisto, puedo mover miles de euros sin toda esta parafernalia, puedo gestionar cosas con las autoridades americanas sin todo esto. No entiendo por qué en España somos diferentes y necesitamos tanta complicación mientras el resto del mundo se apaña sin ella.
Pero es que además si al funcionario de turno no le sale de las gónadas aceptarlo pues no lo acepta y ya está. Aparte del certificado digital de mi mujer yo, como su marido que soy, tengo poder notarial para actuar en su nombre y a veces no aceptan ni eso y tiene que ir ella en persona y todo para entregar algo, es decir, ni siquiera para algo que por lógica solo pueda hacer ella. Cuando te toca una funcionaria que no está satisfecha con su vida sexual ya te puedes dar por jodido. Supongo que si pleiteas te darán la razón pero ellos saben que la justicia es una mierda y que no te vale la pena. No te puedes imaginar la bronca que me echó la funcionaria de la Agencia Tributaria cuando fui a hacer la gestión del certificado digital. La web dice que es allí pero ella dice que no y en su despacho ella manda más que nadie y ya está y se acabó. Y me tuve que ir a otra parte a encontrar alguien más receptivo. Y ahí me dicen que sí pero que hay que pedir cita previa. Cita previa para una gestión que consiste en enseñar el DNI!
Este País se ahiga en su propio enmierde burocrático.
Recuerdo que hace unos pocos años tenía yo que entregar un escrito en no sé qué organismo. Fui en persona y me dijeron que lo tenía que llevar a un notario para "reconocimiento de firma". Es decir, estoy yo en persona pero no basta con que lo firme delante del que lo recibe sino que tengo que ir a un notario, enseñarle mi DNI y que el notario certifique que la firma es mía. Es surrealista.
El DNIe se nos vendió como un gran avance en la informatización de España y la realidad es que para la persona de la calle no ha servido de nada.
Dicho lo cuál creo que merecería la pena solo porque intenten hacerlo bien para que no les saquen los colores según publiquen el código.
¿Que no hace falta que sea 1:1 para hacer algo al 10% de coste? Bueno esa cifra te la sacas literalmente del sobaco porque te apetece a ti. Dependerá de cada caso y las casuísticas en una administración publica son retorcidas de narices, si no se apañan entre provincias...se van a apañar entre países, claro que si. Hay que ser por otro lado, muy suicida para desplegar una solución compleja de otros sin tener personal cualificado y formado, no hablemos ya de mantenerla a flote o de depurar y solucionar problemas, buena suerte con eso.
¿Robarme? Nadie me roba si yo publico el código, y cuando publico código lo hago con una licencia concreta que puedo decidir yo si se puede reusar, de que manera y para que.
Sigo sin entender donde ves un robo en algo que tu no podías explotar de ninguna manera. Yo veo una oportunidad de abrir la puerta a que alguien me suba un parche a una ñapa mía GRATIS
Seré un ingenuo, pero llevo mas de 15 años trabajando con software libre y me han contratado para adaptar software mio, he publicado software y la comunidad me ha devuelto fixes o bug reports, he fixeado yo software de otros con cargo a mi empresa (nos interesaba que nuestro parche estuviese en la rama principal de varios proyectos) y nosotros (la empresa en la que trabajo) hemos contratado a autores de varios paquetes de software libre para que nos diesen mantenimiento y soporte, asique creo que he vivido suficientes combinaciones de casos como para decir que el resultado final me sale positivo.
A ver amigo, sin ser experto en la materia: yo creo una mierda de web , llena de parches, vulnerable a inyecciones sql, contraseñas a pinrel por ahí...
Tendrás una api cojonuda que gracias a la web te van a follar todo.
#55
Cc
No, para que no vayas dando lecciones diciendo que si no se me calle cuando llevo más años programado que tu.
Igual no todo es ser un retry del último framework, seguro que edtad comiendo mierda a palas.
ale, si , pon emoticonos, es lo unico que puedes hacer.
Si yo consumo una API y soy un puto desastre van a poder robar las credenciales y acceder, o me equivoco?
Si yo hago una web de mierda y se puede con poco esfuerzo ver que me he dejado las contraseñas a pelo escritas o el servidor web se pueden bajar los ficheros php, me vas a decir de que sirve la API y su grandisima seguridad?
A ver amigo, una API puede usar contraseña, un token privado etc? verdad?
Si yo hago una web donde es facil que alguien vea debajo de las faldas y consiga acceso a la API? de que me sirve la seguridad?
Si una vez tenga el token/la contraseña entonces puede coger y modificar lo que le de la gana, bajarse la lista de usuarios, etc.
Porque hablamos de la tipica aplicacion de, yo que se, dar de alta usuarios, ver datos etc.
Eso se entiende o no?
Facebookpuede usar contraseña, un token privado etc? verdad?Si yo hago una web donde es facil que alguien vea debajo de las faldas y consiga acceso a lmi contraseña de facebook? de que me sirve la seguridad?
Si una vez tenga el la contraseña a entonces puede coger y modificar lo que le de la gana." si te refieres a eso si, pero no tiene que ver con la estructura de fb ni les afecta, tampoco a los usuarios que guardaron bien su contraseña
A ver, que no hablamos de montar un facebook que claro ahi habra una API publica que solo ves lo tuyo, bien aislado.
hablamos de que aqui la gente dice que si montas una API cojonuda ya es super seguro.
Ejemplo:
Una web para dar citas medicas
Si luego la consumes usando una web de mierda o una aplicacion cutre y alguien obtiene las credenciales (las que usa el medico para darte citas, ver las fichas de los pacientes etc) se baja toda la lista de personas, telefonos, direcciones...
me equivoco?
Ah, espera que te hablo de agujeros de seguridad garrafales y ahora la solucion es usar 2FA. Ostia que nivel macho.
Es como que tu casa no tenga cerradura pero pones un cepo en el suelo.
Te podrias enfocar en mi ejemplo?
Si tengo una web de mierda y obtienen la forma de autenticarse, de que cojones sirve que la API cojonuda?
No te bajas de la burra amigo.
No hablamos de consumir una API de amazon que afecta a solamente tus pedidos, no a toda amazon.
Yo te puedo dar un ejemplo de una API que tengo yo, si alguien consigue la autenticacion, podria borrar todos los productos. Eso se entiende?
Creo que lo has entendido, pero bueno, tu nivel es " usar 2FA".
Eres cabezon a mas no poder.
Y que?
Si yo me dejo la clave privada escrita por ahi en el html (o alguien encuentra una vulnerabilidad) de que me sirve tu super API mega segura?
Te repito, yo tengo una API con usuario y contraseña, si consigues dichas credenciales puedes borrar todos los productos de la base de datos.
Me explicas como evitarlo?
Sigue, que no reconoces que no tienes ni puta idea.
Ah, que encima me has votado negativo a todo Ale, suerte.