Me pregunto si no será posible revisar en una aplicación para las XO, aunque su código esté cerrado, que NO suceda alguna de estas situaciones:<div>1. Que se acceda a la cámara o micrófono</div><div>2. Que ejecute con permisos de Terminal (saltando Rainbow)</div>
<div>3. Que se transmitan datos enciptados </div><div><br></div><div>Si se pudiera comprobar esto sin abrir el SW, y haciendo una revisión del tráfico a Internet que realiza la aplicación, se podría certificar que el SW no es malicioso...<br>
<div><br clear="all">Saludos, <br>Pablo Flores<br>
<br><br><div class="gmail_quote">2010/5/21 Pablo Moleri <span dir="ltr">&lt;<a href="mailto:pmoleri@gmail.com">pmoleri@gmail.com</a>&gt;</span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
Esos avisos creo que sirven muy poco, salvo por algunos usuarios desconfiados.<br><br>Lo que se podría hacer en la XO sería implementar una firma para dar acceso como el que tiene hoy la XO y que las aplicaciones no firmadas corran en un sandbox más riguroso, sin acceso a cámara, microfono e internet.<br>

<br>Pero creo que esto entorpecería aún más los desarrollos. Parte de la genialidad del plan ceibal es que todos puedan acceder al mismo tipo de aplicaciones a las que accede cualquier ninó que tenga una PC en su casa, esto es lo que brinda igualdad y derriba la llamada brecha tecnológica, lo cual se estaría entorpeciendo si se agregaran más barreras.<br>

<br>Saludos,<br>Pablo Moleri<br><br><div class="gmail_quote">2010/5/21 Fernando Da Rosa <span dir="ltr">&lt;<a href="mailto:fedaro@adinet.com.uy" target="_blank">fedaro@adinet.com.uy</a>&gt;</span><div><div></div><div class="h5">
<br><blockquote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204, 204, 204);padding-left:1ex">
Gabriel:<br><br>Sin duda, comparto tu planteo. Yo no hablaba de restringir, sino de dar pautas de seguridad en el caso de software privativo.<br><br>Con relación a Windows, en las últimas versiones, vas a ver que Microsoft bien que te avisa cuando vas a instalar algo que no cuenta con su aprobación. Lo tuvieron que hacer, justamente, para evitar los problemas de seguridad o al menos mitigarlos.<br>


<br>Saludos<br>Fernando<br><br><div class="gmail_quote">El 21 de mayo de 2010 08:41, Gabriel Eirea <span dir="ltr">&lt;<a href="mailto:geirea@gmail.com" target="_blank">geirea@gmail.com</a>&gt;</span> escribió:<div><div>

</div><div><br><blockquote class="gmail_quote" style="border-left:1px solid rgb(204, 204, 204);margin:0pt 0pt 0pt 0.8ex;padding-left:1ex">
Estimados:<br>
<br>
Interesante discusión. Creo que tenemos que ser muy cautelosos al<br>
plantear la existencia de una certificación centralizada de software<br>
porque ello inevitablemente se convertiría en un obstáculo para la<br>
difusión libre de aplicaciones creadas por la comunidad. Son ideas que<br>
mejor no caigan en manos de ciertos burócratas.<br>
<br>
El éxito de la arquitectura PC y de Windows radican, entre otras<br>
cosas, en constituirse de hecho en una plataforma estándard para el<br>
desarrollo de aplicaciones. Este estándard se construyó inicialmente<br>
como un estándard abierto y de hecho lo sigue siendo si uno está<br>
dispuesto a invertir en las herramientas de desarrollo adecuadas. Se<br>
disponía de la información y las herramientas para que cualquiera<br>
pudiera desarrollar tanto hardware como software que funcionara sobre<br>
esta plataforma.<br>
<br>
Con la XO tenemos la limitante del acceso a root, que ya nos da<br>
bastantes problemas, si bien simplifica la solución de algunos<br>
aspectos de seguridad. Es decir, Ceibal no tiene ningún inconveniente<br>
en tomar medidas que restrinjan la libertad del usuario (y violen la<br>
licencia GPL) en nombre de la seguridad. No pidamos más de eso.<br>
<br>
Además, no es necesario.<br>
<br>
El tan criticado Rainbow funciona muy bien para tal fin si estuviera<br>
bien implementado. Las aplicaciones que se pueden instalar en Sugar<br>
están todas sujetas a las restricciones de Rainbow, excepto dos o tres<br>
(journal, terminal y alguna otra). Este es el hueco por donde se metió<br>
Flavio con su actividad Terminal. Bastaría con exigir un control más<br>
estricto sobre esas actividades puntuales que tienen desactivado<br>
Rainbow.<br>
<br>
No es posible instalar actividades que corran solas en el fondo, como<br>
por ejemplo actividades que monitoreen la actividad de los niños (a<br>
menos que lo haga oficialmente Ceibal, por supuesto). Las actividades<br>
deben ser ejecutadas explícitamente por los niños para poder<br>
funcionar.<br>
<br>
También, en nombre de la seguridad, recordemos que el kernel de linux<br>
utilizado en la XO tiene algunos años y no le vendría nada mal una<br>
actualización. La dejo por ahí.<br>
<br>
Existen soluciones sencillas a los potenciales problemas que presenta<br>
la instalación de software no controlado en la XO. En mi opinión la<br>
plataforma debe ser abierta para todo tipo de software.<br>
<br>
Saludos,<br>
<br>
Gabriel<br>
<br>
<br>
El día 21 de mayo de 2010 08:10, Fernando Da Rosa<br>
<div>&lt;<a href="mailto:fedaro@adinet.com.uy" target="_blank">fedaro@adinet.com.uy</a>&gt; escribió:<br>
</div><div><div></div><div>&gt; Estimado:<br>
&gt;<br>
&gt; El LATU certifica muchas cosas, es una de sus tareas.<br>
&gt;<br>
&gt; Por supuesto que CeibalJam puede certificar lo que quiera, pero hay una<br>
&gt; diferencia, creo que es mucho más probable que un desarrollador de software<br>
&gt; privativo entregue el código fuente al LATU que a CeibalJam, no solo por un<br>
&gt; tema de fama, sino porque si no publica su código fuente es justamente<br>
&gt; porque no quiere que lo tenga &quot;la competencia&quot;, ¿se entiende?. Y el LATU<br>
&gt; como organismo oficial, seguramente le de más garantías en cuanto a cumplir<br>
&gt; con un contrato de no revelar el código fuente.<br>
&gt;<br>
&gt; En todo caso yo lo que quería era dejar planteado el tema, realmente me<br>
&gt; preocupa el tema de instalar software a ciegas. Concuerdo en que el LATU<br>
&gt; debería publicar el código pero también debemos entender que una cosa es el<br>
&gt; LATU, que dio inicio a CEIBAL y esta muy interesado en que todo ande bien y<br>
&gt; otra cosa es enfrentarse a un programa que algún desconocido podría subir a<br>
&gt; un sitio web.<br>
&gt;<br>
&gt; Aclaro que no propongo ni defiendo que el LATU lo haga, ni se si le puede<br>
&gt; interesar o querer, lo que hice fue dar un ejemplo, podría ser AGESIC u otro<br>
&gt; organismo. Y sin duda que CeibalJam si lo desea puede hacer listas de<br>
&gt; software de lo que guste. Lo que me parece difícil es, como decía antes, el<br>
&gt; tema del acceso al código fuente.<br>
&gt;<br>
&gt; En el caso de programas que promocionan una determinada marca comercial, la<br>
&gt; marca es la que pone la cara y debería (si fuera inteligente) exigir el<br>
&gt; código fuente y auditarlo o liberarlo. Dado que si luego el programa hace<br>
&gt; algo perjudicial para el usuario o el equipo, la más dañada va a ser la<br>
&gt; imagen de la marca.  Eso es algo que tendrían que entender desde las<br>
&gt; agencias de publicidad hasta los gerentes de las empresas.<br>
&gt;<br>
&gt; Saludos<br>
&gt; Fernando<br>
&gt;<br>
&gt; El 21 de mayo de 2010 01:54, &lt;<a href="mailto:nanonano@mediagala.com" target="_blank">nanonano@mediagala.com</a>&gt; escribió:<br>
&gt;&gt;<br>
&gt;&gt; &gt;Flavio Danesse wrote:<br>
&gt;&gt; &gt;... si queremos abrir todo el código que hay en nuestras xo tenemos que<br>
&gt;&gt; &gt; empezar por el LATU.<br>
&gt;&gt;<br>
&gt;&gt; -----------------------------------------------------------------------------------------------<br>
&gt;&gt;<br>
&gt;&gt;<br>
&gt;&gt; Concuerdo con Flavio, sería absurdo pedirle al LATU que certifique<br>
&gt;&gt; programas &quot;buenos y amigables&quot;, cuando en realida los programas que instala<br>
&gt;&gt; el LATU no lo son, ya que para empezar violan las licencias del software<br>
&gt;&gt; libre (las licencias del software libre lo obligan a entragar software<br>
&gt;&gt; libre, sin clave alguna).<br>
&gt;&gt;<br>
&gt;&gt;<br>
&gt;&gt; Creo que tenemos que dejar de esperar que alguien de &quot;más arriba&quot;, o el<br>
&gt;&gt; estaddo nos solucione tal o cual problema, creo que es mejor si uno mismo<br>
&gt;&gt; trata de agarrar la posta.<br>
&gt;&gt;<br>
&gt;&gt; Por ejemplo: ¿porqué tendría que ser el LATU el que certifique la &quot;bondad&quot;<br>
&gt;&gt; de un software?????<br>
&gt;&gt;<br>
&gt;&gt; ¿NO podría ser el Ceibal JAM el que lo haga???????<br>
&gt;&gt;   ¿porque siempre pensamos en un ente del estado para ese tipo de cosas,<br>
&gt;&gt; cuando lo puede hacer un ente o asociación privada?<br>
&gt;&gt;<br>
&gt;&gt; Sí, Sí, ya sé que el CeibalJAm no tiene la &quot;FAMA&quot; o el reconocimiento<br>
&gt;&gt; internacional que el LATU, pero les recuerdo que en Estados Unidos existe un<br>
&gt;&gt; ente privado (no recuerdo el nombre exacto) que al principio era una revista<br>
&gt;&gt; que probaba los electrodomésticos, para ver si eran confiables, y con el<br>
&gt;&gt; tiempo esa revista se convirtió en un estandard de facto, si en esa revista<br>
&gt;&gt; lo bochaban, el aparato no podías venderlo.<br>
&gt;&gt;<br>
&gt;&gt; Yo no vería nada descabellado que en la pagina del CeibalJAM hubiese una<br>
&gt;&gt; sección que dijese &quot;tal programa es confiable, en tal otro programa no<br>
&gt;&gt; confiamos&quot;.<br>
&gt;&gt;<br>
&gt;&gt; Otro ejemplo es la revista &quot;Quattroruote&quot; (una revista de autos) que en<br>
&gt;&gt; Italia es &quot;palabra santa&quot;, especialemente hablando de los precios, sea de<br>
&gt;&gt; los nuevos que lso autos usados.  NO hay forma de vender un auto en italia<br>
&gt;&gt; si difiere del precio que está eescrito en esa revista, que es considerado<br>
&gt;&gt; &quot;precio oficial&quot;, y punto, no hay discusión.<br>
&gt;&gt;<br>
&gt;&gt;<br>
&gt;&gt; Es más: los precios de dicha revista son tan &quot;oficiales&quot; que han tenido<br>
&gt;&gt; que cambiar la metodología con el pasar de los años, porque al principio en<br>
&gt;&gt; la revista ponían los precios de los usados siguiendo el mercado, pero desde<br>
&gt;&gt; hace muchos años es al revés: el mercado sigue a la revista.<br>
&gt;&gt; Por ejemplo: antiguamente el precio del auto usado en dicha revista decía:<br>
&gt;&gt; &quot;entre tal y tal precio&quot;. Eso tuvieron que anularlo y poner un precio solo,<br>
&gt;&gt; porque resultaba que los concesionarios seguían tan al pie de la letra a la<br>
&gt;&gt; revista &quot;quattroruote&quot;, que a fin de cuentas el precio más bajo era el<br>
&gt;&gt; precio de compra de un usado, y el precio mas alto era el precio de venta, y<br>
&gt;&gt; la diferencia era la ganancia del concesionario, resultando así que la<br>
&gt;&gt; revista también determinaba no solo los precios, sino también la ganancia de<br>
&gt;&gt; cada concesionario.<br>
&gt;&gt;<br>
&gt;&gt;<br>
&gt;&gt; Y eso algo que no lo hizo el Estado, ni el gobierno, es algo privado, así<br>
&gt;&gt; que no creo que se necesite al LATU que certifique nada, lo pueden hacer las<br>
&gt;&gt; personas normales y corrientes.<br>
&gt;&gt;<br>
&gt;&gt; --------------------------<br>
&gt;&gt;<br>
&gt;&gt; Ojalá en un futuro algún privado haga algo así con lo que estamos<br>
&gt;&gt; hablando, y certifique el software, , hasta que llegue un punto que si no<br>
&gt;&gt; tiene ese certificado, el software no lo compra ni lo usa nadie.<br>
&gt;&gt;<br>
&gt;&gt;<br>
&gt;&gt;<br>
&gt;&gt; Paolo Benini<br>
&gt;&gt;<br>
&gt;&gt;<br>
&gt;&gt;<br>
&gt;&gt; Paolo BEnini<br>
&gt;&gt;<br>
&gt;&gt; _______________________________________________<br>
&gt;&gt; Olpc-uruguay mailing list<br>
&gt;&gt; <a href="mailto:Olpc-uruguay@lists.laptop.org" target="_blank">Olpc-uruguay@lists.laptop.org</a><br>
&gt;&gt; <a href="http://lists.laptop.org/listinfo/olpc-uruguay" target="_blank">http://lists.laptop.org/listinfo/olpc-uruguay</a><br>
&gt;&gt;<br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt; --<br>
&gt; Fernando da Rosa<br>
&gt; <a href="mailto:fernando.darosa@gmail.com" target="_blank">fernando.darosa@gmail.com</a><br>
&gt; <a href="http://www.fedaro.info" target="_blank">http://www.fedaro.info</a><br>
&gt;<br>
&gt; _______________________________________________<br>
&gt; Olpc-uruguay mailing list<br>
&gt; <a href="mailto:Olpc-uruguay@lists.laptop.org" target="_blank">Olpc-uruguay@lists.laptop.org</a><br>
&gt; <a href="http://lists.laptop.org/listinfo/olpc-uruguay" target="_blank">http://lists.laptop.org/listinfo/olpc-uruguay</a><br>
&gt;<br>
&gt;<br>
_______________________________________________<br>
Olpc-uruguay mailing list<br>
<a href="mailto:Olpc-uruguay@lists.laptop.org" target="_blank">Olpc-uruguay@lists.laptop.org</a><br>
<a href="http://lists.laptop.org/listinfo/olpc-uruguay" target="_blank">http://lists.laptop.org/listinfo/olpc-uruguay</a><br>
</div></div></blockquote></div></div></div><br><br clear="all"><br>-- <br><div><div></div><div>Fernando da Rosa<br><a href="mailto:fernando.darosa@gmail.com" target="_blank">fernando.darosa@gmail.com</a><br><a href="http://www.fedaro.info" target="_blank">http://www.fedaro.info</a><br>



</div></div><br>_______________________________________________<br>
Olpc-uruguay mailing list<br>
<a href="mailto:Olpc-uruguay@lists.laptop.org" target="_blank">Olpc-uruguay@lists.laptop.org</a><br>
<a href="http://lists.laptop.org/listinfo/olpc-uruguay" target="_blank">http://lists.laptop.org/listinfo/olpc-uruguay</a><br>
<br></blockquote></div></div></div><br>
<br>_______________________________________________<br>
Olpc-uruguay mailing list<br>
<a href="mailto:Olpc-uruguay@lists.laptop.org">Olpc-uruguay@lists.laptop.org</a><br>
<a href="http://lists.laptop.org/listinfo/olpc-uruguay" target="_blank">http://lists.laptop.org/listinfo/olpc-uruguay</a><br>
<br></blockquote></div><br></div></div>