Me pregunto si no será posible revisar en una aplicación para las XO, aunque su código esté cerrado, que NO suceda alguna de estas situaciones:<div>1. Que se acceda a la cámara o micrófono</div><div>2. Que ejecute con permisos de Terminal (saltando Rainbow)</div>
<div>3. Que se transmitan datos enciptados </div><div><br></div><div>Si se pudiera comprobar esto sin abrir el SW, y haciendo una revisión del tráfico a Internet que realiza la aplicación, se podría certificar que el SW no es malicioso...<br>
<div><br clear="all">Saludos, <br>Pablo Flores<br>
<br><br><div class="gmail_quote">2010/5/21 Pablo Moleri <span dir="ltr"><<a href="mailto:pmoleri@gmail.com">pmoleri@gmail.com</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
Esos avisos creo que sirven muy poco, salvo por algunos usuarios desconfiados.<br><br>Lo que se podría hacer en la XO sería implementar una firma para dar acceso como el que tiene hoy la XO y que las aplicaciones no firmadas corran en un sandbox más riguroso, sin acceso a cámara, microfono e internet.<br>
<br>Pero creo que esto entorpecería aún más los desarrollos. Parte de la genialidad del plan ceibal es que todos puedan acceder al mismo tipo de aplicaciones a las que accede cualquier ninó que tenga una PC en su casa, esto es lo que brinda igualdad y derriba la llamada brecha tecnológica, lo cual se estaría entorpeciendo si se agregaran más barreras.<br>
<br>Saludos,<br>Pablo Moleri<br><br><div class="gmail_quote">2010/5/21 Fernando Da Rosa <span dir="ltr"><<a href="mailto:fedaro@adinet.com.uy" target="_blank">fedaro@adinet.com.uy</a>></span><div><div></div><div class="h5">
<br><blockquote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204, 204, 204);padding-left:1ex">
Gabriel:<br><br>Sin duda, comparto tu planteo. Yo no hablaba de restringir, sino de dar pautas de seguridad en el caso de software privativo.<br><br>Con relación a Windows, en las últimas versiones, vas a ver que Microsoft bien que te avisa cuando vas a instalar algo que no cuenta con su aprobación. Lo tuvieron que hacer, justamente, para evitar los problemas de seguridad o al menos mitigarlos.<br>
<br>Saludos<br>Fernando<br><br><div class="gmail_quote">El 21 de mayo de 2010 08:41, Gabriel Eirea <span dir="ltr"><<a href="mailto:geirea@gmail.com" target="_blank">geirea@gmail.com</a>></span> escribió:<div><div>
</div><div><br><blockquote class="gmail_quote" style="border-left:1px solid rgb(204, 204, 204);margin:0pt 0pt 0pt 0.8ex;padding-left:1ex">
Estimados:<br>
<br>
Interesante discusión. Creo que tenemos que ser muy cautelosos al<br>
plantear la existencia de una certificación centralizada de software<br>
porque ello inevitablemente se convertiría en un obstáculo para la<br>
difusión libre de aplicaciones creadas por la comunidad. Son ideas que<br>
mejor no caigan en manos de ciertos burócratas.<br>
<br>
El éxito de la arquitectura PC y de Windows radican, entre otras<br>
cosas, en constituirse de hecho en una plataforma estándard para el<br>
desarrollo de aplicaciones. Este estándard se construyó inicialmente<br>
como un estándard abierto y de hecho lo sigue siendo si uno está<br>
dispuesto a invertir en las herramientas de desarrollo adecuadas. Se<br>
disponía de la información y las herramientas para que cualquiera<br>
pudiera desarrollar tanto hardware como software que funcionara sobre<br>
esta plataforma.<br>
<br>
Con la XO tenemos la limitante del acceso a root, que ya nos da<br>
bastantes problemas, si bien simplifica la solución de algunos<br>
aspectos de seguridad. Es decir, Ceibal no tiene ningún inconveniente<br>
en tomar medidas que restrinjan la libertad del usuario (y violen la<br>
licencia GPL) en nombre de la seguridad. No pidamos más de eso.<br>
<br>
Además, no es necesario.<br>
<br>
El tan criticado Rainbow funciona muy bien para tal fin si estuviera<br>
bien implementado. Las aplicaciones que se pueden instalar en Sugar<br>
están todas sujetas a las restricciones de Rainbow, excepto dos o tres<br>
(journal, terminal y alguna otra). Este es el hueco por donde se metió<br>
Flavio con su actividad Terminal. Bastaría con exigir un control más<br>
estricto sobre esas actividades puntuales que tienen desactivado<br>
Rainbow.<br>
<br>
No es posible instalar actividades que corran solas en el fondo, como<br>
por ejemplo actividades que monitoreen la actividad de los niños (a<br>
menos que lo haga oficialmente Ceibal, por supuesto). Las actividades<br>
deben ser ejecutadas explícitamente por los niños para poder<br>
funcionar.<br>
<br>
También, en nombre de la seguridad, recordemos que el kernel de linux<br>
utilizado en la XO tiene algunos años y no le vendría nada mal una<br>
actualización. La dejo por ahí.<br>
<br>
Existen soluciones sencillas a los potenciales problemas que presenta<br>
la instalación de software no controlado en la XO. En mi opinión la<br>
plataforma debe ser abierta para todo tipo de software.<br>
<br>
Saludos,<br>
<br>
Gabriel<br>
<br>
<br>
El día 21 de mayo de 2010 08:10, Fernando Da Rosa<br>
<div><<a href="mailto:fedaro@adinet.com.uy" target="_blank">fedaro@adinet.com.uy</a>> escribió:<br>
</div><div><div></div><div>> Estimado:<br>
><br>
> El LATU certifica muchas cosas, es una de sus tareas.<br>
><br>
> Por supuesto que CeibalJam puede certificar lo que quiera, pero hay una<br>
> diferencia, creo que es mucho más probable que un desarrollador de software<br>
> privativo entregue el código fuente al LATU que a CeibalJam, no solo por un<br>
> tema de fama, sino porque si no publica su código fuente es justamente<br>
> porque no quiere que lo tenga "la competencia", ¿se entiende?. Y el LATU<br>
> como organismo oficial, seguramente le de más garantías en cuanto a cumplir<br>
> con un contrato de no revelar el código fuente.<br>
><br>
> En todo caso yo lo que quería era dejar planteado el tema, realmente me<br>
> preocupa el tema de instalar software a ciegas. Concuerdo en que el LATU<br>
> debería publicar el código pero también debemos entender que una cosa es el<br>
> LATU, que dio inicio a CEIBAL y esta muy interesado en que todo ande bien y<br>
> otra cosa es enfrentarse a un programa que algún desconocido podría subir a<br>
> un sitio web.<br>
><br>
> Aclaro que no propongo ni defiendo que el LATU lo haga, ni se si le puede<br>
> interesar o querer, lo que hice fue dar un ejemplo, podría ser AGESIC u otro<br>
> organismo. Y sin duda que CeibalJam si lo desea puede hacer listas de<br>
> software de lo que guste. Lo que me parece difícil es, como decía antes, el<br>
> tema del acceso al código fuente.<br>
><br>
> En el caso de programas que promocionan una determinada marca comercial, la<br>
> marca es la que pone la cara y debería (si fuera inteligente) exigir el<br>
> código fuente y auditarlo o liberarlo. Dado que si luego el programa hace<br>
> algo perjudicial para el usuario o el equipo, la más dañada va a ser la<br>
> imagen de la marca. Eso es algo que tendrían que entender desde las<br>
> agencias de publicidad hasta los gerentes de las empresas.<br>
><br>
> Saludos<br>
> Fernando<br>
><br>
> El 21 de mayo de 2010 01:54, <<a href="mailto:nanonano@mediagala.com" target="_blank">nanonano@mediagala.com</a>> escribió:<br>
>><br>
>> >Flavio Danesse wrote:<br>
>> >... si queremos abrir todo el código que hay en nuestras xo tenemos que<br>
>> > empezar por el LATU.<br>
>><br>
>> -----------------------------------------------------------------------------------------------<br>
>><br>
>><br>
>> Concuerdo con Flavio, sería absurdo pedirle al LATU que certifique<br>
>> programas "buenos y amigables", cuando en realida los programas que instala<br>
>> el LATU no lo son, ya que para empezar violan las licencias del software<br>
>> libre (las licencias del software libre lo obligan a entragar software<br>
>> libre, sin clave alguna).<br>
>><br>
>><br>
>> Creo que tenemos que dejar de esperar que alguien de "más arriba", o el<br>
>> estaddo nos solucione tal o cual problema, creo que es mejor si uno mismo<br>
>> trata de agarrar la posta.<br>
>><br>
>> Por ejemplo: ¿porqué tendría que ser el LATU el que certifique la "bondad"<br>
>> de un software?????<br>
>><br>
>> ¿NO podría ser el Ceibal JAM el que lo haga???????<br>
>> ¿porque siempre pensamos en un ente del estado para ese tipo de cosas,<br>
>> cuando lo puede hacer un ente o asociación privada?<br>
>><br>
>> Sí, Sí, ya sé que el CeibalJAm no tiene la "FAMA" o el reconocimiento<br>
>> internacional que el LATU, pero les recuerdo que en Estados Unidos existe un<br>
>> ente privado (no recuerdo el nombre exacto) que al principio era una revista<br>
>> que probaba los electrodomésticos, para ver si eran confiables, y con el<br>
>> tiempo esa revista se convirtió en un estandard de facto, si en esa revista<br>
>> lo bochaban, el aparato no podías venderlo.<br>
>><br>
>> Yo no vería nada descabellado que en la pagina del CeibalJAM hubiese una<br>
>> sección que dijese "tal programa es confiable, en tal otro programa no<br>
>> confiamos".<br>
>><br>
>> Otro ejemplo es la revista "Quattroruote" (una revista de autos) que en<br>
>> Italia es "palabra santa", especialemente hablando de los precios, sea de<br>
>> los nuevos que lso autos usados. NO hay forma de vender un auto en italia<br>
>> si difiere del precio que está eescrito en esa revista, que es considerado<br>
>> "precio oficial", y punto, no hay discusión.<br>
>><br>
>><br>
>> Es más: los precios de dicha revista son tan "oficiales" que han tenido<br>
>> que cambiar la metodología con el pasar de los años, porque al principio en<br>
>> la revista ponían los precios de los usados siguiendo el mercado, pero desde<br>
>> hace muchos años es al revés: el mercado sigue a la revista.<br>
>> Por ejemplo: antiguamente el precio del auto usado en dicha revista decía:<br>
>> "entre tal y tal precio". Eso tuvieron que anularlo y poner un precio solo,<br>
>> porque resultaba que los concesionarios seguían tan al pie de la letra a la<br>
>> revista "quattroruote", que a fin de cuentas el precio más bajo era el<br>
>> precio de compra de un usado, y el precio mas alto era el precio de venta, y<br>
>> la diferencia era la ganancia del concesionario, resultando así que la<br>
>> revista también determinaba no solo los precios, sino también la ganancia de<br>
>> cada concesionario.<br>
>><br>
>><br>
>> Y eso algo que no lo hizo el Estado, ni el gobierno, es algo privado, así<br>
>> que no creo que se necesite al LATU que certifique nada, lo pueden hacer las<br>
>> personas normales y corrientes.<br>
>><br>
>> --------------------------<br>
>><br>
>> Ojalá en un futuro algún privado haga algo así con lo que estamos<br>
>> hablando, y certifique el software, , hasta que llegue un punto que si no<br>
>> tiene ese certificado, el software no lo compra ni lo usa nadie.<br>
>><br>
>><br>
>><br>
>> Paolo Benini<br>
>><br>
>><br>
>><br>
>> Paolo BEnini<br>
>><br>
>> _______________________________________________<br>
>> Olpc-uruguay mailing list<br>
>> <a href="mailto:Olpc-uruguay@lists.laptop.org" target="_blank">Olpc-uruguay@lists.laptop.org</a><br>
>> <a href="http://lists.laptop.org/listinfo/olpc-uruguay" target="_blank">http://lists.laptop.org/listinfo/olpc-uruguay</a><br>
>><br>
><br>
><br>
><br>
> --<br>
> Fernando da Rosa<br>
> <a href="mailto:fernando.darosa@gmail.com" target="_blank">fernando.darosa@gmail.com</a><br>
> <a href="http://www.fedaro.info" target="_blank">http://www.fedaro.info</a><br>
><br>
> _______________________________________________<br>
> Olpc-uruguay mailing list<br>
> <a href="mailto:Olpc-uruguay@lists.laptop.org" target="_blank">Olpc-uruguay@lists.laptop.org</a><br>
> <a href="http://lists.laptop.org/listinfo/olpc-uruguay" target="_blank">http://lists.laptop.org/listinfo/olpc-uruguay</a><br>
><br>
><br>
_______________________________________________<br>
Olpc-uruguay mailing list<br>
<a href="mailto:Olpc-uruguay@lists.laptop.org" target="_blank">Olpc-uruguay@lists.laptop.org</a><br>
<a href="http://lists.laptop.org/listinfo/olpc-uruguay" target="_blank">http://lists.laptop.org/listinfo/olpc-uruguay</a><br>
</div></div></blockquote></div></div></div><br><br clear="all"><br>-- <br><div><div></div><div>Fernando da Rosa<br><a href="mailto:fernando.darosa@gmail.com" target="_blank">fernando.darosa@gmail.com</a><br><a href="http://www.fedaro.info" target="_blank">http://www.fedaro.info</a><br>
</div></div><br>_______________________________________________<br>
Olpc-uruguay mailing list<br>
<a href="mailto:Olpc-uruguay@lists.laptop.org" target="_blank">Olpc-uruguay@lists.laptop.org</a><br>
<a href="http://lists.laptop.org/listinfo/olpc-uruguay" target="_blank">http://lists.laptop.org/listinfo/olpc-uruguay</a><br>
<br></blockquote></div></div></div><br>
<br>_______________________________________________<br>
Olpc-uruguay mailing list<br>
<a href="mailto:Olpc-uruguay@lists.laptop.org">Olpc-uruguay@lists.laptop.org</a><br>
<a href="http://lists.laptop.org/listinfo/olpc-uruguay" target="_blank">http://lists.laptop.org/listinfo/olpc-uruguay</a><br>
<br></blockquote></div><br></div></div>