Me paree que el tema es bien interesante, pero no le compete al jam, nosotros no tenemos poder decisión alguno, ni siquiera de asesoramiento, es más, no se si saben de nuestra existencia.<br><br>PD:<br>Pasen por el portal ceibal, ahora el latu implemntó un nuevo sistema de seguridad.<br>
Esto confirma que no tienen ni la más pálida idea de lo que hacen, basta con ver el estado y uso de las xo a la fecha, este sistema nuevo entorpecerá mucho más el uso de las xo.<br><br><br><br><br><div class="gmail_quote">
El 21 de mayo de 2010 12:01, Fernando Da Rosa <span dir="ltr"><<a href="mailto:fedaro@adinet.com.uy">fedaro@adinet.com.uy</a>></span> escribió:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Ahora en serio, no me pude contener pido disculpas, imagínate Pablo que el software tiene una llamada al reloj y solo manda datos encriptados a partir del año que viene. ¿Como haces para saber, sin tener el código fuente, que no trasmite datos encriptados?. ¿Vas a estar monitorizando la máquina todo el tiempo?. Lo anterior es solo un ejemplo de muchos.<br>
<br>Saludos<br>Fernando<br><br><br><div class="gmail_quote">El 21 de mayo de 2010 11:58, Fernando Da Rosa <span dir="ltr"><<a href="mailto:fedaro@adinet.com.uy" target="_blank">fedaro@adinet.com.uy</a>></span> escribió:<div>
<div></div><div class="h5"><br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Bueno eso si que sería fabuloso, revisar tres items y asegurar que el SW no es malicioso. <br><br>Que digo, en realidad se podría reducir a un solo item. <br><br>Si se pudiera revisar la aplicación aunque el código estuviera cerrado y comprobar que no suceda lo siguiente:<br>
<br>1. Ejecución de código malicioso.<br><br>Podríamos certificar que el SW no es malicioso.<br><br>Saludos<br>Fernando<br><br><br><div class="gmail_quote">El 21 de mayo de 2010 11:03, Pablo Flores <span dir="ltr"><<a href="mailto:pflores2@gmail.com" target="_blank">pflores2@gmail.com</a>></span> escribió:<div>
<div></div><div><br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">Me pregunto si no será posible revisar en una aplicación para las XO, aunque su código esté cerrado, que NO suceda alguna de estas situaciones:<div>
1. Que se acceda a la cámara o micrófono</div><div>2. Que ejecute con permisos de Terminal (saltando Rainbow)</div>
<div>3. Que se transmitan datos enciptados </div><div><br></div><div>Si se pudiera comprobar esto sin abrir el SW, y haciendo una revisión del tráfico a Internet que realiza la aplicación, se podría certificar que el SW no es malicioso...<br>
<div><br clear="all">Saludos, <br>Pablo Flores<br>
<br><br><div class="gmail_quote">2010/5/21 Pablo Moleri <span dir="ltr"><<a href="mailto:pmoleri@gmail.com" target="_blank">pmoleri@gmail.com</a>></span><div><div></div><div><br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Esos avisos creo que sirven muy poco, salvo por algunos usuarios desconfiados.<br><br>Lo que se podría hacer en la XO sería implementar una firma para dar acceso como el que tiene hoy la XO y que las aplicaciones no firmadas corran en un sandbox más riguroso, sin acceso a cámara, microfono e internet.<br>
<br>Pero creo que esto entorpecería aún más los desarrollos. Parte de la genialidad del plan ceibal es que todos puedan acceder al mismo tipo de aplicaciones a las que accede cualquier ninó que tenga una PC en su casa, esto es lo que brinda igualdad y derriba la llamada brecha tecnológica, lo cual se estaría entorpeciendo si se agregaran más barreras.<br>
<br>Saludos,<br>Pablo Moleri<br><br><div class="gmail_quote">2010/5/21 Fernando Da Rosa <span dir="ltr"><<a href="mailto:fedaro@adinet.com.uy" target="_blank">fedaro@adinet.com.uy</a>></span><div><div></div><div>
<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Gabriel:<br><br>Sin duda, comparto tu planteo. Yo no hablaba de restringir, sino de dar pautas de seguridad en el caso de software privativo.<br><br>Con relación a Windows, en las últimas versiones, vas a ver que Microsoft bien que te avisa cuando vas a instalar algo que no cuenta con su aprobación. Lo tuvieron que hacer, justamente, para evitar los problemas de seguridad o al menos mitigarlos.<br>
<br>Saludos<br>Fernando<br><br><div class="gmail_quote">El 21 de mayo de 2010 08:41, Gabriel Eirea <span dir="ltr"><<a href="mailto:geirea@gmail.com" target="_blank">geirea@gmail.com</a>></span> escribió:<div><div>
</div><div><br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Estimados:<br>
<br>
Interesante discusión. Creo que tenemos que ser muy cautelosos al<br>
plantear la existencia de una certificación centralizada de software<br>
porque ello inevitablemente se convertiría en un obstáculo para la<br>
difusión libre de aplicaciones creadas por la comunidad. Son ideas que<br>
mejor no caigan en manos de ciertos burócratas.<br>
<br>
El éxito de la arquitectura PC y de Windows radican, entre otras<br>
cosas, en constituirse de hecho en una plataforma estándard para el<br>
desarrollo de aplicaciones. Este estándard se construyó inicialmente<br>
como un estándard abierto y de hecho lo sigue siendo si uno está<br>
dispuesto a invertir en las herramientas de desarrollo adecuadas. Se<br>
disponía de la información y las herramientas para que cualquiera<br>
pudiera desarrollar tanto hardware como software que funcionara sobre<br>
esta plataforma.<br>
<br>
Con la XO tenemos la limitante del acceso a root, que ya nos da<br>
bastantes problemas, si bien simplifica la solución de algunos<br>
aspectos de seguridad. Es decir, Ceibal no tiene ningún inconveniente<br>
en tomar medidas que restrinjan la libertad del usuario (y violen la<br>
licencia GPL) en nombre de la seguridad. No pidamos más de eso.<br>
<br>
Además, no es necesario.<br>
<br>
El tan criticado Rainbow funciona muy bien para tal fin si estuviera<br>
bien implementado. Las aplicaciones que se pueden instalar en Sugar<br>
están todas sujetas a las restricciones de Rainbow, excepto dos o tres<br>
(journal, terminal y alguna otra). Este es el hueco por donde se metió<br>
Flavio con su actividad Terminal. Bastaría con exigir un control más<br>
estricto sobre esas actividades puntuales que tienen desactivado<br>
Rainbow.<br>
<br>
No es posible instalar actividades que corran solas en el fondo, como<br>
por ejemplo actividades que monitoreen la actividad de los niños (a<br>
menos que lo haga oficialmente Ceibal, por supuesto). Las actividades<br>
deben ser ejecutadas explícitamente por los niños para poder<br>
funcionar.<br>
<br>
También, en nombre de la seguridad, recordemos que el kernel de linux<br>
utilizado en la XO tiene algunos años y no le vendría nada mal una<br>
actualización. La dejo por ahí.<br>
<br>
Existen soluciones sencillas a los potenciales problemas que presenta<br>
la instalación de software no controlado en la XO. En mi opinión la<br>
plataforma debe ser abierta para todo tipo de software.<br>
<br>
Saludos,<br>
<br>
Gabriel<br>
<br>
<br>
El día 21 de mayo de 2010 08:10, Fernando Da Rosa<br>
<div><<a href="mailto:fedaro@adinet.com.uy" target="_blank">fedaro@adinet.com.uy</a>> escribió:<br>
</div><div><div></div><div>> Estimado:<br>
><br>
> El LATU certifica muchas cosas, es una de sus tareas.<br>
><br>
> Por supuesto que CeibalJam puede certificar lo que quiera, pero hay una<br>
> diferencia, creo que es mucho más probable que un desarrollador de software<br>
> privativo entregue el código fuente al LATU que a CeibalJam, no solo por un<br>
> tema de fama, sino porque si no publica su código fuente es justamente<br>
> porque no quiere que lo tenga "la competencia", ¿se entiende?. Y el LATU<br>
> como organismo oficial, seguramente le de más garantías en cuanto a cumplir<br>
> con un contrato de no revelar el código fuente.<br>
><br>
> En todo caso yo lo que quería era dejar planteado el tema, realmente me<br>
> preocupa el tema de instalar software a ciegas. Concuerdo en que el LATU<br>
> debería publicar el código pero también debemos entender que una cosa es el<br>
> LATU, que dio inicio a CEIBAL y esta muy interesado en que todo ande bien y<br>
> otra cosa es enfrentarse a un programa que algún desconocido podría subir a<br>
> un sitio web.<br>
><br>
> Aclaro que no propongo ni defiendo que el LATU lo haga, ni se si le puede<br>
> interesar o querer, lo que hice fue dar un ejemplo, podría ser AGESIC u otro<br>
> organismo. Y sin duda que CeibalJam si lo desea puede hacer listas de<br>
> software de lo que guste. Lo que me parece difícil es, como decía antes, el<br>
> tema del acceso al código fuente.<br>
><br>
> En el caso de programas que promocionan una determinada marca comercial, la<br>
> marca es la que pone la cara y debería (si fuera inteligente) exigir el<br>
> código fuente y auditarlo o liberarlo. Dado que si luego el programa hace<br>
> algo perjudicial para el usuario o el equipo, la más dañada va a ser la<br>
> imagen de la marca. Eso es algo que tendrían que entender desde las<br>
> agencias de publicidad hasta los gerentes de las empresas.<br>
><br>
> Saludos<br>
> Fernando<br>
><br>
> El 21 de mayo de 2010 01:54, <<a href="mailto:nanonano@mediagala.com" target="_blank">nanonano@mediagala.com</a>> escribió:<br>
>><br>
>> >Flavio Danesse wrote:<br>
>> >... si queremos abrir todo el código que hay en nuestras xo tenemos que<br>
>> > empezar por el LATU.<br>
>><br>
>> -----------------------------------------------------------------------------------------------<br>
>><br>
>><br>
>> Concuerdo con Flavio, sería absurdo pedirle al LATU que certifique<br>
>> programas "buenos y amigables", cuando en realida los programas que instala<br>
>> el LATU no lo son, ya que para empezar violan las licencias del software<br>
>> libre (las licencias del software libre lo obligan a entragar software<br>
>> libre, sin clave alguna).<br>
>><br>
>><br>
>> Creo que tenemos que dejar de esperar que alguien de "más arriba", o el<br>
>> estaddo nos solucione tal o cual problema, creo que es mejor si uno mismo<br>
>> trata de agarrar la posta.<br>
>><br>
>> Por ejemplo: ¿porqué tendría que ser el LATU el que certifique la "bondad"<br>
>> de un software?????<br>
>><br>
>> ¿NO podría ser el Ceibal JAM el que lo haga???????<br>
>> ¿porque siempre pensamos en un ente del estado para ese tipo de cosas,<br>
>> cuando lo puede hacer un ente o asociación privada?<br>
>><br>
>> Sí, Sí, ya sé que el CeibalJAm no tiene la "FAMA" o el reconocimiento<br>
>> internacional que el LATU, pero les recuerdo que en Estados Unidos existe un<br>
>> ente privado (no recuerdo el nombre exacto) que al principio era una revista<br>
>> que probaba los electrodomésticos, para ver si eran confiables, y con el<br>
>> tiempo esa revista se convirtió en un estandard de facto, si en esa revista<br>
>> lo bochaban, el aparato no podías venderlo.<br>
>><br>
>> Yo no vería nada descabellado que en la pagina del CeibalJAM hubiese una<br>
>> sección que dijese "tal programa es confiable, en tal otro programa no<br>
>> confiamos".<br>
>><br>
>> Otro ejemplo es la revista "Quattroruote" (una revista de autos) que en<br>
>> Italia es "palabra santa", especialemente hablando de los precios, sea de<br>
>> los nuevos que lso autos usados. NO hay forma de vender un auto en italia<br>
>> si difiere del precio que está eescrito en esa revista, que es considerado<br>
>> "precio oficial", y punto, no hay discusión.<br>
>><br>
>><br>
>> Es más: los precios de dicha revista son tan "oficiales" que han tenido<br>
>> que cambiar la metodología con el pasar de los años, porque al principio en<br>
>> la revista ponían los precios de los usados siguiendo el mercado, pero desde<br>
>> hace muchos años es al revés: el mercado sigue a la revista.<br>
>> Por ejemplo: antiguamente el precio del auto usado en dicha revista decía:<br>
>> "entre tal y tal precio". Eso tuvieron que anularlo y poner un precio solo,<br>
>> porque resultaba que los concesionarios seguían tan al pie de la letra a la<br>
>> revista "quattroruote", que a fin de cuentas el precio más bajo era el<br>
>> precio de compra de un usado, y el precio mas alto era el precio de venta, y<br>
>> la diferencia era la ganancia del concesionario, resultando así que la<br>
>> revista también determinaba no solo los precios, sino también la ganancia de<br>
>> cada concesionario.<br>
>><br>
>><br>
>> Y eso algo que no lo hizo el Estado, ni el gobierno, es algo privado, así<br>
>> que no creo que se necesite al LATU que certifique nada, lo pueden hacer las<br>
>> personas normales y corrientes.<br>
>><br>
>> --------------------------<br>
>><br>
>> Ojalá en un futuro algún privado haga algo así con lo que estamos<br>
>> hablando, y certifique el software, , hasta que llegue un punto que si no<br>
>> tiene ese certificado, el software no lo compra ni lo usa nadie.<br>
>><br>
>><br>
>><br>
>> Paolo Benini<br>
>><br>
>><br>
>><br>
>> Paolo BEnini<br>
>><br>
>> _______________________________________________<br>
>> Olpc-uruguay mailing list<br>
>> <a href="mailto:Olpc-uruguay@lists.laptop.org" target="_blank">Olpc-uruguay@lists.laptop.org</a><br>
>> <a href="http://lists.laptop.org/listinfo/olpc-uruguay" target="_blank">http://lists.laptop.org/listinfo/olpc-uruguay</a><br>
>><br>
><br>
><br>
><br>
> --<br>
> Fernando da Rosa<br>
> <a href="mailto:fernando.darosa@gmail.com" target="_blank">fernando.darosa@gmail.com</a><br>
> <a href="http://www.fedaro.info" target="_blank">http://www.fedaro.info</a><br>
><br>
> _______________________________________________<br>
> Olpc-uruguay mailing list<br>
> <a href="mailto:Olpc-uruguay@lists.laptop.org" target="_blank">Olpc-uruguay@lists.laptop.org</a><br>
> <a href="http://lists.laptop.org/listinfo/olpc-uruguay" target="_blank">http://lists.laptop.org/listinfo/olpc-uruguay</a><br>
><br>
><br>
_______________________________________________<br>
Olpc-uruguay mailing list<br>
<a href="mailto:Olpc-uruguay@lists.laptop.org" target="_blank">Olpc-uruguay@lists.laptop.org</a><br>
<a href="http://lists.laptop.org/listinfo/olpc-uruguay" target="_blank">http://lists.laptop.org/listinfo/olpc-uruguay</a><br>
</div></div></blockquote></div></div></div><br><br clear="all"><br>-- <br><div><div></div><div>Fernando da Rosa<br><a href="mailto:fernando.darosa@gmail.com" target="_blank">fernando.darosa@gmail.com</a><br><a href="http://www.fedaro.info" target="_blank">http://www.fedaro.info</a><br>
</div></div><br>_______________________________________________<br>
Olpc-uruguay mailing list<br>
<a href="mailto:Olpc-uruguay@lists.laptop.org" target="_blank">Olpc-uruguay@lists.laptop.org</a><br>
<a href="http://lists.laptop.org/listinfo/olpc-uruguay" target="_blank">http://lists.laptop.org/listinfo/olpc-uruguay</a><br>
<br></blockquote></div></div></div><br>
<br>_______________________________________________<br>
Olpc-uruguay mailing list<br>
<a href="mailto:Olpc-uruguay@lists.laptop.org" target="_blank">Olpc-uruguay@lists.laptop.org</a><br>
<a href="http://lists.laptop.org/listinfo/olpc-uruguay" target="_blank">http://lists.laptop.org/listinfo/olpc-uruguay</a><br>
<br></blockquote></div></div></div><br></div></div>
<br>_______________________________________________<br>
Olpc-uruguay mailing list<br>
<a href="mailto:Olpc-uruguay@lists.laptop.org" target="_blank">Olpc-uruguay@lists.laptop.org</a><br>
<a href="http://lists.laptop.org/listinfo/olpc-uruguay" target="_blank">http://lists.laptop.org/listinfo/olpc-uruguay</a><br>
<br></blockquote></div></div></div><div><div></div><div><br><br clear="all"><br>-- <br>Fernando da Rosa<br><a href="mailto:fernando.darosa@gmail.com" target="_blank">fernando.darosa@gmail.com</a><br><a href="http://www.fedaro.info" target="_blank">http://www.fedaro.info</a><br>
</div></div></blockquote></div></div></div><br><br clear="all"><br>-- <br><div><div></div><div class="h5">Fernando da Rosa<br><a href="mailto:fernando.darosa@gmail.com" target="_blank">fernando.darosa@gmail.com</a><br><a href="http://www.fedaro.info" target="_blank">http://www.fedaro.info</a><br>
</div></div><br>_______________________________________________<br>
Olpc-uruguay mailing list<br>
<a href="mailto:Olpc-uruguay@lists.laptop.org">Olpc-uruguay@lists.laptop.org</a><br>
<a href="http://lists.laptop.org/listinfo/olpc-uruguay" target="_blank">http://lists.laptop.org/listinfo/olpc-uruguay</a><br>
<br></blockquote></div><br>