Vulnerabilidad en el software Drupal CMS : Alerta de la Comunidad

El software es como los eres humanos … tiene sus patologías que esporádicamente afloran .

Por ejemplo , en el gestor de contenidos ( Content Management System – CMS ) Drupal , se ha detectado la siguiente incidencia, en el ámbito del  riesgo de exposición y vulnerabilidades comunes .

En el caso del software libre y de código fuente abierto ( FLOSS ), la ventaja es que la vacuna a las patologías ( vulnerabilidades ) … se detecta antes, y se le puede aplicar el antídoto con celeridad.

 

 

 

 

 

« Medidas de mitigación

Para evitar estar expuestos es necesario la instalación inmediata de la versión más reciente del Drupal:

Si utiliza Drupal 8.3.x, actualice a la versión 8.3.9 (recuerde que esto son versiones ya no compatibles)
Si utiliza Drupal 8.4.x, actualice a la versión 8.4.6 (recuerde que esto son versiones ya no compatibles)
Si utiliza Drupal 8.5.x, actualice a la versión 8.5.1
Si utiliza Drupal 7.x, actualice a la versión 7.58
Si utiliza Drupal 6.x contacte con un mantenedor de Drupal 6 LTS. »

Basta con una simple actualización software. Es el poder de la comunidad.

 

Ascii-art by Fanta .

02/04/2018

Posted In: comunidad, softwareLibre

Leave a Comment

A vueltas con lo que nos trae Drupal 8 CMS | ¿ Frontend vs Backend ?

Intro

 

Hay vida más allá de Worpdress , sí …. . Nosotros hemos optado por Drupal CMS y Laravel (un más reciente PHP framework ).

La evolución de Drupal 7 a Drupal 8 (actualmente maduro ya, en su versión 8.5 ) trajo consigo la reescritura del 70% del código base. Ahí es nada. Toda una ‘refactorización’ de este híbrido entre Gestor de Contenidos (CMS) y Framework de programación de sistemas Web ( el framework Symfony  es ahora el núcleo subyacente, intégrandose más y más con la comunidad del lenguaje PHP ).

Tanto es así que se ha producido un fork en la comunidad : Backdrop CMS quiere volver a las raíces de Drupal. Oriéntadose a organizaciones y proyectos Web de tamaño mediano/pequeño, con toda la potencia Drupal.

Uno de los cambios radicales en Drupal 8, va por ahí… precisamente : « programar no páginas … sino Sistemas Web ».

La comunidad de desarrollo Drupal se adapta así a la a profusión de interfaces de programación Web (API) , microservicios y el dejar atrás desarrollos software monolíticos. En otras palabras, parecería que la tendencia es a imbricar y tejer servicios Web entre sí, más allá de mastodontes de software ‘aislados’. Hablaremos de eso más adelante. Así pues entre otras muchas novedades de la nueva versión, queremos destacar…

Facilitar la Experiencia del usuario (UX) editor ?

Patrocinado por Acquia (la empresa que fundó a posteriori autor original del código base  Drupal): el proyecto Spark en Drupal nació para eso… y a día de hoy , permite hacer con este modulo software  pasar a la acción sobre el contenido de forma sencilla (UX del editor ? ), en tiempo casi-real. Hemos podido comprobar que la experiencia del usuario (UX), el rol de editor, se torna más sencilla y placentera. Pudiéndose comprobar los cambios y edición de contenido cuasi instantáneamente de forma visual.

 

Logo Drupal 8

Hay una tendencia a desacoplar  el FrontEnd del Backend.

Como veníamos comentando en la inroducción de este texto. Pare ello, hay en Drupal varias herramientas y funcionalidades, que se han potenciado mucho especialmente en la nueva versión.

Coupled-vs-Decoupled

Y más en profundidad, el concepto de Headless Drupal o Decoupled… se traduciría… “Descabezado” o “Desacoplado” ? (quedando Drupal como mero backend REST API … si bien, no he podido probar eso aún, en la práctica ) Acá algunas referencias… casos de uso, que se compartieron en DrupalCamp ‘s .

Drupal Camp ES 2017 – la Casa Encendida

 

PD1: mención especial a la maravillosa labor de difusión, a la Asociación Española Drupal (AED)

PD2: Nos preguntamos si Laravel  también va incorporando esos conceptos… de hecho, ya lo hace… creo, y ese camino, pasa por el framework FrontEnd JavaScript de carácter comunitario  VueJS ?

23/03/2018

Posted In: softwareLibre

Leave a Comment

Abundancia, escasez y direcciones en Internet

El esperanto de Internet, que permite a las redes hablarse entre sí, la piedra angularde nuestras comunicaciones digitales es el conocido como protocolo IP ( Internet Protocol).
Un cojunto de normas básicas de comunicación entre nodos de una red que nació, en plena guerra fría, con el objetivo de resiliencia y robustez ante ataques nucleares.

 

 Magia de la comunicación

Cada paquete de datos que transmite nuestro PC o dispositivo móvil debía ser, por ende, autónomo.
Capaz de encontrar su destinatario (prácticamente) por si sólo,
en la otra parte del globo, si fuera necesario. Si el puente no se puede cruzar o la ruta
ya no puede seguirse, se buscan alternativas de forma automática. Tozuda y resilientemente.

Esa es la (auto)magia del protocolo IP, basado en un esquema de direccionamiento.
IP en su versión 4 lleva operativo muchas décadas ya. Toca actualizarlo.

En 2008 ya se podían hacer comunicaciones IPv6 extremo a extremo. En 2012 las Grandes Corporaciones del ciberespacio
anunciaron que ya empezaban a publicar en IPv6 , simultáneamente a IPv4.

 

¿ que ocurre que no llega la nueva Internet (IPv6) ?

Ahora bien, si IPv6 fuera implementado y adoptado de forma masiva… ¿ quien necesitaría determinados servicios ? ¿ porque no enviar eMail de forma distribuida (P2P, ya técnicamente posible, dicen… con ‘Crypto-Address Allocation RFC’ ) ? ¿quien necesita de servicios de mensajería instantánea – chat centralizados en manos de unos pocos ? ¿ por qué no llamar telefónicamente (SIP – VoIP ) sin intermediarios (Telco’s) ?


Hay algo de sospechoso en este retraso en la implementación. Empezamos a pensar que IPv6 jamás será implementado de forma eficiente, por una sencilla razón : el direccionamiento IPv4 da mucho dinero.

IPv4 es un recurso escaso . Un recurso escaso cuesta más y más dinero. IPv6 es “la solución ” a la escasez de direcciones IP. Sin embargo, las Telco’s y Proveedores de Internet ( ISP ) no ganan dinero al aplicar la solución .

De algún modo…¿ hay cierta conspiración Corporativa orientada a dejar IPv6 languidecer en la incompetencia el mayor tiempo posible… ?

 

Abundancia y escasez en el S.XXI

Lo que debería superar el viejo paradigma industrial y extractivista, y la artificial escasez que quiere imperar en el sistema socioeconómico, se reafirma en su statu quo acaparador.
El S.XXI debería ser (por fin) … ¿ no sólo el de la Era de la Información (Libre) sino también la de la Abundancia para todxs y no sólo para unxs pocxs ?

28/02/2018

Posted In: InternetDeNuestrasCosas

Etiquetas: , ,

Leave a Comment

Vida y muerte de Flash (es)

Naturalmente, está es una historia ( o pesadilla.. .según se mire) contada de una forma de vista muy personal. Puede transpirar cierto resentimiento… dolor, más bien. Quizás porque aún no somos conscientes del daño que infringen ciertas tecnologías, que se presentan como revolucionarias y aparentemente inocuas. Esta es la historia de algo que ocurrió en la red de redes… y que nunca debió suceder, pues todxs fuimos (en parte) partícipes… dejándonos llevar por promesas de “luces y colores”. ¿ Aprenderemos de lo ocurrido ? Bien… ‘érase una vez’…

Adobe y sus Flash(es)

Adobe es prima hermana de Micro$oft , en tanto en cuanto son un peligro público para el procomún y el medio del siglo XXI que representa Internet.

Creó Flash Player … hace muchos años. Una forma de embeber animaciones y efectos de ‘luces y cohetes’ que encantan a determinado público… Muchos desarrolladores de la parte más de diseño… empezaron insertar Flash , por todas partes. Y con el tiempo, abrimos los ojos y despertamos en una pesadilla . Era un cáncer . Resulta que Internet estaba infectada de tecnología no estándar y propietaria. Que hacía… las páginas más ‘saltonas y llamativas’. Y pesadas… y no compatibles en muchos casos (entre diferentes navegadores )

La comunidad internauta reaccionó… y naturalmente, desarrolló avanzadas hojas de estilo CSS más potente sobre el lenguaje HTML5 ( y algo de JavaScript , JQuery… aunque esto daría mucho que hablar también ). Naturalmente a ello contribuyeron tantos las empresas más ‘Open‘ de la red de redes como los organismos internacionales de regulación de estándares y tecnologías a usar en la Web.

Los grandes se cansaron de pagar ‘royalties’ a Adobe, por unas simples animaciones gráficas que ya podían hacer de forma estándar, como dijimos en el anterior párrafo. Retiraron el soporte Flash en sus navegadores y tecnologías , progresivamente… dándole la estocada de muerte.

 

Descanse en paz .

 

Adobe Flash ha muerto.

Larga vida a (estándares) HTML5 + CSS3 + …

 

 

¿ De libre a gratis ?

Presiento que por ello, como Micro$oft, ahora se suma Adobe a una suerte de “Quintacolumna” … en su versión … ‘todo gratis’ . (si bien, hay hay que matizar, que cierto OpenSource …  mira más bien por la excelencia del software, sin llegar a licenciarse comoSoftware Libre: el que nos empodera realmente, ¿sin trampas ni hipotecas? ) :

(leído en un producto Adobe )

« Snap.svg is available under an Apache 2 license which means it’s completely open-source, and completely free. »

http://snapsvg.io/

o … « así es como pasamos del ” Free and open source software ” al ” open source source and “free ”

Ojo, pues traducido, dada la ambiguedad del término anglosajón ‘free’ , la segunda acepción se orienta más al ‘free’ como gratis que a su significado libertario.

En los “detalles está Dios” (como diría Unamuno) ?

24/02/2018

Posted In: softwareLibre

Etiquetas: ,

Leave a Comment

Ada

A Ada se la reconoce en el mundo de la Informática. Por dar nombre a un lenguaje de programación orientado a objetos. Y, por otra parte (menos conocido?), ser el nombre de la ‘primera programadora’ reconocida: Ada Lovelace. En su vida, 1815 – 1852, tuvo ocasión de conocer (entre otros) a Faraday y a Charles Dickens.

“[..]A una edad temprana, su talento matemático la condujo a una relación de amistad prolongada con el matemático inglés Charles Babbage, y concretamente con la obra de Babbage sobre la máquina analítica.9​ Entre 1842 y 1843, tradujo un artículo del ingeniero militar italiano Luigi Menabrea sobre la máquina, que complementó con un amplio conjunto de notas propias, denominadas simplemente Notas. Estas notas contienen lo que se considera como el primer programa de ordenador, esto es, un algoritmo codificado para que una máquina lo procese. Las notas de Lovelace son importantes en la historia de la computación.[..]”

Estos días, por otro lado, se celebra el «Día Internacional de la mujer y la niña en la Ciencia». ¿ Que mejor ocasión ?. Ojalà pronto no tengamos que recordar todo ello como algo ‘especial’. Pues será algo tan natural ‘como la vida misma’. Como siempre fue.

El Algoritmo de Ada

 

Pd : dedicado a las (H)Ada’s que nos acompañan, y son reconocidas, por fin.

13/02/2018

Posted In: comunidad

Leave a Comment

Patologías, DevOps y Drupal (7)

En los inicios de mis desarrollos con Drupal CMS , nuestro flujo de trabajo (Workflow) era bien rudimentario. Se basaba en, de forma iterativa, ir ensayando las diferentes funcionalidades requeridas, generando así múltiples maquetas que se iban acumulando en mi disco duro. Con sus correspondientes bases de datos. Algo chapuza, vaya, francamente.

El hecho de que Drupal tiene el defecto patológico de no hacer una distinción práctica de código, configuración y datos (estos últimos comparten la base de datos) complica más las cosas.

Ese defecto ‘de fábrica’ ha sido corregido ya en la nueva D8 (en la que se ha reescrito el 70% del código). Mezclar contenidos y configuración en la base de datos (BBDD) hace que tengamos que hacer malabarismo entre los diferentes entornos de trabajo online. Pongamos, por simplificar,

  • Desarrollo . ‘Dev’
  • Y Producción.‘Prod’

DevOps para tod@s o «La fontanería subyacente » …

En su día, compartía con nosotros @victorkane , que el quid de la cuestión en el desarrollo de Drupal CMS son en gran medida todos los procesos de DevOps que subyacen, y su (no poca) complejidad. Aunque, naturalmente, Drupal tiende a esforzarse en abstraer al desarrollador de esa ‘fontanería’ básica.

NOTA : por cierto, frameworks más recientes… que estamos probando, parecen emerger con “facilidad de uso para el desarrollador, ya en sus genes… (p.ej.: Laravel | PHP ) Así… como la natural evolución, decíamos, de Drupal 8.

Ocurre que si hemos trabajado en el agregado de nuevas funcionalidades al código fuente base en el entorno, pongamos de desarollo / Dev ( por simplificar) en nuestro PC. Esta nueva configuración + código, debe ser ‘subida’ o desplegada ‘upstream’ al entorno-servidor de producción.

Y para ello… nuestro mejor amigo es el Drupal+Bash , ‘drush’. Que nos facilita la tarea de sincronizar,

  • por un lado, (nuevo) código ‘upstream’
  • por el otro, BBDD y ficheros de contenido de usuario… ‘downstream’

Una vez más, una imagen vale más que mil palabras .

Platform as a Service ( PaaS) al auxilio

En el ámbito más orientado a herramientas como Drupal, hemos comprobado que se ha hecho muy popular Pantheon.io … que no hemos tenido (aún) el gusto de conocer en persona y experimentar con él.

Naturalmente tenemos en la industria un amplio elenco de herramientas – plataformas (PaaS) que nos facilitan la labor. La de nuestra preferencia, hoy en día es Platform.sh .

No resulta muy útil, ante nuestra necesidad expresada anteriormente… orquestando todo lo expuesto anteriormente… de forma natural con el ‘Git workflow’ (para control de versiones) como base.

 

Mención especial a la calidad de la documentación ofrecida, pues te va guiando hacia ese camino…, de forma bien documentada :

https://docs.platform.sh/frameworks/drupal7.html

Así como el canal de atención al usuario, muy proactivo.

La potencia de Platform.sh parece emerger de la capacidad para replicar entornos online con tecnología LinuxContainers (LXC) en cuestión de segundos…

Todo ello bajo tarifas asequibles para desarrolladores, por unos pocos €uros al mes… como hemos podido comprobar.

Sin olvidar que más allá de la (auto)magia ( PaaS) de Platform, trataba de explicarme, lo que subyace son tres comandos Drush ( Drupal – Bash ), al estilo y la posibilidad de drush alias … y aunque conociendonte, quizas prefieras Bash scripting con umas gotitas de Drush y bla bla… .

La clave en todo esto, es… “no dejar de ver el bosque … no sólo el árbol ” ?… y KISS ( Keep It Simple Stupid) en medida de lo posible !

‘Have Fun! / Que os divirtáis’

28/01/2018

Posted In: softwareLibre

Etiquetas: , , , ,

Leave a Comment

Copyleft… ¿ por qué ?

Era allá en la celebración del mayor encuentro mundial, promovido por voluntarios de una Universidad belga, de las comunidades del software libre y de código fuente abierto. FOSDEM 2017. En nombre de la organización Software Freedom Conservancy – Bradley Khun, citó en su charla (entorno al Copyleft) a Mathew cuando manifestó :

« ¿ Quieres 4 sistemas de ficheros para formar clusters computacionales para empresas, o una nueva reescritura completa de la asignación de páginas en memoria para aumentar en un 3% el rendimiento ante una determinada carga de trabajo en un tipo específico de base de datos, o quieres a un puñado de adolescentes que crezcan hackeando todo ello porque eso es lo que hace funcionar cada uno de sus dispositivos? »

GNU Linux

 


« Porque honestamente, creo que es esto último lo que nos ha permitido [ a los desarrolladores del Linux Kernel] estar donde estamos, y no estaríamos ahí si lo que más nos importara fuera el asegurarnos de que las grandes empresas no se sientan amenazadas más que el hecho de asegurarnos de que la próxima generación a sus 19 años en un dormitorio pueda actualmente hackear el código de su teléfono y construir algo mejor como resultado. Eso es lo que me trajo acá en primera instancia, y difícilmente en eso sea yo el único.»

– Mathew Garrett, Linux Kernel developer, 26 August 2016

 

Mathew garrett, on Copyleft

 

 

PD : acá una argumentación , la hilo, bien fundamentada … en el sempiterno debate Software Libre , Open Source … Copyleft ( licencias GPL vs MIT )

26/01/2018

Posted In: softwareLibre

Etiquetas: ,

Leave a Comment