Barrapunto

Eso parece sugerir, entre otras cosas, el informe Cisco 2007 Annual Security Report (pdf) y algún otro como X Force 2007 Trend Statistics (pdf) de IBM (se puede ver mas cortito en 2007 X-Force Report Preview - Vulnerability Trends).

Es posible que tenga que ver con que ahora hay un mercado para las vulnerabilidades y entonces no llegan a conocerse públicamente tantas como antes, pero no lo se.
Sorprendentemente, lo único que parece que no baja son los desbordamientos de memoria.

ActualizaciónLos comentaristas tienen razon. Me dejé llevar por la 'poética' y puse cosas que no son ciertas. Queden aquí para verguenza pública por escribir sin pensarlo demasiado

Siempre me pregunté por ello pero no le di mucha importancia (tampoco es que prestara demasiada atención). Ahora lo veo en http://developers.slashdot.org/article.pl?sid=08/0 2/08/2238228 la 'queja' del W3C: W3C's Excessive DTD Traffic.

Empieza zona incorrecta:

Está claro que una de las formas en que las páginas web se han ido creando a lo largo de la historia (personales y no tanto) es por copia de otras. Eso tiene un efecto lateral interesante que es la aparición de partes comunes sin mucha reflexión y que tienen consecuencias:

Termina zona incorrecta.

... up to 130 million requests per day, with periods of sustained bandwidth usage of 350Mbps, for resources that haven't changed in years.

En Security vs privacy illustrated.

Martin Hellman es uno de los creadores de la criptografía de clave pública. En Martin Hellman: el abuelo del cifrado moderno hay una entrevista que le hizo Mercè Molist cuando estuvo en Madrid recientemente. Sobre seguridad y facilidad de uso:

-¿Utiliza usted cifrado, por ejemplo Pretty Good Privacy (PGP), en su correo electrónico?

-Jaja, me has pillado. No y la razón es que no está integrado en mi programa de correo. El cifrado, para que sea útil, debe ser automático, que lo uses sin darte cuenta. El problema es que hay muy poca gente usando PGP en su correo y no hay presión para integrarlo totalmente. Trabajar con ordenadores no es fácil para la gente normal y PGP se les convierte en un problema más. La criptografía debería estar dentro del programa, de una forma integrada, automática y transparente.

En Real Flaws in Virtual Worlds entrevistan a Gary McGraw, coautor junto a Greg Hoglund del libro Exploiting Online Games. Se muestra bastante pesimista en cuanto a la seguridad de este tipo de aplicaciones en red. Se refiere, de todas formas, mas bien a los juegos donde hay un cliente que se instala en el PC (no tanto a los de web cuya problemática es algo diferente).
Encontré la entrevista en The State of Security in MMORPGs.

A través de una lista de correo me llega el aviso del boletín Número 4 del ENISA Quaterly (pdf), que es un boletín de la European Network and Information Security Agency, que no conocía y que en este número se dedica a los aspectos de seguridad en el desarrollo.
Si no hemos oido hablar nunca de la seguridad desde el punto de vista del desarrollo, igual es un buen momento para empezar. Si ya creíamos en ello, vamos viendo como cada vez se nombra en mas sitios.

El boletín es bastante generalista, pero me sirve también para descubrir otras páginas como Safe Code que habrá que explorar con calma.

En Binky Pointer Fun Video. Con un muñequito y en varios lenguajes se explican en un vídeo cortito (un vídeo por lenguaje) los principios básicos de los punteros.

Después del Counting potatoes no había leido datos sobre estas cosas. En este caso no estamos hablando de eso mismo pero a falta de otros, es lo que tenemos: Debian packages sorted by build-time and build-space, recolectados de los build logs.

En Bruce Schneier Blazes Through Your Questions. Tres frases.

Sobre el robo de identidades:

The basic answer is to stop relying on authenticating the person, and instead authenticate the transaction.

Sobre la mejora personal y la de los 'malos':

As a criminal, a mistake likely means jail time -- time I can't spend earning my criminal living. For this reason, it's hard to improve as a criminal.

Sobre las redes wifi abiertas en casa

I run an open wireless network at home. There's no password, and there's no encryption. Honestly, I think it's just polite. Why should I care if someone on the block steals wireless access from me? When my wireless router broke last month, I used a neighbor's access until I replaced it.

La vi referenciada en Freakonomics Q&A With Bruce Schneier.

Hace poco hablaba en otra parte en cuando los servicios mueren de los datos y quién los alberga y qué pasa con ellos cuando queremos recuperarlos. Me viene a la cabeza al leer Funeral por un ordenador de 47 años donde cuentan la desconexión de un IBM 650.

"Nos has servido durante 47 años de manera impecable, en tu hechizo verde nos atrapaste... Procesaste operaciones sin quejarte, por eso le hemos pedido al Papa canonizarte... Los usuarios que siempre amablemente has atendido, con un poco de entreno fácilmente han aprendido...", entonó Kocay para acabar pidiendo a los dioses de las computadoras: "Por favor, bendecidlo y dadle gracia y paz, pero no lo resucitéis."

Lo cierto es que apagamos la mayoría de las máquinas mucho antes, asi que es llamativo este apagado tardío.