Aunque muchos todavía creen en la seguridad por ocultación y piensan que el software libre es inseguro porque facilita el trabajo a los crackers, con el tiempo se va demostrando que no es así. La ventaja fundamental del software libre es que muchos ojos ven más que dos, y por lo tanto se pueden encontrar más fácil los bugs.

Y es así, salvo que para que ocurra tiene que haber ojos expertos que tengan ganas de analizar y auditar el código. En el Menéame hemos tenido suerte, aunque hay varios que saben que se lo han mirado (como agusti), hay una persona, muy jóven, que analiza el codigo hasta el mínimo detalle, Alex Concha.

Nos sorprende regularmente, no hay semana que no reciba un correo de él avisándome –con explicación parche y prueba de concepto– de esos problemas de seguridad muy ocultos, difíciles de encontrar y aún más difíciles de explotar. Pero Alex los encuentra a todo, nos soluciona el problema y además nos enseña.

Sin duda alguna, el que no haya ocurrido ningúin desastre –todavía– en el Menéame es en gran parte gracias a él. Y si alguien necesita que para auditorías de riesgos de inyección SQL, XSS, CSRF, etc., ya sabe a quién recomendamos 🙂