Descubrí un BUG en software y aún...

Dargento

Beta
Verificación en dos pasos desactivada
Desde
25 Feb 2012
Mensajes
115
Crédito(s)
0
Puntos
147
¡Hola betas!

Les comento que me siento algo incomodo por esta situación.

Hace poco más de 1 año detecté un BUG en un software que había obtenido una licencia y que además ayudo con la traducción. El BUG permite que la información supuestamente protegida por contraseña y CIFRADA, se pueda acceder sin necesidad de introducir la contraseña. ¿Y el cifrado?

Apenas lo detecté, lo informé al desarrollador y al día siguiente realizó una actualización pero de forma provisoria (como para que nadie más detecte el BUG en las versiones más recientes). Usando las versiones anteriores, es posible acceder a la información.

Le expresé mi preocupación al desarrollador y me dijo que tiene que hacer una modificación importante para que en las versiones anteriores ya no sea visible la información.

Ya ha transcurrido poco más de un año y no ha realizado esta actualización y tampoco ha informado a sus usuarios; me preocupa que el BUG puede ser aprovechado por usuarios mal intencionados.

Me siento algo molesto porque para mí es una gran persona, siempre responde, está atento a la opinión de los usuarios y además ya me regaló 2 licencias por ayudarle. Al demorarse en reparar este BUG, es posible que otro también lo sepa y lo use de forma mal intencionada. Por suerte no es tan conocido como los de su competencia.

Si sigo ayudando con la traducción y demás, siento que soy complice de esta situación. Ahora tiene otro problema que me guataría ayudarle pero no sé si es lo correcto de mi parte.

¿Qué harían ustedes?
 

Davexdesing

No recomendado
Programador
Verificación en dos pasos desactivada
Desde
11 Jul 2016
Mensajes
164
Edad
21
Crédito(s)
1
Puntos
31
Pues por tu parte estas haciendo lo correcto. Pienso que deberias seguir informandolo. Puesto que si es un Software pago puede tener perdidas considerables por el bug, aparte que puedes rayar su nombre.
 

ramonjosegn

Pi
Verificación en dos pasos desactivada
Verificado por Whatsapp
Desde
14 Feb 2010
Mensajes
61.030
Crédito(s)
1
Puntos
530
Hay algunas páginas donde se pueden informar este tipo de bugs con respecto a cada una de las versiones, incluso para plugins wordpress y otros programas.
 

iamcholo

VIP
Delta
Verificación en dos pasos activada
Desde
1 Oct 2015
Mensajes
743
Crédito(s)
0
Puntos
706
...
Apenas lo detecté, lo informé al desarrollador y al día siguiente realizó una actualización pero de forma provisoria (como para que nadie más detecte el BUG en las versiones más recientes). Usando las versiones anteriores, es posible acceder a la información.

Le expresé mi preocupación al desarrollador y me dijo que tiene que hacer una modificación importante para que en las versiones anteriores ya no sea visible la información.
¿Porqué tendría que dar soporte a versiones anteriores?

Desde mi punto de vista, lo correcto es lanzar una nueva versión con una correción temporal (Lo hizo). Luego, se debe informar del error y solicitar a q todos deban actualizar ya mismo (URGENTE). Y bueno, seguir el desarrollo con prioridad en esos bugs críticos.

Si omitio el anuncio, déjalo, sólo presionalo con la correción y el soporte para nuevas versiones, ya que no tiene el porque de dar correcciones a versiones anteriores (no es LTS, o si?)

Y si, ¿Es un proyecto Open Source?
Si tú te beneficias del proyecto, porque no contribuir con esos cambios que mencionas directamente.

¿Tienes contacto directo con él?
Como lo indicas, si paso un año y aún no paso nada. Tal vez sea tiempo de recordarselo, o tal vez él se esta aprovechando del bug (suele pasar).

PD: Tuve una experiencia similar hace muchos años, yo deje de usar ese software, irónicamente ese software es muy popular hoy en día. Aún tiene ese bug abierto (creo)

PD2: No usen FileZilla, https://trac.filezilla-project.org/ticket/1373
 
Última edición:

iamcholo

VIP
Delta
Verificación en dos pasos activada
Desde
1 Oct 2015
Mensajes
743
Crédito(s)
0
Puntos
706
Por cierto, suerte con tu decisión @Dargento sea cual sea.
No te olvides de comentar como te fue.😀
 

kj2

Iota
Verificación en dos pasos activada
Desde
1 Abr 2011
Mensajes
2.035
Crédito(s)
1
Puntos
821
Pues si se puede acceder a los datos sin poner la contraseña, a pesar de que esos datos están cifrados, probablemente el mayor problema no será el no necesitar la contraseña, sino la manera en la que cifra los datos (lo normal sería que estén emparejados con la contraseña, sino es el caso, las alternativas a eso no son muy alentadoras).

En estos casos lo mejor que se puede hacer es esperar a que el desarrollador arregle el bug y no comprometa la retrocompatibilidad (quizá). Por suerte, según puedo deducir por lo que dices, esos datos son locales y en un software con no demasiados clientes, puede que realmente no sea un bug crítico y puede que por ello lo esté ignorando y dándole prioridades a otras cosas. Si el software se sigue actualizando, asumiría que es ese el caso.

Un ejemplo nuen ejemplo es lo que @iamcholo muestra con lo de filezilla: Ese bug fue categorizado como "normal" y luego cerrado, porque para que se de, es necesario guardar las contraseñas en filezilla, algo que siempre es desaconsejable (no conozco a nadie que lo haga) y que también solía ser un problema con los navegadores (no se si continúen con ese problema, pero estuvo así por años y sigue en IE). Para explotar eso como un bug, es necesario infectar el ordenador o tener acceso físico al mismo, por lo que de base no es un problema de prioridad (con acceso físico o infectando un ordenador ya deberías poder hacer lo que te de la gana como atacante).
 
Última edición:

Arriba