Con un enfoque paternalista Ubuntu de entrada no da acceso a la cuenta de root, sino que los comandos privilegiados se deben ejecutar usando sudo
lunes, 7 de septiembre de 2009
domingo, 30 de agosto de 2009
Optimización de sitios de Internet
Para hablar de optimización es necesario primero definir el criterio de optimalidad. En el caso de sitios de Internet el criterio es trafico y el logro de objetivos específicos.
Un aspecto primordial para la generación de trafico es la colocación del sitio es los buscadores; sin embargo, el logro de objetivos depende de la experiencia del usuario una vez que llega a la pagina: que el usuario encuentre fácilmente lo que esta buscando; que los objetivos del usuario se correlacionen con los objetivos del sitio; que la pagina se cargue dentro de los tiempos tolerados por el usuario.
Algunos lineamientos generales en los que coinciden los expertos:
- Mantener el diseño de paginas y del sitio en general lo más simple posible.
- Evitar el uso de Flash e imágenes para presentar información.
- Usar paginas estáticas en la medida de lo posible en vez de contenido dinámico.
- Mantener la navegación del sitio lo más plano posible, con no más de tres niveles.
- Enfocar el contenido a temas muy concretos y presentar información relevante y única.
- Conseguir ligas de sitios importantes y relevantes con respecto a la temática del sitio.
En términos técnicos los recomendaciones implican, por ejemplo, el uso de CSS para lograr efectos, CSS Sprites, datos embebidos.
Referencias
- Website Optimization- Speed, Search Engine & Conversion Rate Secrets
- Information Architecture for the World Wide Web- Designing Large-Scale Web Sites
- High Performance Web Sites- Essential Knowledge for Front-End Engineers (Paperback)
- Landing Page Optimization- The Definitive Guide to Testing and Tuning for Conversions
- Ultimate Guide to Google AdWords- How to Access 100 Million People in 10 Minutes
- http://www.websiteoptimization.com/
miércoles, 19 de agosto de 2009
Nubes
El continuo abaratamiento de la infraestructura computacional y la omnisciencia de conexiones de banda ancha están generando un cambio de paradigmas en el industria de tecnología de información y se ven nubes acumulándose en el cielo informático.
Referencias
viernes, 14 de agosto de 2009
CSS; la ortogonalidad del contenido y el diseño
Uno de los preceptos fundamentales del diseño es la separación de responsabilidades entre módulos o componentes. Idealmente cada modulo debe tener un sola responsabilidad primaria. En particular, la funcionalidad de un componente debe ser independiente de la interfaz de usuario.
CSS es un medio de aislar el diseño grafico del contenido textual de un documento. Un ejemplo espectacular de la ortogonalidad del contenido y el diseño se puede ver en CSS Zen Garden
Referencias
lunes, 10 de agosto de 2009
SQL, ODBC, y Python
Como Python 3 acaba de ser liberado, el soporte de librerías de extensión todavía esta limitado en comparación con Python 2.x.
En el caso de ODBC y MS SQL Server, mxODBC es una opción comercial. En opciones Open Source, Python 3 viene en el paquete oficial con soporte integrado para Sqlite3, la extensiones pymssql y pyodbc soportan hasta la versión 2.6 de Python.
Referencias
sábado, 8 de agosto de 2009
Search Engine Optimization (SEO)
Google mantiene como secreto la mecánica de asignación de lugares, que además cambia de manera continúa. Es un proceso bastante errático, y los que logran colocarse en la primera pagina para la lista de búsqueda de un conjunto de palabras, tenderán a mantenerse ahí hagan lo que hagan, tengan el contenido que tengan, siempre y cuando Google no los vete, por razones también erráticas y misteriosas. Es decir, el SEO es un deporte extremo.
Referencias, recursos, y ejemplos
- Search Engine Optimization
- Search Engine Optimization
- Advanced Web Metrics with Google Analytics
- ProBlogger
- http://www.cafepress.com/
- http://www.copyblogger.com/
- http://www.seobook.com/archives/001013.shtml
- http://www.seobook.com/
- http://buzz.yahoo.com/
- http://galadarling.com/
- http://www.google.com/trends
- http://technorati.com/
- http://www.aweber.com/
- http://feedburner.google.com/fb/a/myfeeds
- http://feedburner.google.com/
- http://www.problogger.net/make-money-blogging/
- http://www.problogger.net/
- http://www.chrisg.com/
miércoles, 5 de agosto de 2009
viernes, 31 de julio de 2009
Eclipse C/C++ Development Toolkit (CDT)
HOW TO: Use CDT and MinGW for Eclipse (i.e. develop C/C++ applications in windows)
Paso 1:
Bajar de mingw.org lo siguiente:
- gcc-core-3.4.2-20040916-1.tar.gz
- gcc-g++-3.4.2-20040916-1.tar.gz
- binutils-2.16.91-20050827-1.tar.gz
- mingw-runtime-3.9.tar.gz
- mingw-utils-0.3.tar.gz
- w32api-3.5.tar.gz
- mingw32-make-3.80.0-3.exe
Paso 2:
Extraer los archivos al directorio c:\mingw\ y instalar mingw32-make-3.80.0-3.exe en c:\mingw\.
Paso 3:
Agregar c:\mingw\bin a la variable de ambiente de sistema Paths. Verificar con el comando gcc -v .
Paso 4:
Descargar Eclipse e instalarlo.
Paso 5:
Instalar C/C++ Development Toolkit (CDT) usando el menú de actualización Help-> Software Updates -> Find and Install -> Search for new Features to Install.
Paso 6:
Crear un proyecto nuevo file->new ->Managed Make C Project.
Paso 7:
Agregar el archivo main.cc con el siguiente código (para probar la instalación):
#include
#include
using namespace std;
int main()
{
string yourName;
cout << "Enter your name: ";
cin >> yourName;
cout << "Hello " + yourName << endl;
return 0;
}
miércoles, 29 de julio de 2009
Control de versión
Algunos sistemas de control de versión son administradores de software (Software Configuration Management). Estos sistemas están específicamente diseñados para administrar árboles de código fuente y soportan el ciclo de vida de aplicaciones. Otros sistemas son repositorios generales de documentos.
Un repositorio de información para control de versión guarda un registro de los cambios hechos tanto a los datos como a la estructura misma de archivos. Un cliente puede no solo ver la última versión de los documentos guardados, sino también estados previos del sistema de archivos. Por ejemplo un cliente puede hacer consultas del tipo ¿Qué cambios se hicieron en un documento en la última semana?
El problema fundamental es por un lado ¿Cómo compartir información y coordinar modificaciones concurrentes a un grupo de documentos? Y complementariamente ¿Cómo recuperar estados anteriores de los documentos cuando una serie de cambios resultan inapropiados o se requieren variaciones de base común?
Un enfoque para evitar conflictos es reservar-modificar-cambiar (lock-modify-unlock). Este enfoque no siempre garantiza la integridad o coherencia de un sistema cuando se trabaja con múltiples documentos y serializa el trabajo innecesariamente cuando se pudiera hacer cambios independientes. Otro enfoque es copiar-modificar-integrar (copy-modify-merge). El repositorio puede asistir en el manejo de documentos y sus cambios, pero una persona necesita hacer el análisis de si un conjunto de cambios es valido y los miembros de un equipo deben mantener una buena comunicación.
En el caso particular del software algunas de las áreas que soporta un SCM son:
- Administración de versiones múltiples, permitiendo a usuarios y desarrolladores reportas defectos y cambios con relación a versiones históricas.
- Administración de equipos de desarrollo, permitiendo que varios programadores trabajen en un mismo archivo e integrando los cambios.
- Auditorias de cambios.
Los sistemas de control de versión trabajan con dos elementos base: áreas de trabajo y repositorios. Las áreas de trabajo es donde se hacen cambios y el repositorio es el lugar donde se guardan los documentos de referencia que sincronizan el trabajo de todos y define el estado de la información. El repositorio guarda metadata que permite rastrear cambios y versiones.
El paradigma central de control de versión es Pedir/Aplicar (check out/commit). Todos los documentos se almacenan en el repositorio. El programador registra una copia en su área de trabajo y procede a aplicar cambios a su copia. Cuando los cambios son estables, se aplican al repositorio de acuerdo a políticas de administración de cambios y resolución de conflictos.
Dos conceptos importantes en la administración de cambios son ramas (branches) y etiquetas (tags). La ramificación del código permite mantener el desarrollo del sistema y liberar versiones de acuerdo a plataformas, características y pruebas; O para pruebas de código experimental. Etiquetas son similares a ramas pero puntos de referencia en la misma línea de desarrollo, no a una variante del mismo.
El abuelito y punto de referencia de los sistemas de control de versión es CVS, referenciado a scripts escritos por Dick Grune y publicados en comp.sources.unix en diciembre de 1986.
Sistemas de control de versión:
CVS
Subversion
Perforce (p4)
BitKeeper
VOODOO Server
ClearCase
RCS (Revision Control System)
Herramientas gratuitas para UML
Existen herramientas gratuitas de buena caliadad para UML. Tanto Netbeans como Eclipse soportan esta funcionalidad con el ciclo completo de desarrollo desde generación de código hasta reingenieria. Esto, claro, si se quiere trabajar en Java. En .Net no he encontrado este grado de funcionalidad en herramientas Open Source. Una opción de bajo costo, relativo a RUP y similares, es Visual UML. Visual Paradigm tiene una edición limitada sin costo, Smart Development Environment Community Edition for Visual Studio.
UML, ejemplo sencillo sobre Modelado de un Proyecto Introducción a UML
Captura de pantalla para Pocket PC
El bueno, malo, y bonito
javascript esta en un estado límbico. Por un lado permite trucos de manejo de pantallas tipo Ajax y por otro es un riesgo de seguridad. ¿Qué influencia será más fuerte?
subversion
¿Qué es Subversion?
Subversion es un sistema de control de versiones libre y de código fuente abierto. Es decir, Subversion maneja ficheros y directorios a través del tiempo. Hay un Árbol de archivos en un repositorio central. El repositorio es como un servidor de archivos ordinario, excepto que recuerda todos los cambios hechos a sus archivos y directorios. Esto permite recuperar versiones antiguas de datos o examinar el historial de cambios de los mismos. En este aspecto, mucha gente piensa en los sistemas de versiones como en una especie de máquina del tiempo.
Subversion proporciona:
- Versionado de directorios
- CVS solamente lleva el historial de archivos individuales, pero Subversion implementa un sistema de archivos versionado virtual que sigue los cambios sobre árboles de directorios completos a través del tiempo. Ambos, archivos y directorios, se encuentran bajo el control de versiones.
- Verdadero historial de versiones
- CVS está limitado al versionado de archivos. Operaciones como copiar y renombrar, las cuales pueden ocurrir sobre archivos, pero realmente son cambios al contenido del directorio en el que se encuentran, no son soportadas por CVS. Adicionalmente, en CVS no puede reemplazar un archivo versionado con algo nuevo que lleve el mismo nombre sin que el nuevo elemento herede el historial del archivo antiguo que quizás sea completamente distinto al anterior. Con Subversion, se puede añadir, borrar, copiar, y renombrar archivos y directorios. Cada fichero nuevo añadido comienza con un historial nuevo, limpio y completamente suyo.
- Envíos atómicos
- Una colección cualquiera de modificaciones o bien entra por completo al repositorio, o bien no lo hace en absoluto. Ésto permite a los desarrolladores construir y enviar los cambios como fragmentos lógicos e impide que ocurran problemas cuando sólo una parte de los cambios enviados lo hace con éxito.
- Versionado de metadatos
- Cada archivo o directorio tiene un conjunto de propiedades claves y sus valores asociado. Se puede crear y almacenar cualquier par arbitrario de clave/valor. Las propiedades son versionadas a través del tiempo, al igual que el contenido de los ficheros.
- Elección de las capas de red
- Subversion tiene una noción abstracta del acceso al repositorio, facilitando a las personas implementar nuevos mecanismos de red. Subversion puede conectarse al servidor HTTP Apache como un módulo de extensión. Ésto proporciona a Subversion una gran ventaja en estabilidad e interoperabilidad, y acceso instantáneo a las características existentes que ofrece este servidor: autenticación, autorización, compresión de la conexión, etcétera. También tiene disponible un servidor de Subversion independiente, y más ligero. Este servidor habla un protocolo propio, el cual puede ser encaminado fácilmente a través de un túnel SSH.
- La versión de default trabaja con apache 2.0 pero es posible bajar un versión para apache 2.2.4
- Manipulación consistente de datos
- Subversion expresa las diferencias del archivo usando un algoritmo de diferenciación binario, que funciona idénticamente con ficheros de texto (legibles para humanos) y ficheros binarios (ilegibles para humanos). Ambos tipos de ficheros son almacenados igualmente comprimidos en el repositorio, y las diferencias son transmitidas en ambas direcciones a través de la red.
- Ramificación y etiquetado eficientes
- El coste de ramificación y etiquetado no necesita ser proporcional al tamaño del proyecto. Subversion crea ramas y etiquetas simplemente copiando el proyecto, usando un mecanismo similar al enlace duro. De este modo estas operaciones toman solamente una cantidad de tiempo pequeña y constante.
http://svnbook.red-bean.com/en/1.0/ch06s03.html
http://svn.collab.net/repos/svn/trunk/notes/windows-service.txt
ASP.Net Security
- Authentication. Positively identifying the clients of your application; clients might include end-users, services, processes or computers.
- Authorization. Defining what authenticated clients are allowed to see and do within the application.
- Secure Communications. Ensuring that messages remain private and unaltered as they cross networks.
- Impersonation. This is the technique used by a server application to access resources on behalf of a client. The client's security context is used for access checks performed by the server.
- Delegation. An extended form of impersonation that allows a server process that is performing work on behalf of a client, to access resources on a remote computer. This capability is natively provided by Kerberos on Microsoft® Windows® 2000 and later operating systems. Conventional impersonation (for example, that provided by NTLM) allows only a single network hop. When NTLM impersonation is used, the one hop is used between the client and server computers, restricting the server to local resource access while impersonating.
- Security Context. Security context is a generic term used to refer to the collection of security settings that affect the security-related behavior of a process or thread. The attributes from a process' logon session and access token combine to form the security context of the process.
- Identity. Identity refers to a characteristic of a user or service that can uniquely identify it. For example, this is often a display name, which often takes the form authority/user name.
Principles
There are a number of overarching principles that apply to the guidance. The following summarizes these principles:- Adopt the principle of least privilege. Processes that run script or execute code should run under a least privileged account to limit the potential damage that can be done if the process is compromised. If a malicious user manages to inject code into a server process, the privileges granted to that process determine to a large degree the types of operations the user is able to perform. Code that requires additional trust (and raised privileges) should be isolated within separate processes.The ASP.NET team made a conscious decision to run the ASP.NET account with least privileges.
- Use defense in depth. Place check points within each of the layers and subsystems within your application. The check points are the gatekeepers that ensure that only authenticated and authorized users are able to access the next downstream layer.
- Don't trust user input. Applications should thoroughly validate all user input before performing operations with that input. The validation may include filtering out special characters. This preventive measure protects the application against accidental misuse or deliberate attacks by people who are attempting to inject malicious commands into the system. Common examples include SQL injection attacks, cross-site scripting attacks, and buffer overflow.
- Use secure defaults. A common practice among developers is to use reduced security settings, simply to make an application work. If your application demands features that force you to reduce or change default security settings, test the effects and understand the implications before making the change.
- Don't rely on security by obscurity. Trying to hide secrets by using misleading variable names or storing them in odd file locations does not provide security. In a game of hide-and-seek, it's better to use platform features or proven techniques for securing your data.
- Check at the gate. You don't always need to flow a user's security context to the back end for authorization checks. Often, in a distributed system, this is not the best choice. Checking the client at the gate refers to authorizing the user at the first point of authentication (for example, within the Web application on the Web server), and determining which resources and operations (potentially provided by downstream services) the user should be allowed to access.If you design solid authentication and authorization strategies at the gate, you can circumvent the need to delegate the original caller's security context all the way through to your application's data tier.
- Assume external systems are insecure. If you don't own it, don't assume security is taken care of for you.
- Reduce surface area. Avoid exposing information that is not required. By doing so, you are potentially opening doors that can lead to additional vulnerabilities. Also, handle errors gracefully; don't expose any more information than is required when returning an error message to the end user.
- Fail to a secure mode. If your application fails, make sure it does not leave sensitive data unprotected. Also, do not provide too much detail in error messages; meaning don't include details that could help an attacker exploit a vulnerability in your application. Write detailed error information to the Windows event log.
- Remember you are only as secure as your weakest link. Security is a concern across all of your application tiers.
- If you don't use it, disable it. You can remove potential points of attack by disabling modules and components that your application does not require. For example, if your application doesn't use output caching, then you should disable the ASP.NET output cache module. If a future security vulnerability is found in the module, your application is not threatened.
- Identify resources
- Choose an authorization strategy
- Choose the identities used for resource access
- Consider identity flow
- Choose an authentication approach
- Decide how to flow identity
lunes, 27 de julio de 2009
Protocolos de Internet
The Internet Protocol Suite |
Application Layer |
---|
BGP · DHCP · DNS · FTP · GTP · HTTP · IMAP · IRC · Megaco · MGCP · NNTP · NTP · POP · RIP · RPC · RTP · RTSP · SDP · SIP · SMTP · SNMP · SOAP · SSH · Telnet · TLS/SSL · XMPP · (more) |
Transport Layer |
TCP · UDP · DCCP · SCTP · RSVP · ECN · (more) |
Internet Layer |
IP (IPv4, IPv6) · ICMP · ICMPv6 · IGMP · IPsec · (more) |
Link Layer |
ARP · RARP · NDP · OSPF · Tunnels (L2TP) · PPP · Media Access Control (Ethernet, MPLS, DSL, ISDN, FDDI) · Device Drivers · (more) |
viernes, 24 de julio de 2009
Sysinternals webinar
Windows Internals with Sysinternals
2 day webinar/virtual class -
presented by David Solomon
Next offering:
October 19 & 21, 10:00am-5:00pm Eastern Time (GMT-5)
Click here to register
SysInternals
Hace algunos años Mark Russinovich tenía un sitio llamado SysInternals donde no solo ofrecía rutinas para realizar operaciones de administración de Windows sino también el correspondiente código fuente y artículos con explicación detallada de la lógica de programación. Afortunadamente para él y desafortunadamente para los hackers curiosos Microsoft le compro el sitio y quito el acceso a los códigos fuentes y las explicaciones sobre el funcionamiento interno de Windows. |