En mi país se hacen esfuerzos para mejorar la educación superior, se han modificado los requisitos para ser Docente Titular: deben tener PhD y los Docentes no Titulares o auxiliares un título de cuarto nivel (Maestría o PhD); el gobierno a través del ente regulador educativo se encuentra revisando los sistemas de admisión a las universidades, etc,etc,etc...
Desde mayo del 2012 soy partícipe de este proceso como profesor de matemáticas en ya 3 cursos de nivelación para admisión a una carrera universitaria, y sinceramente como profesor, observo que el contenido de las materia que se dicta es difícil para el aspirante. Para ser más específicos el aspirante a una Ingeniería debe aprobar Física, Química y Matemáticas, 3 materias un poco extensas pero necesarias para poder seguir la carrera de Ingeniería, sin embargo el ente regulador de la educación superior ha decidido que ahora, además de esas materias, el estudiante de aprobar otras más que se llaman: Resolución de problemas, Introducción a la comunicación científica, Universidad y buen vivir, Proyecto Integrador de saberes. Claro está, además de previamente haber aprobado un examen con un buen puntaje (en el caso de ESPOL que es una universidad de primera categoría en Ecuador).
Entonces observo que el curso se vuelve bastante exigente para el estudiante, no sólo porque debe pasar con un buen promedio (nota mínima de 6 en cada materia, y un promedio de todas las materias mínimo de 7.5) sino porque debe aprobar tantas materias. Ah! Me olvidaba que también deben hacer un proyecto por cada materia (en el caso de Ingeniería 3 proyectos: Química, Física y Matemáticas) y un Proyecto Integrador de Saberes (Proyecto que integra todas las materias científicas que estudia en el curso de nivelación)..
Este cambio se propone, ya que de alguna manera el ente regulador de educación superior desea que el futuro estudiante universitario cultive el espíritu investigador, se involucre más en la investigación y no sólo en la adquisición de conocimientos a través del profesor, es decir no sólo receptar conocimiento, sino generar conocimiento. Y es una muy buena propuesta del actual gobierno (así como otras propuestas en otras áreas sensibles que el gobierno está atendiendo).
Sin embargo, se hacen tantos esfuerzos en el proceso de admisión para que el estudiante pueda tener los conocimientos mínimos para su carrera universitaria, y en el colegio? Qué se está haciendo con los contenidos de las materias en el colegio? Y es esa la reflexión que quiero plantear. Yo creo que La educación secundaria debe ayudar al espíritu de generación de conocimientos que el ente regulador de educación superior desea en los jóvenes aspirantes, y yo creo que es ahí donde se tiene que trabajar con mayor ahínco. El actual gobierno está trabajando haciendo nueva infraestructura (el gobierno las llama "réplicas", construcción de colegios o instituciones de educación secundaria que imitan en capacidad a antigua infraestructura secundaria pero implementa mejoras físicas y tecnológicas), y en la que actualmente existe? Como profesor de Cursos Pre-Universitarios he visto que lastimosamente la gran mayoría de estudiantes que provienen de Colegios Particulares (Educación financiada completamente por los Padres de los Estudiantes, es decir, colegios caros) son los que aprueban estos cursos y sólo una minoría de estudiantes de colegios Fiscales (Educación financiada por el gobierno, gratuita para el estudiante) consigue también aprobar, probablemente por un magno esfuerzo hecho en el proceso de admisión. Por ello propongo que la corrección que se desea hacer en el sistema de Educación también se haga (y con mayor incidencia) en el nivel secundario; cuando se haga esto, el aspirante que proviene de un colegio fiscal también será capaz de aprobar sin mayores inconvenientes un proceso de admisión a una universidad y no será un proceso difícil, como lo es ahora con muchos estudiantes.
lunes, 25 de marzo de 2013
jueves, 21 de marzo de 2013
TODAVÍA HAY APLICACIONES VULNERABLES A "SQL INJECTION"??
Pues sí, y muchas!! En
el Universo de los Servidores, Equipos de Telecomunicaciones, etc., que pueden
ser accedidos desde cualquier parte del mundo, existen muchos que guardan
medidas de seguridad para evitar accesos no autorizados, como por ejemplo
canales seguros de comunicación (SSH, VPN, etc.) o cifrado de datos (MD5,
BLOWFISH, DES, AES, etc.); si reducimos esta población a los Servidores que
almacenan aplicaciones web, y para ser más específicos, las aplicaciones web
que ofrecen una interacción Cliente-Servidor a través de Carga de archivos,
inicio de sesiones, etc., observamos que también poseen "ciertas" medidas de
seguridad que pueden considerarse hasta básicas en el desarrollo e
implementación de los mismos para evitar ataques como Denegación de Servicio
(DoS), Ataques de Fuerza Bruta y específicamente el tema que quiero topar,
Ataques de Inyección de código SQL (SQL INJECTION).
La Inyección SQL o también conocida en inglés
como SQL INJECTION es una técnica de
explotación utilizada en servidores web que ejecutan aplicaciones que consumen
bases de datos. La vulnerabilidad ocurre cuando una entrada o input que se envía al servidor para
consultar en una base de datos no es correcta ni apropiadamente validada, por ejemplo: en una entrada donde se solicita al usuario ingresar sólo letras, el
desarrollador no implementó dicha restricción y se permite ingresar números; o
peor aún símbolos!! Caracteres especiales!!!!
Pero bueno, buscando un poco datos oficiales que efectivamente demuestren lo que estoy diciendo (que hay muchas!!! aplicaciones vulnerables a SQL INJECTION), un proyecto de código abierto llamado The Open Web Application Security Project lo ubica PRIMERO dentro de una lista que la llaman TOP 10, también encontré otra publicación de una organización llamada WhiteHat Security donde mencionan que hay un 11% de probabilidad de encontrar un sitio web con una vulnerabilidad de tipo SQL INJECTION, es decir que aproximadamente 1 de cada 10 servidores web poseen una vulnerabilidad de este tipo (preocupante), otra fuente?? Un Consorcio llamado WASC (Web Application Security Consortium) también publicó un documento (no tan actual - 2008) donde también podemos encontrar a esta vulnerabilidad dentro de las más populares, eeeeen fin!! Lo peor de todo es que esta vulnerabilidad es provocada por errores de diseño!! (más preocupante).
Qué consejos puedo sugerirles:
- Antes de poner su aplicación en línea, actualicen su servidor! Instalen todos los parches de seguridad o los de los servicios a utilizar.
- Estimados desarrolladores, por favor!! Validen sus entradas en cliente Y EN SERVIDOR!
- Eviten mostrar mensajes de error por defecto del Servidor!! Peor mensajes de error de los gestores de base de datos! Cambien las páginas de error que están por defecto y pónganle un formato amigable :) pero que no muestre por favor mensajes del servidor (Hola, mi SO es ubuntu versión 12.10 y mi servidor web es apache... NOOOO).
- En un ambiente de pruebas realicen test de penetración con varias herramientas como nessus o metasploit.
- Ya tomada todas estas medidas, pueden poner su aplicación en producción.
Realicen estos consejos cuantas veces sean necesarias en períodos de 3 o 6 meses en sus aplicaciones para minimizar vulnerabilidades.
Es lo que quería decirles, gracias por su atención!!
Suscribirse a:
Comentarios (Atom)