Malos vicios en desarrollos de aplicaciones. Posible FDT.
8 views
Skip to first unread message
Gorri Martínez Oscar
Apr 16, 2022, 5:04:52 PM4/16/22
to NVDA en español
Saludos:
Hay una nueva moda de realizar software invasivo que instala cosas de
forma poco transparente.
Dos casos que nos afectan son el programa Edico de la ONCE y el programa
Biblos de tratamiento de textos de Di Grande.
En la próxima versión, va a introducir una novedad que puede ser
interesante para los usuarios de líneas Braille que consiste en el
desplazamiento dinámico de la información en pantalla.
Curiosamente este tipo de desplazamiento diría que no lo he visto nunca
implementado como dice en su artículo.
Los malos vicios a los que me refiero, son que el complemento sólo se
instala si se instala el programa y se detecta la presencia de un lector
de pantallas.
Puede ocurrir que alguien instale el programa y a posteriori decida
instalar un nuevo revisor de pantallas, en cuyo caso deberá reinstalar
el programa para que detecte la presencia del nuevo revisor.
Diría que estos malos vicios hay que corregirlos desde la raíz, máxime
cuando al menos en este caso el complemento se distribuye según la
licencia de software de NVDA.
Aquí os dejo el artículo con la explicación del nuevo modo dinámico.
http://www.digrande.it/es/Blogs/Biblos/El+nuevo+componente+de+Biblos+para+NVDA%2c+una+experiencia+%c3%banica+para+el+braille+y+la+voz
Saludos
Hay una nueva moda de realizar software invasivo que instala cosas de
forma poco transparente.
Dos casos que nos afectan son el programa Edico de la ONCE y el programa
Biblos de tratamiento de textos de Di Grande.
En la próxima versión, va a introducir una novedad que puede ser
interesante para los usuarios de líneas Braille que consiste en el
desplazamiento dinámico de la información en pantalla.
Curiosamente este tipo de desplazamiento diría que no lo he visto nunca
implementado como dice en su artículo.
Los malos vicios a los que me refiero, son que el complemento sólo se
instala si se instala el programa y se detecta la presencia de un lector
de pantallas.
Puede ocurrir que alguien instale el programa y a posteriori decida
instalar un nuevo revisor de pantallas, en cuyo caso deberá reinstalar
el programa para que detecte la presencia del nuevo revisor.
Diría que estos malos vicios hay que corregirlos desde la raíz, máxime
cuando al menos en este caso el complemento se distribuye según la
licencia de software de NVDA.
Aquí os dejo el artículo con la explicación del nuevo modo dinámico.
http://www.digrande.it/es/Blogs/Biblos/El+nuevo+componente+de+Biblos+para+NVDA%2c+una+experiencia+%c3%banica+para+el+braille+y+la+voz
Saludos
DaVid
Apr 16, 2022, 6:02:44 PM4/16/22
to nvd...@googlegroups.com
Yo creo que con añadir una opción interna dentro del programa, para
instalar un complemento, estaría bien. O preguntar durante la
instalación, siempre que el usuario esté informado. Facilita las cosas
para los usuarios novatos.
¿Edico ya es compatible con NVDA? La última vez que lo probé solo
daban soporte para jAWS, incluso habían dicho que no se podía dar
soporte para NVDA, cosa que me parecía extraña pero no le di
importancia porque no me gusta mucho edico. Aunque sí que puede ser
útil para estudiantes que no quieran complicarse con otras
tecnologías.
Saludos.
El 16/4/22, Gorri Martínez Oscar <listas....@gmail.com> escribió:
instalar un complemento, estaría bien. O preguntar durante la
instalación, siempre que el usuario esté informado. Facilita las cosas
para los usuarios novatos.
¿Edico ya es compatible con NVDA? La última vez que lo probé solo
daban soporte para jAWS, incluso habían dicho que no se podía dar
soporte para NVDA, cosa que me parecía extraña pero no le di
importancia porque no me gusta mucho edico. Aunque sí que puede ser
útil para estudiantes que no quieran complicarse con otras
tecnologías.
Saludos.
El 16/4/22, Gorri Martínez Oscar <listas....@gmail.com> escribió:
Gorri Martínez Oscar
Apr 17, 2022, 2:42:52 AM4/17/22
to nvd...@googlegroups.com
Saludos:
David, El problema es otro más grave.
Estamos en una modificación forzosa de complementos porque pueden hacer
cosas indeseables y al mismo tiempo estamos permitiendo que a NVDA se le
puedan instalar complementos sin conocimiento del usuario, y
complementos que lógicamente no pasan las revisiones de seguridad.
Se revisan complementos por filias personales y se permite que algún
programa pueda hacer diabluras en NVDA.
Algo hay que modificar para que los complementos sólo se instalen desde
el propio programa y no mediante llamadas de terceros programas.
Saludos
David, El problema es otro más grave.
Estamos en una modificación forzosa de complementos porque pueden hacer
cosas indeseables y al mismo tiempo estamos permitiendo que a NVDA se le
puedan instalar complementos sin conocimiento del usuario, y
complementos que lógicamente no pasan las revisiones de seguridad.
Se revisan complementos por filias personales y se permite que algún
programa pueda hacer diabluras en NVDA.
Algo hay que modificar para que los complementos sólo se instalen desde
el propio programa y no mediante llamadas de terceros programas.
Saludos
DaVid
Apr 17, 2022, 1:19:36 PM4/17/22
to nvd...@googlegroups.com
Hola.
Ya comprendo a qué te refieres.
Es un asunto de seguridad que aunque se podría mitigar, bloquearlo por
completo es imposible y no he visto que ningún programa que soporte
add-ons lo haga. Ni los navegadores como chrome o edge, ni vs code,
ETC.
El primer detalle está en que la carpeta de aplicaciones de usuario se
puede modificar sin requerir permisos de administrador, eso es algo
que tiene que ver con Windows.
No sé si windows 10 cuente con algún api para crear un espacio de
almacenamiento al que solo una aplicación específica pueda tener
acceso de escritura. Si eso fuese posible, se podría registrar un
índice de complementos en ese lugar, y que NVDA ejecute únicamente los
complementos que se encuentran en ese registro.
Hacer que cada instalación de un complemento deba pasar por la
autorización de NVDA es interesante, pero mis conocimientos no me dan
para determinar si es técnicamente viable.
Dado que no lo hacen otros programas populares, pienso que puede ser
difícil implementar algo así.
Saludos.
Ya comprendo a qué te refieres.
Es un asunto de seguridad que aunque se podría mitigar, bloquearlo por
completo es imposible y no he visto que ningún programa que soporte
add-ons lo haga. Ni los navegadores como chrome o edge, ni vs code,
ETC.
El primer detalle está en que la carpeta de aplicaciones de usuario se
puede modificar sin requerir permisos de administrador, eso es algo
que tiene que ver con Windows.
No sé si windows 10 cuente con algún api para crear un espacio de
almacenamiento al que solo una aplicación específica pueda tener
acceso de escritura. Si eso fuese posible, se podría registrar un
índice de complementos en ese lugar, y que NVDA ejecute únicamente los
complementos que se encuentran en ese registro.
Hacer que cada instalación de un complemento deba pasar por la
autorización de NVDA es interesante, pero mis conocimientos no me dan
para determinar si es técnicamente viable.
Dado que no lo hacen otros programas populares, pienso que puede ser
difícil implementar algo así.
Saludos.
Javi Domínguez
Apr 18, 2022, 5:48:17 AM4/18/22
to Gorri Martínez Oscar, nvd...@googlegroups.com
Hola.
Pues sí, pero nunca me acuerdo de que en esta lista las respuestas van
al remitente y no al grupo, ja!
He probado la última versión de Biblos. Durante la instalación no me ha
añadido ningún addon ni script ni nada. los he encontrado en la carpeta
de instalación
C:\Program Files\DiGrande\Biblos5\Scripts\nvda
y lo he instalado a mano porque no encontraba en el programa la opción
para hacerlo. Luego he visto que está en el menú Ayuda > Instalar
Scripts. Ahí eliges si quieres los scripts de Jaws o el addon de NVDA.
En el caso de NVDA lo que hace es lanzar el archivo .nvda-addon y se
instala igual que si lo hicieras manualmente.
No me parece nada invasibo, lo que me parece más bien es mal
documentado, me ha costado encontrar esa opción, si no sabes que existe
es fácil pasarla por alto.
En cuanto al complemento en sí no hace nada especial. Sólo contiene un
archivo biblos.py con el código fuente y el manifest.ini. Es un módulo
de aplicación que sólo afecta a la ventana de Biblos para mejorar
aspectos como la selección de texto, lectura por líneas, etc.
Un saludo.
Javi Domínguez
PD: Envío copia a la lista.
El 17/04/2022 a las 19:25, Gorri Martínez Oscar escribió:
> Saludos:
> Me has escrito en privado un mensaje que creo querías enviar a la lista.
> Biblos ya instala su complemento en la versión actual por lo que
> puedes comprobar desde ya qué es lo que hace.
> Aún no ha actualizado, ya que dice que lo hará en próximas fechas.
> Respecto a Edico, en Italia sí que instala un addon que no han
> publicado en ninguna web.
> Es una cosa muy curiosa ya que ese addon lo han realizado en Italia y
> sabes por qué ha sido así.
> Saludos
>
>
>
> El 17/04/2022 a las 17:02, Javi Domínguez escribió:
>> Hola, Óscar.
>>
>>
>> ¿Se ha publicado ya esa versión de Biblos? Hasta que vea como lo hace
>> no puedo opinar mucho pero en principio la extensión .nvda-addon está
>> asociada a NVDA y bastaría con lanzar un archivo con este nombre para
>> que NVDA lo instale, preguntando, por supuesto, como siempre, si
>> estás seguro y confías en él. En este caso es NVDA quien instala el
>> complemento, es el mismo proceso que cuando descargas un archivo
>> .nvda-addon de internet y le das a abrir. Ya depende del usuario
>> confiar o no. Si en cambio usa algún método más invasibo, como tu
>> dices, estaría de acuerdo contigo en que me parece una mala práctica.
>> No creo, no veo motivo para hacerlo así pero por curiosidad he
>> probado como se podría instalar un complemento desde fuera de NVDA
>> sin que el usuario intervenga para nada y la verdad es que es
>> bastante más fácil de lo que pensaba.
>>
>>
>> Respecto al complemento en sí no se lo que hace, no se si será un
>> módulo de aplicación que sólo afecte a la ventana de Biblos o un
>> plugin global que modifique algún aspecto de NVDA. La licencia de
>> NVDA a la que te refieres es la GNU que permite hacer desarrollos
>> derivados siempre que estos mantengan la misma licencia, es decir,
>> según creo, el código fuente del complemento debería ser público. Lo
>> habitual, y lo que se exige cuando un complemento pasa una revisión,
>> es que el código fuente vaya en el paquete de instalación. aSí lo
>> espero porque tengo curiosidad por ver como maneja la línea braille.
>> Si sólo incluye binarios, archivos .pyc, siempre se pueden
>> descompilar pero es un punto para la desconfianza.
>>
>>
>> Al final es un tema de confianza. Yo confío en Digrande, aunque no
>> los uso conozco sus programas desde hace muchos años y no creo que
>> haga nada malicioso. Estaré pendiente de probarlo cuando se publique
>> por curiosidad de ver como lo ha implementado. Si advierte que se va
>> a instalar un complemento y explica lo que hace no me parece mal, que
>> cada cual, sabiéndolo, confíe o no. En cuanto a Edico no lo conozco
>> pero mas o menos lo mismo.
>>
>>
>> Un saludo
>>
>>
>> Javi Domínguez
Pues sí, pero nunca me acuerdo de que en esta lista las respuestas van
al remitente y no al grupo, ja!
He probado la última versión de Biblos. Durante la instalación no me ha
añadido ningún addon ni script ni nada. los he encontrado en la carpeta
de instalación
C:\Program Files\DiGrande\Biblos5\Scripts\nvda
y lo he instalado a mano porque no encontraba en el programa la opción
para hacerlo. Luego he visto que está en el menú Ayuda > Instalar
Scripts. Ahí eliges si quieres los scripts de Jaws o el addon de NVDA.
En el caso de NVDA lo que hace es lanzar el archivo .nvda-addon y se
instala igual que si lo hicieras manualmente.
No me parece nada invasibo, lo que me parece más bien es mal
documentado, me ha costado encontrar esa opción, si no sabes que existe
es fácil pasarla por alto.
En cuanto al complemento en sí no hace nada especial. Sólo contiene un
archivo biblos.py con el código fuente y el manifest.ini. Es un módulo
de aplicación que sólo afecta a la ventana de Biblos para mejorar
aspectos como la selección de texto, lectura por líneas, etc.
Un saludo.
Javi Domínguez
PD: Envío copia a la lista.
El 17/04/2022 a las 19:25, Gorri Martínez Oscar escribió:
> Saludos:
> Me has escrito en privado un mensaje que creo querías enviar a la lista.
> Biblos ya instala su complemento en la versión actual por lo que
> puedes comprobar desde ya qué es lo que hace.
> Aún no ha actualizado, ya que dice que lo hará en próximas fechas.
> Respecto a Edico, en Italia sí que instala un addon que no han
> publicado en ninguna web.
> Es una cosa muy curiosa ya que ese addon lo han realizado en Italia y
> sabes por qué ha sido así.
> Saludos
>
>
>
> El 17/04/2022 a las 17:02, Javi Domínguez escribió:
>> Hola, Óscar.
>>
>>
>> ¿Se ha publicado ya esa versión de Biblos? Hasta que vea como lo hace
>> no puedo opinar mucho pero en principio la extensión .nvda-addon está
>> asociada a NVDA y bastaría con lanzar un archivo con este nombre para
>> que NVDA lo instale, preguntando, por supuesto, como siempre, si
>> estás seguro y confías en él. En este caso es NVDA quien instala el
>> complemento, es el mismo proceso que cuando descargas un archivo
>> .nvda-addon de internet y le das a abrir. Ya depende del usuario
>> confiar o no. Si en cambio usa algún método más invasibo, como tu
>> dices, estaría de acuerdo contigo en que me parece una mala práctica.
>> No creo, no veo motivo para hacerlo así pero por curiosidad he
>> probado como se podría instalar un complemento desde fuera de NVDA
>> sin que el usuario intervenga para nada y la verdad es que es
>> bastante más fácil de lo que pensaba.
>>
>>
>> Respecto al complemento en sí no se lo que hace, no se si será un
>> módulo de aplicación que sólo afecte a la ventana de Biblos o un
>> plugin global que modifique algún aspecto de NVDA. La licencia de
>> NVDA a la que te refieres es la GNU que permite hacer desarrollos
>> derivados siempre que estos mantengan la misma licencia, es decir,
>> según creo, el código fuente del complemento debería ser público. Lo
>> habitual, y lo que se exige cuando un complemento pasa una revisión,
>> es que el código fuente vaya en el paquete de instalación. aSí lo
>> espero porque tengo curiosidad por ver como maneja la línea braille.
>> Si sólo incluye binarios, archivos .pyc, siempre se pueden
>> descompilar pero es un punto para la desconfianza.
>>
>>
>> Al final es un tema de confianza. Yo confío en Digrande, aunque no
>> los uso conozco sus programas desde hace muchos años y no creo que
>> haga nada malicioso. Estaré pendiente de probarlo cuando se publique
>> por curiosidad de ver como lo ha implementado. Si advierte que se va
>> a instalar un complemento y explica lo que hace no me parece mal, que
>> cada cual, sabiéndolo, confíe o no. En cuanto a Edico no lo conozco
>> pero mas o menos lo mismo.
>>
>>
>> Un saludo
>>
>>
>> Javi Domínguez
DaVid
Apr 18, 2022, 6:54:29 PM4/18/22
to nvd...@googlegroups.com
Creo que Oscar se refiere a que esta práctica podría ser aprovechada
por otros. Quizás no biblos ni edico, pero otra persona con
intenciones poco transparentes. Aunque es responsabilidad del usuario
tener en cuenta que instala y qué no, siempre hay alguno por ahí que
va instalando todo lo que se le atraviesa por el camino.
Saludos.
El 18/4/22, Javi Domínguez <fja...@gmail.com> escribió:
por otros. Quizás no biblos ni edico, pero otra persona con
intenciones poco transparentes. Aunque es responsabilidad del usuario
tener en cuenta que instala y qué no, siempre hay alguno por ahí que
va instalando todo lo que se le atraviesa por el camino.
Saludos.
El 18/4/22, Javi Domínguez <fja...@gmail.com> escribió:
Javi Domínguez
Apr 19, 2022, 3:42:59 AM4/19/22
to nvd...@googlegroups.com
Hola.
Mientras se advierta al usuario y se le de la opción de decidir es un tema de confianza, que cada cual confíe en quien quiera. Otra cosa son los paquetes que circulan por ahí de NVDA con complementos ya instalados. Pero que cada cual haga lo que quiera, En el momento que decide dar sí a instalar es su propia responsabilidad.
El problema al que creo que Oscar se refiere es que desde fuera de NVDA otro programa o manualmente un usuario pueda instalar un complemento de forma transparente al usuario, sin que a éste se le advierta de que se está instalando nada.
Resulta que hay una forma muy sencilla de hacerlo, que no sé sí contar por aquí, que funciona incluso con NVDA descargado; El complemento se cargaría en el siguiente inicio.
Teniendo en cuenta que, como tú dijiste, la carpeta de complementos es accesible para que cualquier usuario o programa escriba en ella, no es lo peor, al menos de la forma que yo digo el complemento aparecería visible en el gestor de complementos. Peor es que se pueda manipular un complemento previamente instalado, lo cual sería mucho más difícil de detectar.
El problema tiene muy difícil solución, Como tú dices solo se puede mitigar; que al menos el usuario sea consciente de lo que tiene instalado. Quizá un registro de los complementos con los hashes de sus archivos ayudaría tener un control de los cambios, no evitaría que sucedan pero se podría avisar de ello al usuario. Siempre se puede manipular lalista de hashes pero ya se pone un poco más difícil.
Saludos
Javi
> El 19 abr 2022, a las 0:54, DaVid <dhf...@gmail.com> escribió:
>
> Creo que Oscar se refiere a que esta práctica podría ser aprovechada
> --
> Visita la web oficial de la comunidad de NVDA en español para acceder a recursos y descargas que desplegarán todo el potencial de tu lector de pantalla:
> https://nvda.es
> Visita la tienda de la web oficial de la comunidad para adquirir algunos productos, como materiales de formación o sintetizadores de voz, que mejorarán tu experiencia con NVDA: https://nvda.es/tienda/
> Consulta las normas de esta lista siempre que quieras en la siguiente dirección:
> https://nvda.es/documentacion/normas-de-convivencia-y-buen-comportamiento/normas-de-la-lista-de-correo-de-la-comunidad-de-nvda-en-espanol/
> ---
> Has recibido este mensaje porque estás suscrito al grupo "NVDA en español" de Grupos de Google.
> Para cancelar la suscripción a este grupo y dejar de recibir sus mensajes, envía un correo electrónico a nvda-es+u...@googlegroups.com.
> Para ver este debate en la Web, visita https://groups.google.com/d/msgid/nvda-es/CABgZ1atikKqEvvQj1jew%2Bv%3D7Pae3bZjMprt%2BaNJ_POsSp2RSJA%40mail.gmail.com.
Mientras se advierta al usuario y se le de la opción de decidir es un tema de confianza, que cada cual confíe en quien quiera. Otra cosa son los paquetes que circulan por ahí de NVDA con complementos ya instalados. Pero que cada cual haga lo que quiera, En el momento que decide dar sí a instalar es su propia responsabilidad.
El problema al que creo que Oscar se refiere es que desde fuera de NVDA otro programa o manualmente un usuario pueda instalar un complemento de forma transparente al usuario, sin que a éste se le advierta de que se está instalando nada.
Resulta que hay una forma muy sencilla de hacerlo, que no sé sí contar por aquí, que funciona incluso con NVDA descargado; El complemento se cargaría en el siguiente inicio.
Teniendo en cuenta que, como tú dijiste, la carpeta de complementos es accesible para que cualquier usuario o programa escriba en ella, no es lo peor, al menos de la forma que yo digo el complemento aparecería visible en el gestor de complementos. Peor es que se pueda manipular un complemento previamente instalado, lo cual sería mucho más difícil de detectar.
El problema tiene muy difícil solución, Como tú dices solo se puede mitigar; que al menos el usuario sea consciente de lo que tiene instalado. Quizá un registro de los complementos con los hashes de sus archivos ayudaría tener un control de los cambios, no evitaría que sucedan pero se podría avisar de ello al usuario. Siempre se puede manipular lalista de hashes pero ya se pone un poco más difícil.
Saludos
Javi
> El 19 abr 2022, a las 0:54, DaVid <dhf...@gmail.com> escribió:
>
> Creo que Oscar se refiere a que esta práctica podría ser aprovechada
> Visita la web oficial de la comunidad de NVDA en español para acceder a recursos y descargas que desplegarán todo el potencial de tu lector de pantalla:
> https://nvda.es
> Visita la tienda de la web oficial de la comunidad para adquirir algunos productos, como materiales de formación o sintetizadores de voz, que mejorarán tu experiencia con NVDA: https://nvda.es/tienda/
> Consulta las normas de esta lista siempre que quieras en la siguiente dirección:
> https://nvda.es/documentacion/normas-de-convivencia-y-buen-comportamiento/normas-de-la-lista-de-correo-de-la-comunidad-de-nvda-en-espanol/
> ---
> Has recibido este mensaje porque estás suscrito al grupo "NVDA en español" de Grupos de Google.
> Para cancelar la suscripción a este grupo y dejar de recibir sus mensajes, envía un correo electrónico a nvda-es+u...@googlegroups.com.
> Para ver este debate en la Web, visita https://groups.google.com/d/msgid/nvda-es/CABgZ1atikKqEvvQj1jew%2Bv%3D7Pae3bZjMprt%2BaNJ_POsSp2RSJA%40mail.gmail.com.
Gorri Martínez Oscar
Apr 19, 2022, 5:51:52 AM4/19/22
to nvd...@googlegroups.com
Saludos:
Exactamente!
Habéis llegado al punto donde yo quería llegar.
Aquí tenemos dos programas que por sus autores se pueden considerar
seguros, pero la experiencia nos dice que en NVDA y en el mundo de los
ciegos del todo gratis hemos tenido ya varias experiencias dolorosas.
Quería comentarlo porque además en estos días se han producido dos cosas
incongruentes entre sí:
De una parte la implementación de los parches de seguridad para
defendernos de complementos maliciosos en pantallas seguras, y de otra
la relajación de los controles en la web internacional.
Entiendo que es correcto informar al usuario de que pueden ocurrir cosas
para que el usuario las intente evitar como entiendo que hay que
dificultar las cosas al pirata porque hay que dificultar las cosas al
pirata.
Saludos
Exactamente!
Habéis llegado al punto donde yo quería llegar.
Aquí tenemos dos programas que por sus autores se pueden considerar
seguros, pero la experiencia nos dice que en NVDA y en el mundo de los
ciegos del todo gratis hemos tenido ya varias experiencias dolorosas.
Quería comentarlo porque además en estos días se han producido dos cosas
incongruentes entre sí:
De una parte la implementación de los parches de seguridad para
defendernos de complementos maliciosos en pantallas seguras, y de otra
la relajación de los controles en la web internacional.
Entiendo que es correcto informar al usuario de que pueden ocurrir cosas
para que el usuario las intente evitar como entiendo que hay que
dificultar las cosas al pirata porque hay que dificultar las cosas al
pirata.
Saludos
Reply all
Reply to author
Forward
0 new messages