PHP5 y SOAP

El ya conocido protocolo SOAP llega de forma nativa a PHP en la versión 5.

Para el que no sepa qué es esto de SOAP, es a grandes rasgos, un protocolo que permite llamar a funciones que están en otra máquina, de forma que podamos pasarle los parámetros y nos pueda devolver la respuesta de forma transparente, la comunicación es en formato XML y se suele hacer sobre el protocolo HTTP. S quereis más información, podeis buscar términos como SOAP, UDDI, WDSL,...

La cuestión es que PHP5 lo soporta de forma nativa, con lo que consigue máxima transparecia al programador. Por ejemplo si tenemos funciones ya implementadas en php y queremos publicarlas como servicio web, sólo tenemos que crear una página php con las siguientes líneas:

$servidor = new ServerSoap(null,array("uri"=>""));
$servidor->addFunction("mifuncion");
//podemos añadir cuantas funciones queramos
$servidor->handle();

Es así de sencillo y de simple para el programador. Hay que tener en cuenta que esto que he puesto sería la forma más rápida y sencilla de conseguirlo, pero en el constructor se le pueden configurar muchas cosas.

Crear un cliente SOAP es igual de sencillo:

$cliente = new ClientSoap(null,array("location"=>"","uri"=>""));
$cliente->mifuncion();

Así de simple, una vez creado el cliente, simplemente lo tratamos como si fuese un objeto con todos los método que implementa el servidor, ya PHP5 se encarga de implementar el protocolo y de que todo sea lo más transparente posible para el usuario.

Fácil y simple, ¿verdad?

José Carlos Calvo Tudela

La Alhambra, una de las 7 Maravillas

Como todos conocereis la Alhambra es una de las candidatas a ser una de las 7 Maravillas del mundo moderno.

Para votar por la Alhambra hay que ir a la web oficial

La Diputación granadina entre otros entes, va promover la votación de la Alhambra, mediante el acceso a los centros guadalinfo para que la gente pueda votar. Se organizará una semana de votaciones en toda Andalucía, y una web permitirá conocer el porcentaje de votos que genera cada provincia andaluza con respecto al resto de provincias www.votaalhambra.com

Espero que voteis por la Alhambra, ya que es un monumento que si bien no puede compararse a las Pirámides o a la Gran Muralla China, puede competir bastante bien por una posición en las 7 Maravillas comparándola al resto de candidatos. No hay que olvidar que otros monumentos propuestos, como por ejemplo la Estatua de la Libertad, reciben alrededor de 1,6 millones de personas al año, en cambio, la Alhambra recibe más de 2,5 millones de personas al año. Este dato nos indica que hay mucha más gente en el mundo que le parece más interesante la Alhambra.

¿No creeis que debe darse más a conocer? ¿qué mejor que ser una de las 7 Maravillas para conseguirlo?

José Carlos Calvo Tudela

(de)Formación profesional y fallos de seguridad en la vida real

Hace algún tiempo escribí en un blog la siguiente entrada, que terminó en Barrapunto y de ahí llegó a otros medios. Por diversos motivos me interesa recuperarla y ahora este blog ha desaparecido, así que me tomo la libertad de volver a colocarla aquí.

(de)Formación profesional y fallos de seguridad en la vida real

lunes, 6 de febrero de 2006, 23:14

Quizás sea una deformación profesional, o mejor dicho una formación profesional, pero yo creo que viene de antes, que más bien es nuestra forma de ser la que nos empuja a la profesión.

Naturalmente la profesión es la informática, y la (de)formación es el continuo y constante análisis algorítmico de la realidad y el empeño que pongo en localizar agujeros de seguridad y vulnerabilidades en los protocolos. Éste último punto es de especial interés, y creo que las empresas de seguridad deberían contratar a informáticos para sus puestos más importantes, si no que me contraten a mi para diseñar protocolos seguros de trabajo.

Por ejemplo: Pago con tarjeta en un restaurante (hace tiempo que dejé de hacerlo). Me piden el DNI (¡bien!), pero no lo miran siquiera. Con un poco de suerte comprueban que el nombre coincide con el de la tarjeta, pero ¿cuando miran que mi cara coincide con la del DNI? ¡Nunca!. Entonces algo grita en mi interior ¡¡¡Fallo de seguridad!!!.

Voy al cine y presento mi carné de estudiante para obtener descuento. Como mi amigo no tiene carné, le presto el mío de EUR<26, que no tiene foto y que además tiene el nombre escrito a bolígrafo, lo cual lo hace difícil de entender. Naturalmente ambos obtenemos el descuento. Esto es simplemente por que la última vez que fui al cine me di cuenta del problema y algo en mi interior gritó ¡¡¡Fallo de seguridad!!!.

En el Corte Inglés compro un libro. No desactivan correctamente el sistema anti-robo, de modo que a la salida salta al alarma y el "chaqueta roja" me pide el ticket. Comprueba que he pagado el libro y me deja salir. Nuevamente mi sentido informático... ¡¡¡Fallo de seguridad!!!. En el ticket ni siquiera entra el nombre del libro entero, solo las primeras palabras. La próxima vez haré 2x1 con solo dejar el libro fuera y volver con mi ticket en el bolsillo.

Luego hago un ingreso con sobre en un cajero. Y resulta que me dice que el importe está retenido hasta verificación. Sin embargo cuando consulto el saldo y realizo otras operaciones desde mi casa con Internet, no dice por ningún sitio que el importe esté retenido, sólo si miro la anotación del ingreso lo puedo ver. Se me ocurren muchas aplicaciones de ésta técnica.

Cuando entro a primero de carrera (ahí no podía ya tener deformación profesional) me abro una cuenta en el Santander por que regalan una carpeta y una radio. Solo relleno un impreso, firmo y a las 3 o 4 semanas tengo en mi casa una tarjeta y una cartilla con 10 céntimos. No tengo que ir al banco ni nada similar para activar la tarjeta o la cuenta. Y la chica a la que entregué el formulario para que me diese la carpeta no me pidió el DNI. Vamos que tengo acceso a una cuenta que bien podía ser de una persona inexistente o incluso de otra persona (con solo conocer su nombre y DNI).¹


En el Hipercor entro con unos paquetes, de modo que los meto en una bolsa de plástico y la precinto. Cuando estoy dentro me doy cuenta de que la bolsa no está precintada. Esto no es un problema per se, pero es fácil ver que muchos productos no tienen sistema anti-robo por lo que puedo fácilmente guardarlos en la bolsa no precintada. No obstante es casi innecesario, pues no hay dispositivos anti-robo en las cajas (solo en la salida sin compras), y luego solo hay que entrar a un probador para eliminar todos los posibles anti-robos antes de salir del Corte Inglés.

En definitiva, la realidad que me rodea es un enorme agujero de seguridad. Parece que los informáticos somos de los pocos preocupados en el tema de establecer unos protocolos correctos y unos sistemas fiables que garanticen la no subversión y los más capacitados para encontrar (y por qué no, explotar) los enormes errores existentes. Si lo de la informática termina no dando para comer, para mi esto va a ser jauja.

¹En posteriores aperturas de cuenta en otras entidades si me han pedido que acuda a una oficina para activar la cuenta, supongo que se han dado cuenta del problema