Respaldo hojas pequeñas de XOMOLSUCKS

Se pasa a este tema información del sitio xomolsucks por fines de respaldo.

[size=large][color=#FF0000]METODOLOGIA [/size]

Viernes 20 de marzo 2009

Hace unas semanas, a mediados de Febrero del 2009, un sujeto llamado David Guttmann me amenazó de muerte por varias razones. Una de las amenazas era si mencionaba las fallas de seguridad de un CMS llamado XOMOL, que cuando vi por encima unos días antes, me pareció evidente que era muy poco profesional, y que el software era un paquete grande, inspirado en OSCOMMERCE, y que tomaba lo peor de postnuke y otros softwares.

Con el asunto de las amenazas, me pareció interesante buscar si alguien había usado el software y por lo que vi, nadie. Solo encontré textos bastante fuera de lugar, donde se manejaba una evidente autopromoción.

El análisis actual mostró que la versión 1.5.2.2, es altamente inestable, y que hay razones para suponer que el programador del software consume drogas de manera cotidiana, principalmente medicamentos que prodfucen psicosis por padecer el sujeto de la enfermedad de Yacare, y Peyote en una de sus formas, ya que un defensor del software / identidad del sujeto defendió la versión inexistente 1.6 al mismo tiempo de comentar sobre el “venado azul”

Nos limitaremos a hacer una breve semblanza de las capacidades y fuentes de inspiración de David Guttmann, pero siempre de manera secundaria al análisis imparcial del sistema.

Para hacer ese análisis, necesitamos escenarios y una metodología. No es mi intención presentar un trabajo de la misma calidad que entrego a los clientes que pagan los sueldos de mi personal y el mio, pero no es mala idea poner el borrador preliminar,asignando solo una parte de lo que hacemos normalmente. Este sitio es el resultado de unas 20 a 30 horas de trabajo, repartidos a partes iguales entre beta testers, documentadora, y webmaster, mas unas 20 horas de mi propio tiempo, en pasar a Drupal los resultados (publicar un sitio en XOMOL hubiese sido absurdo y diez veces mas tardado). Debe considerarse el presente sitio como un trabajo preliminar, y no definitivo, y en ratos libres le dedicaré algo mas de tiempo.

El costo estimado de mi personal (que trabajó en medio de otros proyectos ), que hubiese cobrado de ser un trabajo por consultoría el tiempo invertido aquí, habría sido unos 50 a 60 mil pesos.

La infraestructura y metodología que utilizamos son las estandares del mercado, y en lo personal llevo mas de 19 años como programador y he utilizado bastante herramientas Open Source. Por lo mismo, en ocasiones mis razones sociales han sido contratadas para evaluar si un paquete cumple lo que necesita una empresa determinada, aunque normalmente nos dedicamos a hacer código para soluciones específicas.

Sin embargo, como este sitio demuestra tenemos experiencia en análisis y el contexto.. un analisis debe considerar la evidencia y los hechos imparciales. La palabra “analisis” sugiere cierto tipo de metodología con la implicación de imparcialidad. así que esta página tiene el propósito de mencionar nuestra metodología, y las evidencias que nos llevan a las conclusiones finales.

El problema específico que presenta XOMOL es entonces, ¿como hacer un análisis objetivo de un sistema que es una basura ?

En las pruebas simples que usamos para evaluar escenarios, realistas, XOMOL obtuvo los peores resultados posibles de rendimiento y usabilidad, por lo que creemos sinceramente que nadie usa XOMOL porque no sirve, desde el diseño.

Ningún sistema de Hardware puede resolver problemas de software Obsoleto y estándares de calidad descuidados, y la variedad de la infraestructura hace completamente imposible probar en todas las combinaciones.

Cuando tenemos que revisar un software de terceros, por lo general hacemos pruebas de varias cosas, pero el manejo de XOMOL es tan malo, que solo podemos hacer una parte.

Por lo mismo, hicimos una serie de análisis que nos llevó a encontrar otro problema de seguridad, y a concluir que David Guttmann, “programador” de Xomol, necesita urgentemente clases de programación básica, y que NO ES UN SISTEMA VIABLE para entornos de producción.

Por lo mismo, lo documentamos en Grandes áreas:

1 Lo que dice la publicidad de XOMOL.

1a Supuestos a comprobar

1b Evaluación de casos de éxito.

2 Evaluación de escenarios que pueden estar interesados

3 Paso a paso de lo que vimos con los escenarios.

4 Fiabilidad de 4p y ciclo de vida ( cuando inició y vida útil )

5 Conclusiones Técnicas

6 Conclusiones Finales.

7 Consideraciones objetivas y justificación de este sitio

Poco a poco el sitio se irá trasladando al Inglés.

Desglose de 5: Conclusiones técnicas.

Análisis de tecnología usada:

Notas sobre el motor de base de datos.

Nivel de normalización

Soporte a browsers Standard (si es web)

Notas específicas de Integridad referencial

Notas específicas de justificación de Triggers

Notas específicas de programación de triggers:

Mecanismos de recuperación de datos

Elección de base de datos

Público Destino y adecuación de la plataforma

Pruebas de usabilidad CMS:

Hechas por tres personas diferentes, usando como referencia principal a una persona de mi equipo, que se dedica profesionalmente a documentar sistemas existentes.

Documentación Técnica:

Secciones:

Documentación de sistema recibido y Notas del Desarrollador / Mantenimiento

Metodología de respaldos de producción

Diccionario de datos (automatizado)

Modelo Físico – Lógico NO

anexo sobre base de datos y acceso a la misma.

Manual de Usuario

Manual de Instalador

Viabilidad:

Necesidad real del software.

Escenarios.

Justificación de Viabilidad y elección de Lenguaje.

Elección de software de desarrollo

Elección de panel de control

Compatibilidad con versiones anteriores

base de usuarios instalada

Características de la Comunidad

Addons y fallas de seguridad

Portabilidad multiplataforma.

Calculo de Vida útil

Notas de instalación.

Requerimientos de Software y hardware.

Forma de instalación del script:

Forma de instalación de base de datos SQL:

Configuración de la base de datos en el código.

Notas Sobre el motor de correo :

Notas sobre el FTP

Comparativos contra equivalentes.

Validez en escenarios de prueba

Problemas de Calidad:

variables publicas

seguridad del lenguaje

Requisitos del sistema destino

Recursividad y redundancia de archivos

Calidad del código.

Sugerencias a futuro:

Realizar estudio de dependencias y normalización ( tablas hijas, etc )

Otros escenarios:

Escenarios arquetipo.

Base de usuarios del software

No haremos:

Trouble Shooting

Entregables de Documentación

Revisión profunda de código

Revisión extensiva Browsers.

Pendiente:

Borrador de limitaciones del sistema y explicación de sus motivos.

Documentar Pruebas de resolución: Usaremos como base 1024*768 asi que las revisiones sobre resoluciones menores serán esporádicas y no tan intensivas.

Se asume:

El sistema dice ser multiplataforma, así que las pruebas se hacen con sistema operativo XP con todas las actualizaciones vigentes en entorno LOCAL.

En entorno de producción se asume CPANEL con PHP y Mysql por ser lo mas común.

[size=large][color=#FF0000]LLAMADAS A MAIL [/size]

Un dato fue que cuando subi los archivos de Xomol al servidor Numero uno, recibí este correo como admin del server.

En pocas palabras, Xomol usa una función MAIL para enviar correo, y la forma en que lo llama en varios lugares indica por un lado que no encapsulan, y segundo, me hizo darme cuenta que no deja configurar envíos de correos. Si la función mail esta deshabilitada, como pasa en la mitad de mis servers, o en instalaciones locales, ya no puede mandar correo.

Note: If this is the first time you received this mail, it contains the history for the entire month so far.

Below are the recently upload scripts that contain code to send email. You may wish to inspect them to ensure they are not sending out SPAM.

/home/xomolsuc/public_html/XOMOLL/modules/banners/index.php:431:

/home/xomolsuc/public_html/XOMOLL/modules/banners/index.php:432: // mail($strTo, $strSubject, $strMailtext, $header);

/home/xomolsuc/public_html/XOMOLL/modules/banners/index.php:433: include(‘modules/’.$op.’/thanks.php’);

/home/xomolsuc/public_html/XOMOLL/modules/contactus/index.php:85:

/home/xomolsuc/public_html/XOMOLL/modules/contactus/index.php:86: mail($strTo, $strSubject, $strMailtext, $header);

/home/xomolsuc/public_html/XOMOLL/modules/contactus/index.php:87: // mail($strTo2, $strSubject2, $strMailtext2, $header2);


/home/xomolsuc/public_html/XOMOLL/modules/store/index.php:907:

/home/xomolsuc/public_html/XOMOLL/modules/store/index.php:908: mail($strTo, $strSubject, $strMailtext, $header)

/home/xomolsuc/public_html/XOMOLL/modules/store/index.php:909: or die(“Die Mail konnte nicht versendet werden.”);

/home/xomolsuc/public_html/XOMOLL/modules/my_account_pls/index.php:460:

/home/xomolsuc/public_html/XOMOLL/modules/my_account_pls/index.php:461: mail($strTo, $strSubject, $strMailtext, $header);

/home/xomolsuc/public_html/XOMOLL/modules/my_account_pls/index.php:462: // or die(“Die Mail konnte nicht versendet werden.”);

/home/xomolsuc/public_html/XOMOLL/modules/store/index.php:907:

/home/xomolsuc/public_html/XOMOLL/modules/store/index.php:908: mail($strTo, $strSubject, $strMailtext, $header)

/home/xomolsuc/public_html/XOMOLL/modules/store/index.php:909: or die(“Die Mail konnte nicht versendet werden.”);

/home/xomolsuc/public_html/XOMOLL/modules/my_account_pls/index.php:460:

/home/xomolsuc/public_html/XOMOLL/modules/my_account_pls/index.php:461: mail($strTo, $strSubject, $strMailtext, $header);

/home/xomolsuc/public_html/XOMOLL/modules/my_account_pls/index.php:462: // or die(“Die Mail konnte nicht versendet werden.”);

[size=large][color=#FF0000]PRIMERAS IMPRESIONES[/size]

2009-03-22 20:17:27 +0000

Cuando decidí hacer el análisis de Xomol 1.5.2.2 y pasárselo a mi personal, esperaba respuestas negativas, pero no tanta.

Antes de poner los resultados de los comentarios de los usuarios de prueba, webmaster y la documentadora, quiero repetir que no estoy poniendo todos los comentarios negativos. Solo los obejtivos. Cualquier persona que trate de usar Xomol, sentirá ganas de decir dos palabras, que no son precisamente feliz cumpleaños.

Al finalizar la elaboración de las pruebas, pregunté a la hora de la comida a tres personas: Diganme algo rescatable de Xomol.

Silencio.

Unos 20 segundos después, la documentadora dijo “ayyy esta dificil, no se me ocurre nada”

Eso da una idea de la situación.

Como definirias Xomol ?

La respuesta a la que llegaron entre todos fue : Xomol es un mal intento de copiar partes de Postnuke y OsCommerce, es un aplicativo que nadie usa , que no tiene lógica, no es fluido, es difícil de usar, se cae a cada rato o ya no deja entrar, y que aparentemente lo hizo un tipo que no tiene experiencia programando, no hace validaciones elementales, no sirve, se truena, ocupa mucho espacio,no se le entiende y no pasó por control de calidad.

——————————————

Usuario 1:

Uno de mis usuarios de prueba, es la persona que sirve de interfase con los clientes para definir casos de uso en otro software. A los cinco minutos de usarlo me pidió el manual o las especificaciones funcionales. Le dije que no existia ninguno de los dos, y me preguntó si íbamos a documentar por incumplimiento de contrato (es decir, demostrar las fallas para enjuiciar a un proveedor existente ).

Le dije que no.

Unos diez minutos después, me comentó por correo que ya tenía dos formas de hacer que el sistema no funcionara y tener que reinstalarlo, y que además el sistema no funcionaba con un flujo lógico de actor. Me parecieron tan evidentes sus comentarios, que le ped{i que se dedicara a otra cosa. Pero seguro que si lo hubiese puesto un día, encuentra mas.

Usuario Dos:

El usuario numero dos me pidió casos de éxito, para descartar problemas de configuración de nuestra parte como origen de errores de XOMOL. Como no encontramos el dato por ninguna parte, le pedí que validara los resultados de la documentadora y pusiera sus impresiones.

Descubrí que hay cinco sitios que usan el software XOMOL, y que todos están en el servidor del programador 89.110.149.181.

1 tzaulan.net Nahual Communicatios, david Guttman

2 xomol.net

3 sayula.org (David Guttmann direccion)

4 tzaulan.com.mx y

5 masprestamos.com, el propietario es uan Carlos Carranco Sotelo. el admin y el que paga es Fidencio Alvarado Madrue~o y el contacto tecnico David Guttmann Quiroz.

Aunque el autor hace afirmaciones poco creíbles, creemos que el software no lo usa nadie y no es reconocido. Estas son las pruebas de aceptación de Xomol que sugerí:

1 : Presentar comentariosa favor hechos en foros publicos por usuarios o programadores, en foros de mas de 20 mil mensajes, y escritos por usuarios con mas de 400 mensajes, y con fecha de diciembre 2008 o anterior.

2 : Mostrar dominios hechos con XOMOL que sean propiedad de las identidades multiples de Guttmann, como Rafavaldo y otros, ya que dicen usarlo sin problemas.

3 : Mostrar dominios hechos con XOMOL, que estén entre el primer millón de popularidad del aplicativo Alexa

4 : Mostrar una comunidad de usuarios alrededor de Xomol o de desarolladores de modulos descargables. Esto es porque varias identidades de Guttmann dicen haber estado buscando módulos de Xomol.

Usuario Tres:

Para validar la accesibilidad de Xomol en su versión inglés, le pedí a Sandy Jhonson, persona que lleva las ventas de estados unidos de mi empresa de host, que echara un vistazo. Esta Sandy es la misma persona a la que David Guttmann Quiróz amenazó con hacer un sitio pornográfico.

Además de comentar que el software estaba igual de malo en inglés que en español, nos hizo notar que Xomol y su módulo “multilenguaje” es un fusil mal hecho de Oscommerce. Al mismo tiempo, casi todo lo del CMS sigue el mismo flujo que PostNuke y hay puntos en común. El resultado fue el comentario de ser poco intuitivo y de mala calidad.

Asi mismo, salieron muchos comentarios sobre los “themes” y la falta de validaciones de inputs básicos.

Webmaster:

El webmaster siguió el procedimiento de instalación, para descubrir varios dias después por accidente que había un instalador no documentado, que entre otras cosas inserta de todos modos datos de prueba aunque uno le diga que no, y que contradice las supuestas instrucciones de validación.

Haciendo la instalación de base de datos por ambos métodos, descubrimos una falla de seguridad y que no se ha probado en los paneles de controles normales. Ni en las plataformas normales de desarrollo PHP bajo Windows (modos locales).

DBA:

Este soy yo. Revisé por encima los archivos, código, scripts, etc. El código no esta documentado, no hay integridad referencial, 800 archivos duplicados, etc.

Debido a la respuesta de los demás, decidí no hacer mas que una revisión por encima del còdigo. Si el resultado no es funcional, probablemente tampoco el código.

Documentadora:

Le pedí a nuestra documentadora que tratara de realizar los casos de uso simples que definió el usuario número uno, así como hacer 10 pruebas de usabilidad de CMS que ya tenemos.

Por lo visto entendió que debía hacer un análisis completo, pero cuando unos dias después recibí un correo con el “borrador de Reporte de errores de ortografía y sintaxis de Xomol 1.5.2.2, idioma mexican” que iba de ocho páginas, le pedí que no hiciera el análisis completo.

Su recomendación a los dos dias: Si vas a meter datos en el CMS, no uses Firefox.

Y un resultado lateral de sus pruebas, fue encontrar un agujero de seguridad adicional a los tres ya reportados por Security Focus

————-

Xomol es un mal intento de copiar partes de Postnuke y OsCommerce, es un aplicativo que nadie usa , que no tiene lógica, no es fluido, es difícil de usar, se cae a cada rato o ya no deja entrar, y que aparentemente lo hizo un tipo que no tiene experiencia programando, no hace validaciones elementales, no sirve, se truena, ocupa mucho espacio,no se le entiende y no pasó por control de calidad.

Y yo añado, además que tiene fallas de seguridad, no sigue estándares, no es funcional y sirve sobre todo para fines publicitarios del sujeto.

[size=large][color=#FF0000]2664 ARCHIVOS DUPLICADOS[/size]

En esta pantalla se muestran los archivos duplicados encontrados por la utilería CloneSpy, cabe destacar que los archivos repetidos mas grandes son banners que pasan de 70 kb, y los mas comunes banderitas de varios paises que se encuentran hasta 13 veces en una instalación estandard. Otros archivos bastante grandes y repetidos son las imágenes de las pizzas.

Estamos hablando de un pool de 2664 archivos donde se pueden elimitar 731 segun yo. Si son 982 duplicados, esto significa que por cada tres archivos, uno es de oquis.

[size=large][color=#FF0000]COPIA MALA DE OSCOMMERCE[/size]

Después de los comentarios hechos por Sandy sobre el probable origen de XOMOL como copia y pega de codigo de OSCOMMERCE, y POSTNUJE  tomé unas pantallas de las versiones actuales, se adjuntan como ZIP.

Notese que DE NINGUNA MANERA DECIMOS que XOMOL sea parecido a OSCOMMERCE en funcionalidad. OSCOMMERCE por lo menos deja editar los articulos, y como demostró nuestra prueba, XOMOL No.

Cabe destacar que los mensajes de fantastico, del lado izquierdo, se debn a haber deshabilitado las opciones de

allow_url_fopen en el server, procedimiento normal en un server seguro.

En lo personal, casi siempre debemos hacer sitios de ecommerce personalizado para nuestros clientes por razones de integración, pero OSCOMMERCE hace unas preguntas muy simples.

Notese que Pide :

Feccha de nacimiento y pregunta SSL. Xomol No. Pide mas datos de los que un usuario normal da.

Os Commerce supone que usted quiere dar articulo y lo explica de manera clara en el menu con botones Nueva categoría , nuevo artículo y editar(artículo)

Las pantallitas tipicas de idioma que Xomol usa, pero ampliadas a lo tonto (ver el artículo notas de Carrito)

Notese que el uso de status en los circulos de Oscommerce si es funcional, que siguen copias de idioma, pero no los botones simples editar o nuevo producto. Esta pantalla es un ejemplo de porqué Xomol no sirve, y que es lo que espera el usuario, y no me refiero a pantallas parciales de idiomas de Oscommerce.

Como persona que compro casi a diario por Paypal, me parece extraño que XOMOL no lleve un control estimado de tipo de cambio. No siempre el usuario del aplicativo piensa en eso, y no todos los que mantienen la tienda tienen el paypal del dueño.

Notese el manejo de banners de Oscommerce, que son mucho mas funcionales. Pueden desacvtivarse sin que el programa se caiga y no es un menú críptico.

Notese que aunque OSCOMMERCE usa las banderitas (lado derecho) por lo menos indica que son idiomas, y no se pierden en el diseño general.

Aunque la pantalla de OScommerce esta en alemán, permite usar dolares, y en la cadena de linea solo aparece una vez, no cinco. (ver en pantallas varias 5 idiomas)

[size=large][color=#FF0000]DISCLAIMERS[/size]

Disclaimer: This site IS NOT ABOUT the Trade action XOMOL, or any person called XOMOL. Seek yahoo finances for the Good bussiness called Xomol. The only Xomol referred in this site is the CMS Created by “David Guttmann” and available under varieties of GPL License. This website is a derivative, and can be cited giving the credit.

El objetivo de esta página es analizar de manera detallada El CMS o administrador de contenido XOMOL , que es segun las evidencias un software inútil creado por “David Guttmann” o David Guttmann Quiròz, alias Rafavaldo, Juan Camaney y otros.

No se pretende analizar un caso de éxito ni el código de XOMOL, asi como no se pretende analizar las fallas de seguridad ya documentadas o por documentarse, sino un análisis de su viabilidad, ya que todas las referencias externas favorables al CMS son realizadas por el programador del mismo, así que tomamos como base un análisis funcional, porque un análisis detallado exige un marco teórico y documentación, del cual carece XOMOL, y de ninguna manera recomendamos el uso del software, por los resultados mencionados.

Debido a las fallas de seguridad mencionadas antes , sostenemos que XOMOL es un software no listo para producción, y es un suicidio competitivo para quien trate de usarlo.

Sale fuera del ámbito de este sitio analizar o detallar las SUPUESTAS capacidades de David Guttmann como programador, y nos basamos en el análisis de la funcionalidad de la versión 1.5.2.2

Hacemos constar que David Guttmann nos amenazó de muerte antes de hacer este sitio, asi como con hacer sitios pornográficos a nombre de tres mujeres empleadas del autor de este sitio, asi como amenazas de suplantación de Razones sociales constituidas, como Rojo Intenso.

Por lo mismo, además de los problemas funcionales, creemos que el Software no tiene Vida util ni futuro, por ser hecho por un suejto sin moral, que toma medicamentos para el mal de yacaré que producen psicosis, y otra de sus personalidades acepta tomar peyote fuera del contexto religioso, por lo que no hay calidad moral, profesionalismo ni cortesía en el programador de Xomol, o de sus supuestos defensores.

Que nosotros sepamos Xomol no es Marca registrada, y en caso de serlo es propiedad de sus respectivos dueños.

Este sitio es legal por cumplir los estandares de Paypal Vs Paypalsucks, y de Lucent contra LucentSucks, y al ser registrado el dominio con una tarjeta de crédito de Eu, y estar alojado en EU, nos acogemos a la jurisdicción del servidor de Estados Unidos donde está alojado.

[url=https://rojointenso.net/adjuntos/289-xomol_copia_mal_a_oscommerce.zip]https://rojointenso.net/adjuntos/289-xomol_copia_mal_a_oscommerce.zip[/url]   ( click derecho para descargar )

Comments are Closed