El blog de Hector Montenegro

National Technology Officer de Microsoft Ibérica Twitter: @hectorsm

¿Estamos de Broma (y2)?

¿Estamos de Broma (y2)?

  • Comments 121
  • Likes

Después de haber escrito el post ¿Estamos de Broma? en el que contaba mi experiencia de usuario casero con OpenOffice 3.0, me quedé con ganas de profundizar un poco más y la verdad es que he pasado de la estupefacción a la estupefacción, pasando por la más estricta estupefacción. El post debería haberse llamado ¿Estamos de Coña? pero opté por el (y2) en su lugar. Los tacos bien utilizados suman desahogo, pero restan credibilidad ;-)

Habitualmente los discursos competitivos planteados desde Microsoft han tenido mucho que ver con las tremendas diferencias en productividad ofrecidas por las herramientas y utilidades de MS Office en comparación con las de OpenOffice 3.0, así como en las posibilidades para el Information Worker con MS Office como plataforma de desarrollo (en breve anunciaremos un espectacular ejemplo de esto sobre “facturae”), pero nunca nos habíamos centrado en analizar otro tipo de aspectos mas relacionados con la gestión IT de un entorno corporativo desplegado de OpenOffice vs uno sobre MS Office 2007. Y es aquí donde la sorpresa recogida en el primer post, pasó a la “estupefacción” que comento en este segundo. Y si. realmente esto es de flipar.

1ª Sorpresa: Comparar MS Office System con OpenOffice 3.0 es como comparar “La charanga del Tio Honorio” con “La Traviata” (venga, que nadie se enfade. Un poquito de humor ;.). 2 imágenes, o su equivalente: 2.000 palabras:

image image

2ª Sorpresa: 13 releases de OpenOffice.org, en 38 meses. Es decir, una nueva versión cada 3 meses de media (¿Escuché alguna vez alguna queja sobre la frecuenca de las versiones de Ms Office? ;-)

imageClaro, claro. No tienes porque cambiar de versión. Estupendo. Pues te quedas sin actualizaciones de seguridad. Ahh ¿Que no lo sabías? Si hombre si. En OpenOffice los parches de seguridad no se instalan de forma individual. Cuando se encuentra una vulnerabilidad y se corrige, se incluye en la siguiente versión… COMPLETITA.  Así que si quieres tenerlo medianamente seguro, prepárate a desplegar una nueva versión completa cada tres meses. Y mientras eso ocurre (si es que finalmente ocurre), reza porque nadie ataque esa vulnerabilidad conocida porque no tendrás defensa ¿Acoj… Asusta verdad?

3ª Sorpresa: Tamaño del ejecutable (Actualización: ojo, del instalable. De ese que hay que distribuir con cada minor release).

Una imagen vale mas que mil palabras. Sin comentarios:

image

4ª Sorpresa: Lo que ocupa en Memoria. Así se arrastra el animalito … 46Mb vs 2Mb que te ocupa un PowerPoint. Es decir, 23 veces más.

image

5ª Sorpresa: Rendimiento. 10 presentaciones PowerPoint en Ms Office 2007 simultaneas tardan 15 segundos en abrirse y ocupan 9Mb en RAM. Bien. 10 Presentaciones al mismo tiempo en OpenOffice tardan 90 segundos en abrirse y ocupan …… 135Mb de RAM !!!!! Es decir… 15 veces mas

image image

Pero no solo eso. openOffice tarda 30 segundos en abrir 10 odts y ocupa 120 Mb de RAM. Microsoft hace lo equivalente con documentos OpenXML en 10 segundos y ocupa 25MB de RAM. Es decir, 3 veces más rápido, ocupando 5 veces menos de memoria.

6ª Sorpresa: Roadmap… ¿Perdón? ¿Eso que es lo que es? Pues no es mas que poder contar a un cliente cual es la evolución inmediata y futura del producto que ha adquirido, darle la opción de opinar, influir, y sobre todo, asegurar que detrás de esa tecnología hay alguien a quien reclamar, felicitar, protestar, exigir y visualizar con garantías una escala de tiempo que me permita planificar. A modo de ejemplo, este es un pantallazo de la siguiente release de Office (Office 14).

image

Bien.

- Y que pinta tiene esto en openOffice.

- Bueno, ejem, pues … ¿Mira que refresca por las mañanas ehh?

- Mejor pregúntale a Michael Meeks (programador a tiempo completo de openOffice.org)image a ver que opina. ¿Que opinas Michael?

- ¿Que qué opino? Pues que “Las estadísticas muestran un lento desentendimiento por parte de SUN, combinado con una espectacular falta de crecimiento en la comunidad de desarrolladores en OO.o desde que se lleva registro: 24, esto contrasta negativamente con la reciente baja en Linux de 160+. Aun visto de la manera mas positiva, OO.o está aletargándose desde la perspectiva de su desarrollo”

image

- bueno vale Michael, algo mas que añadir?

- YESSS: “Why is my bug not fixed ? why is the UI still so unpleasant ? why is performance still poor ? why does it consume more memory than necessary ? why is it getting slower to start ? why ? why ? - the answer lies with developers: Will you help us make OpenOffice.org better ?”

Bueno, esto es todo un extracto "recreado" ;-). Aquí teneis el original.

7ª Sorpresa: Seguridad. ¿Y que sea este un tema que algunos posicionan como valor de openOffice? Como dijo Trillo …MH ;.)  A alguien le suena esto de Information Right Management ? Se a quien NO le suena.

Esto no es mas que aplicar criptografía avanzada de cifrado a la información almacenada en un documento, y acercar su uso al usuario de Ms Office2007 para que de forma MUY sencilla, proteja la información de la forma mas robusta que la tecnología puede ofrecer hoy en día. Un par de clicks y proteges un documento para que no pueda ser copiado, pegado, reenviado, impreso, abierto antes o después de tal fecha etc, etc ..

image

Pero no solo eso, esto es lo que Eric Filiol, ponente en las conferencias de Seguridad BlackHat ha dicho este mismo año: At the present time, it seems far easier to develop sophisticated document malware for OpenOffice than for Microsoft Office”, It is worth mentionning that the attacks we present are NOT based on software (implementation) flaws but on conceptual weaknesses that urge a redesign of the whole software concept.  Eric Filiol at BH EU 2k9

Es decir, mas o menos dice esto: "En el momento actual, parece mucho mas facil desarrollar un documento sofisticado con Malware para OpenOffice que para Microsoft Office. Merece la pena mencionar que los ataques que presentamos NO  están basados en errores de software (implementaciones), sino en debilidades conceptuales que urgen un rediseño de todo el concepto del software. Eric Filiol at BH EU 2k9" 

O sea, que ahora mismo es mas fácil desarrollar Malware para openOffice que para MS Office.

Si a eso le sumas que no existen los parches de seguridad (tan solo las releases completas), optar por openOffice en un entorno corporativo es jugársela demasiado en seguridad.

8ª Sorpresa: Gestión. ¿Tienes  un Directorio Activo? Pues ya puedes gestionar muy granularmente tu despliegue corporativo de Office. Nada mas.

image image image image

Tienes un despliegue de OpenOffice ? Pues tendrás que adquirir el Sun Java DEsktop Configuration Manager, incluido en Solaris, y licenciado por servidor. Pero vamos, olvídate de gestionar parches de seguridad. No se puede gestionar lo que no existe ;.)

9ª Sorpresa. Metadatos. Ante esto se puede saber lo que es un metadato, o no saberlo. Si no se sabe, la preocupación desaparece, y en ese sentido nos da igual MS Office que OpenOffice. Si se sabe, entonces ya no da lo mismo. Y creedme que merece muy mucho la pena “saberlo”.

Los metadatos en un documento ofimático pueden contener información de contexto que probablemente no queramos que viaje con el documento. Todos recordaremos algún famoso caso ocurrido en el Reino Unido al respecto de los metadatos “indiscretos” de un documento de Blair sobre Iraq. MS Office 2007 contempla este tema de forma muy expresa y sencilla:

image image

además de alguna herramienta específica para la limpieza de metadatos de los documentos generados por Office 2003 y XP.

¿Y la limpieza de metadatos en OpenOffice?  Pues encontraremos que no borra datos ni impresoras de red, rutas de plantillas. Os sorprenderíais de la información que mi colega “El Maligno” es capaz de extraer sobre la red de una empresa que no haya limpiado los metadatos de sus documentos expuestos en internet. Un auténtico mapa del tesoro expuesto, para cualquiera que vaya buscando algo.

ACTUALIZACIÓN 22/04/09:--------------- 

10ª SorpresaFirma Digital. Tras las conferencias de Blackhat de la semana pasada, tengo que añadir una 10ª Sorpresa que perfectamente ha recogido "El Maligno" en su blog del cual extraigo estos párrafos, así como el disclaimer del ponente de Blackhat:

....

Documentsignatures.xml no firmado ni cifrado

Otra de las debilidades que aprovecha este trabajo de investigación es que el fichero que almacena las firmas de los ficheros no está firmado, es decir, documentsignatures.xml puede ser modificado porque no se comprueba su firma. Además, en caso de cifrarse el documento, de nuevo éste, al igual que manifest.xml, queda sin cifrar.

....

Inyectando malware en ficheros firmados

La idea es tan simple que asusta. El problema es que OpenOffice no comprueba contra ningún certificado que la entidad que ha firmado el documento es una entidad de confianza. Es decir, cuando Alice manda un certificado a Bob firmado por la EntidadCertificadora, el programa de BOB debe comprobar que la el documento enviado por Alice ha sido firmado por EntidadCertificadora y no por otra. OpenOffice no lo hace, así que basta copiar los datos de la firma de Alice y crear una nueva falsa que OpenOffice no lo va a detectar, el resto es… trivial.

....

Conclusiones

El firmado de documentos es inseguro en cualquier situació e incluso ni el cifrado del mismo protege contra la inyección de malware en un documento firmado.

Añado yo esta otra conclusión. España es un pais en el que la firma electrónica está especialmente avanzada (una ley de firma, diferentes proveedores legales de servicios de firma... incluido un eID como el DNI electrónico etc..), y en el que muchas de las iniciativas de modernización de la administación en su relación con los ciudadanos pivotan en torno a este concepto (Ley 11 fundamentalmente). Es por tanto especialmente importante conocer este tipo de realidades para que cualquier decisión tecnológica, se fundamente en el conocimiento, los datos y la información y no en el "ruido" de fondo. 

FIN ACTUALIZACIÓN 22/04/09:---------------  

No pretendo ser exhaustivo. Pero si he entendido una vez mas que nadie da duros a pesetas, y que el "good enough" puede no ser ni "good" ni "enough", además de poder ser una trampa de costoso, pero seguro retorno. Me reafirmo en mi opinión de que cualquier viaje de Ms Office a OpenOffice, en el estado actual del arte, es un viaje de retorno seguro. Pero añado además que podría ser una pesadilla para los responsables de sistemas y seguridad.

En fin…. tan solo agradecer una vez mas a Chema, que me ha aportado un contenido de un tremendo valor, y que aunque le mole eso de ir de Maligno, es el uno de los tipos mas generosos que conozco.

Comments
  • Una puntualización: el tamaño del ejecutable que pones es el tamaño del instalador (un archivo comprimido autoejecutable, creo recordar). El ejecutable soffice.exe del OpenOffice 3.0 "pesa" 7.08MB. El ejecutable del Writer, 297KB.

    El ejecutable instalador del Office 2007 que tengo en casa ocupa bastante más de 123MB.

  • @cubano, si, me refiero al tamaño del ejecutable que habría que distribuir por la red cada vez que hubiera que instalar una nueva versión, que si debería ser hecho con bastante frecuencia si se quiere tener el sistema seguro

  • Ajá, ok. Es que tal y como está me parece que queda un poco confuso (o soy yo, que hoy estoy espeso).

  • No se si por mi perfil de auditor de SGSI pero post como este tan demoledores me encantan. Como bien dices, una imagen vale más que mil palabras y como decía el Sr. Kelvin, “Cuando se puede medir aquello de que se habla y expresarlo en cifras, se sabe algo de ello; pero cuando no se puede medir, cuando no se puede expresar numéricamente, el conocimiento que se tiene es de calidad débil y poco confiable”.

  • OpenOffice siempre ha tenido el problema de ser muy lento en comparación con Microsoft Office. De eso no hay duda, entre utilizar Writer, o Calc en vez de Word o Excel, pues no hay discusión, prefiero al molesto asistente de Word, que la pesadez de OpenOffice.

    Pero respecto del comentario de Cubano, seria bueno que aclararas que se trata del instalador, se ve un poco tendencioso que pongas que es el ejecutable.

    Saludos,

  • C&P: Comparar MS Office System con OpenOffice 3.0 es como comparar “La charanga del Tio Honorio” con “La Traviata” (venga, que nadie se enfade. Un poquito de humor ;.) (...) Me reafirmo en mi opinión de que cualquier viaje de Ms Office a OpenOffice,

  • Cuentale a un usuario medio lo de la memoria, el tamaño del ejecutable etc etc. a  ver si se enteran de algo.

    A la gente lo gusta openoffice porque es mas sencillo de usar que office y porque es gratuito. Al 95% de la gente lo  basta y le sobra con openoffice como les bastaba y les sobraba con office 2000.

    El modelo de negocio basado en sacar entregas cada 2-3 años esta muerto.

    Pero claro es mas facil intentar hacer marqueting barato de blog.

  • Y el MS Word en memoria, sin archivo ocupa 21 MB, eres único haciendo comparaciones,primero comparas con el instalable y luego te olvidas de lo que ocupa el MS Word... ;-) Que no se enfade nadie....

  • Interesante comparación, personalmente creo que OpenOffice debe ser comparado con Office 2003 e incluso con el Office XP, el 2007 definitivamente está un nivel muy superior.

    De todas tus comparativas a la única que le encuentro fallos es en la comparación del instalador. Ahora bien, a riesgo de equivocarme creo que los puntos 2 y 3 están vinculados. Resaltas el tamaño del instalador de OpenOffice porque quien quiera actualizar tendrá que bajarse los 141Mb de OpenOffice para lograrlo. Si bien Office tiene un actualizador online la verdad es que si uno desea actualizar varios equipos tiene que bajarse los Service Packs y alli la cosa cambia, el SP3 de Office XP es de casi 60Mb, el SP3 de Office2003 es de 129Mb y el SP1 de Office 2007 es de 227Mb. Entonces no queda tan mal parado el instalador de OpenOffice ¿no es así? A mí me lo parece.

    Lamentablemente debo hacer un comentario sobre otro participante. Hay que se coherente Asereje, si dices que no es tan importante el rendimiento, el consumo de RAM, etcétera, y que al usuario sólo (o le importa más) que es gratuito; entonces, espero que admitas que, cuando los seguidores de Linux y otros productos de software GPL apelan precisamente a estas comparaciones para demostrar que son mejor producto, en realidad la única ventaja real de Linux de cara al usuario promedio o normal es que es gratuito ¿cierto? Lo cual es una lástima porque los seguidores de este sistema operativo siempre afirman que software libre o es igual que gratuito. Ya vemos que en opinión de Asereje (y sospecho que la mayoría) no es así, software GPL en el fondo sólo es software gratuito, más nada.

    ¿Qué es software GPL? Creo que es una manera más exacta de denominar a lo que Richard Stallman llama software libre. Para no confundir libre con gratuito (en inglés). La versión larga seria "software de licencia pública" como contraparte al software de licencia propietaria.

    Saludos.

  • Me encanta leer este tipo de artículos, hacen conciencia a los programadores y amantes del software libre a desarrollar más para corregir estos fallos que se critican (constructivamente o no).

    De momento como dices Camelot, o bien se asegura competencia o gratuitidad. De las licencias de Office 2007 me encuentro en que *tendría* que gastar entre 80 y 815 euros para tenerlo instalado en "algunos" ordenadores y dependiendo de mis requisitos (vamos casi tendría que contratar a un consultor para saber la versión que me conviene):

    http://www.ciao.es/Microsoft_Office_2007__709818

    Como digo, me encantan estos artículos, espero el siguiente.

  • Bien, me gusta Office 2007.  Lo utilizo en el trabajo y en casa, con licencia Software Assurence (creo que es así), que permite una instalación particular por cada una de empresa.

    Pero claro... viene un vecino o un amigo y me dice que quiere el Excel o el Word... ¿Qué les pongo?  No les voy a poner uno con licencia, por supuesto.  Si les digo que pueden comprar la licencia Home (por cierto, calcular el precio de la licencia que te interesa para una pequeña oficina puede ser de locos), aunque sea solo por 70 Euros, me dicen que "ya tienen un CD del Office que les ha grabado un sobrino y no voy a pagar por eso ..."

    Como paso de poner software pirata a nadie, y menos de "solucionar" después los avisos de Genuine Advantage, al final tengo que ponerles un OpenOffice.  Y si quieren correo, o usan Outlook Express, o les pongo Thunderbird.  Pero lo malo es cuando "necesitan" Access porque alguien les ha pasado una base de datos, y aunque se puede importar no se puede utilizar con OOo.  (Habrá que mirar lo del runtime de Access).

    En fin, Héctor.  Te doy la razón en lo que dices, pero ¿cómo puedo hacerlo en estos casos?  Igual lo mejor es quedarse sin ese tipo de amigos ;-)

    Saludos cordiales.

  • Bien, me gusta Office 2007.  Lo utilizo en el trabajo y en casa, con licencia Software Assurence (creo que es así), que permite una instalación particular por cada una de empresa.

    Pero claro... viene un vecino o un amigo y me dice que quiere el Excel o el Word... ¿Qué les pongo?  No les voy a poner uno con licencia, por supuesto.  Si les digo que pueden comprar la licencia Home (por cierto, calcular el precio de la licencia que te interesa para una pequeña oficina puede ser de locos), aunque sea solo por 70 Euros, me dicen que "ya tienen un CD del Office que les ha grabado un sobrino y no voy a pagar por eso ..."

    Como paso de poner software pirata a nadie, y menos de "solucionar" después los avisos de Genuine Advantage, al final tengo que ponerles un OpenOffice.  Y si quieren correo, o usan Outlook Express, o les pongo Thunderbird.  Pero lo malo es cuando "necesitan" Access porque alguien les ha pasado una base de datos, y aunque se puede importar no se puede utilizar con OOo.  (Habrá que mirar lo del runtime de Access).

    En fin, Héctor.  Te doy la razón en lo que dices, pero ¿cómo puedo hacerlo en estos casos?  Igual lo mejor es quedarse sin ese tipo de amigos ;-)

    Saludos cordiales.

  • Perdón por enviar dos veces el comentario.  Sorry.

  • Pero hombre lo estas corriendo sobre windows :S ese es el problema, correlo bajo linux y vas a notar la diferencia.

  • Pero Darío los que usan paquetes ofimáticos en empresas usan generalmente Windows... y en hogar también.

    Ya sé que a la mayoria de seguidores de Linux y del software GPL en general no les gusta que uno saque el tema de la cuota de mercado. Hasta cierto punto les doy la razón cuando señalan que eso no es una prueba definitiva de que un producto sea mejor que otro. Pero aunque no sea una prueba concluyente es un factor a tomar en cuenta y es importante por lo mismo.

    Yo uso una versión de Linux (Ubuntu) pero nunca le he instalado OpenOffice porque sólo la uso para casos específicos y para navegar en la red. Prefiero Windows con diferencia aunque no niego que Linux es un excelente sistema operativo. Pero gustos son gustos.

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment