El pasado mes de febrero publicamos algunos detalles sobre este fallo,  prometiendo una prueba de concepto y un análisis más profundo de la  vulnerabilidad. Hemos analizado en un documento técnico (white paper)  las causas de la vulnerabilidad.

El pasado día 8 de febrero se publicaba la nueva actualización del  popular navegador Firefox. La versión 2.0.0.12 corregía (entre otras)  una vulnerabilidad descubierta por Hispasec. En ese momento no se dieron  detalles sobre el fallo, por petición expresa de algunos desarrolladores  de otros navegadores afectados.

El problema afectaba a FireFox 2.0.0.11, Opera 9.50 y otros navegadores.  El fallo permite revelar información sensible del usuario por parte de  un atacante que crease una página web especialmente manipulada. También,  bajo ciertas circunstancias, podría permitir provocar una denegación de  servicio. En realidad, el problema afecta a otros navegadores también,  pero el impacto es distinto. Al no soportar completamente el uso de  etiquetas canvas, el envío de datos no puede ser llevado a cabo. Sin  embargo, el manejo de ficheros BMP sigue siendo erróneo en ellos.  Internet Explorer no es vulnerable en ningún sentido. Safari por  ejemplo, tiene problemas similares además con el formato GIF. El  problema en concreto se da en el campo biClrUsed de las cabeceras de un  fichero BMP. Los navegadores reservan la cantidad justa de memoria en  ese campo, o no lo ponen todo a cero a la hora de usarlo.

Los enlaces directos a la descarga de los documentos (en castellano e  inglés) son:

http://www.hispas...abilidad_firefox.pdf
http://www.hispasec...lidad_firefox_en.pdf

Se puede visualizar un vídeo en el que se muestra el efecto del exploit
en:
http://blog.hispase...iles/ff_2_0_0_11.avi

Opina sobre esta noticia:
http://www.hispasec...aaldia/3487/comentar

Más Información:

Firefox 2.0.0.11 and Opera 9.50 beta Remote Memory Information Leak
http://blog.hispasec.com/lab/236

HTML 5 canvas
http://www.whatwg.o...ent-work/#the-canvas

Apple Safari BMP and GIF Files remote DoS and Information Disclosure
Vulnerability
http://www.security...s.com/bid/27947/info

Sergio de los Santos
ssantos arroba hispasec.com

Fuente: http://www.hispasec.com

Una nueva botnet ha sido detectada por investigadores norteamericanos. Se trata de por lo menos 300 mil computadoras zombis, que serían responsables del 50% de todo el spam que circula actualmente, de acuerdo a la información revelada.

Según Joe Stewart, director de Secure Works y consultor del gobierno norteamericano, esta red, llamada “Srizbi” por los investigadores, podría estar emitiendo un promedio de 60 mil millones de mensajes por día.

Esta sería la red de máquinas robots más grande hasta ahora detectada. Otros nombres con los que se la conoce, son “Cbeplay” y “Exchanger”.

Al menos uno de los troyanos que permiten infectar las computadoras vulnerables y convertirlas en máquinas zombis controladas por esta red, es detectado como Win32/Srizbi (y sus variantes), por ESET NOD32.

Una de las amenazas más mediáticas de los últimos tiempos, el gusano “Storm”, o “Nuwar” según ESET, ha disminuido notoriamente su incidencia en las últimas semanas. Recordemos que este gusano también es propagado por una red de máquinas zombis. Algunos especulan que la evolución de algunas de estas redes, ha sido el origen de la botnet “Srizbi”.

El troyano Srizbi, es una pieza de software malicioso muy especial, ya que tiene la habilidad de esconderse a si mismo como un rootkit, sin ninguna clase de interacción con el usuario, llegándose a integrar con el kernel de Windows. También parece tener la capacidad de desinstalar otros rootkits que estuvieran activos antes de que la computadora se infectara con este troyano.

Srizbi ha superado a otras grandes redes, tales como “Mega- Dik (Mega-D)”. “Es la mayor amenaza de spam que hemos visto nunca. Srizbi ahora produce más spam que muchas otras botnets combinadas,” dice uno de los investigadores.

Mega-D tuvo un pico importante a comienzos de 2008, cuando llegó a enviar el 30% de todo el spam, la mayoría de estos mensajes relacionados con la conocida píldora azul que tanto atormenta nuestras casillas.

Investigando a Mega-D, que sin razón aparente disminuyó su nivel de acción hace muy poco tiempo, es que se llegó a descubrir esta nueva botnet.

Tal vez haya alguna relación entre ambas, lo que no sería nada raro, ya que una vez que una computadora es infectada y forma parte de una red de equipos que reciben y cumplen las órdenes enviadas por sus controladores, infectarlas con otra clase de malware es una tarea muy sencilla.

* Relacionados:

La controversia de ‘Kraken’ y la inteligencia de Nuwar
http://www.vsantivi...rus.com/11-04-08.htm

Mega-D, una botnet que genera un tercio de todo el spam
http://www.vsantivi...rus.com/15-02-08.htm

Identificados los autores del insidioso Nuwar
http://www.vsantivi...rus.com/02-02-08.htm

Nuwar con amor
http://www.eset.com...d=1200583897&n=2

Spam con gusano que cambia cada 30 minutos
http://www.vsantivi...rus.com/21-08-07.htm

Nueva tormenta de spam con enlaces a troyanos
http://www.vsantivi...rus.com/29-06-07.htm

Nuevo Nuwar que ataca blogs
http://www.eset.com...d=1199354775&n=2

Nuwar, de nuevo en navidad
http://www.eset.com...d=1198712291&n=2

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

La vulnerabilidad podría hacer que un sistema que reciba un excesivo  número de peticiones “TCP SYN” tardara demasiado en aceptar nuevas  conexiones de red, llegando a timeout sin establecer una conexión. Esto  podría causar una denegación de servicio en los servicios de red o  incluso en el sistema al completo.

Según versión y plataforma, se recomienda instalar los siguientes  parches:

Para plataforma SPARC:
* Solaris 8 instalar 116965-33 o superior.
* Solaris 9 instalar 114344-35 o superior.
* Solaris 10 instalar 119998-01 o superior.

Para plataforma x86:
* Solaris 8 instalar 116966-32 o superior.
* Solaris 9 instalar 119435-23 o superior.
* Solaris 10 instalar 119999-01 o superior.

Opina sobre esta noticia:
http://www.hispasec...aaldia/3486/comentar

Más información:

Security Vulnerability in the TCP Implementation of Solaris Systems May Allow a Denial of Service When Accepting New Connections While Undergoing a TCP “SYN Flood” Attack
http://sunsolve.sun...setkey=1-66-200864-1

Laboratorio Hispasec
laboratorio arroba hispasec.com

Fuente: www.hispasec.com

Según el acostumbrado adelanto de actualizaciones a publicarse en el mes, Microsoft anuncia para el próximo martes 13 de mayo, 3 parches críticos y uno moderado.

La primera de las vulnerabilidades críticas afecta al motor de Jet Database en Windows 2000, XP y Server 2003. Microsoft Jet Database es una implementación de base de datos ampliamente utilizada por las aplicaciones de Microsoft Office.

La segunda de las actualizaciones es crítica solo para Office 2000 Service Pack 3, pero afecta a Microsoft Word, en todas las versiones actualmente soportadas, desde Office 2000 SP3, hasta Office 2007 SP1, incluyendo Office 2004 y 2008 para Mac, el visor de documentos Word y el Office Compatibility Pack.

La tercera vulnerabilidad también es de carácter crítico solo para Office 2000 Service Pack 3, pero afecta a Publisher en todas las ediciones de Office para Windows.

El parche catalogado como moderado, afecta a Windows Live Onecare, Microsoft Antigen, Windows Defender, Forefront Security y Standalone System Sweeper, un software antimalware que puede ejecutarse cuando Windows está imposibilitado de iniciarse normalmente.

Otras actualizaciones habituales en estos casos, como la Herramienta de eliminación de software malintencionado y otras no relacionadas con la seguridad, también serán liberadas por los mecanismos normales de actualización.

* Relacionados:

Microsoft Security Bulletin Advance Notification for May 2008
http://www.microsof...lletin/MS08-may.mspx

* Sobre los niveles de severidad:

Los siguientes parámetros son los utilizados por Microsoft para catalogar sus boletines, de acuerdo a la importancia o urgencia de las actualizaciones:

* Crítico. Una vulnerabilidad cuya explotación puede permitir la propagación de un gusano de Internet sin la intervención del usuario.

* Importante. Una vulnerabilidad cuya explotación podría comprometer la confidencialidad, la integridad o la disponibilidad de datos y archivos del usuario, o de los recursos del sistema.

* Moderado. La explotación de una vulnerabilidad está significativamente mitigada por factores como la configuración por defecto, la intervención del usuario o la dificultad para realizarla.

* Bajo. Una vulnerabilidad cuya explotación es muy difícil, o cuyo impacto es mínimo.

* Más información:
Microsoft Security Bulletin Advance Notification
http://www.microsof...ulletin/advance.mspx

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

Tres meses después de reconocer múltiples vulnerabilidades en su popular software Adobe Reader, las que fueron solucionadas en febrero con la publicación de Adobe Reader y Adobe Acrobat 8.1.2, la compañía proporcionó algunos detalles sobre los errores de al menos 8 vulnerabilidades críticas de las 26 corregidas.

La mayoría de los agujeros de seguridad, están relacionados con las posibilidades de JavaScript que agregan las nuevas versiones de Adobe Reader. El problema es que Adobe Reader, es hoy día uno de los programas más utilizados como visor de archivos PDF.

Según reporta Symantec y confirman otras empresas de seguridad, actualmente se está utilizando ampliamente una popular herramienta que se aprovecha de errores en las versiones que no han sido actualizadas, lo que lamentablemente significa una importante cantidad de usuarios en todo el mundo que pueden ser afectados.

Solo basta ingresar a un sitio infectado (recordemos que existen una gran cantidad de sitios no seguros estos días), para que el usuario que tenga una versión de Adobe Reader no actualizada en su PC, pueda llegar a infectarse con alguna clase de malware. No es necesario abrir un PDF de forma premeditada para ello.

Adobe también reconoció esta semana en su boletín ampliatorio de las vulnerabilidades corregidas en la última versión, que ha recibido informes de exploits activos para al menos una de las ocho vulnerabilidades mencionadas, aunque no aporta más detalles.

Esto no es nuevo para varias empresas de seguridad, que apenas a los pocos días de publicada la nueva versión, advertían de ataques que explotaban errores de JavaScript en archivos PDF. Incluso algunos hablan de decenas de miles de usuarios afectados. El problema es que muchas personas aún siguen usando versiones muy antiguas.

La recomendación, es actualizarse a la versión más reciente lo antes posible. Adobe Reader 8.1.2 puede ser descargado desde el sitio Web de Adobe o a través del actualizador incluido en el propio programa.

* Descargas:

Descarga de Adobe Reader (Acrobat Reader)
http://www.adobe.es...robat/readstep2.html

* Relacionados:

Security Updates available for Adobe Reader and Acrobat 7 and 8
http://www.adobe.co...etins/apsb08-13.html

Vulnerabilidad en Adobe explotada en cámaras
http://www.vsantivi...rus.com/23-04-08.htm

Sitios populares con código malicioso, el gran problema
http://www.vsantivi...rus.com/24-04-08.htm

Riesgo elevado en la navegación por Internet
http://www.vsantivi...rus.com/21-04-08.htm

Expertos advierten sobre la seguridad en AIR
http://www.vsantivi...rus.com/01-03-08.htm

Cómo hacer que un archivo PDF no se abra en el navegador
http://www.vsantivi...at-pdf-navegador.htm

Vulnerabilidad en Adobe Reader descarga troyano
http://www.vsantivi...rus.com/12-02-08.htm

Adobe corrige 26 vulnerabilidades en Adobe Reader 8.1.2
http://www.vsantivi...robat-812-060208.htm

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

Si en abril fueron ocho boletines de seguridad los que salieron a la luz, este mes Microsoft prevé publicar cuatro actualizaciones el día trece de mayo. Tres alcanzan la categoría de “críticas” (ejecución remota de código) y una son “moderadas” para Microsoft.

Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad.

En concreto, se sabe que dos boletines estarán dedicados a Office (desde su versión 2000 a 2007), otro a Windows (exceptuando Vista y 2008, que este mes no necesitan actualizaciones) y una denegación de servicio a los sistemas antivirus de Microsoft. Cada boletín podrá contener un número indeterminado de correcciones de seguridad.

Por fin se publicará la actualización para el Jet Database Engine de Microsoft, que procesa archivos MDB de bases de datos. Esta librería (en concreto msjet40.dll) sufre desde hace varios años problemas de seguridad que permiten la ejecución de código. Al descubrirse hace algunas semanas, nuevas formas de aprovechar la vulnerabilidad (a través de archivos DOC) Microsoft se planteó por fin tomar medidas al respecto. Aunque se supo de este problema antes del ciclo de actualización anterior, Microsoft no publicó las actualizaciones en él. Parece que en este lote de mayo sí se solucionará.

Cabe recordar que, en cualquier caso, el adelanto que ofrece Microsoft está sujeto a cambios de última hora.

Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.

Opina sobre esta noticia:
http://www.hispasec...aaldia/3485/comentar

Más información:

Microsoft Security Bulletin Advance Notification for May 2008
http://www.microsof...lletin/ms08-may.mspx

Sergio de los Santos
ssantos arroba hispasec.com

Fuente: http://www.hispasec.com

Resumen
En la actualidad, muchas instituciones y empresas se han dado cuenta de la importancia que el Web tiene en el desarrollo de sus potencialidades, ya que con ello pueden lograr una mejor comunicación con personas o instituciones situadas en cualquier lugar del mundo. Gracias a la conexión con la red mundial, poco a poco, cada individuo o institución va teniendo acceso a mayor cantidad de información de las diversas ramas de la ciencia con distintos formatos de almacenamiento.

Palabras Claves
Apache, bases de datos, cookies, CGI, HTML, MySQL, PHP, PHP3, Script, web.

I Introducción

Gracias a este trabajo de investigación, tuvimos la oportunidad de conocer un lenguaje que, a un nivel básico, puede ayudarnos a procesar información de formularios, generar páginas con contenidos dinámicos, o mandar y recibir cookies, como cualquier script CGI el cual es muy práctico y de aplicación útil.
Este documento proporciona al lector la información suficiente del lenguaje de programación de páginas webs que funciona en el lado del servidor PHP (Acrónimo de PHP Hipertext Preprocessor), así como dar a conocer la facilidad y seguridad de manejar y crear páginas dinámicas con el trío: PHP, MySQL y Apache[1].

En la sección II se empieza por conocer PHP, sección III se explica donde podemos utilizar PHP, en la sección IV se cita cual es el uso actual de PHP, en la sección V se mencionan las funciones básicas de PHP/MySQL y una conexión a la base de datos, en la sección VI se hace el uso consultas e inserciones a la base de datos, mientras que en la en la sección VII tenemos una aplicación práctica para obtener una lista de bases de datos, y por último en la sección VIII las conclusiones respectivas de nuestra investigación la cual se elaboró con la finalidad de dar a conocer esta eficiente herramienta de una manera sencilla sólo basta con tener los conceptos básicos de programación en C o C++ una idea a desarrollar y listo.

II Conociendo a PHP

Técnicamente es un lenguaje interpretado de alto nivel, similar en construcciones léxicas y sintácticas a Perl, C e incluso Java, y embebido en páginas HTML[2].
El código PHP no se mezcla con las etiquetas HTML, ya que está acotado siempre por los símbolos <? y ?>, de forma que para los programas compositores de páginas web son etiquetas que no soporta y las deja tal y como están. De esta forma, puede trabajarse a la vez en el diseño visual de la página y en la funcionalidad (programación) de la misma cómodamente.
Los navegadores no tienen ningún problema con PHP, ya que nunca llegan a verlo: el código PHP se interpreta para generar la página HTML solicitada antes de ser transmitida al navegador. Eso sí, el navegador debe ser capaz de reconocer las extensiones .php, .php3 y antiguamente .phtml, como documentos de tipo text/html, o tratará de bajar las páginas como si fueran ficheros en vez de visualizarlas[3].

Afortunadamente, PHP está lo suficientemente extendido para que no tengamos que preocuparnos de ese problema, puesto que los principales navegadores ya reconocen tales extensiones, (ver Fig. 1) solo tendremos que preocuparnos más por el código y de que éste en verdad funcione correctamente.

Fig. 1. Modelo funcional de PHP.

III ¿Dónde podemos utilizar PHP?

Hoy por hoy, PHP es competencia directa, dentro del campo de las páginas generadas dinámicamente, de las Active Server Pages (ASP) que Microsoft implementa en su servidor web Internet Information Server, o las JSP del Netscape Enterprise Server de Netscape. Otro producto comercial equivalente puede ser Cold Fusion.

PHP ha sido desarrollado principalmente para usar conjuntamente con el servidor web libre Apache <http://www.apache.org/> en cualquiera de las plataformas que éste soporta. De hecho, está implementado como un módulo de forma que aprovecha la máxima integración con el servidor y velocidad posible[4].
No obstante, también puede ser compilado como un ejecutable más, para cualquiera de las plataformas en las que está soportado (Unix, Windows, …) y usarse como un CGI. De esta forma puede ser empleado con cualquier servidor web que soporte ejecución de CGIs en dichas plataformas. Nos podríamos encontrar con la curiosa situación de usar por ejemplo PHP en un Microsoft IIS si lo configuramos adecuadamente.

Uno de los puntos principales de PHP es su eficiente API para construir aplicaciones de bases de datos dinámicas. PHP no sólo puede usar muchos tipos de bases de datos de forma nativa sino que permite interfaz ODBC y JDBC. PHP es muy utilizado sobre todo con PostgreSQL <http://www.postgresql.org/> y MySQL <http://www.mysql.org/>, bases de datos libres, haciendo entre Apache (ver Fig. 2), PHP y una de ambas la solución “libre” para hacer sitios web dinámicos de alta calidad, sin dependencia tecnológica de ninguna empresa en particular.

Otra de las razones que lo hacen atractivo a los desarrolladores es su fácil curva de aprendizaje, especialmente para los que no son experimentados programadores. Se considera por ejemplo más sencillo que usar Perl/DBI a la hora de desarrollar páginas web dinámicas la popularidad de PHP se ha incrementado a gran escala y sus resultados lo justifican.

Fig 2. Logotipo de Apache

IV Uso actual de PHP

La versión actualmente más usada de PHP es la 3.0, conocida simplemente como PHP3. Esta trae considerables ventajas sobre sus predecesoras, de tal forma que no tiene sentido utilizar versiones anteriores.
PHP3 ha supuesto el despegue de PHP en su campo.
Esta herramienta ha alcanzado ya la cifra de uso <http://www.php.net/usage.php3> de más de 1 millón de webs (Netcraft, Noviembre 2000). Y se espera con seguridad que su nueva versión PHP 4.0 <http://www.php.net/version4/> (http://www.php.net/version4/), que ha salido hace poco, (ver Fig. 3) le haga perfilarse como la principal solución en el campo de las aplicaciones web dinámicas, apoyada por el crecimiento sostenido de uso del servidor web Apache, su principal plataforma (más del 60% del mercado de los dominios web a escala mundial).

Fig 3. Logotipo de PHP.

PHP 4.0 trae toda una serie de mejoras incluido un intérprete mucho más rápido Zend (http://www.zend.com). El uso creciente del web con páginas dinámicas, formularios y bases de datos obliga a una aceleración del proceso clave que es la generación de la página, este tipo de mejoras plasma la calidad del servicio de Internet.

Otro dato que corrobora su futuro es el apoyo del mundo empresarial. Por ejemplo, Midgar está desarrollando un servidor de aplicaciones basado en PHP. Midgard no es el único servidor web de aplicaciones Open Source, también tenemos Zope <http://www.zope.org/> a nuestra disposición (basado en el lenguaje python, en vez de en PHP).

MySQL es el gestor de bases de datos más usado por los que programan con PHP. Además, es gratuito en su versión para Unix, lo que lo convierte en una alternativa interesante (el cual se puede descargar muy fácilmente de <http://www.mysql.com/>).

Otra de las virtudes estrellas de PHP es su capacidad para conectarse a bases de datos, como MySQL (ver Fig. 4)
Las bases de datos son estructuras de datos complejas orientadas a aplicaciones que tratan con grandes volúmenes de información[4] .

Fig 4. Logotipo MySQL

Si se quiere acceder a una base de datos desde PHP, primero debemos conectarnos al servidor MySQL:
$enlace = mysql_connect($hostname, $user, $password);
si se usan variables, o

$enlace = mysql_connect(’localhost’, ‘master’, ‘laclave’);
en el caso de constantes.

Los argumentos son opcionales, si no se especifican se supone “localhost” para el servidor, el mismo usuario que el servidor web para el usuario y clave vacía. La función mysql_connect retorna una conexión o enlace (link) a la base de datos que luego será usado para ejecutar los comandos SQL. El uso y almacenamiento de dicho valor es opcional, ya que la mayoría de las funciones de MySQL usan por defecto la último conexión. En caso de que se tengan varios enlaces o conexiones, hay que especificar cuál usar.
Una vez establecida la conexión hay que seleccionar una base de datos:

mysql_select_db($database);

si se usa variable o

mysql_select_db(’simple’);

si se usan constantes.

VI Consultas e inserciones a la base de datos

A continuación veremos unos ejemplos muy sencillos pero representativo de las operaciones más comunes con bases de datos y páginas PHP:

• Recuperar datos desde una base de datos y listarlos en la página web.
• Permitir que un usuario inserte nuevos datos en la base de datos mediante un formulario HTML.

Con estos pequeños ejemplos se muestran las funciones básicas y comunes, la facilidad es ineludible las cuales mejoran significativa mente los formatos estáticos que muchas veces son tediosos y poco atractivos.
Las operaciones de modificación son muy similares al INSERT, salvo que se usa el comando SQL UPDATE con una cláusula WHERE similar a las usadas en los SELECT [5] .

VII Aplicación práctica, obtener la lista de bases de datos

Lo primero que haremos es conectarnos a la base de datos y seleccionar las base de datos existentes en el servidor. Ello se logra con la función mysql_list_dbs que retorna un resultado consistente en la lista de base de datos. Luego sólo queda recorrer toda la lista con la función mysql_fetch_object e imprimir el nombre de cada base de datos consultada[6].

VIII Conclusiones

Si PHP3 ya era bueno, PHP 4.0 lleva camino de superar a sus competidores en el área de los lenguajes de script en el servidor, tanto para pequeños como para grandes proyectos. Y ahora no sólo apoyado por la extensión creciente de Apache o por ser de libre distribución, sino realmente por una creciente calidad técnica, características, rendimiento y posibilidades cada vez más notables.

En la actualidad la mayor parte de información es presentada de forma estática a través de documentos HTML, lo cual limita el acceso a los distintos tipos de almacenamiento en donde ésta pueda encontrarse, es por tal motivo que surge la posibilidad de utilizar aplicaciones que permitan acceder a información de forma dinámica, tal como a bases de datos, con contenidos y formatos de innovación que hacen de las páginas Web un verdadero arte de comunicación útil y eficaz donde cada día se vuelve más indispensable el uso de Internet pero con un sentido más atractivo e interactivo.

Referencias

[1] Ratschiller Tobias y Gerken, Till “Creación de aplicaciones Web con PHP 4.0” Prentice-Hall: 2001.
[2] Batini, Navatte y Cieri Addison Wesley “Diseño conceptual de bases de datos: un enfoque entidad interrelaciones” Mc Graw Hill: 1999.
[3] Wesley, Addison “Introducción a los sistemas de bases de datos” Mc Graw Hill: 1999.
[4] Anónimo “Integración de Bases de Datos en el Web” <http://www.internautas.org/> curso_servidores/mysql.php. 2001

[5] Cantero, Javier “PHP y sus aplicaciones”
<http://www.escomposlinux.org/jcantero/sitiophp4.php>. 2001
[6] Del Castillo, Álvaro “Programación en castellano Webs dinámicos con PHP”
http://www.programacion.net/cursos/php4/
2001.

Autor

Juan Carlos García Santana, egresado del Bachillerato Técnico No. 7 de la Universidad de Colima, de la carrera de Técnico en Computación, actualmente estudia el 7º. Semestre en la Licenciatura en Informática, en la Facultad de Contabilidad y Administración de Tecomán, perteneciente a la Universidad de Colima.

1. Introducción
2. Formularios.
3. Informes
4. Paginas de Acceso a Datos.
5. Retoques finales

1. Introducción

Este pequeño manual está dirigido especialmente a aquellas personas que tienen conocimiento sobre bases de datos y programación, este no es un manual completo ya que mi intención únicamente ha sido la de extraer datos básicos y ciertas ideas novedosas que te pueden ser de mucha utilidad al momento de generar las tablas, consultas, formularios, etc… en este programa.

Tablas y Consultas.

1. Los campos deben identificarse entre corchetes. Ej. [FechaInicial]
2. Cuando se hace referencia a un campo calculado que tome en cuenta las fechas estas deben ir entre dos signos de dígitos Ej. #01/01/2000#.
3. Cuando se introduce una cadena de caracteres estas deben ir entre comillas. Ej: “Esto es una prueba”.
4. Las expresiones o campos calculados deben ser precedidos del símbolo =, Ej: =[Horas]*[Valor]
5. Cuando se hace referencia ha un campo de una tabla x debe ponerse el nombre de la tabla seguido de un punto o un signo de interrogación el campo. Ej: [Tblcontrato]![FechaContrato]
6. Para concatenar cadenas de caracteres se utiliza el signo &.
7. Hay posibilidad de establecer Hipervínculos(Enlaces a otros documentos).
8. Búsquedas de Campos(Permite crear LISTAS COMBINADAS).
9. Integridad Referencial.- No permite eliminar un registro maestro que contenga registros hijos, para poder eliminar el registro se debe activar la opción de eliminación en cascada.
10. Cuando se establece las relaciones entre las tablas. Se identifica una relación de uno a varios con el numero 1 y de varios a uno con el signo de infinito.
11. Cuando se realiza una consulta existen campos calculados; pero como nota interesante cabe anotar que si el campo al cual se hace referencia en la obtención del campo calculado se encuentra presente en la consulta no es necesario activar la casilla de visualización del campo calculado ya que la condición se ejecuta en el campo al cual se hace referencia.
12. Existen cláusulas de predicado para las consultas(En(or), Como(Permite introducir criterios, comodines*???), Entre(and).
13. .Hay una opción dentro de las consultas que permite crear TOTALES å (Utiliza el Sql para realizar agrupaciones).
14. Como nota curiosa quiero aclarar que para cambiar el signo de moneda esto se lo debe realizar en el panel de control del Windows.
15. En access se puede procesar los años de una fecha con sus cuatro dígitos, evitando de esta manera confusión en el tratamiento de las fechas, esto se puede realizar utilizando la opción General del menú Herramientas, también seria aconsejable activar la opción de fecha con cuatro dígitos del Panel de Control de Windows para mayor seguridad.
16. La bases de datos pueden ser compactadas(eliminar espacio innecesario que a veces se crea debido a incrementos o reducciones de la bdd en uso, cuando se crea o elimina tablas, consultas, formularios, etc.), esto se puede configurar en la opción General del Menú Herramientas.
17. Hay como crear en las consultas Parámetros Externos, que permiten el ingreso de rangos o criterios de filtro; esto se realiza mediante la utilización de [] en la opción CRITERIOS de la consulta. Ej: [Ingrese la Fecha:], también se puede validar la entrada de los parámetros con la opción Consulta-Parámetros.
18. Hay como realizar consultas tomando como base varias tablas.
19. Hay como realizar consultas utilizando como base para la misma Tablas o Consultas realizadas anteriormente.
20. Hay como actualizar datos en las tablas desde las consultas, dependiendo del tipo de consulta que se utilice.
21. Hay consultas de Combinación de Registros Equivalentes, que consiste en mostrar solo los registros coincidentes entre ambas tablas: Madre-Hija(Utiliza la integridad referencial).
22. Hay consultas de Combinación Externa, que consiste en visualizar todas la filas de una tabla incluso si no existen filas coincidentes en la tabla relacionada, esto se realiza haciendo doble clic en la línea que establece la relación en ambas tablas.
23. Cuando una tabla necesita mas de un atributo(clave) para definir una relación entre dos tablas se tiene que seguir los siguientes pasos: Doble clic en la línea de relación entre las dos estructuras y escoger la opción Nueva.
24. En las consultas se utiliza el valor ES NULO o IS NULL para indicar que el campo al que se hace la referencia esta vacío o no tiene ningún valor.
25. No se pueden actualizar los datos que son resultados de un calculo en una consulta, los campos auto numéricos, y los campos que son claves principales.
26. Las consultas de selección tienen Propiedades, que nos permiten establecer opciones tales como: presentación de registros únicos, bloqueos, permisos, mostrar todos los campos, etc…
27. Se puede realizar actualizaciones, anexar datos, crear tablas, eliminar información en las tablas a través de consultas, primero debemos realizamos una consulta de selección y después la transformamos en la consulta de acción que deseamos.
28. Podemos utilizar las consultas Anexadas para ingresar información a tablas históricas.
29. Cuando se anexan datos a otra tabla, los datos no se mueven de la tabla origen a la tabla destino únicamente se copian.
30. Cuando se quiere ver en una consulta de selección los registros de una tabla hija(Histórico contratos) que están relacionados con una tabla madre(Histórico Grupos) y se desea observar que Grupos están con contrato(en este caso no se desean visualizar registros repetidos), hay que activar las propiedades de la consulta para seleccionar Registros únicos: SI.
31. Errores comunes en las consultas de acción:
    1. Duplicación de claves principales.- Intento de duplicar un valor de clave de índice único, si se quieren añadir datos duplicados tiene que eliminar la clave principal.
    2. Errores de conversión de datos.- Campos numéricos muy pequeños, tipos de campo diferentes(se quieren anexar datos numéricos a un campo tipo texto)
    3. Registros bloqueados.- Cuando los registros están compartidos.
    4. Incumplimientos de reglas de validación.
32. Se puede importar datos de otras fuentes externas a Access, tales como Foxpro, Paradox y ODBC., Los pasos a seguir son: Obtener Datos Externos y luego Importar.
33. Cuando se importa un archivo de excel por ejemplo, si se especifica un campo de este archivo como clave principal, se debe tener en cuenta que la información que contiene este campo no se encuentre duplicada caso contrario al momento de ser importada va a presentar errores; así mismo cuando no se especifica correctamente el tipo de datos de cada campo se produce un error.
34. También se puede vincular tablas externas, pero la desventaja principal de esta acción es la lentitud en el manejo de la información.
35. Al momento de trabajar en red o con tablas compartidas es aconsejable trabajar con consultas para de esta manera limitar el acceso continuo a las tablas y no disminuir su rendimiento.
36. Cuando se trabaja con tablas compartidas al momento de insertar datos en ellas es necesario hacerlo a través de un formulario que este solo configurado para la entrada de datos.
37. Si se desea acceder a un registro determinado y modificarlo; para que otro usuario no interfiera es necesario activar la opción Registro modificado dentro de las opciones de HERRAMIENTAS.
38. A menos que este diseñando una aplicación en la que con frecuencia necesite ser actualizar cientos de registros de manera simultanea(consultas de acción), debería seleccionar la casillas Abrir bases de datos usando bloqueo por registro).
39. Puede configurar las opciones para trabajar en red o con tablas compartidas en: Herramientas – Opciones – Avanzadas.
40. Cuando se trabaja con tablas vinculadas, y estas han sido cambiadas a un directorio diferente de donde se realizó la vinculación de las mismas por primera vez, hay que realizar una actualización de los vínculos(Herramientas – Utilidades de la bdd.)
41. Se puede exportar(copiar tablas) tablas de una bdd en access, a cualquier formato que soporte bdd ODBC.
42. Si no se desea exportar sino mas bien visualizar la información de una tabla de la bdd de access en Excel, Word(Tablas), Word(Combinación de Doc.), se debe escoger la opción Herramientas – vínculos con Office – Excel ó Word).
43. Hay dos tipos de consultas: Las de selección y las de acción(Eliminar, anexar y actualizar datos).
44. Para realizar consultas de acción o de selección es recomendable establecer las relaciones entre las tablas que van a participar en la consulta.

En Internet podemos encontrar de todo. Podríamos decir que es una herramienta útil que nos permite documentarnos de cualquier contenido de una forma inmediata, que nos permite viajar a otros países, comprar, comunicarnos con otras personas, etc. es como tener el mundo entero en un PC. Aunque en la actualidad Internet nos ofrece muchos beneficios también puede tener una reacción inversa para cierto colectivo como pueden ser los niños que navegando entre la multitud de páginas, enlaces, pop-ups, publicidad y demás sin darse cuenta llegan a páginas y foros cuyos contenidos son inapropiados.

¿Cómo podemos proteger a los niños de algunos contenidos que hay en Internet?

Actualmente la mayoría de los proveedores de conexiones a Internet ofrecen a sus clientes herramientas para el filtrado de contenidos, también llamado de control parental para gestionar las páginas webs a las que se puede acceder o no desde un PC. Ejemplos de estas herramientas son el programa Centinela de Ono y Canguro Net de Telefónica (estos servicios no son gratuitos). Existen también programas gratuitos como los que puedes encontrar en nuestra sección de Freeware haciendo click aquí.

En este artículo vamos a enseñarte como configurar la herramienta de control de contenidos de Internet Explorer. Si utilizas este navegador para navegar por Internet es una opción de seguridad muy sencillo de utilizar.

Cómo configurar nuestro Internet Explorer para limitar los contenidos

Para establecer la configuración tenemos que ir al menú superior del navegador HERRAMIENTAS-OPCIONES DE INTERNET

Nos aparecerá una ventana con distintas pestañas en la parte superior. Vamos a la que pone CONTENIDO:

En esta pestaña tendremos que activar la función en “Asesor de contenido” pulsando HABILITAR. En la nueva ventana que nos aparece tenemos distintas pestañas:

Pestaña CLASIFICACIÓN:

En esta ventana tenemos una pequeña lista clasificada por contenidos, lista de ICRA (Internet content rating association) . Pulsando sobre cada uno de ellos veremos más abajo el nivel de bloqueo configurado. El nivel de bloqueo lo estableceremos moviendo el control deslizante, es decir, nos situamos por ejemplo en “Desnudez” y movemos el control deslizante para definir su nivel de bloqueo y así para cada uno de los elementos de la lista.

Pestaña SITIOS APROBADOS:

A través de esta pestaña podremos definir una lista de sitios web que queremos bloquear el acceso o que esté disponible siempre:

Para crear la lista tan sólo tenemos que escribir la dirección web en la parte de “Permitir este sitio Web” y pulsaremos SIEMPRE si queremos esta página siempre esté disponible, o NUNCA si queremos que no se tenga acceso.

Pestaña GENERAL:

Esta pestaña es muy útil en el sentido de que nos permitirá añadir una contraseña para administrar el control de contenidos de Internet Explorer, de tal manera que ningún otro usuario pueda modificar su configuración y nos permitirá tener acceso a las páginas y contenidos bloqueados.

Para crear la contraseña pulsamos sobre el botón “Crear contraseña“:

Programas gratuitos de control de contenidos en nuestra sección de Freeware haciendo click aquí.

¿Qué se puede hacer con Google Calendar?

Se pueden anotar eventos, enviar invitaciones, compartir la agenda con amigos o familiares, configurar para que mientras estás trabajando con el ordenador te avise con mensajes emergentes e incluso con avisos a tu teléfono móvil, entre otros.

No es necesario tener cuenta de correo gmail para poder utilizarlo, tan sólo entra en http://www.google.com/calendar y date de alta.

El entorno del calendario

El entorno gráfico del calendario es le que puedes ver en la imagen. A la izquierda tenemos el calendario del mes en curso en pequeño sobre el que podemos seleccionar la semana o día que queremos que nos aparezca en la parte central. También podemos desplazarnos de mes.

En la parte inferior del calendario tenemos la parte de CALENDARIOS. A través de esta sección podemos crear distintos calendarios, como por ejemplo, nuestro calendario personal y otro calendario que queramos compartir con nuestros amigos para anotar reuniones de grupo.

Para crear un calendario nuevo tan sólo tenemos que hacer click sobre el + que aparece en “Mis calendarios”.

Al realizar esta operación nos aparecerá una ventana en la que le daremos un nombre al calendario, diremos si queremos compartirlo y podremos añadir las personas añadiendo su e-mail que queremos que puedan acceder a él (no es necesario que tengan cuenta gmail).

Por ejemplo, nosotros hemos creado dos calendarios, uno que hemos llamado Personal y otro de Calendario de Prueba para compartir:

Haciendo click sobre el botón que aparece en el lado izquierdo del nombre del calendario (el que se indica con la flecha) podrás acceder a distintas opciones como por ejemplo la configuración, cambiar el color, crear eventos, etc.

La apariencia del calendario semanal la podemos cambiar, podemos hacer que nos muestre en la parte central el mes completo, los próximos 4 días en formato AGENDA. Podemos además imprimir la programación del calendario.

¿Cómo añadir los eventos, tareas, notas, etc. en el calendario?

Podemos hacerlo de varias formas:

1. Haciendo click en la parte superior de la página donde pone “Crear evento“.
2. Haciendo click en el botón de la derecho de un de nuestros calendarios.
3. Haciendo click en el día del evento.

En “Editar detalles del evento” podemos añadir comentarios al evento, compartir la información para que puedan verlo otros, configurar el aviso.

Para configurar las notificaciones del calendario, es decir, tiempo de aviso, si queremos que sea por mensaje emergente, avisos por e-mail, móvil y otras características hay que hacerlo haciendo click sobre en OPCIONES que aparece en la parte superior derecha de la página.

En conclusión, Google Calendar es una herramienta útil y fácil de utilizar, ideal para la organización de equipos y para una gestión personal de tareas con avisos que te permitirán no olvidarte de nada importante.