Privacidad/Seguridad

Robando usuario y contraseña mediante formularios ocultos y la opción de auto-completar

Publicado en por Jose Alcántara / 1 comentario

Una nota muy breve sobre seguridad y privacidad.

Comentaban en Freedom to Tinker (via The Verge) hace un par de días que han encontrado en numerosas webs formularios ocultos embebidos en el contenido HTML de la web con el único fin de recolectar e-mails con el objetivo de seguir la actividad del usuario. Añaden que no han encontrado pruebas de que se esté recogiendo la contraseña por la misma vía.

Sin embargo, el mismo método que sirve para recuperar un campo (usuario) sirve para recuperar el otro (contraseña), por lo que no podemos estar seguro que eso no suceda, o haya sucedido ya en el pasado por parte de atacantes maliciosos.

Soluciones drásticas tipo eliminar soporte para scripting en los navegadores (Daring Fireball) ayudan a enmarcar el problema de seguridad, pero no sirven aquí pues en realidad supondrían amputar el brazo para evitar una venda a causa de un esguince.

Lo que sí sirve es la vieja y sanísima costumbre de no guardar credenciales de acceso en el navegador. ¿Desea recordar este usuario y contraseña? NO. Y eso es lo que quería dejar por aquí escrito. Siempre fue un buen consejo y visto lo visto, sigue vigente y cada vez es mejor consejo: no almacenes usuario/contraseña de ninguna web usando los sistemas del navegador que luego le permiten autocompletar formularios.

[Este post ha estado en borrador demasiados días, tantos que se nos ha metido entre medias el gran asunto de seguridad reciente, las conocidas vulnerabilidades a nivel de hardware en todos los chips Intel y también en AMD y ARM. Es todo muy interesante, cuando tenga tiempo escribo al respecto.]

Economía/Sociotecnología

Lo que la lucha contra las descargas nos enseña de cara al enfrentamiento entre ayuntamientos y AirBNB

Publicado en por Jose Alcántara / 4 comentarios
AirBNB

Durante más de una década ha habido una lucha a desgaste contra el p2p y las descargas.

Era (ya nadie habla de las descargas) común hacer chanzas: da igual que cierren una red, salen quinientas más. Pero ese enfoque se pierde parte de la foto: no era necesario cerrar las redes p2p al completo, les era suficiente con hacerlo difícil. Si bajar un disco de música desde una red p2p es muy complicado, usarlo sin más vía Spotify es una opción más viable (aunque te maltraten con publicidad, al punto incluso de llegar a pagar).

En la lucha contra AirBNB y los nuevos modelos de alquiler vacacional pasa algo parecido: cerrar AirBNB será muy complicado si cumplen la norma y pagan sus impuestos, pero complicando la burocracia conseguirán que muchos que podrían ofrecer habitaciones y casas usando estos servicios perciban la opción como insegura, falta de garantías. No hace falta cerrarlas del todo: si consiguen que una mayoría de potenciales usuarios (tanto en la parte de la oferta como en la de la demanda) no se acerquen a estos servicios por desconfianza, los actuales controladores del oligopolio hotelero ya habrán ganado.

Sí, los principales ganadores son el oligopolio hotelero que ya tiene capacidad instalada y funcionando. Por eso cuando veo que el ayuntamiento de París se querellará contra AirBNB sé que aunque no ganen el juicio, ganarán la batalla. Y París no es más que un ejemplo de muchos.

Y no la ganarán los ciudadanos de a pie (unos tendrán una fuente menos de ingresos, otros tendrán una opción menos de alojamiento y la reducción de la oferta siempre eleva los precios). La ganarán los grandes grupos hoteleros, esos a quienes la prohibición de construir nuevos hoteles no importa tanto (porque ellos ya están instalados) y a quienes AirBNB supone una competencia que obliga a ajustar los precios de sus servicios.

Citas/Frases

HTTPS y la simplicidad

Publicado en por Jose Alcántara / 3 comentarios

Dave Winer en «Cómo terminé con más de 100 dominios»:

Later I got a little more sober about it. I was probably the only person who liked it. I created a web server called PagePark that made it easy to serve lots of domains from one machine, without any configuration. Just create a folder with the name of a domain in a specific place and the server would automatically route requests to the folder. It works. It’s proven a good way to evolve sites I created, with real content, specs, essays, blog posts, feeds, JSON files, images, outlines, movies, podcasts, music, wire photos, all the things I have experimented with and created standards for over the years. It’s a mess, but I kept good notes. If anyone wants to see my work, it’s all there. But it’s never going to make it to HTTPS unless it gets a lot simpler, and we know that can’t happen because it’s inherently a complicated and fragile thing.

Now of course Google never considered the possibility that someone might be doing this. And there are probably are many other things they didn’t think of that people did or are doing. Remember HTTP isn’t just any protocol, it’s certainly the most widely used networking protocol ever. It’s the protocol that made networking explode.

Las negritas las he puesto yo. La semana pasada anduve de vacaciones y conmigo me llevé un par de libros, entre ellos el último de Belén Gopegui, y que visto lo visto puede que también pudiese gustar a Dave Winer.

Es posible que con la explosión de Let’s Encrypt, que según comenta Víctor en los foros va a facilitar aún más la gestión a partir de enero, la migración de toda la web a HTTPS no parezca tan trágica como al principio. Pero lo cierto es que en la relativa complejidad de su gestión hay una barrera no desdeñable.

El Blog

¡Vuelven los foros!

Publicado en por Jose Alcántara / 5 comentarios

Hace un tiempo (alrededor de un año y medio, para ser exactos) los foros que teníamos se tomaron un descanso por motivos muy variados y sobre los que quizá hablemos otro día, que no hoy.

El asunto es que desde hace un rato vuelven a estar activos en su URL de siempre para debatir alejados del frenetismo de Facebook y del fanatismo (o si somos políticamente correctos, la cámara de eco) de twitter.

Update 2017-11-09: Casualidades, malas casualidades. Justo hoy OVH (proveedor que aloja nuestros foros) ha sufrido una incidencia múltiple que nos continúa afectando, lo que hace que lleven todo el día offline. Esperemos que lo arreglen pronto.

Citas/Frases

La ley de refutación de los bulos

Publicado en por Jose Alcántara / Comentarios desactivados en La ley de refutación de los bulos
Brian Earp on bullshit

La cantidad de energía necesaria para refutar tonterías es un orden de magnitud mayor que la necesaria para producirlas.

Alberto Brandolini, citado por Brian D. Earp, en The unbearable asymmetry of bullshit.

En el original dice bullshit que yo he preferido traducir aquí, de entre todas las opciones posibles, por tonterías. Estuve tentado de que fueran bulos, pero bullshit no son sólo bulos, y también chorradas, pero es que si algo hay problemático en esta asimetría de generación y propagación de falsedades es precisamente que no se trata de chorradas insignificantes, sino de verdaderas mentiras sobre temas serios.

Se aceptan matices, correcciones, y sugerencias.

Sociotecnología

Cuestión de actitud

Publicado en por Jose Alcántara / Comentarios desactivados en Cuestión de actitud

Casi en paralelo podemos leer que el gobierno de España renuncia a participar en la carrera por el 5G del móvil, donde deja caer que hasta 2020 no se va ni a mirar hacia esta tecnología y el plan del gobierno federal alemán para hacer justo lo contrario y convertir a Alemania en líder de mercado y referencia en 5G de cara a ese mismo año 2020, en Eine 5G Strategie für Deutschland.

Luego podemos gastar la hora del café debatiendo por qué a unos les va bien y a otros les brilla el pelo del modo en que les brilla.

Este blog usa cookies para su funcionamiento.    Más información
Privacidad