DailyCosas 2.0

[mas info: BBC | Genbeta: Behavioral Targeting]
Por mucho que haya complejos sistemas de catalogación de información, las fórmulas por las que los buscadores saben donde está la información mas interesante, en la nueva era de la web social, se suelen basar en conocer lo que le gusta a la gente. En el día a día, con un uso normal de nuestro navegador, no solo permitimos que los grandes servicios nos espíen la navegación, sino que en ocasiones agradecemos que sepan lo que buscamos. Nos convertimos en mas fáciles de convencer porque saben lo que nos gusta.

Llevo un par de años sufriendo un mal bastante curioso, alguien cree que su cuenta de correo es la mía y con ella se va suscribiendo en diversos sitios. Bueno, hay una pequeña diferencia, mi dirección de correo en gmail incluye un punto, separando el nombre y apellido, y la que el usa no. Pero da igual, gmail considera que las dos direcciones son la misma, por tanto él no ha podido registrarse con esa cuenta y esa es MI cuenta de correo.

Gracias a este “despiste” se que tiene problemas de peso (me ha suscrito a recetas Dukan y pidió un complemento alimenticio “mágico”), que tuvo problemas con su PC (se donde lo mandó a reparar en Buenos Aires), que ha contratado un almacenamiento en la nube (y puedo usarlo yo, porque tengo su contraseña :S)… incluso tengo su tarjeta de crédito y se que vive en Nueva York (un día le visito en su casa, o le mando unas flores pagadas por él mismo).

No se como, a estas alturas de la historia, aún no se ha dado cuenta que pone MI dirección de correo en lugar de la suya, y no está recibiendo ningún correo para él. Mientras tanto, seguiré almacenando cosas de su vida…

¿Quizás soy yo que tengo un problema como Tyler Durden?

Los códigos QR piden actuación inmediata, son un un enigma que, como su propio nombre indica, tiene una respuesta inmediata (quick response). Y así se pueden usar para llamativas campañas comerciales como la que hizo Calvin Klein el año pasado poniendo un gigantesco código con la frase “Get it uncensored”. Ya han retirado el contenido (retirar un contenido de internet, o cambiar su URL sin avisar, es SIEMPRE un error), pero puedo contaros que era un vídeo con gente llevando vaqueros de la marca y se veía algo de carne… pero nada escandaloso.

También son útiles cuando quieres pasar información de un dispositivo a otro sin tener que conectarlos, solo es cuestión de apuntar la cámara de uno a otro y se captura una cadena de caracteres (que tiene un significado), evitando problemas de errores en la transcripción, además de poder meter alguna cadena de comprobación de errores o incluso de verificación de integridad (códigos CRC o hashes). Así, puede ser usado para tener la tarjeta de embarque del avión en el móvil, y con solo mostrar la imagen con este cuadrado se puede confirmar como billete de embarque válido. [Mas info: CanalPDA]

WiFi desde códigos QR

en lugar de esperar a que los usuarios y clientes escaneen las redes para conectarse a la de nuestro negocio […] y tras ello insertar la contraseña WiFi. […] Es posible crear un código QR para resumir todos estos problemas y, escaneando ese código QR, automáticamente un teléfono móvil o dispositivo portátil no solo encuentre sino conecten utilizando el SSID del Hotspot e insertando automáticamente la contraseña sin que el usuario nunca la sepa, así tampoco podrá ir diciéndola por ahí y chupar de por vida de nuestra conexión.

De la misma manera, se puede transmitir información sin errores y de manera ágil entre agendas de contactos con una apliación de Android: Barcode Scanner [Vía Microsiervos]

Información turística o urbana

Martin Varsavsky comentó hace tiempo sobre que se podría hacer alguna aplicación de geoposicionamiento que diera información sobre la población que se está visitando, mas allá de las simples plaquitas con información. Yo creo que esas plaquitas deberían tener un código QR para ampliar información sobre lo que se está visitando, ya sea con información en el propio QR (con la limitación de 4.296 caracteres alfanuméricos) o en un sitio en internet al que apunte.

En New York han decidido darle una utilidad del día a día, informando a través de códigos QR de los datos técnicos de una obra en curso (restauración de un inmueble, obras en una calle) y así cualquier ciudadano puede acceder a esos datos con facilidad. [Mas info: Arnold Waldstein’s Blog » QR codes bridging the public information gap in New York]

Bola Extra: ¿Te has quedado con ganas de tener tu propio QR?

Mi recomendación es que uses el servicio de Kaywa. Además, si tu móvil no es un smartphone y no tiene un lector de QR, puedes usar el Kaywa QR Reader. Tienen versiones para Symbian (Nokia) y en J2ME. [Listado completo de móviles 100% compatibles].

Con este comienzo de año llegaron dos cosas: el nuevo Firefox 4 y la Declaración de la Renta 2010. Y en algún ordenador cercano a mi se produjo el mismo problema de todos los años: Firefox 4 no incluye todavía (entre sus cientos de certificados raíz) NINGÚN CERTIFICADO RAÍZ de la FNMT. Esto es un fallo detectado hace años (aquí lo comentamos en 2007) y esperaba que ya se hubiera resuelto en versiones modernas. Y la culpa de este retraso es principalmente de la FNMT.

Así, hay ciertas páginas seguras de la AEAT, firmadas con un certificado avalado por FNMT-RCM, y hay páginas en las que firmar con certificados FNMT, en las que con Firefox nos saltará un mensaje de “sitio no seguro” o “certificado no válido”. Hay que instalarse el certificado raíz para confiar en esos certificados.

El otro día comencé a hacer una aplicación para Facebook y me di cuenta de lo bien que han compartimentado la gente de Facebook la información del usuario que se ofrece a las aplicaciones dentro de lo que ellos llaman . Así, cuando te instalas una aplicación tienes que darle permiso para que se conecte a tus datos. El peligro radica en que a pesar de la fragmentación, esta parte de compartir es un “o todo o nada” con la aplicación. Si una aplicación quiere acceder a TODOS tus datos, tú puedes elegir no usarla o usarla y cederle acceso a todos tus datos, aunque la aplicación en principio no los necesite para nada.

Así mismo, las webs que utilizan FB connect (para abrir sesión en ellas, para dejar un comentario…) usan la misma manera de conectarse, y también te encuentras ante este “todo o nada”. Y, sinceramente, para dejar un comentario no necesitan saber donde vivo ni como se llama mi madre. Además, tambien puedes estar dando autorización a que publiquen en tu nombre en tu perfil de facebook o que accedan a todos tus contactos para “invitarles” a usar la aplicación.

Mi consejo, si me piden algo mas que los datos básicos (o con mas datos de los que creo necesarios dar a esa web), no me interesa conectarme a esa web con FB connect, quizás crearme un perfil propio y aislado será suficiente, y es una pena. Aunque eso si, siempre preferiré un sistema OpenID, en el que no enlazas tus datos con la nueva web, sino que la nueva web te identifica ante un tercero de confianza y punto. Y si me dan a elegir entre un FB connect o un Twitter OAuth, me quedo con el último que les da menos información.

El otro día estaba viendo una serie americana en versión original con un juicio de por medio y apareció una palabra completamente desconocida para mi: oath. Que básicamente es “un juramento ante una deidad sagrada, garante de que lo que se dirá a continuación es verdad”. En especial me llamó la atención su similitud fonética y de escritura con OAuth, del que había leído por ahí.

OAuth, es algo similar en el mundo web, una promesa para que un servicio B pueda acceder a ciertos datos personales en nombre del usuario en un servicio A.

Originalmente fue un protocolo creado por la gente de Twitter para que desde Ma.gnolia se pudiera acceder a cierta información de las cuentas de Twitter y poder manejar desde Ma.gnolia la cuenta de Twitter. El proceso consistía en ser enviado desde Ma.gnolia a una página de identificación de Twitter y cuando el usuario/contraseñas eran correctas enviarle de vuelta a Ma.gnolia para que empezase a trabajar.

Ahora soy Vodafone y tengo un N85 (no es lo mejor que pudiera tener pero funciona muy bien), así que me alegré de que por fin saliera la versión de Vodafone 360 para equipos Symbian. Y es que al principio parece que solo lo habían sacado para sus equipos sacados exprofeso los Samsung H1 (rebautizado como 360). [+ info: Microsiervos]

Me ilusionaba eso de una plataforma desde donde gestionar todas tus redes sociales y que permitiera gestionarlas desde el móvil. Vodafone360 en realidad es otra red social, pero que manda actualizaciones a tus redes sociales. Así que lo primero que necesitas es ver si tus amigos también están en 360, para ello debes permitir que accedan a tus agendas de contactos en tus webmail o messengers… y en esto Vodafone suspende. Porque como comenté en el artículo de hace casi un año, el proveedor de un servicio no necesita sabe la contraseña de tu servicio de correo o messenger para acceder a tus contactos, hay APIs para que autorices que la aplicación acceda (temporalmente, normalmente).

Estas APIs llevan mas de 2 años existiendo y son la manera mas limpia de acceder a tus datos. Por mucho cartel “No almacenaremos tu contraseña”, mejor no fiarse por defecto, ya sea por un mal uso de este servicio en concreto o porque cualquier ataque que se lleve su base de datos de usuarios no se lleve también sus contraseñas de otros servicios, que permitirán acceder en ocasiones a cosas mas valiosas (¿como recuperas tu contraseña de PayPal?)

El remate de las malas prácticas de Vodafone 360 es que te pidan la contraseña de Facebook, deben ser los únicos que no usan Facebook Connect.

Por cierto, al final uso la web móvil de Facebook y demás redes y un cliente de Twitter (TweetS60).

Este artículo es como una segunda parte del exitoso Firma digital FNMT desde Firefox. Este artículo asume que usas Firefox, en otros navegadores habrá un proceso equivalente
Con cosas como éstas te das cuenta que este país es de traca: Llegas a la web de la Policía Nacional realizada exprofeso para solicitar cita previa para obtener el DNIe: https://www.citapreviadnie.es/ y te sale un aviso de error de Firefox: “Esta conexión no está verificada”. Lo cual da bastante miedito, ya que estamos hablando de la web a través de la que conseguir tu Documento Nacional de Identidad.

Pero sin que nos tiemble el pulso extendemos los “Detalles técnicos” y leemos:

www.citapreviadnie.es usa un certificado de seguridad no válido.
No se confía en el certificado porque no se confía en el certificado emisor.
(Código de error: sec_error_untrusted_issuer)

Bien, ahora empieza a quedar mas claro. Si extendemos “Entiendo los riesgos” y le damos a “Añadir excepción…” ahora a “Obtener certificado” y finalmente vemos el certificado de la página y entonces detectamos que la Autoridad Certificadora es “AC RAIZ DNIE” y en concreto “AC DNIE 001”. Así que el problema reside en que el emisor del certificado es la Policía Nacional y este certificado no está entre los que vienen por defecto en Firefox.

La solución pasa entonces por ir a la web de la policía nacional: http://www.dnielectronico.es/seccion_integradores/auto_cert_sub.html
Descargar el certificado AC DNIE 001 (el primero) e instalarlo en tu navegador. Preferencias > pestaña Avanzado > pestaña Cifrado > botón Ver Certificados > pestaña Autoridades > Importar.

UsNow: El verdadero poder de las masas gracias a las nuevas tecnologías

Este film, llamado UsNow, trata sobre la tecnología en la actualidad y las diferentes formas en la que las utilizamos. Muestra cómo las redes sociales e internet pueden ir muchísimo más allá de la simple comunicación entre personas para hacer algo y manejar diferentes cosas.

60 minutos bien aprovechados, para ver que se está gestando otro mundo, que las cosas están cambiando y que los individuos podemos organizarnos en comunidad.

Un informático en el lado del mal: Blind SQL Injection en la web del US Army

Un sitio del ejercito norteamericano vulnerable a ataques de SLQ Injection. :S

Eso, además, si la has cagado en condiciones, permitirá a los atacantes sacar el usuario y la contraseña.

Esto es una vulnerabilidad peligrosa.

En este artículo comentaré sobre el “ataque” a la web de la presidencia europea española eu2010.es de la que mucha gente ha intentado sacar de donde no era y que se ha convertido básicamente un ataque a la imagen del gobierno (Dos periódicos de gran tirada contrarios al gobierno no dudaron en usarlo como portada a toda página).

Todo saltó cuando se empezaron a pasar por internet pantallazos de la web supuestamente hackeada, algunas personas recibieron la URL que permitía ver a Mr. Bean en mitad de la página (con el que el Presidente de España guarda un curioso parecido físico), pero muchas otras, como yo, no podíamos entrar porque se había colapsado de gente intentando ver el defacement… Y desde el Twitter de La Moncloa intentaban calmar los ánimos y decir que todo era un montaje fotográfico, que la web no la había tocado nadie. (Aquí el comunicado completo)

Y sin embargo hay una URL que te mostraba esa imagen.