DailyCosas 2.0

Ahora soy Vodafone y tengo un N85 (no es lo mejor que pudiera tener pero funciona muy bien), así que me alegré de que por fin saliera la versión de Vodafone 360 para equipos Symbian. Y es que al principio parece que solo lo habían sacado para sus equipos sacados exprofeso los Samsung H1 (rebautizado como 360). [+ info: Microsiervos]

Me ilusionaba eso de una plataforma desde donde gestionar todas tus redes sociales y que permitiera gestionarlas desde el móvil. Vodafone360 en realidad es otra red social, pero que manda actualizaciones a tus redes sociales. Así que lo primero que necesitas es ver si tus amigos también están en 360, para ello debes permitir que accedan a tus agendas de contactos en tus webmail o messengers… y en esto Vodafone suspende. Porque como comenté en el artículo de hace casi un año, el proveedor de un servicio no necesita sabe la contraseña de tu servicio de correo o messenger para acceder a tus contactos, hay APIs para que autorices que la aplicación acceda (temporalmente, normalmente).

Estas APIs llevan mas de 2 años existiendo y son la manera mas limpia de acceder a tus datos. Por mucho cartel “No almacenaremos tu contraseña”, mejor no fiarse por defecto, ya sea por un mal uso de este servicio en concreto o porque cualquier ataque que se lleve su base de datos de usuarios no se lleve también sus contraseñas de otros servicios, que permitirán acceder en ocasiones a cosas mas valiosas (¿como recuperas tu contraseña de PayPal?)

El remate de las malas prácticas de Vodafone 360 es que te pidan la contraseña de Facebook, deben ser los únicos que no usan Facebook Connect.

Por cierto, al final uso la web móvil de Facebook y demás redes y un cliente de Twitter (TweetS60).

Este artículo es como una segunda parte del exitoso Firma digital FNMT desde Firefox. Este artículo asume que usas Firefox, en otros navegadores habrá un proceso equivalente
Con cosas como éstas te das cuenta que este país es de traca: Llegas a la web de la Policía Nacional realizada exprofeso para solicitar cita previa para obtener el DNIe: https://www.citapreviadnie.es/ y te sale un aviso de error de Firefox: “Esta conexión no está verificada”. Lo cual da bastante miedito, ya que estamos hablando de la web a través de la que conseguir tu Documento Nacional de Identidad.

Pero sin que nos tiemble el pulso extendemos los “Detalles técnicos” y leemos:

www.citapreviadnie.es usa un certificado de seguridad no válido.
No se confía en el certificado porque no se confía en el certificado emisor.
(Código de error: sec_error_untrusted_issuer)

Bien, ahora empieza a quedar mas claro. Si extendemos “Entiendo los riesgos” y le damos a “Añadir excepción…” ahora a “Obtener certificado” y finalmente vemos el certificado de la página y entonces detectamos que la Autoridad Certificadora es “AC RAIZ DNIE” y en concreto “AC DNIE 001″. Así que el problema reside en que el emisor del certificado es la Policía Nacional y este certificado no está entre los que vienen por defecto en Firefox.

La solución pasa entonces por ir a la web de la policía nacional: http://www.dnielectronico.es/seccion_integradores/auto_cert_sub.html
Descargar el certificado AC DNIE 001 (el primero) e instalarlo en tu navegador. Preferencias > pestaña Avanzado > pestaña Cifrado > botón Ver Certificados > pestaña Autoridades > Importar.

Leer mas »

UsNow: El verdadero poder de las masas gracias a las nuevas tecnologías

Este film, llamado UsNow, trata sobre la tecnología en la actualidad y las diferentes formas en la que las utilizamos. Muestra cómo las redes sociales e internet pueden ir muchísimo más allá de la simple comunicación entre personas para hacer algo y manejar diferentes cosas.

60 minutos bien aprovechados, para ver que se está gestando otro mundo, que las cosas están cambiando y que los individuos podemos organizarnos en comunidad.

Un informático en el lado del mal: Blind SQL Injection en la web del US Army

Un sitio del ejercito norteamericano vulnerable a ataques de SLQ Injection. :S

Eso, además, si la has cagado en condiciones, permitirá a los atacantes sacar el usuario y la contraseña.

Esto es una vulnerabilidad peligrosa.

En este artículo comentaré sobre el “ataque” a la web de la presidencia europea española eu2010.es de la que mucha gente ha intentado sacar de donde no era y que se ha convertido básicamente un ataque a la imagen del gobierno (Dos periódicos de gran tirada contrarios al gobierno no dudaron en usarlo como portada a toda página).

Todo saltó cuando se empezaron a pasar por internet pantallazos de la web supuestamente hackeada, algunas personas recibieron la URL que permitía ver a Mr. Bean en mitad de la página (con el que el Presidente de España guarda un curioso parecido físico), pero muchas otras, como yo, no podíamos entrar porque se había colapsado de gente intentando ver el defacement… Y desde el Twitter de La Moncloa intentaban calmar los ánimos y decir que todo era un montaje fotográfico, que la web no la había tocado nadie. (Aquí el comunicado completo)

Y sin embargo hay una URL que te mostraba esa imagen.

Leer mas »

Como os comentaba el otro día, desde hace unos años, sigo las aventuras y desventuras de Tractis, unos emprendedores españoles que han montado una plataforma, Negonation, donde firmar contratos de manera completamente digital. Están teniendo una trabajo enorme para conseguir adaptarse a cada país al que entran para adaptarse a sus sistemas telemáticos de identificación (firmas digitales, tarjetas inteligentes, diversos protocolos…).

De lo que se quejaron durante mucho tiempo fue que en España no había una amplia distribución de sistemas de identificación, que el DNIe aún estaba tardando en implantarse (Es un gran riesgo llegar demasiado pronto al mercado, como dice a veces Varsavsky). Pero entonces llego Red.es y dijo: “vamos a hacer una gran campaña para que haya una auténtica penetración del DNIe en los españoles”, y cogió fondos europeos FEDER para financiar la compra de lectores e DNIe y buscó quien los distribuyera por CERO euros. Tractis estaba decidido a llevarse ese proyecto y lo ha ejecutado magistralmente, los que han querido han conseguido un lector solo por el coste de los gastos de envío. Han tenido un doble impulso: creer con fe ciega en el DNIe y, no nos engañemos, necesitar que haya una masa crítica de usuarios de DNIe para que usen su plataforma.

Yo me he quedado sin lector de DNIe, pero aún así GRACIAS. Y también un agradecimiento especial a los patrocinadores en zonas no cubiertas por los fondos FEDER, por ilusionarse porque en España haya un amplio parque de lectores de DNIe, por querer que podamos acceder a servicios personalizados seguros.

Artículo rescatado del cajón de ideas de 2007 sobre DNIe… y con segunda parte
Recuero que cuando entré en la Universidad pusieron un montón de teclados nuevos que incluían un lector de tarjetas, y en la tarjeta universitaría teniamos un chip… pero esto nunca se usaron durante los años que estuve en la Universidad (esto ya lo conté). Ahora los españoles tenemos un nuevo DNI con un chip dentro, que nos permite identificarnos y firmar documentos, ¿cuando podremos usar nuestro DNI para identificarnos en cualquier ordenador?

Ahora mismo llevo mi firma digital (FNMT) en un pen-drive, cerrada por una contraseña… no creo que se lo mas seguro, pero es lo que necesito para poder firmar digitalmente lejos de mi ordenador (de hecho, no tengo chipetera en mi ordenador, ni en ningún ordenador de mi entorno).

La gente de Negonation tiene una plataforma para realizar contratos en internet firmados digitalmente con plena validez legal. Su plataforma es capaz de reconocer identificaciones emitidas por los gobiernos de muchos países (y de algunas entidades de gran implantación). Me encanta su visión de que se puede tener un mundo mas sencillo donde se puede firmar un contrato por internet, ahorrando costes de desplazamiento, pero con plena validez legal. Pues esta gente (obviamente, porque son los primeros que sacarían partido de una implantación real de lectores de DNIe) está a saco pidiendo que los ordenadores tengan lectores de tarjetas inteligentes. Echadle un ojo a su artículo porque merece la pena.

Por cierto, no os perdáis el artículo de Jorge del Casar sobre DNIe: Qué es y qué podría haber sido.

Tabletas digitalizadoras para firmas

El otro día en un centro comercial (creo que era en El Corte Inglés) me di cuenta que la gente ya no firma en un recibo, sino en una pantallita que digitaliza tu firma manuscrita… sinceramente, me parece algo CUTRE. La única ventaja que le veo es la reducción de residuos, al gastar menos papel, aunque me siguen dando mi recibo en papel. Pero es que si un trazo de bolígrafo ya me causa unas ciertas dudas de si es copiable o no, hacerlo sobre una pantalla donde se pierden muchos de los matices de la firma me parece peor. Y peor aún cuando ya existen firmas digitales, no firmas digitalizadas.

Bola Extra: Tarjeta de PIN cambiante

[Via: Ounae]
Desde Ounae nos presentan una tarjeta que tiene un teclado integrado, será en este teclado donde introduzcamos nuestro PIN y la tarjeta nos devolverá una clave que solo se podrá usar una vez, para la transacción que vayamos a realizar en ese momento.

Niano Niano: Google me da miedo

Babalooba es un mardito desleal que se ha montado un blog por ahí para contar cosas tan interesantes como estas:

Por si no fuera poco con Chrome, el navegador; Chrome OS, el sistema operativo; la plétora de aplicaciones web de Google Apps y Android, que apunta maneras para convertirse en standard del mercado de los teléfonos móviles, ahora resulta que le van a hacer la competencia a todo quisqui con su propio sistema de bases de datos orientado al cloud computing, llamado Fusion Tables. Con esto le están dando collejas a gigantes como Oracle, IBM y Microsoft. Collejas de esas que hacen un ruido ensordecedor, dadas con la mano abierta, en un cuello inocentemente descubierto, en el ángulo adecuado, con alebosía y dejando tras de sí una gran marca roja con forma de mano.

Sin duda algo raro que publique en SU blog DailyCosas un extracto de su blog NianoNiano….

Microsiervos: Campaña por una disculpa oficial a Alan Turing

Alan Turing fue una de las figuras clave en el trabajo de Bletchley Park para descifrar los códigos utilizados por el ejército alemán durante la segunda guerra mundial, […] Antes de la guerra ya había publicado On computable numbers, with an application to the Entscheidungsproblem, un trabajo que ha sido fundamental para el desarrollo de la informática tal y como la conocemos hoy en día, pues en él se describe lo que ahora se conoce como máquina de Turing, que es el modelo en el que se basan todos los ordenadores.[…]Pero desafortunadamente para la época en la que le tocó vivir Turing era homosexual, lo que a principios de los 50 en el Reino Unido se consideraba delito, por lo que cuando su condición sexual se hizo pública Turing fue juzgado y condenado sin que importaran en nada sus contribuciones científicas ni a la lucha contra los nazis.

El resultado: Brown pide perdón por la persecución homófoba que sufrió Alan Turing

10 TITULARES ECONÓMICOS QUE LEEREMOS : MI MESA COJEA

Prisa compra una movida que nadie sabe lo que es, Disney compra Marvel, eBay vende Skype, y VIPS compra los Starbucks de España y Portugal. Es sólo el comienzo de una cadena de demenciales compraventas que veremos las próximas semanas. En Mi Mesa Cojea hemos tenido acceso a ciertos documentos que auguran los próximos movimientos empresariales. A continuación, los 10 más esperados:

Masabumi Hosono, el proscrito. Aquí Estuve Ayer…

Masabumi Hosono fue un ciudadano japonés que tuvo la mala suerte de sobrevivir al hundimiento del Titanic. Sí, he dicho bien, mala suerte, y es que para él fue toda una desgracia.

ilustrae: Otra forma de ver la Gripe A: sin miedo.

en realidad, el miedo es más peligroso que el propio virus. […] Llega la gripe, como siempre. Si no podéis o queréis vacunaros contra la gripe, hacedlo contra el miedo

[vía: ALT1040]
En este vídeo se ve como dos presuntos juakers irrumpen en una red para controlar las luces de un edificio… para un uso bastante simpático.

Dudo de la veracidad de los hechos, pero me ha hecho reír.

Otros hechos que si que son 100% ciertos son los siguientes:

• En Chile hackearon las señales de tráfico para darle otro significado y avisar de cosas mas interesantes. [Mas info: ALT1040]
• Y por Zamora (España), lo que se ha dedicado un “avezado” juaker es meterse en el ordenador que sirve en un puesto de prestamo de bicicletas y ejecutar un reproductor de vídeo… con una película porno. [Mas info: ALT1040]

(leches, esta entrada parece un monográfico ALT1040…)

Continuando el artículo del otro día, aquí os muestro una tabla de redes sociales y su uso o no de APIs de contactos. Si esto fuese un campeonato, el ganador sería BrightKite por goleada.

Red	Usa APIs	Pide password
BrightKite	Google; MSN Live; Yahoo!	NO
Facebook	Yahoo!; MSN Live	Google y una larga lista
LinkedIn	MSN Live; Yahoo!	Google; AOL y una larga lista…
hi5	MSN Live	Yahoo!; Google
Tooio	MSN Live	Google
Tuenti	NINGUNA	MSN Live; Google; Yahoo!
netlog	NINGUNA	Una larga lista…

Así que ya sabes quien te pide tu contraseña y quien no la necesita para ponerte en contacto con tus contactos. Si existen unas APIs ¿porque no usarlas?

¿Tienes alguna red social que no ves cubierta en esta tabla y que usa APIs de contactos?

Para disfrutar de una red social, tienes que tener a tus amigos dentro. Y para ello (y porque es su negocio), las redes sociales muestran herramientas que acceden a tu agenda en otros servicios. Pero en esto hay malas, buenas y buenísimas prácticas.

“Buenas artes”

En este caso la red social te pide tu usuario y contraseña de ese otro servicio (normalmente MSN Live Messenger o Yahoo! Messenger), accede a tu lista de amigos y te muestra por un lado los usuarios que ya tiene registrados en la red para que les añadas como contactos y por otro lado los que aún no lo son para que los invites. Seleccionas de cada lista los que te interesan y adelante…

Malas artes

En este caso la red social te pide tu usuario y contraseña de ese otro servicio (normalmente Live Messenger o Yahoo! Messenger), accede a tu lista de amigos y les invita automáticamente. SI, automáticamente tus amigos reciben una invitación para que se apunten a la red social y los que ya están dentro son notificados de que estás dentro y que quieres ser su contacto… ¿de verdad quieres que eso pase?

Buenísimas artes

Espera, ¿no has notado nada raro en esas presuntas “buenas artes”? Si, esa parte en que le das tu CONTRASEÑA a otro. Esa que no le darías a nadie porque guarda tus cuentas de correo, porque permitiría a otro hacerse pasar por ti y recuperar/cambiar las contraseñas de otros muchos sitios…. Para acceder a tu agenda de contactos no tienes que darle tu contraseña a nadie, las redes sociales deben usar APIs y tu contraseña solo tienes que dársela a tu servicio que estos ya le pasaran tus contactos con esa autorización:

• Yahoo! Adress Book API Yahoo! Contacts API (parte de las Yahoo! Social API) , el que mas me gusta, explica que autorizas por 2 semanas a esa web en concreto a acceder a tus datos.
• Facebook Connect API
• Google Account Authentication API
• Windows Live Contacts API

Pues eso, la próxima vez que vayas a buscar amigos… quizás debas pensar si quieres poner tu contraseña en manos de otros (o también puedes cambiar tu contraseña por un rato para autorizar al servicio y volver luego a la tuya). Yo me dedico a decirles a los creadores de esas redes sociales que no quiero usar su sistema de invitación, que quiero que usen los APIs.

Este artículo surgió leyendo el gran artículo: Conding Horror: Please Give US your email password y viendo las buenísimas prácticas de BrightKite. ¡Buen trabajo!