Nota del autor

Si la entrada que estás leyendo carece de imágenes, no se ve el vídeo que teóricamente lleva incrustado o el código fuente mostrado aparece sin formato, podéis conocer los motivos aquí. Poco a poco iré restableciendo la normalidad en el blog.
Este blog es un archivo de los artículos situados previamente en Lobosoft.es y ha dejado de ser actualizado. Las nuevas entradas pueden encontrarse en www.lobosoft.es. Un saludo,
Lobosoft.

martes, 30 de septiembre de 2008

Archivo hosts actualizado

El "hola mundo" de este blog fue un post que trataba sobre la navegación en Internet sin publicidad, ese gran mal que se ha ido apoderando en todas las formas posibles de la red de redes. Si bien hoy día las conexiones a Internet suelen ser tan rápidas que descargar esa publicidad no supone un porcentaje importante del ancho de banda, también hay ocasiones en las que no conviene malgastarlo. Es el caso de las conexiones mediante 3G, en las que se nos factura en función del tráfico generado, y en caso de tener una tarifa plana hay ocasiones en las que se aplica una reducción de velocidad en la conexión si superamos un determinado tráfico mensual.


Por otro lado, no cabe duda que hay publicida bastante intrusiva con el usuario, que se ve saturado de información y banners parpadeantes en Flash que nada tienen que envidiar a los GIFs animados de las páginas "En construcción" de la Web 0.11 ;) Si estás cansado de la publicidad al navegar, tal vez deberías "dar de comer" un poco a tu archivo hosts. La explicación de cómo hacerlo puedes encontrarla en aquella remota entrada, enlazada al principio de ésta. Y el nuevo archivo hosts, actualizado con más de 2.000 servidores de publicidad y malware listos para ser bloqueados, en la sección de descargas. ¡Que aproveche!


Puedes encontrar otros archivos hosts alternativos para complementar el que tengas actualmente en tu equipo en las direcciones:


lunes, 29 de septiembre de 2008

Gestión digital de derechos y medio ambiente

Cuando apareció Windows Vista, se criticó acertadamente a Microsoft por haber lanzando un producto extremadamente voraz con los recursos sobre los que se ejecutaba. Las mejoras visuales que incorpora (el modo Aero) no servían de justificación ya que GNU/Linux, con su Compiz Fusion, presentaba características similares ejecutándose de un modo fluido y elegante en un equipo, a priori, mucho más limitado técnicamente. Otra de las características de Vista que parecían ralentizarlo era la gestión de DRM que llevaba a cabo. No, no se trata de que Vista sea un Devorador de Recursos Magnífico (que también), sino que incorpora una Gestión de Derechos Digitales (Digital Rights Management en Gibraltar) que más la quisieran para sí los amigos de la SGAE. Esto, junto a un control radical del acceso de las aplicaciones a los recursos que ha dado más de un quebradero de cabeza a los desarrolladores, parece haber sido el causante del consumo de buena parte del tiempo de proceso que utiliza Vista cuando estamos ante el ordenador. Con esto no pretendo criticar al sistema operativo que, al fin y al cabo, es el que debe gestionar los recursos y ponerlos a disposición del usuario a través de las aplicaciones, pero sí es cierto que Vista no ha resultado todo lo óptimo que habríamos podido desear. En cualquier caso, lo cierto es que simplemente buscaba utilizar a Windows Vista como ejemplo ilustrador del verdadero tema que me gustaría abordar hoy: los DRM (y el medio ambiente).


Los DRM tienen una aplicación directa: gestionar y controlar la forma en que se difunde contenido protegido, o lo que es lo mismo, impedir la copia fraudulenta de material licenciado. Claro, que esto choca frontalmente con el derecho recogido por la ley (al menos en España) del derecho del usuario a la copia privada, y es por esto que diversos colectivos, como la FSF (Free Software Foundation), proponen denominarlos Digital Restriction Management, o Gestión de Restricciones Digitales. Si estáis interesados en este tema, en la Wikipedia existe un artículo muy completo e interesante sobre el tema.


Pero la limitación de los derechos de los usuarios frente a los de la industria no es el único problema ético que presentan los DRM. A éste han de sumársele los problemas medioambientales que provocan, ya que su uso provoca un incremento sustancial de energía en los dispositivos que los implementan que puede llegar hasta un 25% más respecto a la reproducción del mismo contenido sin incorporar esta protección digital (me refiero en particular a la reproducción de música y video). En el caso de Windows DRM el incremento en el consumo oscila entre un 20% y un 25%, y en el caso de Macintosh DRM queda en “sólo” un 8% de consumo respecto a medios digitales no protegidos, por lo que la duración de la batería podría reducirse entre 2 y 4 horas, aproximadamente, por cada recarga. Esto redunda, por un lado, en un claro incremento del consumo energético de los dispositivos implicados, y por otro, en una reducción de la vida útil de las baterías, que necesitan ser recargadas más a menudo y sufren un deterioro acelerado (por no hablar de dispositivos que utilicen pilas convencionales, que deban ser desechadas o reemplazadas por otras recargables, que presentarían el mismo problema mencionado para las baterías).



Una mala noticia que sumar a este hecho, es el cierre de servidores de licencias que ha anunciado Wal-Mart para el próximo 9 de octubre, por lo que recomienda a sus usuarios (y, de paso, a los de las compañías que hacen uso de estos servicios) que realicen copias de seguridad de su música en CDs de audio. Una limitación más que sumar a las impuestas por el uso de este tipo de mecanismos de restricción protección de derechos.

domingo, 28 de septiembre de 2008

Protección ante XSRF

Que la seguridad en las aplicaciones web debería ser un objetivo prioritario es algo que, a día de hoy, no puede resultar ajeno para nadie. Pero es habitual encontrar multitud de vulnerabilidades en el código de este tipo de aplicaciones que permanecen expuestas a millones de usuarios potenciales, y si entendemos a éstos como personas (otro caso será el de sistemas que actúen como usuarios de nuestros servicios) nos encontramos hablando de dos escenarios bien diferenciados pero complementarios: de un posible atacante y del usuario como eslabón más débil de la cadena.


Hoy quería traer al blog una pequeña introducción sobre XSRF (también conocido como CSRF o Cross Site Rereference Forgery), un modo de ataque basado en lo predecible de las invocaciones entre elementos en la Web y en la forma en que es procesada la información en los navegadores. XSRF actúa justo desde la perspectiva opuesta a los ataques XSS. Aquí es el sitio web “confiado” el que puede ser atacado con facilidad, ya que XSRF realiza una determinada petición a un sitio web que, si no es controlada por éste, puede desembocar en una actualización en la BD, la desconexión del usuario o llevar a cabo cualquier otro tipo de acción. La forma de conseguir que se ejecute la acción que pretende llevar a cabo el atacante es tan sencilla como incluir un determinado código aparentemente inocente en el servidor (mediante un ataque XSS, por ejemplo), o consiguiendo mediante ingeniería social que la víctima visite un sitio web del atacante que ejecutará automáticamente la acción.


Imaginemos que deseamos desconectar a nuestra víctima de un servicio, pongamos un ejemplo (y no quiero mirar a nadie…), de su cuenta de Google. Por poder, podemos hasta elegir la manera en que hacerlo: incluyendo una imagen rota/oculta, mediante un tag script, utilizando iframes o mediante un formulario (con peticiones tanto GET como POST). Para conseguir que se ejecute la acción, podemos enviar a la víctima un correo electrónico con una imagen incrustada, invitarle a visitar la presentación de un nuevo servicio, etc.


En el sitio web, que no requerirá de más tecnología que del HTML, podemos tener una página que incluya código como el siguiente (a elegir):




  • Un iframe con el src establecido a la URL de la acción a ejecutar:
    http://mivictima.com/logout

  • Un script:


  • Una simple imagen:

  • Un formulario:




  • Otro script:

    var img = new Image();
    img.src = " http://mivictima.com/logout ";




Todas estas técnicas funcionarán en webs que acepten parámetros mediante GET, siendo posible el ataque mediante POST utilizando el formulario (que, además, puede ser “lanzado” automáticamente mediante la inclusión del parámetro
OnLoad=”document.getElementById(miform).submit()”
en la etiqueta BODY de la web) o a través del último script presentado.


Como vemos resulta ser un método bueno, bonito y barato. Su potencial es mucho más alto, y podéis encontrar más información en el documento de Information Security Partners, o descargando los ejemplos de la entrada.


Visto esto, ¿cómo podemos proteger nuestro sitio web ASP.NET de este tipo de ataques? (Lo que veremos ahora, salvo excepciones, es válido para otro tipo de tecnologías, con ligeros cambios).




  • Evitar recuperar parámetros de la URL:
    Utilizar formularios que pasen los parámetros mediante POST. En ASP.NET deberíamos recuperarlos usando HTTPRequest.Form (Request.Form) en lugar del más común Request.Params["miparametro"];


  • Utilizar tokens de identificación:
    Es posible utilizar elementos que identifiquen a nuestro usuario, de manera que si la petición llega al servidor sin incluir dicho token (almacenado, por ejemplo, en sesión), no se llevará a cabo la acción solicitada. Incluso es posible asignar dicho token al par (usuario/acción), almacenando dicho token en nuestro servidor para mejorar incluso la seguridad del sitio web en lo concerniente a la autorización del uso de recursos. Lo ideal es que este token viaje entre el equipo del cliente y nuestro servidor vía POST, para que no sea visible en la URL (aunque podría viajar cifrado –y aquí poder es deber ;) -) y no llegue a otros sitios web a través del HTTP_REFERER.
    El uso de POST no nos inmuniza ante el XSRF, pero podríamos considerarla como una buena práctica de programación desde el punto de vista de la seguridad de nuestro código.
    También podemos utilizar el ViewState, utilizando la propiedad Page.ViewStateUserKey que proporciona un identificador único para el usuario que está visitando una página en concreto. La asignación de la propiedad se lleva a cabo durante el proceso de carga de la página, en concreto en el Page_Init de la misma.
    [csharp]void Page_Init(object sender, EventArgs e)
    {
    ViewStateUserKey = Session.SessionID;
    }[/csharp]

    La única pega de esta protección es el modo en que se comprueba el ViewState de la página, dependiendo de que exista un PostBack de la misma, por lo que no sería de mucha utilidad en aplicaciones que no lleven a cabo esta acción con frecuencia, como es el caso de las RIA’s que hacen uso intensivo de AJAX.


  • Limitar la duración de las sesiones de usuario:
    Si usamos la generación de un identificador único por usuario, podemos “forzar” la generación de más identificadores reduciendo (en un margen conveniente pero racional) la duración de la sesión en nuestro sitio web. Con esta acción únicamente ganamos algo de seguridad al reducir la ventana de exposición de los identificadores. Como contrapartida, algunas aplicaciones necesitan sesiones prolongadas, por lo que no sería factible llevarla a cabo en esos casos.


  • Controlar el HTTP_REFERER:
    Permitir únicamente solicitudes que provengan de nuestro dominio. Evitaremos así un posible ataque XSRF desde el exterior, aunque no nos protege de nosotros mismos: si un usuario es capaz de inyectar HTML en algún formulario que provoque la ejecución de la acción (y aquí uno de los mayores riesgos es la posibilidad de utilizar la etiqueta ), o sufrimos un ataque XSS de cualquier tipo, nuestra web estará expuesta también a XSRF.
    Al igual que el uso de POST, el control del HTTP_REFERER tampoco nos inmuniza frente al ataque de sitios ajenos a nuestro dominio, ya que el HTTP_REFERER puede ser simulado utilizando XmlHttpRequest o Flash, pero nos proporciona un poco más de seguridad que si no lo tenemos en cuenta, claro está.


  • Enviar una doble cookie:
    El XSRF se basa, como apuntaba al principio, en la posible ejecución de una acción en nuestra web desde un lugar (o dominio) ajeno a nosotros. Sin embargo, por la propia filosofía con la que se construyen los navegadores, las cookies pertenecientes a un dominio no pueden ser consultadas por otro. Por esto, podemos enviar el contenido de una cookie normalmente (usando la cabecera de la página) y otra vez como un valor oculto en un formulario, (leyendo la cookie mediante JavaScript e insertándola en el mismo). Si las dos cookies que nos llegan de este modo no coinciden, deberíamos ir planteándonos rechazar la petición ;) . La desventaja de este método es que no funcionaría en caso de que el usuario deshabilitase la ejecución de JavaScript en su navegador.

Para terminar, únicamente me gustaría insistir en la necesidad de formar a nuestro equipo de desarrolladores en metodologías adecuadas para lograr alcanzar un buen nivel de seguridad en nuestras aplicaciones. Esto es particularmente importante en aplicaciones web, que ya sea desde Internet o dentro de una Intranet, están expuestas a un gran número de posibles ataques. La seguridad, en programación, debería ser parte del diseño y no “algo” que implementar sobre la marcha, si hay tiempo…


Para saber más:


Una vieja máxima mía dice que...

...cuando has eliminado lo imposible, lo que queda, por muy improbable que parezca, tiene que ser la verdad.


Aunque no se trate de Holmes, sino de Roger Johnston, este PowerPoint suyo encontrado en Schneier on Security me ha arrancado algunas sonrisas con su ironía.


Arrogance Maxim: The ease of defeating a security device or system is proportional to how confident/arrogant the designer, manufacturer, or user is about it, and to how often they use words like “impossible” or “tamper-proof”.


Altamente recomendable.

sábado, 27 de septiembre de 2008

Cuesta abajo y sin frenos

Tras la indignación de ver cómo Google celebra su décimo aniversario actualizando el PageRank de algunas páginas (entre ellas Lobosoft) y bajo puntos, he estado repasando los motivos que suscitarían esa bajada de PageRank, y salvo el problema con los enlaces ocultos de mis amigos rusos y el consiguiente desensamblado del sitio web y vuelta a poner en marcha, no veo otros que puedan haber afectado al PageRank.


El caso es que el sitio recibe menos visitas que antes. Curiosamente, si busco “lobosoft” en Google.es el blog aparece en la tercera posición, igual que siempre (tuvo un pequeño bajón a la quinta posición en los resultados de búsqueda en el punto álgido de los ataques). Si consulto mediante “link:www.lobosoft.es” o “link:lobosoft.es”, siguen apareciendo los sitios web que apuntan al dominio. Incluso éste no parece estar baneado.



Por otro lado, recibe un interesante 7 (hay que mejorar, hay que mejorar) en características de posicionamiento SEO.



Total, que ante el misterio de a qué se debe la bajada del PageRank voy a escribirles un correíto a los chicos de Google a ver qué se cuentan :) .

Despecho

¿Por qué me tratas así? Deseaba únicamente felicitarte por tu cumpleaños y me haces esto… No sé si llegaré a perdonártelo, después de tanto tiempo juntos, permitiéndome hurgar en tu interior, buscar hasta lo más profundo de tu ser para desentrañar los misterios de la vida y la muerte… Sé que en ocasiones te he sido infiel, y he buscado en otras lo que tú no me dabas; también he dicho sobre ti palabras duras, aunque no por ello menos ciertas. Pero también he sido ser agradecido, alabar aquello que hacías bien e intentar mejorar lo que no, aunque eso sí, sin ocultar nunca aquello que, en un primer intento, tal vez no salió tan bien como habría sido deseable.


No esperaba esto de ti.


Vengo a felicitarte por tu décimo aniversario, Google, por tu página minimalista y siempre útil, y me encuentro con que me bajas el PageRank de 3 a 1. Como si no fuese nada para ti. Vale que con el ataque hacker del verano haya perdido visitas, estoy de acuerdo en que te volví un poco loco con mis actualizaciones del blog, pero en todo momento te hice saber la situación en que me encontraba, y te solicité que te hicieras cargo de ello. Para eso están los amigos, y las herramientas del webmaster que ofreces, ¿no? Esta visto que no. Así notaba yo este descenso pronunciado de las visitas…


¿Sabes lo que te digo? Que no me importa, que remontaré el blog, y que superaré el PageRank 3, te pese lo que te pese.


Y ahora, indéxate ésta.


:P

Charla para la "Microsoft Community"

Ayer estuve presente en la charla que Guillermo Som (“El Guille”) y David Salgado ofrecieron dentro de la serie de eventos que Microsoft promociona entre las comunidades de usuarios de .NET, y la verdad es que estuvo bastante interesante.


En primer lugar, el archiconocido Guille nos ofreció un repaso de las nuevas características que ofrece C# 3.0 a los desarrolladores. Así, nos habló de los tipos anónimos, de var y su uso más allá de LINQ que, a mi parecer, implica importantes riesgos de convertir el código C# en un nuevo VB repleto de variables tipo Variant si abusamos de esta característica(sí, sí, sé que no es lo mismo, pero si encontramos todo el código con variables declaradas con var…). Realmente var supone una interesante característica de cara al uso de LINQ, sin duda, pero no deja de ser azúcar sintáctico. También trató sobre los métodos de extensión y parciales, los operaciones ternarios (la doble interrogación) y las expresiones lambda. Aunque son características de interés para un desarrollador, lo cierto es que el tema de la charla me pareció un poco forzado, por un lado porque C# 3.0 lleva ya en el mercado 7 meses, y porque la charla estaba principalmente enfocada a desarrolladores VB.NET, como una introducción a C#, y se dejaba notar. En cualquier caso, el Guille resultó ameno y nunca viene de más un repaso en el que se aprenden algunas cositas nuevas.


Le siguió David Salgado, MVP C#, que tras un breve repaso a las tecnologías web, afrontó la dura tarea de desarrollar ante nuestros ojos un par de aplicaciones ASP.NET mediante el uso de ADO.NET Data Services y Entity Framework, AJAX (cuya Client Library viene ya incorporada se serie en el .NET Framework 3.5) y ASP.NET Web Services. Con un par de golpes de ratón y tras picar unas líneas de código teníamos ante nuestros ojos una aplicación web de gestión de un videoclub y su panel de control capaz de recibir consultas mediante REST instalados. Una interesante propuesta que estudiar, ahora que ando alejado del desarrollo web después de una buena cantidad de años inmerso en el mismo, y un punto de entrada de posibles atacantes que estudiar ;) .


En el turno de preguntas y respuestas, un poco de todo. El tema de seguridad que comentaba con esos ASP.NET Web Services, que inicialmente sólo puede controlarse mediante el uso de HTTPS y buenas prácticas de programación, un avance de que a finales de año posiblemente aparezcan nuevas versiones de IronPython y de IronRuby, y la tendencia de VB.NET 10.0 (sí existirá, señoras y señores) y C# 4.0 hacia la relajación de tipos, intentando adquirir características tanto de los lenguajes dinámicos como de los funcionales.


Así pues, una iniciativa que esperemos se repita pronto. Próximas citas, la Hackmeeting y la Conferencia Internacional de Software Libre, ambas en octubre.

viernes, 26 de septiembre de 2008

Desinformación

No ha pasado ni una hora desde que se han producido dos grandes explosiones en Málaga se han dejado sentir en un amplio radio (en algunos lugares sólo se ha notado una de ellas), y los noticiarios apenas muestran información sobre el hecho. La gente especula y bromea en los foros (algo bastante normal dado nuestro carácter mediterráneo), pero lo que es más grave es que si sumamos a la falta de información que ésta no esté contrastada, nos encontramos con la preocupante situación de la desinformación:



Y de la incongruencia, como esta captura en la que la noticia no coincide con el título (HTML) de la página:



Ay, ay, periodistas… Más seriedad, señores.




Edito (26-09-2008):


Unos minutos más tarde corrigen el título de la página, pero la URL mantiene la noticia del atentado... En fin, en fin... no comment.

Y actualizo (26-09-2008):



Vísteme despacio, que tengo prisa, podríamos decirle al equipo de El País. O eso, o el intento de puesta en marcha del LHC ha producido importantes alteraciones espacio-temporales que han posibilitado tamaña proeza (clic en la imagen para ampliar).

jueves, 25 de septiembre de 2008

De "esgaes", Europa y otras hierbas

En los últimos días vengo leyendo lo que parecen ser buenas noticias respecto a los ciber-derechos en el uso de las nuevas tecnologías por parte de los usuarios. Por un lado veíamos cómo una sentencia firme de la Audiencia Provincial de Madrid zanjaba la disputa sobre si era legal o no enlazar a redes P2P para compartir archivos. Es el caso de muchas webs que incluyen en sus páginas enlaces a redes como Torrent, Emule, etc. y que temían verse en breve transitando por los juzgados al igual que Sharemule, la web en discordia. Finalmente, el tribunal ha dictado sentencia, indicando que un enlace no constituye per se un delito, sino una forma de permitir que el usuario tenga acceso a otro recurso de Internet (las bases del hipertexto, ni más ni menos).


Por otro lado, varias páginas como Barrapunto o Microsiervos se han hecho eco del trámite que la Audiencia de Barcelona ha decidido admitir a estudio, trasladándolo al Tribunal de Justicia de las Comunidades Europeas; se trata, ni más ni menos, que del odiado, denostado y malquerido canon digital que la siempre benevolente Sociedad General de Autores y Editores (SGAE) tiene a bien recaudar entre los españolitos, en aras de preservar las fuentes de nuestra arraigada y castiza cultura. El tema está en que, según parece, la ley que ampara el cobro de dicho impuesto revoluc… canon (TRLPI) podría contradecir lo estipulado por la normativa europea quedando, de ser así, sin efecto. Pero no levantemos las campanas al vuelo. De momento la buena noticia podría afectar únicamente a las empresas que adeuden importes a la SGAE debidos al concepto de cobro de canon, pero no a los ciudadanos “de a pie". En cualquier caso constituye un duro golpe para las entidades gestoras de derechos, que podría ser aún más grave si el Tribunal de Justicia europeo determina que se trata de un cobro improcedente (¿deberán devolver todas las cantidades percibidas?). Además, tal y como apuntan en Microsiervos, las empresas podrían ahora “suspender" sus pagos a la SGAE realizando el depósito de dinero en un juzgado que será el custodio de aquel en tanto se resuelva el caso. Los ciudadanos, por otro lado, tendremos que seguir soportando el cobro de tan injusto gravamen, que terminamos pagamos tanto si utilizamos los soportes adquiridos para grabar material con copyright como si éste consiste en las fotos de nuestro último viaje, una distro de GNU Linux o música de artistas que no pertenezcan a la SGAE, como es el caso de la de todos los extranjeros y bastantes nacionales. Cabría estudiar si, llegado el caso, el resto de ciudadanos podríamos llegar a hacer lo mismo; es decir, plantarnos en el juzgado más cercano y depositar allí el importe del último cobro del canon a modo de desobediencia civil (algo que podemos hacer, por ejemplo, con las multas de aparcamiento y poca gente conoce). Podéis encontrar toda la información sobre el caso en el blog Derecho de Internet.


Ya para finalizar, la última noticia sobre las “queridas" enmiendas torpedo que el Parlamento Europeo votaba hace unos días, es que algunas de las más peligrosas para los derechos civiles han quedado aparcadas. Se trata de aquellas que permitían la entrada de spyware obligatorio en nuestros ordenadores para controlar qué descargábamos y cómo. Sí, estaréis pensando lo mismo que yo: que qué ocurriría con los usuarios de GNU Linux o cómo incluir en éste software libre código que no pueda (por imperativo legal) eliminarse. La única forma de conseguirlo sería violando la primera y tercera libertades, por lo que estas distribuciones, de existir, no serían software libre. La admisión de la existencia de este spyware “consentido" vulnera nuestros derechos a la privacidad e intimidad. ¿Permitiríamos a las compañías de telecomunicaciones este derecho que pisotea a los nuestros en aras de proteger los intereses de las gestoras de derechos? ¿Cómo atribuirles derechos que –se supone- ni los propios gobiernos disfrutan a la hora de prevenir peligros como el terrorismo?


En cualquier caso, como avanzaba, dos de las cinco enmiendas más duras han sido rechazadas (la 134 del bloque K1 y la 130 del K2), así como las propuestas por el eurodiputado francés Toubon (las 132, 137 y 179) que incluían el control de datos de la ciudadanía por parte de los Estados. Entre las enmiendas que se han aprobado se encuentran algunas que podríamos denominar benignas .Por ejemplo la 138, que obliga a contar con una autorización judicial antes de restringir los derechos y libertades de los internautas. Además, se ha solicitado que se someta a revisión el trato que se dará a las direcciones IP de los navegantes, para que sean tratadas como dato personal (es decir, sometido a las leyes que velan por la privacidad y custodia de este tipo de datos).


Por desgracia, otro bloque ha sido aprobado: el de las denominadas enmiendas Harbour, que permitirán a las operadoras bloquear tráfico de red (P2P, fundamentalmente) si el usuario utiliza su conexión para acceder a contenido que, presumiblemente, provoca una merma en los ingresos de las gestoras de derechos. Sin llegar al extremo del estado francés, en el que podría llegar a bloquearse la conexión a Internet de persistir el usuario en su actitud, sí se prevé que existirá al menos un sistema de avisos por parte de las compañías, lo que abre nuevamente una brecha en nuestro derecho a la privacidad: ¿qué información procesaran las compañías sobre nosotros y cómo? ¿Quién se encarga de almacenarla y qué garantías tenemos sobre su correcto uso?


Sin embargo, no todo termina aquí ya que, al utilizarse el proceso parlamentario de codecisión, ahora deberá pronunciarse el Consejo de la Unión Europea. Esto ocurrirá en la próxima reunión que mantendrá dentro de unos meses, momento en el cual deberá adoptarse un acuerdo político sobre dicho asunto. Respecto a este tema, se puede consultar el blog y la wiki de Informática Verde donde se aborda con mayor profundidad todo lo referente a este proceso.

martes, 23 de septiembre de 2008

Más diversión a la vista

A los diversos actos y charlas que comentaba hace unos días, se les unen (aquí en el sur de España al menos) un par de actividades que pueden ser de interés. Por un lado, hoy martes estarán en Monachil (un pueblo de Granada que os recomiendo conocer, ampliando la visita a los increíbles Cahorros del río que da nombre a la localidad) los componentes de la caravana hacktivista, con un interesante compendio de talleres para iniciarse o profundizar conocimientos en todo lo relativo al software libre, ciberderechos e Internet. Tras pasar por Granada, se dirigirán a Sevilla (este viernes) y Córdoba, finalizando la gira en Málaga.


Y precisamente en Málaga, en la Casa Invisible (donde hace unos meses diese una charla sobre software libre su máximo adalid, Richard Stallman), se celebrará la Hackmeeting del 17 al 19 de octubre. Todo un conjunto de actividades para los "aprendices de hax0r (ético, of course)".

domingo, 21 de septiembre de 2008

Usando Java desde .NET

En los fines de semana aprovecho –como todos, imagino- para ponerme al día con todo aquello que, por un motivo u otro, no he podido hacer durante el resto de la semana. Esto incluye todo tipo de lecturas (entre las que se incluye la que os comento al final de la entrada) y pruebas que quiero realizar de nuevo software: aplicaciones, sistemas operativos… o como es el caso de hoy, unas librerías y una máquina virtual. En concreto, hablo de IKVM.NET, una implementación libre de Java para Mono/.NET Framework. Posiblemente recordaréis la batalla legal que establecieron Sun y Microsoft hace unos años (una de tantas) sobre el particular uso que de Java hacía la compañía de Redmond, modificando a su antojo las particularidades del lenguaje. También hubo conflictos en si Windows XP bloqueaba o no el uso de Java, y a resultas de todo aquello, Microsoft dejó de poder usar Java (al menos, distribuir un Java “modificado”), y esto supuso el lanzamiento de la plataforma .NET (“su” Java modificado ;) que, de paso, incluye entre sus lenguajes J#, que es compatible a nivel de sintaxis con Java). La cuestión es que, como siempre, los desarrolladores y usuarios de los sistemas somos los perjudicados ante estas diferencias, ya que nos encontramos con decenas de entornos similares ante los que decantarnos, habitualmente según lo haga también el mercado. En la variedad está el gusto, dicen, y no afirmaré lo contrario, pero en ocasiones resulta engorroso encontrar soluciones parciales a nuestros problemas, porque parte de lo que necesitamos está en un lenguaje, otra parte en otra, y debemos habilitar todo tipo de mecanismo de interoperabilidad entre esos sistemas heterogéneos para conseguir alcanzar nuestro objetivo.


Pero bueno, comencé diciendo que iba a hablar de IKVM.NET y, como siempre, comienzo a divagar. La herramienta de que os hablo consta de una máquina virtual Java implementada completamente en .NET, así como una implementación de las librerías Java en .NET y diversas herramientas que permiten la interoperabilidad Java-.NET. La instalación es muy simple, basta con descargar el instalador y ejecutarlo. Una vez hecho esto, nos será posible escribir aplicaciones en Java usando ensamblados .NET y que serán compiladas como CIL, o reutilizar código en Java desde .NET. También es posible convertir archivos .jar a ejecutables .NET usando una herramienta que incorpora el paquete de IKVM.NET. Posiblemente tenga oportunidad de hacer un uso mayor del mismo en alguna aplicación real dentro de poco, por lo que ya os iré comentando mi parecer si me encuentro con algo "extraño". De momento, un hola mundo en Java funciona desde .NET :) .


Aún me queda por probar Moonlight, el port de Silverlight a Mono. Aunque voy a ver si convenzo a mi amigo Fernando, de Albloguera, para que rompa su prolongado silencio con alguna entrada sobre este asunto ;) .


¡Ah, y no se me olvida! La lectura que os comentaba la encontré ayer revisando posts que había dejado de lado durante la semana. En Pensamientos Ágiles comentaban un artículo de InfoQ sobre el uso de piezas de Lego (cuyas figuritas, por cierto, cumplían 30 años hace unos días) para la gestión ágil de proyectos. Esto, que podría parecer un absurdo o una extravagancia (ahora lo llaman frikismo :) ), tiene realmente su interés. Por lo que he podido leer al menos, el uso de estas piezas para definir tareas y “encajarlas” según las dependencias entre éstas y su prioridad da una visión rápida de lo que tenemos pendiente. Al menos, resulta mucho más claro a golpe de vista que una pizarra llena de postits. En cualquier caso, se trata de una interesante aproximación al tema del desarrollo ágil del software, tan en boga (y con razón) en nuestros días.

sábado, 20 de septiembre de 2008

Daymare Town


De forma totalmente casual, saltando de blog en blog, he encontrado en uno de los de Corominas (ilustrador de la saga Canción de Hielo y Fuego, entre otras) el enlace a una delicia para los sentidos en forma de juego Flash. Se trata de Daymare Town, una aventura gráfica sencilla en su concepción pero que consigue atraparnos en una pesadilla que se desarrolla durante el día, en una abandonada población en la que nos vemos abandonados, y de la que debemos salir resolviendo una serie de puzles y enigmas. Su modo de juego es tipo “point&click”, es decir, que el usuario interactúa con el mismo los míticos 7th Guest o Myst. Visualmente es minimalista en grado sumo, presentándonos la ciudad mediante unos dibujos que, si bien podrían pasar por meros bocetos de un diseño posterior, no dejan de estar exentos de cuidados detalles que contribuyen a la ambientación del juego. Sin duda, un juego altamente recomendable para los amantes de la aventura, incluso para aquellos que añoramos de vez en cuando los tiempos de las conversacionales y los MUDs ;) .



Y si os sabe a poco, podéis acceder a la página de sus creadores en Pastelstories, donde encontraréis otros juegos Flash bastante interesantes, como este curioso 10 Gnomes:


viernes, 19 de septiembre de 2008

¿Nos importa nuestra seguridad?

En tiempos remotos, cuando me dedicaba a impartir clases de informática, insistía a mis alumnos para que usasen contraseñas robustas, aunque simplemente se tratase de una cuenta de correo electrónico perteneciente a una plataforma de formación. Aunque obviamente no me lo decían, estimo que alrededor del 95% de ellos no me hacía caso. Y posiblemente me quede corto. Para un “usuario medio”, la autenticación ante un sistema informático es más un engorro que un bien. Sí, es necesaria, está ahí, pero no deja de ser un fastidio. Si no, no se explica que haya tantos ordenadores personales con la cuenta de MSN Messenger que se conecte automáticamente o almacene la contraseña, o que se usen contraseñas para el correo electrónico o el equipo como “maria”, “minino”, “asdf”, “ef” o el infaltable “1234”. Posiblemente si estudiásemos las contraseñas asociadas a la cuenta bancaria el porcentaje de usuarios que incrementa la seguridad crecería un poco, pero tampoco esperemos demasiado. ¿Por qué –en general- no nos preocupamos demasiado de las repercusiones que tendría que alguien vulnerase nuestra privacidad? Posiblemente, como leía ayer en Security Art Work, no creemos poseer nada que interese en especial a cualquier otra persona; pensamos que la información que manejamos a diario no tiene mayor trascendencia y que, salvando la cuenta corriente, pocos amigos de lo ajeno nos van a intentar asaltar. Pero estamos equivocados. En realidad, y por más que nos pese, nuestra vida resulta muy interesante para los demás.


Conocer qué páginas visitas, los blogs que lees o cuánto usas el correo electrónico puede interesar, y mucho, a las empresas que desean ponerse en contacto contigo para ofrecerte un producto. El corazoncito de Google no es el PageRank, como nos quisieron hacer creer, sino la publicidad que da de comer a la compañía y la convierte en rentable. ¿O pensamos que el buscador más importante –en la actualidad- está ahí “por amor al arte”? Pero no es sólo Google quien vive de conocer nuestras preferencias. La mayor parte de páginas web que ofrecen servicios o algún tipo de producto almacena información sobre nosotros, aunque sea de una forma más o menos anónima (usando cookies, obligándonos a registrarnos y monitorizando la navegación cuando iniciamos sesión, etc). Es lógico, aunque podría ser éticamente cuestionable. Por mi parte me conformo con que me avisen de lo que quieren hacer con mis datos, y estará en mi mano aceptar los términos que me deseen imponer o no. El problema está en que no siempre recibimos ese aviso y, además, en la ceguera que nos imponemos a nosotros mismos. Obviamente, los servicios están ahí, y podemos usarlos o no, aunque esto es así hasta cierto punto únicamente. ¿Quién podría hoy localizar de forma eficiente información en Internet si no fuese por Google u otros buscadores? ¿Cómo prescindir de este servicio? El mero uso globalizado ya provoca dependencia.


En cualquier caso, no está todo perdido. Existen alternativas al alcance de cualquiera, y usándolas podremos intentar minimizar este derrame continuo de información acerca de nuestras personas. Por ejemplo, el uso de cuentas de correo alternativas para el registro en páginas que nos inundan el buzón de e-mails, utilizar proxies anonimizadores para navegar y cifrar –o al menos firmar digitalmente- nuestras comunicaciones. ¿Se trata de una actitud paranoica? Con toda probabilidad nos ganemos ese calificativo frente a otros usuarios, pero si no vamos imponiendo poco a poco ciertas actitudes que hagan prevalecer el derecho a nuestra intimidad sobre el mercadeo de la información (de las empresas, de los profesionales -como nos habla Javier en su blog- o de los propios usuarios), el futuro que nos espera resulta ciertamente abrumador.


¿Qué medidas tomar para mejorar nuestra seguridad en la red?


Usar siempre contraseñas robustas. Podemos medir la fortaleza de nuestra contraseña usando alguna de las herramientas on-line que existen a nuestra disposición. Por ejemplo,



Utilizar anonimizadores a la hora de navegar.


Cifrar y firmar el correo electrónico descargando y usando, por ejemplo, GPG.


Mantenernos informados sobre las medidas que toman los gobiernos sobre las comunicaciones. Por ejemplo, en estos días están discutiéndose en el Parlamento Europeo una serie de medidas (las tristemente famosas “Enmiendas Torpedo”) que podrían poner en manos de las compañías de telecomunicaciones un control casi policial del uso que demos a la red.


Abogar por el software libre y aquel que no coarte nuestras libertades. Precisamente hoy, día 20 de septiembre, se celebra el día de la libertad del software ;) .


Tener en cuenta que ser un poco paranoicos no implica perder la cabeza :) . Y cuidado con los amigos que os echáis por ahí ;) .

La sombra del cometa

Hacía tiempo que no escribía nada sobre videojuegos, a pesar de que el verano, ya moribundo, se prestaba a ello. La verdad es que tampoco me apetecía demasiado hacerlo: no suelo jugar en la actualidad, salvo en raras ocasiones, y no se puede vivir de las rentas del abandonware y la nostalgia, resultaría malsano. Sin embargo, hoy quiero hacerlo, ya que se acerca el fin de semana, y algo de tiempo libre que tal vez algunos queráis aprovechar para disfrutar de esta magnífica aventura gráfica, injustamente olvidada cuando se trata de una de las más maravillosas producciones de la historia del videojuego. Un regalo que me hizo un buen amigo me trajo a la memoria momentos (cuasi)olvidados, entre los que se encontraban las gratas horas que pasé disfrutando de este juego.



Hablo de Call of Cthulhu: Shadow of the Comet, una aventura de Infogrames, que también adoptaron la cosmogonía de H.P. Lovecraft, el autor maldito de Providence, en producciones como Daughter of Serpents, Prisoner of Ice (una continuación, que no secuela, del que nos ocupa) o el increíble Alone in the Dark. Shadow of the Comet es, sin duda alguna, la historia más fiel a las narraciones de Lovecraft, tanto por su desarrollo como por la ambientación que le proporciona el juego. De hecho, cuando abríamos la caja original nos encontrábamos con una serie de escritos, como cartas o certificados de defunción que contribuían a imbuirnos más aún en la historia. En ella, nos vemos metidos en la piel John Parker, un joven fotógrafo que visita Illsmouth durante tres días para realizar un reportaje sobre el paso del cometa Halley. Sin embargo, una vez allí, no es capaz de huir del horror con que los trágicos acontecimientos acaecidos casi 80 años marcaron la aparentemente tranquila localidad. Nos veremos así en la tesitura de llevar a cabo unas investigaciones que desvelarán terribles secretos ocultos.



Aunque parezca la típica historia de Lovecraft, con sus atisbos de locura, seres primigenios de formas abominables y sectas recalcitrantes que intentan traer a aquellos a la vida (de hecho, se basa en buena parte en los relatos El horror de Dunwich y La sombra sobre Innsmouth), Shadow of the Comet consigue lo que pocos videojuegos logran: implicarnos en la resolución del enigma, atraparnos en una historia que deseamos que no termine y, a la par, de la que queremos salir cuanto antes por lo ominosa que resulta.



El juego tiene gran parecido con las aventuras de Sierra, tanto por la interfaz del usuario, que se ve obligado a usar el teclado para interactuar con el juego, como por la posibilidad de que nuestro personaje muera durante el juego por haber tomado una desafortunada decisión –algo que ocurre demasiado a menudo-. A esto, sumadle unos enigmas endiabladamente difíciles y la posibilidad de dejarnos atrás objetos imprescindibles para concluir la aventura, y tendréis por delante horas de diversión y decenas de partidas guardadas… “por si acaso”.


Y si yo no os convencí...



La introducción del juego:


http://www.youtube.com/v/96Jb3SAH3R0&hl=es&fs=1;rel=0

miércoles, 17 de septiembre de 2008

Seguridad en Wordpress

He preparado un pequeño resumen de medidas que podemos tomar para incrementar la seguridad de nuestro blog con WordPress, y se encuentra disponible en la sección de descargas del blog, así como en el enlace incluido al final de la entrada.


Aunque existen diversos frentes que podemos abordar a la hora de incrementar la seguridad de nuestro blog, no siempre los tenemos en cuenta u obviamos alguno de ellos. El documento que he dejado para descargar intenta resumirlos, aunque puede abundarse más en el tema como en alguno de los enlaces que incluye entre los sitios de interés. Espero que esta pequeña referencia os sirva para no encontraros como Lobosoft hace unos meses ;) .


Seguridad en Wordpress - Cheat Sheet

sábado, 13 de septiembre de 2008

Las vulnerabilidades del LHC


La noticia ha llamado mi atención, no sólo por estar relacionada con la seguridad de un sistema informático, sino porque de la misma depende el éxito o no del “padre de todos los experimentos” y, de paso, la seguridad planetaria (o eso afirman algunos). Si ya de por sí la posibilidad –aunque remota- de que se produzca un agujero negro que haga un

Planet earth = null;

no es lo que se dice halagüeña, que la seguridad del LHC (Gran Colisionador de Hadrones) quede en entredicho tan pronto, y de una forma tan evidente como ha sido el caso tras la intrusión de un grupo autodenominado Equipo Griego de Seguridad es una noticia más que preocupante. Aunque no se han producido daños, y la intención de este grupo ha sido “simplemente” dejar constancia de la triste seguridad de los sistemas informáticos del LHC, según declaraciones de uno de los responsables del mismo los hackers se han quedado a un paso de uno de los detectores de partículas del LHC, denominado CMS. Según el responsable, «lo que ocurrió no fue grave, pero demuestra que siempre hay gente que puede convertirse en una amenaza», aunque a mi parecer lo que deja claro es que, una vez más, un sistema informático ha sido puesto en evidencia y deberían pedirse responsabilidades a los responsables de su desarrollo y puesta en funcionamiento. Porque –y no quiero ser pájaro de mal agüero- si el proyecto ha sido subcontratado repetidas veces, como suele ser habitual, siguiendo el correspondiente algoritmo:


[csharp]
public static LHC DesarrolloSoftware(Proyecto p,
Consultora c)
{
if (p.Presupuesto > c.Honorarios)
{
c.Beneficio = 2 * (c.Honorarios - p.Presupuesto);
p.Presupuesto -= c.Beneficio;
p.LHC = DesarrolloSoftware(p, new Consultora());
p.Developer = c.Name;
}
else
{
c.Beneficio = p.Presupuesto;
p.Presupuesto = 0;
p.LHC = 2 + 2;
}
return p.LHC;
}
[/csharp]


alguien debería pagar los platos rotos. Ahora bien, es cierto que a mayores responsabilidades, mayores atribuciones, algo que en España el Gobierno no parece tener muy claro –ni en esta, ni en la anterior, ni en la anterior a la anterior legislaturas).


De momento, y mientras buscan a Bolsón el bosón de Higgs, veremos si Tolkien poseía o no capacidades precognitivas:



Un anillo para dominarlos a todos,
un anillo para encontrarlos,
un anillo para atraerlos a todos
y atarlos en las tinieblas...



;)

viernes, 12 de septiembre de 2008

El coche de Google se pasea por Málaga

Parece que Google ha decidido visitar más ciudades españolas de las previstas inicialmente para ser incluidas en Google Street View, como era el caso de Madrid o Barcelona, sino que están recorriendo otras urbes, como Zaragoza, Sevilla o Málaga. O eso, o el Opel que he adelantado por la mañana, de color negro y una pegatina de Google en la puerta trasera, poseía un extraño apéndice sobre el techo que difícilmente superaría un control del Ministerio de Industria. Aunque no hemos podido sacar una foto clara, en la siguiente imagen puede observarse (no diré que claramente) el mástil con las cámaras del coche, una vez que se ha desviado de la autovía, posiblemente para dirigirse a la barriada de Teatinos.



A ver si hay suerte, y podemos pasear virtualmente por las calles de ciudades tan hermosas como Granada o Córdoba, la otra ciudad andaluza en liza por la capitalidad europea de la cultura en 2016 ;) .

Comienza un nuevo año (académico)

Empieza el nuevo curso, y lo hace con fuerza, arrancando con una serie de congresos y ponencias que pueden interesaros. En Málaga (ciudad en la que resido actualmente), me encuentro con la celebración de la iWeekend Málaga 2008, un encuentro de emprendedores y profesionales de Internet, en el que se pretenden dar las nociones para montar una empresa vinculada a este mundo. La idea es (cito): reunir a los emprendedores con grupos de técnicos que puedan formar un grupo de trabajo, con el objetivo de seleccionar una idea, desarrollar un producto y lanzar una empresa desde cero en 48 horas. Un ambicioso plan, sin duda, pero que resulta interesante de cualquier modo. En la web del Colegio Profesional de Ingenieros en Informática de Andalucía puede encontrarse más información al respecto. El programa del evento puede encontrarse en la web correspondiente.


También para este mes tenemos la grata sorpresa del inicio de la gira 2008 de El Guille (que ya sale de gira, cual una Rock&Roll Star ;) ) en Málaga, el 26 de septiembre en el edificio BIC Euronova del Parque Tecnológico de Andalucía (PTA).


El Guille es un referente para los programadores de Visual Basic (y, por extensión, para los programadores VB.NET y vinculados a tecnologías Microsoft). ¿Quién de nosotros, en aquel remoto entonces en el que declarábamos variables mediante Dim, no habrá consultado su web para llevar a cabo alguna que otra filigrana en programación? La visita de El Guille, MVP de VB, se produce dentro de la gira Guille Community Tour 2008, por lo que está vinculada al Málaga .NET User Group, en cuya web podréis encontrar más información sobre el evento.


Un poco más alejada en el tiempo, pero igualmente interesante, la Conferencia Internacional de Software Libre abrirá sus puertas al público del 20 al 23 de octubre en el Palacio de Ferias y Congresos de Málaga, ofreciendo un amplio programa sobre el mundo del software libre: desarrollo, sistemas, robótica, virtualización, aplicaciones y usuarios; la inscripción se encuentra abierta y puedes registrarte, si deseas asistir, en el portal del evento.

miércoles, 10 de septiembre de 2008

Cajeros automáticos y software

Hace unos días pasaba por el cajero automático a retirar un dinero, y como suele ocurrir con estos aparatos, acérrimos seguidores de las leyes de Murphy, el que tenía más cerca se encontraba un tanto “indispuesto”. Sin embargo, no me molestó que fuese así, aunque obviamente no pude sacar el dinero que necesitaba, y es que a cambio me ofreció un momento de añoranza.



Debía hacer por lo menos cinco o seis años que no me encontraba frente a frente con un Windows NT 4.0, por lo que el shock emocional que me produjo fue tal que una lagrimilla se me deslizó por la mejilla ;) Jejeje, bromas aparte, la verdad es que me sorprendió encontrar que el cajero usaba un NT Workstation, y no un Embedded, ya disponible en esa versión del sistema operativo, y que resulta mucho más idónea para este tipo de dispositivos. Por otro lado, desde hace unos años se vienen usando distribuciones de Linux en cajeros de varios países, precisamente debido a los problemas de seguridad que han sido la “marca de la casa” de Microsoft a lo largo de muchísimo tiempo.

jueves, 4 de septiembre de 2008

Licencias draconianas y bloggers censores

Anoche mencionaba de pasada la EULA de Google Chrome al hablar de la desinstalación temporal del navegador. No quise tratar un poco más sobre ella porque me pareció que era "entrar al trapo" con las acusaciones cruzadas entre Microsoft y Google, y la polémica que estaba suscitando en otros sitios web. Sin embargo, durante la noche se ha producido la noticia de que Google va a terminar por echarse atrás en unos términos más propios de un Gran Hermano que de una compañía de gestión de la información. En concreto, aquellos que tratan sobre la propiedad de los contenidos:


11.1 Conservará los derechos de autor y cualquier otro derecho que ya posea del Contenido que envíe, publique o muestre en los Servicios o a través de ellos. Al enviar, publicar o mostrar Contenido, estará concediendo a Google una licencia permanente, internacional, irrevocable, no exclusiva y que no está sujeta a derechos de autor para reproducir, adaptar, modificar, traducir, publicar, representar y mostrar públicamente, así como para distribuir cualquier Contenido que envíe, publique o muestre en los Servicios o a través de ellos.
11.4 Confirma y garantiza a Google que posee todos los derechos, poderes y autoridad necesarios para conceder la licencia anteriormente mencionada.



O en su versión inglesa:


You retain copyright and any other rights that you already hold in Content that you submit, post or display on or through the Services. By submitting, posting or displaying the content, you give Google a perpetual, irrevocable, worldwide, royalty-free and non-exclusive licence to reproduce, adapt, modify, translate, publish, publicly perform, publicly display and distribute any Content that you submit, post or display on or through the Services. This licence is for the sole purpose of enabling Google to display, distribute and promote the Services and may be revoked for certain Services as defined in the Additional Terms of those Services.



El caso es que, como digo, ante la controversia Google ha decidido cambiar estas condiciones de licencia frente a un miedo justificado a que la comunidad de usuarios deje de lado su recién nacido navegador.


De momento dejaré de lado el tema de Chrome, que ya está ocupando demasiado espacio en Internet en diversos sitios webs, muy particularmente en blogs y foros. Incluso se están produciendo reacciones bastante inusitadas en sitios como Kriptópolis, donde su propietario se ha dedicado a lanzar flames en un tono bastante agresivo, restringiendo incluso los comentarios que aludían a esta actitud. Estamos de acuerdo en que se trata de un blog, y un blogger no es un periodista que debería informar de forma no intrusiva (una utopía, lo sé) con la noticia que está dando. Pero en un sitio web, blog o no, que se considere serio a sí mismo, las pataletas y el fanatismo están de más. Y es que no se puede acusar a Google de Gran Hermano, y constituirnos nosotros en Pequeños Hermanos por su causa. El debate en cualquier sentido, con su debida argumentación, nos favorece a todos, pero no un discurso unilateral que censure otras voces que disienten y se expresan respetuosamente.

miércoles, 3 de septiembre de 2008

Uninstalling Google Chrome

Poco ha durado la dicha. Si unimos la vulnerabilidad detectada en el módulo de WebKit que usa Google Chrome (cuya lista de incidencias abiertas puede consultarse en la página web del producto) a las condiciones de la licencia asociada al navegador de Google, la verdad es que de momento, y a pesar de que como decía hace unas horas el navegador promete, y mucho, de momento no parece ser lo suficientemente estable como para usarlo de forma intensiva. No está Internet en estos días para andar naufragando con navegadores escasamente evaluados.


Eso sí, si instaláis Google Chrome o la beta de Internet Explorer 8, echad un vistazo a las particulares condiciones respecto a la transmisión de información y contenidos, y a la cesión propiedad de estos últimos para dar adecuadamente los servicios requeridos. No tienen desperdicio. ¡Ah!, y cuidado con Explorer 8, que al igual que Chrome no está libre de pecado: ya se le han detectado vulnerabilidades que pueden propiciar un ataque XSS. Entretanto, y en lugar de solucionar estos problemas, Microsoft arremete contra Google amenazando con llevarle a los tribunales.


Echad un vistazo al bypass del Filtro de XSS para Explorer 8.

Betas... y enlaces recomendados

Simplemente quería compartir con vosotros unos enlaces que he estado leyendo en torno a los lanzamientos de productos en fase beta de desarrollo, simplemente por reflexionar en torno a cómo un producto que está siendo evaluado internamente ha terminado constituyéndose en un lanzamiento en toda regla al público general, incluyendo en numerosas ocasiones todo tipo de bugs y vulnerabilidades. Ayer apuntaba que los lanzamientos en beta de Google eran bastante estables (y de hecho, que la compañía mantenía los productos en esta situación durante años, algo bastante curioso y que posiblemente tenga que ver con responsabilidades respecto al producto). En la Wikipedia se habla sobre este asunto:


Cuando una versión beta llega a estar disponible para el público en general, a menudo es utilizada extensamente por los tecnológicamente expertos o familiarizados con versiones anteriores, como si el producto estuviera acabado. Generalmente los desarrolladores de las versiones betas del software gratuito o de código abierto los lanzan al público en general, mientras que las versiones beta propietarias van a un grupo relativamente pequeño de probadores.



Por un lado, el interesante artículo que ZDNet sacó hace unos años en torno al tema: A long winding road out of beta. Por otro, el que nos trae John Bruguer en su blog: ‘Beta’ Is Not an Excuse.


De paso, y ya que se acercan unos diítas más de vacaciones ;) y la lectura es siempre gratificante, os dejo unos enlaces que me han parecido interesantes en los últimos días:


Google Chrome, más que un navegador

Tras probar durante un día Google Chrome, la verdad es que la sensación que ha logrado transmitirme es la de ser un navegador ligero, robusto y muy completo. A nivel de usuario, Chrome no desmerece ante ningún otro navegador del mercado, contando con un renderizado de páginas muy correcto, lo que permite presentarlas de forma más nítida que iExplorer 7, especialmente en lo que respecta a las imágenes. Deja buena parte de la pantalla libre permitiendo maximizar el contenido visible de la página, algo que podemos obtener con la vista a pantalla completa de los otros navegadores.


Por otro lado, y en lo que respecta a rendimiento, un compañero ha notado ligeros problemas con páginas que incorporaban Silverlight, pero posteriormente ha comenzado a funcionar bien, por lo que podría tratarse de un problema de configuración hasta que el navegador ha detectado la tecnología de la competencia ;) . De forma similar, en algún momento el navegador ha dejado de responder durante unos segundos mientras lo usaba, pero se ha recuperado sin mayor problema.


También resulta interesante el manejo de las descargas, que se presentan en la parte inferior del navegador y cuentan con un visor extendido incluido dentro de una pestaña (a diferencia con Firefox, por ejemplo, que lo presenta en una nueva ventana). Algo similar ocurre con el visor de código fuente y los favoritos, que son administrados desde una pestaña del navegador.


Desde el punto de vista de un desarrollador/diseñador, Google Chrome presenta algunas carencias (como obtener sólo 78 puntos en el test Acid 3), pero ofrece a cambio unas interesantes características:




  • Incluye un visor de recursos que permite mostrar el tamaño de los elementos descargados, y una línea temporal gracias a la cual vemos en qué momento es descargado un determinado elemento y cuánto tiempo tomó la petición, descarga y renderizado.


<img src="http://www.lobosoft.es/wp-content/uploads/2008/08/resourceschrome01.png"




  • Es posible detectar errores en el código XHTML, y obtener información sobre cómo solucionarlos.






  • Cuenta con un depurador de Javascript, que permite establecer puntos de ruptura en las funciones de una página, ejecución paso a paso e inspección de variables y del estado de la web. (En todo esto, se asemeja Firebug, DragonFly o Fiddler).




  • Un Administrador de Tareas permite ver en tiempo real el consumo de memoria, CPU y red de cada proceso asociado a las pestañas de Chrome. Además, muestra información de otros navegadores que estén abiertos. En la captura presento a iExplorer 6, Firefox 3 y Chrome con dos pestañas abiertas, cada una con una página. Chrome consume algo más que Firefox, pero mucho menos que iExplorer (y hay que tener en cuenta que tiene abierta una pestaña más que estos, y en ese momento se encontraba volviendo a cargar una página para mostrar el incremento en el consumo de recursos.




  • about:memory, uno de los “about” de Chrome, que presenta una información similar a la del Administrador de Tareas.



En general, y con esta visión aún parcial de Chrome, nos encontramos ante un navegador muy completo, que incluye muchas de las últimas novedades vistas (y esperadas) de los navegadores líderes hasta el momento, Explorer y Firefox, junto a características propias de Safari y Opera.


El código fuente (en C++, curiosamente disponible para Visual Studio 2005) puede descargarse desde http://src.chromium.org/svn usando algún cliente de Subversion, como Tortoise (el cliente que Google ha presentado para descargar el código da algunos problemas).


Para terminar, algo que me llama poderosamente la atención es el hecho de usar Gears en el navegador, lo que le dota de la posibilidad de trabajar en modo desconectado. Esto, y el apoyo de Google a Firefox que se prolongará al menos hasta 2011 según Mozilla, da que pensar sobre los verdaderos motivos de Google para lanzar un navegador propio. A menos que el objetivo de Google no sea competir con Explorer, sino Windows/Office, y el concepto de Chrome sea más amplio que el de ser un simple navegador más (al margen de que lo sea, y bastante bueno). Si Chrome supone una capa de soporte para Google Docs y otras aplicaciones desarrolladas con Gears, ¿podríamos estar ante un framework de desarrollo que permitiese usar aplicaciones tanto en entornos web como desconectados? En ese caso, Google Docs podría crecer constituyéndose en una aplicación que podría hacer frente realmente a MS-Office. ¿Y futuro paso con Android (evolucionado) como sistema operativo ligero sobre el que Chrome sea un framework o máquina virtual para dar soporte a aplicaciones? ¿Ficción o posible realidad? Parece que a más de uno nos da esa impresión. El problema es que empiezan a aparecer las primeras vulnerabilidades por usar una versión antigua de WebKit, un mal comienzo en cuanto a la seguridad, y un pasito más cerca de Microsoft y Firefox en lo que respecta a lanzamientos precipitados. Para provocar un error en tu Google Chrome Beta 0.2 que le obligue a cerrarse simplemente escribe ":%", sin las comillas, en la barra de dirección.



En cualquier caso, las reacciones , razonadas o no, no se han hecho esperar, y según parece Google Chrome no ha dejado a nadie indiferente:


martes, 2 de septiembre de 2008

Google acaba de lanzar Chrome

A primera vista, el navegador de Google parece muy liviano, tan minimalista como el propio buscador, e incorpora opciones que Firefox incluye mediante plugins, como la revisión ortográfica o el control de malware. El uso de un proceso diferente para cada pestaña da una mayor estabilidad al navegador, permitiendo recuperar el control cuando una de ellas queda colgada por una determinada página con problemas.


Iré evaluando el Google Chrome estos días, y ya os comentaré mis primeras impresiones. Aunque se trata de una versión beta, lo cierto es que hasta la fecha las betas de Google son bastante más estables que muchas versiones de producción de desarrollos que más de uno conocemos (y quisiéramos olvidar ;) ). ¿Alguno de vosotros ha probado Chrome? ¿Qué os parece este nuevo navegador en liza?



Google Chrome frente a Acid 2:



Respecto a Acid 3, y según la Wikipedia (esta tarde el sitio web del test Acid 3 se encontraba un poco indispuesto), Google Chrome Beta alcanza un 78% de compatibilidad, curiosamente por debajo de Safari 4 (Developer Preview) que llega al 100, usando el mismo motor de renderizado, WebKit de Apple.

Chrome, un nuevo navegador por cortesía de Google


Era cuestión de tiempo que Google lanzase un producto así. Tras apoyar el desarrollo de Firefox, el gigante de los buscadores se sube al carro de los navegadores y lo hace entrando por la puerta grande, con Google Chrome, una aplicación basada en WebKit y Firefox (de Apple y Mozilla, respectivamente). Por lo que leo en Barrapunto, el navegador cuenta con características tan apetitosas como una máquina virtual para Javascript denominada V8, que acelerará la ejecución de aplicaciones que usen este lenguaje dinámico, uso de pestañas (con una ubicación ligeramente distinta a la de Firefox), barra de direcciones con capacidad de autocompletar las URL, un “speed-dial” con accesos directos a las páginas que configuremos similar al que ofrece Opera, una lista negra de sitios con malware y un modo de navegación privada que se me antoja va a quitar a Microsoft la primicia de una de las características más esperadas de iExplorer 8, que antes de salir ya amenaza temporal por generar incompatibilidades con numerosos sitios web existentes. Lo mejor, que ha sido lanzado un cómic que nos detalla las características de un navegador cuya primera beta podremos probar en breve según anuncian en su blog.

lunes, 1 de septiembre de 2008

Presunción de delincuencia

Lo que hoy os voy a contar podría parecer una historia de ciencia ficción, pero es una más que triste realidad. Alguno de vosotros habrá leído el cuento de Philip K. Dick Minority Report, o la película homónima basada en aquél. Para el que no conozca la historia, simplemente avanzaré que transcurre en la Tierra, en un futuro cercano en el que una serie de personas con capacidades cognitivas muy desarrolladas ayudan a la policía a localizar a los criminales justo antes de que cometan el crimen del que se les acusa, por lo que son detenidos ANTES de que el delito llegue a producirse. La situación que plantearé hoy tiene cierta relación con la del relato, como podréis comprobar a continuación.


En España, como en otros países europeos, se viene aplicando el denominado "carné por puntos". Según éste, un conductor posee una serie de puntos (habitualmente 12 los conductores con experiencia, y 8 los que acaban de obtener el carné) que pueden ir perdiendo si cometen alguna infracción. Los puntos se recuperan, llegado el caso, mediante cursos de reciclaje, y si el conductor pierde los suficientes, también queda sin derecho a conducir. Todos sabemos que, tarde o temprano, cualquiera puede cometer una infracción: dejar el coche aparcado en doble fila mientras compramos esparadrapo en la farmacia, superar el límite de velocidad cuando adelantamos a un camión, comienza una cuesta abajo y, sin darnos cuenta, al terminar el adelantamiento rebasamos la velocidad permitida en 5 ó 6 kilómetros hora -no más-, o apurar el paso por un semáforo en ámbar, y que de reojo veamos que el color que rima ilumina el asfalto. Por eso, la DGT va a poner en marcha una campaña de descuento de puntos en función del número de kilómetros recorridos con el coche. Así, un conductor perderá un punto por cada 10.000 Km que recorra su vehículo, y las conductoras perderán 1 punto por cada 20.000 Km recorridos. Esta relación se basa en un sesudo estudio estadístico para cuya realización ha sido muestreado un importante sector de la población, y en los datos suministrados por las aseguradoras respecto al número de accidentes provocados por infracciones de tráfico por cada sexo. Con esta medida, la DGT pretende minimizar el número de accidentes, retirando de la circulación a los conductores con mayor propensión a delinquir, ya que pasan más tiempo al volante. Una interesante medida, ¿verdad? Muerto el perro, se acabó la rabia, como se suele decir. Sin embargo, hay algo chocante en todo esto, vamos a estudiarlo.


Según reza la Carta Magna española en su artículo 24.2, "todos [los ciudadanos] tienen derecho [...] a la presunción de inocencia". Este derecho al que nos asiste la Constitución Española de 1978 es, en definición de la más moderna Wikipedia, "un principio jurídico penal que establece la inocencia de la persona como regla. Solamente a través de un proceso o juicio en el que se demuestre la culpabilidad de la persona, podrá el Estado aplicarle una pena o sanción." Es por ello que, si el caso que presentaba sobre la DGT fuese real, y no una ficción, sería anticonstitucional. Porque sólo puede imputársenos un delito cuando se demuestre efectivamente que lo hemos cometido.


Decía al principio del artículo que iba a narrar un historia real, y así he hecho. Cambiad las siglas DGT por SGAE, y el descuento de puntos del carné por el canon a dispositivos y medios de almacenamiento y copia. Mirad las dos facturas, con el canon sin desglosar y desglosado.




Y releed el artículo 24 de nuestra Constitución. Y que alguien me explique por qué la SGAE está por encima del mismo, por qué si ni la DGT, ni las Fuerzas y Cuerpos de Seguridad del Estado, ni os jueces pueden saltarse a la torera el Onus Probandi, se le concede a una sociedad privada con ánimo de lucro esta licencia de 007...


Para saber más:



Actualización a 2 de septiembre de 2008:


Por desgracia tengo que actualizar con una noticia que presenta Barrapunto referente al nuevo movimiento de la SGAE para intentar hacerse un poquito más poderosa. Ahora quieren ilegalizar la descarga de contenidos en Internet, implicando a las compañías de telecomunicaciones de manera que bloqueen las descargas de los usuarios de aplicaciones de P2P, algo que ya ocurre en ocasiones, pero que ahora quieren que se constituya en una ley. Y digo yo: si pago un canon para compensar al artista por grabar su producción, ¿no tengo derecho entonces a descargarla? Es decir, ¿si grabo algo en un CD con canon, no es un producto legal, que por tanto puedo usar, regalar, vender... o hacer con el mismo lo que se me antoje? Porque si no es así, me temo que nos están engañando por partida doble, ¿no creéis?