jueves, 16 de enero de 2014

Google Chrome, un chivato por defecto

Pensároslo dos veces antes de formatear. Es un poco como limpiar. Después del esfuerzo por revivir el olor a superficie yerma (en este caso, el rendimiento a plena potencia con los años encima) uno se esfuerza en conservarlo. Evidentemente, no dura mucho tiempo. Internet también está lleno de mierdas.

Y digo esto a cuento de Google. Uso Google, bastante. De hecho, si no lo usara no habría llegado a escribir esta entrada. Y no me refiero sólo a que Blogger sea de Google (una buena compra, supongo).

Resulta que estaba utilizando CCleaner, un programa recomendado por un amigo para, entre otras cosas, tirar la basura que dejan los navegadores repartidos por el ordenador, necesarios en su momento pero que después pueden llamarse mierda. Mierda que puede transmitir virus, como en "la vida real".

Concretamente, CCleaner borra del navegador Google Chrome: caché, historial, cookies, contraseñas guardadas, historial de descargas, sesión e información guardada de formularios.

Después de volver a iniciarlo, me seguía apareciendo mi dirección de correo electrónico en Facebook, conocido mundialmente por su privacidad de datos. Vaya, vaya. Entonces fue cuando utilicé esta gran masa de información 100% pública y analizada por a saber cuántos centros de espionaje de "la vida real" para poner en común mi duda.

El resultado: hay que mirar más arriba. Ahora mismo, Google Chrome ofrece en su Configuración avanzada, en el apartado de "Contraseñas y Formularios" la posibilidad de modificar los siguientes apartados:
  1. Habilitar la función Autocompletar para rellenar formularios web con un solo clic Administrar configuración de Autocompletar
  2. Preguntar si quiero guardar las contraseñas que he introducido en la Web Administrar contraseñas guardadas
Bien, ambos están habilitados por defecto. Es decir, son así hasta que los cambias. La función Autocompletar es bastante curiosa, recuerda el texto con el que estrenas un formulario. Además también te ofrecerá guardar información sobre tu tarjeta de crédito:
"La información de tarjetas de crédito también se puede almacenar de forma segura. El navegador puede guardar la información de tu tarjeta de crédito si concedes ese permiso de forma explícita. Cuando introduzcas la información de tu tarjeta de crédito en un formulario, aparecerá un mensaje en la parte superior de la página en el que Google Chrome te preguntará si deseas guardar esa información. Haz clic en Guardar información si quieres que la información de tu tarjeta de crédito se guarde como una entrada de Autocompletar."

Destaco "de forma segura". En las opciones "Administrar configuración de Autocompletar" y "Administrar contraseñas guardadas" está el peligro, en vuestro navegador, la primera os llevará a la siguiente imagen:




¿Adivinas qué aparece si haces clic en "editar"?





Exacto. Ahora, vamos con la segunda opción: contraseñas. Da miedo.




Exacto. No hay contraseña. Ni siquiera la posibilidad de añadir una. Que yo haya utilizado, Firefox da la opción de poner contraseña maestra en este caso.

Así que ya sabéis amigos, si usáis Google Chrome no os separéis de vuestro ordenador con la sesión iniciada. Puede estar Facebook mirando.


Gracias a Jose Manuel y a Revelación Cuántica por sus aportes para esta conclusión.

Añadir que el autor no se responsabiliza del mal uso que se haga de esta información. 
No hay que ser un ingeniero para cambiar la configuración... así que estás a tiempo de tomar precauciones.

Bots vs Humanos (2013)


trafico web, trafico web robots, trafico web humano

(Vía Incapsula a través de Bots vs Browsers)


Una de mis primeras decepciones una vez creada la web de Acta Verbum es que en el listado de visitas aparecía en numerosas ocasiones la página para registrarse. Sin embargo, nadie se registraba. ¿Por qué? ¿Por qué entran en registrarse y después no se registran? ¿No llegan los correos de confirmación? ¿Tan despacio carga la página que se aburren esperando?

No era para tanto. Para empezar, tenía el archivo "robots.txt" de serie. Malo. Hay que poner algunas limitaciones a qué se puede y sobre todo, a quién se puede dejar pasar.

Para decirlo pronto y bien; el archivo robots.txt es un archivo de texto almacenado en el servidor que le le dice a los bots (programas informáticos que viajan de un enlace a otro almacenando los datos en una base de datos que después podrá utilizarse para recuperar la información o para analizarla en función del propósito) qué partes de un dominio (sitio web) pueden rastrear y almacenar en su base de datos. Pueden ser urls o directorios, aunque no es la única forma de limitar el acceso. (Más información sobre el archivo robots.txt)

Esto soluciona la mayor parte del problema, pero no el problema. Algunos bots son capaces de evadir el archivo "robots.txt" o la etiqueta index="nofollow". Eso sí parece un problema...

En Drupal, las estadísticas también te muestran la IP que te visita. La IP es como la matrícula de nuestro ordenador mientras navegamos por internet. Depende de la conexión a internet, por lo que también puede utilizarse para aproximarnos a su situación geográfica (hay excepciones).

Fue entonces cuando, buscando directamente por IPs, me encontré con "The Project Honey Pot". Esta web nos ofrece un directorio donde nos avisa si una IP es sospechosa de ser utilizada para rastrear la web con malas intenciones, bien para recopilar datos como direcciones de correo (para enviar publicidad, por ejemplo), para dejar comentarios tipo "Me gusta mucho, -enlace-", o incluso para hacer ataques de diccionario para romper contraseñas.

Ahora me visitan menos bots "de los malos" y el servidor parece que lo nota. No es especialmente rápido de por sí, pero lo nota.

Es increíble lo que pueden hacer ciertos programas. En mi caso, un bot había creado varias cuentas de usuario, introduciendo incluso una fecha de nacimiento aleatoria. El mejor consejo para evitar la mayor parte de las intrusiones automatizadas es introducir CAPTCHAs en todas las páginas que incluyan formularios (páginas de registro, comentarios...), especialmente las disponibles para usuarios anónimos.

¡Ánimo humanos, que remontamos!