chuso.net

Mastodon soporta programar publicaciones nativamente, pero esta característica no está disponible en las interfaces oficiales.

La instancia de Mastodon mastodon.social planea aplicar nuevos términos de uso a partir de julio de 2025 que han resultado ser algo polémicos.

Mi punto de vista sobre una reciente polémica en el fediverso sobre interrumpir la federación con instancias que inconscientemente alojan cuentas inaceptables.

Dejadme que lo deje claro desde la primera línea: aceptar certificados inválidos es incorrecto.

Y ahora explicaré por qué es incorrecto y por qué hay pocas excusas para ello.

Nos referimos, claro, a los certificados usados para cifrado SSL, el cual sirve dos propósitos:

• Privacidad — asegurar que los datos se transfieren cifrados y solo pueden ser descifrados por el destinatario deseado y no por una tercera parte que pueda estar interceptando el tráfico.
• Autenticación — asegurar que la parte receptora de los datos que será capaz de descifrarlos es quien dice ser y los datos no son desviados a un destinatario distinto por alguien que sea capaz de manipular nuestro tráfico.

Los certificados inválidos obviamente incumplen el primer proposito de verificar la identidad de la otra parte:

Empecemos con un poco de historia.

Casim.ir es un acortador de URLs desarrollado por Nicolas Hoizey en PHP hace once años (por entonces Cas.im/ir) con la intención de hacer un acortador ligero y sencillo.

Hace unos siete años, lo instalé para crear mi propio acortador de URLs privado en chu.so y algunos otros abiertos y públicos con algunas modificaciones sobre el proyecto de Nicolas.

Poco después empecé a contribuir en el proyecto con mejoras y correcciones e inmediatamente Nicolas me dio permiso para hacer modificaciones directamente.

Ayer GitHub estuvo fuera de servicio por un ataque DDoS. Los que trabajamos en el sector solemos darnos cuenta porque es un servicio muy usado y sus caídas pueden llegar a afectar a nuestro trabajo. Puede que sea un poco preocupante pensar que dependamos tanto de un servicio tan centralizado, pero, sin duda, es prueba de que es un buen servicio.

Cuando un servicio se vuelve tan popular es obvio que es más probable que se vuelva objetivo de ataques. Y cuando es un servicio que hospeda proyectos tan diversos, es más probable que haya alguno que moleste a alguien con suficiente poder como para lanzar un ataque que comprometa el servicio. En este caso, según la información disponible, todo parece indicar que los proyectos molestos eran GreatFire.org y cn-nytimes. El primero es un proyecto con información sobre el Gran Firewall chino mientras que el segundo es una lista de mirrors de The New York Times para que sea posible visitarlo saltándose la censura del Gran Firewall. A quien molestan estos proyectos, obviamente, es al Gobierno chino.

A ver, esto es una especie de encuesta pública, abierta, universal, transparente, empoderada, transversal, desesperada, integrada, dinámica, indignada, paradigmática... Vamos, que quiero que me respondáis a las cuestiones que planteo.

A la mayoría os veo muy felices con Google Hangouts, pero yo le veo varios problemas que me impiden hacer el cambio, la mayoría de los cuales ya han aplicado también a Google Talk y me están provocando trastornos.

El principal problema son las conversaciones offline. Con el antiguo Google Talk, si tu estabas offline y yo te escribía, al conectarte te llegaba lo que te había escrito como una conversación nueva. Ahora no. Ahora no te enteras de si te hablaron a no ser que vayas a GMail y veas allí la conversación en la bandeja de entrada. Yo tengo dos cuentas de GTalk (personal y trabajo) y en ninguna de ellas uso GMail, así que no me entero si me hablan cuando estoy offline. Esto, más o menos, lo hemos solucionado con un script de Google Docs hecho por @j3b3 que periódicamente comprueba si te hablaron mientras estabas offline y te lo envía por e-mail.

No es habitual ver a un informático defender a los usuarios. Menos aún si el informático es un administrador de sistemas. Se sabe que la relación entre administradores de sistemas y usuarios es tensa. Pero cuando me intentan tomar el pelo me pongo más tenso todavía. Vayamos a los hechos.

El registrador

Me hallaba actualizando el contacto administrativo de unos dominios registrados con un conocido registrador español. La empresa que figuraba como contacto administrativo del dominio ya no existe y los dominios pertenecen ahora a otra empresa, así que tengo que actualizar todos los datos, pero esa es otra historia. Ahora voy a transferir los dominios a otro registrador, así que con cambiar el e-mail para que me llegue el auth code es suficiente para transferirlos a otro registrador y luego allí ya le pongo el resto de los datos de contacto correctos. Dejo todos los datos como están y solo cambio el e-mail, le doy a enviar y no hace nada. No envía los datos, no muestra ningún mensaje, no realiza ninguna acción, nada. Pruebo con distintos navegadores y el resultado es siempre el mismo. Como de esto uno ya sabe un poco, voy a la consola de errores del navegador y lo que me encuentro es esto:

Actualización: El Mundo ha modificado el titular eliminando la afirmación de que se han comprometido dos terceras partes de Internet, pero mantienen en el cuerpo de la noticia la afirmación de que dos terceras partes de los servidores usan OpenSSL.

Actualización 2: Errata Security ha hecho un estudio de propagación del bug de Heartbleed dando como resultado que, de las direcciones IP que dan un servicio de HTTPS, solo el 2% son vulnerables. Para interpretar este dato es necesario tener en cuenta:

Cualquiera un poco interesado en el spam y el malware casi seguro habrá oído alguna vez hablar de Russian Business Network y puede que también de CB3ROB/CyberBunker.

Los primeros fueron (¿son?) una organización de cibercrimen que entre sus actividades más destacas figuraba la del envío del spam más fraudulento que hayamos visto. A la organización se la da por desarticulada (¿o no?) así que el registro de sus muestras de spam en Spamhaus ya no está disponible. Otras de sus actividades era la distribución de malware (sus falsos antivirus llegaron a ser muy célebres), robo de identidad, pornografía infantil, botnets, phishing, ... incluso se le atribuyen conexiones políticas que podrían haberle llevado a atacar por encargo los sistemas informáticos de Georgia, Azerbaiyán y Estonia tras sus enfrentamientos con el régimen ruso.