Archivo de la etiqueta: wh0s

Cookies: nos las comemos o no?

Más o menos todos sabemos lo que es una “cookie”, de las de los navegadores, no me seáis glotones, en esta entrada queremos dejar un poco más claro el concepto de cara a las personas que no están tan familiarizadas con ellas.

Siguiendo la definición de la Wikipedia:

Una cookie (o galleta informática) es una pequeña información enviada por un sitio web y almacenada en el navegador del usuario, de manera que el sitio web puede consultar la actividad previa del usuario.

Sus principales funciones son:

  • Llevar el control de usuarios: cuando un usuario introduce su nombre de usuario y contraseña, se almacena una cookie para que no tenga que estar introduciéndolas para cada página del servidor. Sin embargo, una cookie no identifica a una persona, sino a una combinación de computador-navegador-usuario.
  • Conseguir información sobre los hábitos de navegación del usuario, e intentos de spyware (programas espía), por parte de agencias de publicidad y otros. Esto puede causar problemas de privacidad y es una de las razones por la que las cookies tienen sus detractores.

Desde hace algo más de un año, hemos podido ver en la mayoría de webs, que aparece un cuadro informativo, explicando que el sitio web utiliza cookies y que al navegar por el mismo aceptamos el uso de sus cookies.

Aquí podemos ver un ejemplo:

cookiesEbay

El ejemplo muestra el banner informativo de Ebay, si hacemos click sobre el enlace que aparece nos lleva a una página con los detalles de para qué se usan las cookies de Ebay. Esto se debe a que desde 2012 año en el que se modificó la ley sobre el uso que las webs hacen de las ‘cookies’, es obligatorio que las páginas web informen a los usuarios adecuadamente del uso que hacen de las cookies.

Nos gustaría explicar principalmente dos tipos de cookies:

  • Cookies de sesión, las cuales como hemos visto van ligadas a una combinación ordenador-navegador-usuario  y sirven para que éste navegue de manera autorizada por la parte privada de determinadas páginas, estas cookies suelen expirar cuando se cierra la sesión y son en un elemento importante en el que nos fijamos a la hora de hacer una auditoría de seguridad a un portal con parte privada. En la siguiente captura vemos un ejemplo de una cookie de sesión:

cookiesess

  • Cookies de seguimiento, estas con curiosas ya que a la mayoría de los mortales les habrá pasado, buscar cualquier artículo para comprar en internet o simplemente informarse y de repente le aparecen ofertas de determinado artículo constantemente mientras navega. Se puede decir que estas cookies rastrean nuestras preferencias en función de las webs por las que navegamos y de ahí que las utilicen para publicitar “sospechosamente” artículos que nos pueden interesar. Para evitar este seguimiento, una buena práctica que recomendamos es limpiar las cookies del navegador de manera periódica de manera que se pierda “nuestro rastro” o incluso la navegación en modo incógnito.

Aquí podemos ver un ejemplo como después de buscar unas gafas de sol, al navegar a otra web nos aparecen gafas de sol en los banners publicitarios:

bannergafas

Por último os dejamos el enlace a una infografía de sitejabber.com, en el que definen las cookies de manera sencilla y explicativa.

Un saludo.

Jugando con el wifi en el hotel

Aprovechando que este fin de semana me iba de escapada, debido a uno de esos defectos de fábrica, en uno de los pocos ratos libres que pasé en el hotel, decidí investigar la wifi gratuita que tenía disponible en el hotel.

No me había conectado hasta ese momento, por lo que no sabía si estaba protegida con contraseña, portal cautivo, etc., el hotel ofrece conexión a internet para lo que disponía de diferentes puntos de acceso, con una nomenclatura similar a WifiHotel1, WifiHotel2, … , WifiHotelN

Desde mi habitación el punto de acceso más cercano era el 3, asi que me puse al lío y me conecté a él. Cual fue mi sorpresa al descubrir que tenía acceso a Internet directamente, sin solicitar ni contraseña, ni un portal cautivo como esperaba, sino que directamente teníamos acceso a Internet. Por lo que se me iluminaron los ojos (#ironiaON) ¡Que seguridad sentía! (#ironiaOFF). Sigue leyendo Jugando con el wifi en el hotel

Transparency Reports (IV): Facebook

En este post vamos a inspeccionar los Transparency Request que Facebook pone a disposición de los usuarios, los cuales podemos encontrar aquí:

https://govtrequests.facebook.com/

A continuación os dejamos las conclusiones que hemos sacado tras estudiarlo a fondo:

Qué datos puede obtener un gobierno a través de un Government Data Request.

Cuando están obligados a cumplir con una solicitud con frecuencia comparten sólo la información básica del usuario, como su nombre.

Sigue leyendo Transparency Reports (IV): Facebook

Transparency Reports (III): Microsoft

En este post vamos a inspeccionar los Transparency Request que Microsoft pone a disposición de los usuarios, los cuales podemos encontrar aquí:

http://www.microsoft.com/about/corporatecitizenship/en-us/reporting/transparency/

Los Transparency Request de Microsoft también se publican cada semestre (Enero-Junio y Julio-Diciembre). Microsoft informa de los data request de Microsoft y de Skype en un único informe (en el primer informe lo hizo de manera seprada).

A continuación os dejamos las conclusiones que hemos sacado tras estudiarlo a fondo:

Qué datos puede obtener un gobierno a través de un Government Data Request.

Se diferencia si el Data request va acompañado de una citación o de otros:

Citación:

  • Login
  • Personal User ID
  • Nombre
  • Apellido
  • Estado
  • Código Postal
  • País
  • Zona horaria
  • Fecha de registro
  • IP
  • Género
  • IP último acceso

Orden judicial o una orden antes de considerar el contenido de aplicación de la ley:

  • Textos
  • E-mails intercambiados
  • Fotografías y documentos almacenados en SkyDrive o en la nube (Office 365 o Azzure).

TR_microsoft_esp

Condiciones que la petición debe cumplir para que una compañía responda al Data Request.

Microsoft sigue unos principios para responder a los Data Request y proporcionar datos de los usuarios:

  • Citación judicial válida. o su equivalente legal antes de considerar la liberación de datos.
  • Orden judicial antes de de considerar la liberación de datos.
  • En cada caso se examinan cuidadosamente las solicitudes que reciben para comprobar que todo está de acuerdo a las leyes y proceder a facilitar la información requerida o no.

Si los usuarios pueden impedir que las compañías proporcionen sus datos si son solicitados a través de un Data Request.

Si los Data Request están solicitados correctamente, cumpliendo todos los requisitos necesarios formando parte de un proceso legal los usuarios no tienen manera de impedir que estas compañías faciliten sus datos a las instituciones gubernamentales, de manera que cumplan los Data request.

Si las compañías sacan beneficio económico proporcionando datos a través de los Data Request.

Microsoft tiene derecho a solicitar el reembolso de gastos derivados del cumplimiento de las “Data-request” contemplado en la ley de Privacidad de las Comunicaciones Electrónicas.

En casos concretos que tienen que ver con situaciones de emergencia o de explotación infantil Microsoft no cobra por ello.

Tratos especiales: en caso de seguridad infantil, excepciones…

Teniendo en cuenta las leyes de los EEUU, si Microsoft detecta imágenes sospechosas de explotación de menores tiene la obligación de reportar y enviar las imágenes al Centro Nacional de los EEUU para Menores Desaparecidos o Explotados (NCMEC).

Además en caso de emergencia que ponga en peligro la vida de una persona Microsoft puede facilitar datos de manera voluntaria, siempre y cuando esté correctamente justificado por el peticionario.

Nos vemos en el próximo post!

Nos vemos mañana en el Tech Fest 2015

Un año más se celebra en la URJC el Tech Fest, y ya van por la cuarta edición. En esta ocasión tenemos el placer de acudir y vamos a hablar de “Breaking Wifi”.

Hay que destacar el crecimiento de este evento que este año se centra en la Seguridad Informática y que incluso han tenido que ampliar a tres días las charlas debido a la cantidad de ponentes y el interés generado.

Os dejamos la agenda, aunque ha empezado hoy, aún estáis a tiempo de pasaros mañana o el viernes:

techfest4

Saludos!