danirod

Actualizaciones

Telegram no es seguro

Abro esta opinión dejando claro que no voy a blanquear a WhatsApp. Dios me libre de alabar un producto propiedad de Zuckerberg. WhatsApp es una aplicación que también tiene multitud de problemas.

Sin embargo, Telegram no está libre de defectos. Por eso, cuando el CEO de Telegram, Pavel Durov, publica un artículo exponiendo sus razones según las cuales WhatsApp nunca será una plataforma segura, me veo obligado a tomarme con escepticismo dicho artículo.

El resto de este post está resumido en un tweet. Si tienes la sensación de que me repito, a lo mejor es que ya lo has leído antes.


Abrimos con:

Unlike Telegram, WhatsApp is not open source, so there’s no way for a security researcher to easily check whether there are backdoors in its code.

Tampoco el código fuente del servidor de Telegram es abierto, así que un investigador de seguridad tampoco puede comprobar la existencia de puertas traseras en el código fuente del servidor. Es curioso porque no se hace ninguna mención a este dato en su post.

No obstante, ser abierto tampoco garantizaría nada. El servidor de Signal es abierto, pero ¿tenemos la certeza real de que el código que se ejecuta en los servidores centrales de Signal (que no federan) es el mismo que el que hay publicado?1.

La federación permite levantar servidores cuyo código es auditable. Ni Telegram, ni WhatsApp, ni Signal, soportan federación, por lo que estamos entregando seguridad y privacidad a cambio de conveniencia.


Un poco más abajo:

3 years ago WhatsApp announced they implemented end-to-end encryption so “no third party can access messages“. It coincided with an aggressive push for all of its users to back up their chats in the cloud. When making this push, WhatsApp didn’t tell its users that when backed up, messages are no longer protected by end-to-end encryption and can be accessed by hackers and law enforcement.

Tiene razón. El cifrado E2E que implementa WhatsApp no sirve de nada si se activa la copia de seguridad en los servidores de Google, los cuales WhatsApp te invita a activar de vez en cuando.

E2E implica que los mensajes son cifrados usando la clave del destinatario antes de abandonar el teléfono móvil, de modo que sólo el teléfono móvil del destinatario tiene la clave privada para descodificar esos mensajes. En tránsito, no se puede acceder al contenido.

Una copia de seguridad de los mensajes cifrados sería inútil para recuperarla desde otra instalación de la aplicación si no se almacena la clave privada empleada para descodificarlos, o bien si no se almacenan los mensajes en claro.

Telegram aquí no es mejor que WhatsApp. Salvo que se use un chat secreto, los mensajes son mandados cifrados, pero no punto a punto. Sólo de este modo, podrías iniciar sesión en un ordenador o teléfono nuevo y continuar con las conversaciones que tenías iniciadas: una copia de las conversaciones no secretas se guardan en los servidores de Telegram. Ese que no es de código abierto y que no permite comprobar si hace algo más aparte de guardar mensajes.

Los mensajes cifrados punto a punto se pueden activar bajo el nombre de Chat Secreto. No es la opción por defecto, y activarlos supone despedirse de estos supuestos atractivos: un Chat Secreto sólo puede ser leído desde el dispositivo donde se creó la clave, que es más o menos el funcionamiento de WhatsApp y la razón por la que WhatsApp Web no funciona de manera autónoma sino mediante una conexión de relé con el teléfono móvil.


El resto del post original son llantos y críticas del tipo “si más gente usase Telegram, no tendrías que decir ‘uso WhatsApp porque todo el mundo usa WhatsApp’.”

He escuchado demasiadas veces este llanto por parte de usuarios de Telegram como para sorprenderme, pero no todos los días lo puedes oír de parte de su CEO.


The Facebook marketing department is huge. We at Telegram, however, do zero marketing.

Posts como este son más marketing que otra cosa. De nuevo, tengo que dudar.

  1. El cliente de Signal también es de código abiertoierto. Si superamos todas las barreras legales (está prohibido llamar Signal o usar el branding de Signal en versiones no oficiales del código recompilado), se puede comprobar que el protocolo de comunicaciones garantiza que los mensajes viajan cifrados en tránsito usando una clave criptográfica que solo el destinatario tiene. Es decir, que incluso aunque el servidor estuviese comprometido, no tendrían acceso al contenido de los mensajes. Sin embargo, tendrían acceso a metadatos tales como destinatarios y fechas de cada mensaje. 

Jugando con el generador aleatorio de DOOM →

Jason, de VirtuallyFun, recompila varias veces el código del videojuego DOOM para enseñar cómo cambia la IA de los enemigos cuando manipulas las funciones del generador aleatorio. Por ejemplo, qué pasa si la función que devuelve un número aleatorio siempre devuelve el mismo número (¿relacionado?).

Actualización 2019.2 del tema de danirod.es

En abril cargué una actualización menor al tema empleado en mi blog. Principalmente se trata de pequeñas optimizaciones que no tuve en cuenta al implementar el tema para 2019 a principios de año.

La principal novedad es que ahora soporto la nueva media query presente en CSS prefers-color-scheme, lo que significa que mi página web ahora tiene tema oscuro. En Firefox y Safari, y esperemos que pronto en Chrome, si tu sistema operativo (que yo sepa, Windows 10 o macOS 10.14) está configurado con tema oscuro, la página web se verá también en letras claras sobre fondo oscuro.

Para poder hacer eso, estoy usando también variables CSS. Esto me ha exigido hacer un refactor intenso del tema, buscando todas las referencias a background-color y color. A cambio, ahora estoy usando stylelint para prevenirme de volver a introducir referencias hardcodeadas de colores en vez de usar variables CSS.

Como no quiero perder el soporte para navegadores minoritarios como Internet Explorer 11 u Opera Mini, de todos modos, estoy usando fallbacks por si el navegador web no soporta variables CSS. Aunque, en este caso, no hay manera de activar el tema oscuro. (Si tu navegador soportase tema oscuro, tu navegador también soportaría variables CSS.)

Mostrar archivos ocultos en el Finder de macOS

Como macOS es un sistema operativo UNIX, también utiliza la misma noción que otros UNIX y UNIX-like (BSD, Linux…) de tratar a los archivos que empiezan por punto como ocultos.

Para visualizar los dotfiles en Finder, hace falta pulsar el atajo de teclas Comando + : (o Comando + Mayus + ., alternativamente). Al menos en la distribución de teclado española de España.

Esta nota la hago básicamente porque nunca recuerdo la combinación de teclas cuando me hace falta, ya que no está documentada en ninguna parte. No aparece en ningún menú de la barra de menú de Finder, ni siquiera cuando se mantiene pulsada la tecla Alt.

La conspiración para acabar con Internet Explorer 6 →

De cómo un grupo de ingenieros pertenecientes al viejo equipo de YouTube inició un pequeño plan clandestino para acabar con la cuota de uso de Internet Explorer 6 en pleno año de nuestro señor 2009; y las consecuencias que tuvo para el resto del ecosistema de internet en los meses posteriores.

Si no habéis leído todavía esta historia, tenéis que hacerlo.

No llames podcast a lo que no es un podcast →

Al hilo del accidentado inicio de la aplicación de audio online Luminari, John Groover dice en Todos los podcasts son shows, no todos los shows son podcasts:

[Traducción aproximada del inglés]

Un podcast es una lista de episodios de audio disponible a través de la web. A nivel técnico, es un feed RSS, con una entrada por episodio, y un link al archivo de audio en cada episodio.

Casi todos los podcasts usa las extensiones al RSS creadas por Apple para iTunes y la app Podcasts. RSS es extensible y permite estas cosas. Apple jamás ha intentado hacer nada capaz de encerrar consumidores de podcast en el ecosistema iTunes, ya que las extensiones han sido implementadas en otros reproductores de podcast.

¿Llamaríamos página web a algo que sólo funciona en un navegador web? Probablemente no. Nadie llama al contenido de Apple News una página web. ¿Es un podcast un "podcast" si sólo funciona a través de una aplicación? Voy a decir que no.

Era de esperar en parte que con la tendencia que lleva el podcasting en los últimos años, el capitalismo tecnológico salvaje tarde o temprano se subiría al carro, con todas las consecuencias que esto implica.

Volví a dar una charla sobre videojuegos

El pasado día 12 estuve en la Universidad de Alcalá por segundo año consecutivo para hablar de videojuegos en las Jornadas de Desarrollo de Videojuegos que organiza Delegación de Estudiantes. He tardado una semana en sentarme a escribir este post porque quería pensarlo despacio para dar algunas impresiones más detalladas y valoraciones, tanto por la charla, como por mi percepción del desarrollo de juegos en este momento. (Spoiler alert: que no salte la alarma, no es un post negativo.)

‪Ojalá influencers organizando challenges en plan "mira por donde vas challenge" para que la masa zombie se entere y deje de ir por ahí deambulando por en medio por estar más pendiente del smartphone que de otra cosa.‬

Enlaces de la semana 3

Este va a ser el último linklog semanal que produzco. Me gustaba más el formato anterior de publicar enlaces a medida que se me ocurren. Además, si quiero que eventualmente el feed de mi web sustituya mis redes sociales, es más orgánico publicar con frecuencia que dejarlo todo para el último día de la semana. No obstante, me guardo el formato porque para contar información recurrente lo voy a seguir usando; ya veremos cómo.

Actualité

Firefox empezará a atajar las notificaciones de los sitios web pesados (1 de abril): Es una pena que una característica tan útil e importante para hacer las aplicaciones web tan competitiva como las aplicaciones nativas como son las notificaciones esté siendo pervertida por sitios web estúpidos que creen que las notificaciones push les dará el engagement que necesitan. Firefox ya dispone de una opción para bloquear los diálogos de permiso para enviar notificaciones, pero ahora está experimentando con racionalizar estas notificaciones de manera inteligente y que no ponga en peligro a las aplicaciones honestas de verdad.

Directivos de YouTube forzaron al algoritmo recomendar vídeos tóxicos para mantener el engagement (3 de abril): Lo que ofende e indigna, vende. Lo tenemos muy asumido a estas alturas después de verlo en medios, tanto tradicionales como digitales. Genbeta se hace eco de una información de Bloomberg, según la cual los directivos de YouTube dieron órdenes de no marcar los vídeos más polémicos y tóxicos para que el algoritmo los recomendase, argumentando que su viralidad mejoraría las métricas de la plataforma.

Malware para hospitales (4 de abril): unos investigadores han conseguido desarrollar un malware capaz de engañar a las máquinas empleadas en hospitales para producir resultados clínicos incorrectos, tal como enseñan en su vídeo. Las consecuencias de esto permitirían hacer que pacientes con cáncer puedan obtener resultados donde no se aprecien los tumores, o al revés, hacer que hacientes sanos muestren síntomas de tumores, de acuerdo con los resultados obtenidos por estas máquinas comprometidas.

Artículos interesantes del sector IT

Cómo un vértigo me cambió: en este artículo, Facundo nos cuenta las consecuencias en su día a día de sufrir una inflamación en su oído que le provocaría vértigos por un periodo de tiempo, y cómo se traduce eso al interactuar con un ordenador. La manera en la que se diseñen las páginas web, y la cantidad de animaciones que se incrusten en una página web, tienen consecuencias para personas con vértigos. La razón por la que los sistemas operativos tienen opciones para deshabilitar las animaciones no es estética, sino de accesibilidad.

Cómo aprendo cosas: Jessie nos da un paseo por la arquitectura de procesadores RISC-V antes de revelarnos una manera interesante de aprender cosas nuevas a partir de artículos científicos y papers.

Cositas de internet

Air Hollywood: hablan en Microsiervos de Air Hollywood, un estudio de cine donde muchas películas y series de televisión han grabado escenas de aeropuertos o aviones dada la cantidad de aviones viejos que posee ya preparados para que se puedan colocar cámaras.

Un timelapse de la historia del universo: publican en Kottke un vídeo muy trabajado donde se representa en 10 minutos la historia del universo. En cada segundo de este vídeo se representan aproximadamente 22 millones de años. El final te sorprenderá.

Obituario a Google+

Ah… Google+, la red social alternativa, la red social poco mainstream, la red social para los que no se conforman con cualquier cosa.

La red social que se llevó por delante Google Reader y Picasa. La red social que intentó llevarse por delante YouTube (o al menos su sistema de comentarios). La red social que planteó llevarse por delante Blogger. Qué asco me das por esto, Google+.

Y sin embargo, creo que internet te va a echar de menos. A lo mejor ahora no lo sabe, pero te va a echar de menos. Tu sistema de círculos para facilitar el control de acceso a publicaciones que sólo pudiesen ser vistas por un subconjunto de usuarios era tan ingenioso como difícil de utilizar.

Sin embargo, otra red social muere y con ella se pierden miles de imágenes y miles de actualizaciones de estado con textos interesantes que, si no han sido exportadas por sus autores, se perderán como lágrimas en la lluvia dentro de un par de días. Yo por mi parte ya tengo mi archivo exportado.

También una vez más, esto permite demostrar una vez más que si no tienes el control de la plataforma de publicación, tu contenido jamás será tuyo y siempre correrá el riesgo de desaparecer. Las redes sociales han creado un ecosistema efímero donde confiamos mucho contenido al gran disco duro de una empresa y esperamos que esa empresa no desaparezca de la noche a la mañana o que no nos cancele la cuenta.

La única manera de contraatacar contra esta realidad es poseer la plataforma de publicación. Volved a los blogs. Da igual que no tengáis el don de la escritura. Publicad frases, párrafos, poemas, imágenes, o cualquier cosa que se os pase por la cabeza. En un blog nadie está ahí para decir cómo de corta o cómo de larga debe ser una publicación. Poseed un pedacito de internet que nadie pueda cerrar, o clausurar, o cambiar de aspecto, o incorporar algoritmos o publicidad si no es porque lo queréis vosotros.

Por mi parte, dejo aquí enlazada mi página web y blog por lo que pueda pasar: https://www.danirod.es. En la sección Blog hay artículos más largos. En la sección Diario publico cualquier cosa que se me pasa por la cabeza. Tengo pendiente cargar todas las imágenes y actualizaciones de estado que estos años he publicado en Google+. Podrán desaparecer de los servidores de Google, pero no podrán desaparecer de internet si no es porque yo lo quiera.

De todos modos también soy @danirod93 en Twitter: https://twitter.com/danirod93. Después de todo, poseer un pedazo de internet es importante, pero también soy una persona que tropieza dos veces con la misma piedra.