Hoy nace el podcast de Mozilla Hispano, un iniciativa que pretende acercar aun más la comunidad a los usuarios.

En este primer podcast participamos Fran, Deimidis, Willy y yo, y aunque hemos tenido algun problema ya que tuvimos que grabarlo en dos partes al final no ha quedado tan mal.

Quizá nos haya quedado un poco largo pero al ser el primero teníamos mucho que contar pero prometemos reducirlo para el segundo.

Podéis descargar y ver el guión del primer podcast.

El podcast de Mozilla Hispano

Hace unos días nos encontrábamos con que cundía el pánico entre blogs y páginas webs porque afirmaban que “Mozilla publicará Firefox 3 con el 80% de los bugs sin resolver”, e infinidad de webs se hacían eco tomando la fuente anterior como totalmente válida. Incluso páginas con bastante popularidad lo publicaban sin pararse a mirar las fuentes o a contrastar lo que leían, aumentando así el pánico entre los usuarios que se fían a pies juntillas de lo que su página favorita les diga.

Y es que está claro, cuanta más popularidad tiene un producto, más enemigos se gana, y si leo que Mozilla es una empresa malvada que quiere publicar Firefox 3 a cualquier costa, no solo me lo creo, si no que procuro difundir el apocalíptico mensaje lo antes posible.

¿Qué es más importante? ¿Informar con rigor, o ser el primero en publicar una noticia con tal de conseguir visitas sin importar su veracidad?

Desgraciadamente cada vez es más frecuente encontrarse con noticias que parecen sacadas de la prensa rosa (o amarilla) que noticias con rigor informativo. Y no nos engañemos, esto es lo que vende, el morbo, la incertidumbre, las acusaciones infundadas… ya pasó con el supuesto robo de contraseñas, con los torpedos de Zalewsky y volverá a pasar en el futuro.

Al menos espero que todos los sitios que publicaron esa información se retracten o que al menos muestren la otra cara de la moneda, si es que realmente son sitios que quieren demostrar su rigor y seriedad informativa, todos podemos equivocarnos.

Leer “¿Firefox 3 saldrá con el 80% de bugs sin corregir?” en Mozilla Hispano

Actualización: Por lo que me comentan algunas personas, y no quería comentarlo tan explicitamente el otro día, sigue habiendo sitios que no solo no se han planteado cotejar la nueva información que desde Mozilla Hispano hemos dado, si no que ademas actualizan sobre el tema sin decir nada al respecto. Y más viendo que una simple búsqueda sobre el tema en google da el segundo resultado el de Mozilla Hispano. Por favor, seamos serios.

Tras varios meses de duro trabajo finalmente podemos presentar un nuevo, e importante, proyecto para la comunidad de Mozilla en Español.

Hoy nace un nuevo proyecto creado por los miembros más activos de la comunidad de Mozilla en español, Mozilla Hispano es un lugar de encuentro entre usuarios, traductores y desarrolladores en español, con las últimas noticias del mundo Mozilla, foros de asistencia y documentación. La organización es totalmente abierta, todo el mundo está invitado a participar. ¡Te esperamos!

http://www.mozilla-hispano.org/

¿Qué nos permite hacer este script?

Base de datos

• Hacer un backup de la base de datos y guardarla comprimida en el servidor (admin_server.sh -b)
• Hacer un backup de la base de datos y sincronizar descargándola a la carpeta local de backups (admin_server.sh -c)
• Sincronizar los backups de la base de datos descargándola a la carpeta local de backups (admin_server.sh -s)

Archivos

• Descargar todos los cambios de los archivos del servidor de forma incremental (admin_server.sh -d)
• Enviar los cambios de la carpeta local al servidor (por seguridad no se enviarán los cambios a los archivos borrados) (admin_server.sh -e)

El script puede usarse de forma interactiva si ejecutamos solo admin_server.sh, con un menú numérico con las opciones o mediante los argumentos descritos anteriormente (ideal para usar en tareas programadas cron).

En el archivo encontrareis un archivo de texto llamado Instrucciones con toda esta información.

Descargar admin_server_scripts.tar.bz2

El script está bajo licencia GPL v3 o superior, por lo que puede ser modificado fácilmente para hacer backups de otro tipo de servidores.

Tip: Crea tus tareas programadas cron con gnome-schedule

En un principio lo he creado para un amigo que no sabe nada de informática y lo necesitaba instalar sin internet, por lo que este script hace lo siguiente:

- Instala ndiswrapper

- Instala el driver mediante ndiswrapper

- Carga el modulo ndiswrapper y lo añade en /etc/modules para que se arranque al inicio del sistema

Lo he probado en Ubuntu 7.04 y funciona correctamente, es posible que funcione para otras versiones.

Actualización 16/02/2009: Gracias a Daniel, el script está actualizado para Ubuntu 8.10

Actualización 6/05/2009: Gracias a Daniel, el script está actualizado para Ubuntu 9.04

Actualización 20/12/2009: Gracias a Daniel, el script está actualizado para Ubuntu 9.10

Para instalarlo, descomprimimos el archivo en donde queramos y hacemos doble clic sobre “instalar.sh”, le indicamos que queremos “Ejecutar en un terminal”, ponemos nuestra contraseña de root y ya está, el script hace todo el proceso.

Descargar instalador

Hace unos días me animé a probar Gambas (no, no es que me fuera al bar de la esquina a por una ración, si no el lenguaje de programación ). Es muy similar a Visual Basic pero para GNU/Linux.

Y haciendo unos ejemplos me lié a crear una interfaz gráfica para el compresor de ISOs para la PSP ciso, que aunque ya tenía versión para Linux, solo era mediante terminal.

Lo que hace este programa es comprimir las ISOs en formato CSO que ocupa bastante menos en la tarjeta de memoria. Con esta sencilla interfaz será mucho más fácil para la gente que le gustan las aplicaciones gráficas comprimir o descomprimir a CSO sus ISO’s para la PSP en GNU/Linux.

Para poder usar el programa tenéis que tener instalado el interprete de gambas2 en vuestro sistema. En la misma carpeta del programa tenéis un instalador para Ubuntu de gambas2, simplemente tenéis que hacer doble clic sobre instalar_gambas2_ubuntu y decirle que lo ejecute en un terminal. Una vez instalado podéis ejecutar el programa desde el ejecutable Conversor_Ciso.

Descargar Conversor CISO

En el tar.gz se incluye: El compresor ciso (ciso), el instalador de gambas2 (instalar_gambas2_ubuntu) para Ubuntu y el programa gráfico Conversor CISO (Conversor_Ciso).

El programa tiene licencia GPL, si lo deseas, puedes descargar su código fuente, donde están los archivo fuente del proyecto en gambas2 y los iconos usados, así como los binarios.

El código fuente del compresor ciso está su página oficial.

Esta es la primera versión, por lo que es posible que tenga algún fallo, agradeceré cualquier mejora o sugerencia.

PD: Si no usas Ubuntu o Debian, los paquetes que debes instalar para ejecutar esta aplicación son gambas2-runtime y gambas2-gb-gtk

Características:

• Almacenamiento: 2,6 Gb de espacio
• Protección eficaz contra el spam (correo basura)
• Acceso: reenvío automático y acceso POP3 gratuitos
• Minichat integrado
• Organización de correos por etiquetas
• No incluyen publicidad en los mensajes enviados

Para usar tu cuenta de gmail en el MSN Messenger:

• Ve a passport.net y damos de alta nuestro nuevo correo. Usa la opción de utilizar nuestra propia dirección de correo y date de alta con tu nueva dirección de gmail.
• Ve a la bandeja de entrada de gmail. Debería haberte llegado un correo para confirmar la cuenta, pulsa en el enlace de activación.
• Entra al Messenger y cambia el nick avisando a todo el mundo de que te cambias de dirección. Por ejemplo: Felipe de los palotes ===>> ¡ME CAMBIO DE DIRECCIÓN A felipedelospalotes@gmail.com! ¡Borrad ésta y agregad la otra!
• En el Messenger, ve a la pestaña de Contactos y selecciona “Guardar la Lista de Contactosâ€?. Guardalo con un nombre que te acuerdes en el escritorio mismamente. Esta cuenta ya no hará falta abrirla más.
• Cierra la sesión del Messenger y vuelve abrirla; pero esta vez con e-mail de gmail y la contraseña que pusiste al registrarte en passport.
• Cambia tu nick al que tenías con la cuenta de hotmail.
• Finalmente, ve a la pestaña de Contactos, y selecciona “Importar Contactos de un Archivoâ€?, selecciona el archivo que hemos guardado en el escritorio y todos tus anteriores contactos se importarán. A todos ellos les aparecerá tu nueva cuenta con tu nuevo nick, así que todos sabrán quien eres y que te has cambiado de cuenta (recuerda que te tienen que aceptar primero; por lo que es 100% seguro que van a ver que te has cambiado).
• Este último paso es un poco más complicado; y solo merece la pena para aquellos que quieren conservar sus mails de hotmail en su nueva cuenta de gmail. Puedes llevar todos los mensajes de Hotmail utilizando Getmail, aunque en este caso los mensajes aparecerán con la fecha del día; no con su verdadera fecha.

Fuente // NiSu TM

Para ver cuando te llegan correos a tu cuenta de Gmail tienes varias opciones:

Gmail Notifier para Windows : Un programa que se carga en la barra de tareas de windows

Gmail Notifier para Firefox : Una extensión que te notifica en el Firefox cuando tienes correos.

Checkgmail : Es un programa para GNU/Linux similar al Gmail Notifier. Los usuarios de Ubuntu podéis ir a Sistema – Administración – Orígenes del software y en la pestaña Otros proveedores añadir la siguiente línea:

deb http://asher256-repository.tuxfamily.org edgy main dupdate french

Luego podréis instalarlo fácilmente desde Aplicaciones – Añadir o quitar

Es un excelente y completísimo material para usar tanto en centros educativos, como para un usuario doméstico que quiera aprender GNU/Linux.

El curso tiene licencia libre Creative Commons. Muy recomendable.

Nota: Para seguir el curso quizás te interese bajar el cd de Ubuntu primero.

Otros sitios leyeron la noticia y dieron una interpretación distinta, y como bien sabemos, la información se degrada poco a poco, por lo que no quiero ni saber que puede haber llegado a entender un usuario común.

Actualmente y tras la salida de Firefox 2.0.0.1 mucho han vuelto a retomar el tema al no verlo arreglado, este hecho me hizo sentir curiosidad sobre el alcance real del bug y porqué aun estaba sin resolver, por lo que me dirigí a Bugzilla para leerlo.

Bien, voy a intentar hacer un resumen de todo lo que allí se comenta hasta ahora (que es bastante), además de una recomendación al final para poder tener una contraseña en cada sitio y solo recordar una.

Pongamos que entramos a la página http://www.pagina1.com, en ella tenemos un nombre de usuario y contraseña y le decimos a Firefox que los recuerde y así siempre que entremos nos lo rellene sin tener que memorizarlos.

Pues bien, el bug solo puede darse en una situación muy específica:

• Entramos normalmente a http://www.pagina1.com
• La página ha sido modificada para que un formulario oculto nos pida nombre de usuario y contraseña y este los mande a http://www.pagina2.com
• Como anteriormente dijimos a Firefox que guardara estos datos y al ver que el formulario está en http://www.pagina1.com (donde lo habíamos guardado), Firefox rellena los datos y permite enviarlos.

De esta forma nuestros datos (solo los guardados para esa página, no es resto) serían trasmitidos a otra página automáticamente y sin nuestro consentimiento.

Pero, un momento, ¿otra web puede robarme mis contraseñas de http://www.pagina1.com?

No, ya que el formulario oculto debe estar situado en http://www.pagina1.com y Firefox solo rellenará los datos para ese dominio que es donde lo guardamos y solo con los datos de http://www.pagina1.com no de otra página.

¿Cómo modifican http://www.pagina1.com para que exista un formulario oculto?

Evidentemente no lo va ha hacer el autor, ya que es estúpido que intente robarte contraseñas que usas en su sitio de esta forma si lo puede hacer mirando la base de datos de usuarios guardando las contraseñas sin encriptar.

En este caso solo podría hacerse en sitios como foros y comentarios, donde un usuario externo pueda insertar código html para introducir el formulario oculto. Pero, ¡ojo!, la mayoría de webs seguras no permiten que un usuario normal introduzca html en comentarios ya que podría comprometer la seguridad de la web totalmente, no solo esto.

¿Y si hacemos que Firefox compruebe si el formulario se envía a una web externa?

Pues conseguiríamos que todas las webs que tiene un servidor diferente para el inicio de sesión y otro para almacenar los datos no funcionaran con el gestor de contraseñas.

Ej: http://pages.google.com/ para iniciar sesión y http://usuario.googlepages.com/ para mostrar las páginas

¿Qué ocurre si http://www.pagina1.com es una web que sirve webs a usuarios del tipo http://www.pagina1.com/usuario/ ?

Bien, en este caso podría explotarse el bug desde una página de usuario y conseguir la contraseña del dominio padre http://www.pagina1.com, lo que nos lleva a la siguiente pregunta:

¿Y si Firefox comprobara la URL exacta desde donde se guardó para evitar el problema anterior?

Pues de nuevo encontraríamos problemas en las páginas como muchos wikis que tras intentar editar uan web que requiere registro te redirigen para que lo hagas a (por ejemplo)

http://en.wikipedia.org/w/index.php?title=Special:Userlogin&returnto=Main_Page

Por lo que si guardaramos los datos para esta url completa, en el resto de página o en la portada no funcionarían y tendríamos que guardarlo para cada url completa y si cambiamos de contraseña imaginad que lío…

¡Dios mio! Entonces es peor el remedio que la enfermedad, ¿qué nos queda por hacer?

Bien, como este problema solo puede explotarse insertando un formulario en la propia web (o como hemos visto desde un subdominio), los administradores de dichas páginas deberían evitar que sus usuarios puedan insertar html simulando formularios en comentarios.

Las páginas que tienen alojadas webs de usuarios deberían filtrar el uso de inputs del tipo type=”password”

Conclusión:

Personalmente pienso que TODOS los programas gestores de contraseñas son inseguros por diseño, y como no se va a eliminar el gestor de contraseñas en Firefox (ya que es algo muy demandado) ni en ningún otro navegador, el problema recae en que desde las páginas web se evite que terceras personas les inserten formularios con envío de contraseñas.

¿Como evitar que el robo de una contraseña comprometa otras webs con la misma contraseña?

La respuesta simple es, usa una contraseña distinta para cada web, así si una se ve comprometida no el resto.

Esto es inviable cuando se está registrado en muchas páginas, por lo que se ha ideado un sistema para tener una contraseña diferente en cada web (además una contraseña sólida) y solo tener que recordar una.

¿Como es esto posible?

Pues con PwdHash, una extensión para Firefox que, a partir de una única contraseña, generará una clave diferente para cada web que visitamos. Usa una función que genera una salida dependiendo de la entrada, pero que mediante esos datos de salida no se puede conseguir la entrada.

De esta forma, usando nuestra contraseña “maestra� y el nombre de dominio de la página a la que accedemos, creará un hash que será el que se envíe como contraseña. Para hacerlo, podemos escribir nuestra contraseña con @@ delante o pulsar F2 antes de escribirla, así de fácil.

Si nos encontramos en un pc sin la extensión instalada (en un cyber) podemos generarla desde https://www.pwdhash.com/.

Espero que todo este rollo haya servido para aclarar algo, si encontráis algo erróneo no dudéis en comentármelo, puede que no me haya percatado de algún punto.

Actulización (21/12/06 18:47): En un blog del washintong post aseguran que un miembro del equipo de seguridad de Mozilla ha comunicado que se va a modificar el gestor de contraseñas para que recoja más información, no citan fuente así que no puedo asegurarlo, supongo que añadirán que se guarde aparte del dominio del formulario, la página a donde se envía, pero como he comentado en el análisis, la situación no cambiaría demasiado.

En ella intervinieron también para explicar sus proyectos: Ricardo Palomares (Proyecto NAVE), Noctuido (MozillaES) y Juan Manuel Zolezzi (Difundefirefox.com).

Los temas que tratamos fueron:

• ¿Qué es Firefox?
• ¿De dónde viene?
• Novedades de Firefox 2.0
• Cuota de mercado
• Proyecto NAVE
• MozillaES.org
• DifundeFirefox.com
• Mozilla Europe
• Mozilla Developer Center

Por la tarde realicé una demostración de todo lo explicado por la mañana sobre Firefox 2.0 y, aunque no teníamos conexión, pudimos ver en local la página de NAVE e instalar alguna extensión. Más tarde realizamos unas encuestas y entre los encuestados sorteamos productos de Mozilla (camisetas, bolsas…)

Se están subiendo las fotos del evento con la etiqueta firefoxsimo06 a Flickr

Actualización (24/11/06): He encontrado un articulo en Generación Podcast que habla sobre la charla e incluye un mp3 con toda ella.

Descargar audio de la charla