BurpBlog

joined 11 months ago
MODERATOR OF
 

Disparar, como digo en el título o si se prefiere matizar: meterse con, despotricar, mofarse, criticar descarnadamente e incluso el insulto, parce que todo vale a la hora de hablar del gigante de Mountain View.

Y lo cierto, es que si miramos las últimas políticas llevadas a cabo por Google en buena parte de sus servicios, la imagen dista bastante de su autoproclamado eslogan: «Google, Don’t be evil»:

Manipulación indisimulada en los resultados de las búsquedas Recopilación absoluta y constante (tracking) de datos en toda y cada una de sus aplicaciones Abandono de aplicaciones y servicios dejando en la estacada a los usuarios Un sistema operativo para móvil, cada vez menos Android y más Google Todo tipo de trabas a la libre competencia de aplicaciones y servicios Políticas de monetización publicitaria cada vez más agresivas Etcétera… Por frecuente, ya se ha convertido en habitual leer u oír todo tipo de diatribas hacia Google. De hecho, en según que ambientes ya es casi una carta de presentación, una especie de plus que facilita la integración dentro de la comunidad. Y si nos atenemos a las políticas citadas anteriormente, resulta complicado siquiera, hablar cosas buenas de la empresa.

Pero para bien o para mal, Google lleva bastantes años (desde 1998), muchos años si pensamos en términos de Internet, aportando tanto aplicaciones como servicios. Y es cuando abrimos el foco, cuando contemplamos como estábamos antes de su aparición, cuando la cosa puede llegar a cambiar bastante.

Pensemos por ejemplo en el tema del email. 2 Mb es lo que yo tenía mediante Hotmail. Acompañados de una interfaz nefasta, publicidad por doquier e ingentes cantidades de Spam. Frente a esto, Google presentó Gmail; con una interfaz impecable, un filtro anti-spam increíble y acompañado de 1 Gb de almacenamiento.

Lo mismo podemos decir de Google Drive ¿Qué opciones de almacenamiento gratuito en la nube había antes de su lanzamiento? Ya os lo digo yo, ninguna.

Y qué decir de Youtube. Uno de los servicios más disruptivos de las últimas décadas. Desde sus inicios en 2006 hasta la actualidad, donde se ha convertido en una de las mayores fuentes de entretenimiento y difusión a nivel mundial y para todo tipo de público. Sea a modo de gigantesco repositorio donde encontrar desde canciones, programas, documentales, intervenciones televisivas, eventos deportivos hasta gameplays o como una ventana a la actualidad con tutoriales, guías, tips, demostraciones, podcast más todo lo anterior, más todo lo que acabará por llegar a la plataforma.

Hay muchas más aplicaciones y servicios surgidos desde las factorías de Mountain View con mayor o menor fortuna, con mayor o menor popularidad; pero creo que simplemente con estos tres, nos podemos hacer una idea del impacto de la compañía en todo lo relacionado con Internet y lo que se viene considerado «cultura popular«.

Es bien cierto que buena parte de lo citado anteriormente hubiera llegado tarde o temprano de la mano de uno o varios actores; pero no fueron ni Microsoft ni Yahoo ni IBM ni ninguno de los gigantes que dominaban en esa época; acabó siendo Google.

También habrá quien diga que actualmente hay servicios alternativos, gratuitos, de código abierto, descentralizados y respetuosos con la privacidad. Cierto, pero hay que ser muy entusiasta o radical para ponerlos al mismo nivel…

Y vuelvo al principio. ¿Se exonera a Google por todo lo aportado de sus muy cuestionables políticas actuales? No. ¿Todo debe valer contra Google? Tampoco.

La sensación, es que la empresa que lidera Pichai Sundarajan ha dejado escapar varios de los trenes que lideran la tecnología actual: redes sociales, mensajería, domótica, hardware… Y tampoco queda muy claro si tendrá un papel relevante en la nueva revolución que supone la inteligencia artificial. Es posible -opinión muy personal- que todo ello hay desembocado en una especie de huida hacia delante, donde busquen maximizar la monetización en los servicios donde son actores principales: búsquedas en Google y el espacio de Youtube.

Personalmente y desde ésta página, se han publicado muchas entradas con alternativas a aplicaciones y servicios de Google. Sea porque mejoran la seguridad (encriptación/tunelización) respetan la privacidad no recolectando datos o ambas a la vez.

Pero eso no quita el reconocer todas sus aportaciones, sin las cuales, el Internet actual sería muy diferente o como mínimo hubiera tenido otros tempos en su desarrollo.

Entrada original

 

El tema de la privacidad en todo lo relacionado con Internet esta en auge – afortunadamente. Son varios los perfiles que aparecen por Blogs, Twitter y demás redes sociales dedicados exclusivamente a ello. En muchos casos, se publican listas con programas, servicios, aplicaciones y prácticas para mejorar y tratar de blindar nuestra privacidad ante la voraz telemetría (tracking) a la que estamos sometidos en todo lugar y momento. Ya sea reemplazado una aplicación por otra, cambiando o añadiendo parámetros en nuestras conexiones de red, dejando de lado ciertos servicios, sustituir un proveedor por otro, etcétera. Todo se encamina al mismo fin: minimizar el rastreo (fingerprinting) e incrementar de paso nuestra seguridad.

El propósito de ésta entrada, a modo de «abogado del diablo», es destacar los problemas que pueden acarrear según que prácticas si no somos conscientes, ni que sea de forma mínima, de lo que estamos llevando a cabo. Y para ilustrarlo de inicio, nada mejor que con un simple ejemplo.

El tema de las DNS y su importancia ha sido bastante tratado en esta página con varias entradas al respecto aquí, aquí y aquí. Pues bien, en un momento dado y a modo de prueba, cambié los DNS en mi router principal por unos gestionables que permiten listas de bloqueo en función de diferentes parámetros. Apliqué tal cual una configuración de serie con las recomendaciones básicas. El resultado:

Dejaron de funcionar las Apps de servicios en la TV (Samsung) Dejó de funcionar Alexa y el asistente de Google. Dejó de funcionar Instagram y Facebook. Dejaron de funcionar varias Apps del ecosistema de Xiaomi. Dejó de funcionar una cámara de seguridad interna. En otro caso, se pasó el programa ADB por un móvil Xiaomi para eliminar bloatware y telemetría. Hubo que restaurar el teléfono de fábrica.

Cambio de navegador Chrome por otro de código abierto con extensiones para privacidad y seguridad. Páginas que no se accedían o aparecían rotas, imposibilidad de autenticarse o que no reproducían contenido multimedia.

En el caso del navegador resultó todavía más sangrante dado que la persona no tenía las webs guardadas como marcadores o favoritos. Iba entrando y saliendo de ellas gracias a la caché almacenada en el propio Chrome.

Estos son ejemplos que conozco de primera mano. Y si bien es cierto que tienen soluciones relativamente sencillas como aplicar listas blancas en los DNS o ser más prudente a la hora de usar ADB, también lo es que mucha información referente a privacidad se limita ha aportar alternativas o propuestas dejando en un muy segundo plano el porqué y la implementación de las mismas.

En mi modesta opinión, aumentar o mejorar nuestra privacidad se debe abordar como un proceso, teniendo claros una serie de conceptos:

La privacidad va íntimamente ligada a la seguridad. Hay que contemplar ambas cuestiones de forma paralela. Aumentar por tanto nuestra privacidad, hará que también lo haga nuestra seguridad. Y viceversa, una privacidad precaria afectará a nuestra seguridad. Hay que contemplar la privacidad como un ecosistema transversal, sobre el cual inciden múltiples aspectos. No hay que tener prisa ni obsesionarse. Elegir un punto de partida sencillo: navegación web, email o contraseñas por ejemplo. Intentar comprender porqué la solución actual (sea un programa, aplicación, servicio…) no es realmente privada. Entender qué vamos a mejorar con la nueva solución a implementar. Tener claro las contrapartidas, sobre todo a efectos de comodidad, que podemos sufrir. Mantener por un tiempo tanto la opción original (sea un programa, aplicación, servicio…) como la nueva. En caso de duda, volver al punto 4. Iremos añadiendo más entradas al respecto profundizando en soluciones, aplicaciones, servicios y prácticas concretas.

Entrada original -> https://burp.es/mejorar-la-privacidad-es-siempre-un-proceso/

 

Dentro del proceso de ir sustituyendo las aplicaciones más básicas de Google por otras menos intrusivas y respetuosas con la privacidad, estuve comentando la opción de Koler como reemplazo de la aplicación para efectuar llamadas. El problema, es que no permitía bloquear llamadas indeseadas y eso, en los tiempos que corren, es casi una opción obligatoria.

Siguiendo pues con la búsqueda, acabé topando con un clásico que lleva desde 2016 creando Apps de éste tipo, gratuitas y de código abierto: Simple Mobile Tools.

El problema, muy comentado por diversos medios, es que la empresa acabó siendo adquirida por Zipo Apps. La cual es conocida por monetizar a base de anuncios y suscripciones. La ventaja, es que -al menos de momento- todo el catálogo de Simple Mobile Tools resta en Github y F-Droid mantenimiento la idea original del proyecto y actualizaciones.

Dicho esto, simplemente comentar que la aplicación de llamadas, que responde al simple nombre de «Marcador», presenta las mismas posibilidades que la de Google pero sin ninguno de sus inconvenientes. Y por supuesto, con muchas más opciones que la citada anteriormente de Koler.

Los ajustes permiten controlar hasta el más mínimo detalle:

Gestionar nº bloqueados Formato de fecha y hora Marcación rápida Tamaño de la fuente Forma de mostrar contactos Iconos a mostrar en el menú inferior Agrupar las llamadas de un mismo nº Importar y exportar historial de llamadas Etcétera….

 

Tras el cese de actividad de la suite de Skiff Privacy, además del correo, calendario y notas se han perdido los 15 Gb gratuitos para alojamiento de ficheros.

Y puestos a buscar alternativas similares en espacio y gratuidad; he estado probando tanto a Filen como a Mega.

La segunda es muy conocida por ser la «heredera» de Megaupload, pero ya sin el inefable Kim Dot a los mandos. La primera, Filen, es una empresa fundada en 2020 con sede en Alemania. Sus propuestas en cuanto al plan gratuito son muy similares:

Planes Gratuitos MEGA FILEN Espacio 20 Gb 10 Gb hasta 40 Código Abierto SI SI Cifrado E2EE – AES256 E2EE – AES256 2FA SI SI Recopilación Metadatos Muchos Mínimos Ancho de Banda1 Limitado Ilimitado Limite de transferencia Entre 1 y 5 Gb NO Extras Chat Chat y Notas Versiones de archivos SI SI Compartir/Sincronizar2 SI con matices SI App escritorio y móvil SI SI Visualización archivos3 Completa Parcial Auditorías SI No actualmente Es bastante relativo y afecta sobre todo a ficheros de gran tamaño. En mis pruebas, con múltiples ficheros pequeños y carpetas, ambos se han comportado de forma excelente. Por poner un ejemplo, mucho más rápido que Google Drive ↩︎ Mega no permite compartir añadiendo contraseña ni caducidad en su plan gratuito. Tanto para backups como para sincronizar se requiere la App de escritorio o del móvil. Ninguno de los dos lo permite desde interfaz Web ↩︎ Ambos permiten mp4, pdf, jpg, doc y txt (edición incluída). Mega lo hace de forma nativa mientras que Filen se apoya en el navegador ↩︎ Luego nos encontramos con pequeñas diferencias en los interfaces:

Mega nos permite elegir si la descarga de un fichero o carpeta se hace de forma comprimida o no. Mientras que Filen comprime cualquier carpeta por defecto. Filen presenta un menú lateral para navegar por los directorios (Similar al Explorador de Archivos). Mientras que Mega va abriendo los subdirectorios en la misma página. Mega tiene extensiones para navegador, Filen no (al menos de momento) En cualquier caso, ambos interfaces son limpios y de sencillo maneja Antiguamente, Mega permitía aumentar el espacio gratuito mediante referidos (hasta 50Gb), actualmente sólo hay recompensas monetarias. Filen te permite llegar fácilmente a los 40 Gb haciendo tres recomendaciones (puedes hacerlas a direcciones propias de correo) y también tiene recompensas económicas.

Si buscas reseñas exhaustivas de los dos servicios, la constante es que ambos están recomendados en lo que vendría a ser una zona intermedia dentro de la seguridad y privacidad. Muy por encima de Google Drive o One Drive pero por debajo de servicios profesionales. Dentro de éste ámbito, y aunque ambos presumen de cifrado de Conocimiento Cero, Filen tiene mejores consideraciones que Mega. Por contra, en cuanto a integración de servicios y la aplicación de escritorio, Mega suele salir vencedor respecto a Filen; aunque hay que tener en cuenta que éste último tan sólo lleva poco más de tres años en funcionamiento.

En mi opinión ambos son perfectamente válidos, pero según tus necesidades hay detalles a considerar:

La app móvil de Mega es más completa. Pero también más pesada y con más tracking Filen permite hasta 5 tipos de sincronización. Mega es más tradicional en éste aspecto El reproductor de videos online de Mega tiene más opciones (repetir, velocidad y subtítulos) que el de Filen Con Mega no puedes superar los 20 Gb de forma gratuita. Filen te permite llegar hasta 40 Gb Filen incorpora un sencillo gestor de notas, no permite crear directorios para ordenarlas pero soporta varios formatos: markdown, texto enriquecido y código

Lo más sencillo, es que te abras una cuenta en cada servicio y realices las pruebas que consideres oportunas, y por supuesto puedes tener varias cuentas en ambos para diversificar lo que consideres oportuno. Personalmente, que no requiero de grandes backups ni sincronización, tengo pensado usar una cuenta de Filen como almacenamiento principal para ciertos ficheros sensibles. Cuando haya probado a fondo la App para Android, espero realizar una reseña de la misma.

 

Hace algún tiempo realicé un Podcast sobre la App que he venido usando estos últimos años para todo lo relativo a escanear utilizando el teléfono móvil: SCANWRITR.

El tema, es que la falta de actualizaciones por un lado y la necesidad de escanear por lotes de forma sencilla y rápida por otro, hicieron que me planteara buscar alguna alternativa. Y como suele pasar, después del farragoso proceso de ir probando casi una docena de ellas, por fin puedo decir que he encontrado la que mejor se ajusta a mis necesidades: MDScan

En éste caso en concreto, se trata de una aplicación propietaria y además de pago ( 5€ aprox dependiendo de ofertas). Como digo, tras probar varias gratuitas y/o de código abierto ninguna se adaptaba a lo que buscaba. También tiene una versión gratuita pero más limitada. La ventaja de la versión de pago, es que puede añadirse a la biblioteca familiar y con ello ser utilizada por las personas que tengamos incluidas en ella.

Su utilización, pese a la cantidad de opciones que dispone, es realmente intuitiva. Empezando por el menú de inicio:

MODO POR LOTES si queremos escanear varios archivos de forma consecutiva Nos permite definir distintos modos de procesado

[Dada la cantidad de imágenes que se incluyen en la reseña, se sugiere leerla completa en el Blog]

 

Recientemente me han regalado una Raspberry Pi 4 para utilizarla a modo de sencillo Home Lab. He estado montando y probando aplicaciones como Nextcloud, KodBox, Pi-Hole, Ngninx, etcétera. Y uno de los puntos más interesantes ha sido la posibilidad de acceder a todos estos servicios utilizando subdominios (DDNs) en lugar de su correspondiente dirección IP local; posibilitando con ello el hacerlo de forma segura (https). Las ventajas de hacerlo así son varias:

Hay servicios que exigen acceder mediante https Evitas los constantes reportes de los navegadores Una vez creado y segurizado el subdominio, dejas abierta la posibilidad de habilitar acceso desde la WAN. Lo más usual para estos menesteres viene siendo utilizar los servicios de DuckDNS:

Permite crear de forma gratuita hasta 5 subdominios (DDNs) Sólo registra los datos mínimos para que funcione el servicio No requiere de renovación -al contrario que otros proveedores. Muy sencillo de configurar Por otra parte, también te puedes encontrar con algunos inconvenientes:

El propio límite de 5 entradas DDNs Por temporadas, ha habido reportes de caídas en el servicio de DuckDNS. Su propia sencillez, impide «trastear» con parámetros DNS No hay ninguna posibilidad más allá del servicio DDNs Y finalmente, lo que al menos en mi caso, ha decidido que me decantará por utilizar los servicios de Cloudflare: registro de un domino personal sin limitaciones y con muchísimas posibilidades de gestión por tan sólo 10 € anuales.

Puestos en contexto, la idea de éste post es muy sencilla:

Comentar el proceso de crear subdominios para uso local y el token que posteriormente usaremos para segurizar mediante Let’s Encrypt + proxy inverso.

Una vez nos aparezca nuestro dominio, bastará con pulsar sobre él e ir al apartado «Configuración del DNS».

A continuación elegiremos un nombre ->indicaremos la ip LOCAL ->desmarcaremos el campo «Estado de Proxy» (puede dar problemas con el DDNs)

Con ésto, ya tendríamos el subdominio creado

Ahora, generaremos el token que se nos solicitará más adelante para añadir un certificado de Let’s Encrypt

En el menú de usuario seleccionamos «Mi perfil»

A la izquierda -> Tokens Api y una vez dentro -> «Crear token»

Usaremos la primera plantilla que aparece «Editar zona de DNS» -> «Usar plantilla»

En la pantalla que nos aparece, dejaremos tal y como está el primer campo y añadiremos un segundo mediante la opción «+ Agregar más».

Finalmente en «Recursos de zona» incluiremos nuestro dominio principal y pulsaremos «Ir a resumen» donde nos mostrará el árbol generado y si todo está correcto «Crear token»

Aquí ya obtendremos el token con el cual interactuar. Lo copiamos y lo guardamos

Ahora nos toca configurar los subdominios creados + la ip LOCAL + los correspondientes certificados. Para ello necesitamos un PROXY INVERSO.

Hay muchas opciones de Proxy Inverso: Nginx, Traefik, Caddy… yo me he decantado por el primero, lo veo muy sencillo y se integra perfectamente en el flujo de una Raspberry Pi 4.

Lo primero es crear un nuevo host. En el menú principal Host -> Proxy Host.

Como «Domain Names» el subdominio creado en Cloudflare Forward Hostname/IP -> nuestra Ip LOCAL Forward Port -> El puerto donde está corriendo el servicio

Posteriormente creamos el certificado: SSL Certificates -> Add SSL Certificate -> Let´s Encrypt

Y finalmente asociamos host con certificado. Volvemos al menú de Host -> Proxy Host y elegimos el que hemos creado: Edit Proxy Host -> SSL

Y poco más. Con ésto hemos habilitado acceder a nuestros servicios DE FORMA LOCAL mediante una dirección web con certificado de seguridad.

Para poder acceder al subdominio creado desde Internet (WAN) hay que realizar otra serie de procedimientos. Por temas de seguridad, viene siendo mucho más recomendable dejarlo así y acceder al subdominio mediante VPN.

 

Uno de los canales que sigo habitualmente en YouTube: Enreta Domótica, presentaba un proyecto donde reemplazaba una Red WiFi Mesh digamos tradicional, esto es con Routers y/o APs de una conocida marca generalista, por un equipo basado en un PC custom (Protecli) corriendo OPNsense + AP Ubiquiti.

Lo primero que me llamó la atención fueron los precios, tanto del equipo que iba a realizar las funciones de Router principal: 357 € (variable en función de la configuración elegida) como del AP: 110 €. Y lo hizo en el sentido de que me parecieron bastante elevados. Aquí adjunto imágenes de los mismos:

U6 Lite VP2420 Luego, me puse a pensar cuanto me había gastado en su momento montando la red WiFi Mesh de mi domicilio con equipos generalistas de la marca Asus; Router AX86U: 268 € + AX92U: 165 €.

ASUS AX86U ASUS AX92U Y finalmente comparé las dos opciones. Para ser más ecuánime y dado que el AX86U incorpora WiFi, he elegido para la comparativa dos APs Ubiquiti Swiss Army Knife Ultra de 81 €

PC Custom Protecli 357 € + 2 x Swiss Army Knife Ultra 81 € = 519 € Asus AX86U 280 € + AX92U 170 € = 450 € Llegados a éste punto, merece la pena pararse a comparar el hardware que nos ofrecen ambos equipos:

AX86U VP2420 Procesador Broadcom BCM49408 1.8GHz 4 núcleos CeleronJ6412 4 núcleos 2GHz Ram 1 Gb 8 Gb (Hasta 32Gb) Flash/Almacenamiento 256 Mb 128 Gb SSD (Hasta 1Tb) Almacenamiento Extra NA 0 (Hasta 4Tb SSD) Puertos ETH 4 x Gb +1 x 2,5 Gb 4 x 2,5 Gb Puertos USB 2 x USB 3.2 2 x USB 3.2 + 1 x USB C Wifi 2,4 GHz Broadcom BCM6710 AX 3T3R a 861Mbps NA1 Wifi 5 GHz Broadcom BCM43684KFEB AX 4T4R a 4,8 Mbps NA HDMI/DP NA 1x HDMI 1.4 + 1 x DP 1.4 Opciones de Sistema Operativo AsusWRT MerlinWRT OPNsense pfSense Ubuntu Windows OpenWrt Debian No permite WiFi integrado si se utiliza con un sistema operativo FreeBSD ↩︎ Sin la necesidad de ser un experto, a simple vista ya parece evidente que la solución «custom» de Protecli si bien resulta como mínimo 69 € más cara, es más potente y sobre todo siendo ésto lo más importante; infinitamente más versátil.

Sin entrar en demasiados detalles, ya que espero hacer una entrada específica sobre OPNsense, éste sistema operativo para routers; permite muchas más posibilidades que el AsusWRT. Y aquí creo necesario remarcar dos cosas:

OPNsense tiene un interfaz gráfica tan potente como intuitiva. Nada que ver con el RouterOS de Mikrotik. También es cierto, que la solución de Asus, incorpora aplicaciones propias como AiProtection, AiCloud 2.0 y gestión de archivos conectados al puerto USB. Así como una App para gestionar routers y redes mesh desde el móvil. 2ª Unidad para la red Mesh Aquí la cosa puede llegar a variar muchísimo. Y siendo honestos, no resultaría justo comparar una solución exclusivamente WiFi como el AP Swiss Army Knife Ultra de Ubiquiti o similares con un Router neutro como el AX92U. En estos momentos, la propia Asus ya dispone de soluciones para sus redes mesh (AiMesh) mucho más económicas, sea mediante APs convencionales u otro tipo de routers. De hecho, también se podría añadir el AP de Ubiquiti al AX86U, aunque no sería posible crear una red mallada entre ambos sistemas WiFi.

El punto final al que quiero llegar, es que si bien las soluciones de marcas generalistas como Asus, TPLink o AVM simplifican enormemente la puesta en marcha y gestión de una red mesh, nos dejan atados tanto al hard como al soft de un mismo fabricante. Y según nuestras necesidades, el hard puede llegar ha alcanzar precios realmente elevados y el soft no cumplir con todas nuestras expectativas.

Por contra, una solución «custom», basada en un hardware independiente del sistema operativo del router y que nos permita integrar cualquier solución WiFi siempre resultará mucho más versátil y escalable. Y si bien dichos sistemas operativos suele ser por regla general más complejos de configurar y gestionar, soluciones como la de OPNsense u OpenWRT han alcanzado un grado de madurez y desarrollo donde no se requiere de grandes conocimientos para su puesta en marcha. Ofreciendo por contra unas prestaciones muy superiores a las de los sistemas propietarios.

Como en tantos casos, todo acabará dependiendo del trinomio: necesidades + presupuesto + ganas/tiempo para dedicarle. Pero en mi opinión y en estos momentos; cualquiera de las innumerables soluciones «custom» ya son una alternativa a tener en cuenta a la hora de pensar nuestra red doméstica.

 

Seguimos probando navegadores multiplataforma, en éste caso, los creadores van un paso más allá habiendo diseñado una suite completa orientada a la denominada web3 (descentralizada) y aglutinada alrededor de Carbon Browser.

La propuesta incluye:

Navegador web Carbon dVPN (VPN descentralizada) Cartera para Criptos Criptomoneda propia carbon $CSIX Exchange de monedas cripto (Intercambiador) Multiplataforma: Android, iOS, Windows, Windows portable y Mac (Silicon e Intel) Se podría considerar algo parecido a lo que ofrece el navegador Brave pero más vitaminado. Como en mi caso lo que más me interesa es su desempeño como navegador, voy a centrarme en dicha faceta. En la web del desarrollador tenéis información completa respecto a todo el resto de las prestaciones que incluye. Y dado que las versiones para escritorio, si bien son operativas, se encuentran en fase Beta, comentaré básicamente la versión para Android.

Al estar basado en Chromiun, su panel de configuración es bastante similar al de otros navegadores. No así el menú desplegable:

Lo primero que destaca es la inclusión de enlaces directos para seguir el proyecto tanto en Twitter como en Telegram; y otro para saber que hay de nuevo en cada versión.

Incorpora prestaciones comunes como:

Vista de ordenador Modo oscuro Traductor (utiliza Google translate) Lista de lectura Añadir enlace a la pantalla principal Reproducción de videos en segundo plano (ésta no tan común como desearíamos) Uno de sus puntos fuertes y sobre el que el desarrollador hace especial hincapié, es en todo lo relativo a la privacidad. Aquí nos encontramos con:

Adblock Plus configurable Forzar https Configurar DNS seguro, a elegir de una lista o personalizarlo Solicitar no hacer seguimiento Activar o no la precarga de páginas Comprobación de seguridad (Calidad de las contraseña y protección contra actividades maliciosas) Privacy Sandbox

En mi opinión bastante completo, teniendo en cuenta que aún falta por implementar su propia VPN.

Y ahora una de las partes a las cuales doy más importancia: la experiencia de uso y el bloqueo efectivo de publicidad.

Estando basado en Chromium como hemos comentado al principio, lo normal es que, en situaciones cotidianas, se desenvuelva con rapidez en el acceso y carga de páginas web. Aquí lo que puedo decir es que ha superado mis expectativas. Mucho más rápido que la última versión de Firefox y algo más rápido que mi navegador por defecto Kiwi (también basado en Chromium). Y si en velocidad lo situaría en la parte alta, en cuanto a su efectividad bloqueando publicidad entra directamente en el top de navegadores que he ido probando en los últimos años. Máxime, teniendo en cuenta que usa Adblock Plus incorporado de serie, no hay posibilidad de instalar uBlock Origin o similares.

Eso sí, el bloqueo no queda tan bien integrado como al usar uBlock Origin:

CARBON BLOCK KIWI con uBLOCK Otro aspecto donde la estética puede considerarse «cuestionable» tiene que ver con su «página principal»:

Lo que puede verse en esta captura, es la forma más sencilla (menos recargada) que puede presentar la página de inicio. No hay forma de eliminar las dos filas superiores donde se muestran los «Carbon Stats», ahorro de datos y el resto de servicios que ofrece el desarrollador. El «speed dial» sí que puede minimizarse, pero en mi caso lo considero algo casi imprescindible.

Resumiendo un poco sus características:

POSITIVO CUESTIONABLE Navegador muy rápido Forma parte de un conjunto de Apps Soberbio bloqueo de publicidad No permite añadir extensiones Configuración y personalización de DNS Pantalla de inicio muy recargada Reproducción en segundo plano En mi opinión es una muy buena opción como segundo navegador móvil, sobre todo por la posibilidad nativa (no hay que ponerlo en modo sobremesa) de reproducir en segundo plano. Habrá que esperar como deciden evolucionarlo: si potenciar sus capacidades como browser o por contra centrarse en ir añadiendo servicios relacionados con la web (descentralizados). En cualquier caso, considero que merece la pena probarlo.

4
submitted 3 days ago by BurpBlog to c/es_tecnologia
 

Tras estar usando Brave como navegador principal de escritorio (W10) y dados los problemas que tiene a la hora de traducir páginas enteras, su traductor es muy lento y la extensión de Google Translate falla muchas veces -amén de que su política de Rewards no me interesa lo más mínimo- me decidí a probar algún navegador basado en Firefox para ver que tal funcionaba la tan aclamada extensión de Mozilla Translate.

Dado que Firefox lo tengo «muy visto» además de instalado y funcionando en otro PC, opté por dar una vuelta buscando forks del mismo y, para no extenderme más de lo necesario tras haber probado varios; he acabado con Midori. Tanto en su versión de escritorio como en Android.

En lo relativo a la traducción sólo puedo hablar maravillas de la extensión de Mozilla Translator. Al margen del plus de privacidad, es muy personalizable, rápida y sus resultados están a la par de la de Google.

En lo restante, Midori no difiere sustancialmente de usar Firefox aunque mejora algunas prestaciones:

Tiempos de carga > que Chromium < Consumo de memoria RAM < Carga de CPU < Espacio en HD Tienda de extensiones Código abierto etcétera Donde si aparecen más diferencias es en lo relativo a la interfaz. En mi opinión se acerca mucho más a la propuesta de Vivaldi que a la del propio Firefox.

De forma nativa ( sin extensiones) la pantalla de inicio permite un sinfín de accesos directos. Modificar e ir alternando el color de fondo. También presenta una barra lateral (opcional y escalable) donde mostrar enlaces, extensiones y un pequeño bloc de notas.

En lo relativo a privacidad, también encontramos diferencias respecto a Firefox oficial. Empezando por la empresa que gestiona el navegador Midori:

Acerca de Astian

Astian es una startup con sede en Delaware, Estados Unidos, que fue creada con el propósito de desarrollar software y tecnologías libres, respetando la privacidad de los usuarios y permitiéndoles tener el control de sus datos e información. Desarrollamos el navegador Midori ligero para Windows, Linux, MacOS y Android, nuestro servicio de almacenamiento en la nube entre otras herramientas. No vendemos información de los usuarios, no mostramos publicidad invasiva, no perfilamos a los usuarios, somos transparentes. Aunque nuestros servicios son gratuitos, en Astian no eres el producto.

Y finalizando por su política de recolección de datos:

Actualmente Astian,Inc comparte datos con terceros, toda la información compartida se realiza de forma anónima, para mejorar nuestros productos y servicios, y optimizar la experiencia de la aplicación, en casos como: el servicio de sincronización de datos, que actualmente proporciona Mozilla, Google Browsing API que enlazamos para hacer de la navegación web una experiencia más segura. Esta información anónima puede ser compartida con proveedores de servicios de terceros. Además, podemos compartir información anónima con terceros, incluyendo anunciantes y socios. Cuando mencionamos las palabras «Información anónima» nos referimos a datos que no pueden identificar a un usuario individual, tales como: información agregada sobre el uso de la aplicación, incluyendo los tipos de anuncios con los que interactúan los usuarios.

Personalmente, veo a Midori como una versión más ligera de Firefox sin perder ninguna de las ventajas de éste. Teniendo en cuenta la política de privacidad antes comentada. Por los motivos que sea, hay mucha gente desencantada con Firefox pero amantes del software libre; para estos caso, MIDORI representa una buena forma de apoyar a la fundación Mozilla sin tener que usar Firefox.

 

Captcha y reCaptcha en sus múltiples versiones e implementaciones es -estadísticamente- una de las soluciones más implementadas dentro de las páginas web en todo lo concerniente a la validación de usuarios para protegerse del temido spam.

Un CAPTCHA o Completely Automated Public Turing test to tell Computers and Humans Apart es un tipo de medida de seguridad conocida como autenticación pregunta-respuesta. Protege del spam y del descifrado de contraseñas mediante una prueba que demuestre que quien responde es un humano y no un ordenador.

Su evolución ha pasado de mostrar la suma de dos simples dígitos y tener que escribir su resultado, a responder preguntas más complejas, escribir palabras que costaba Dios y ayuda leer y acabando por los inefables cuadros con múltiples imágenes donde hay que señalar las que presentan similitudes, en interminables tandas que suelen acabar con nuestra paciencia y agudeza visual. Aquí tenéis una completa explicación al respecto.

Si que es cierto que la propia Google (tras haber adquirido la tecnología CAPTCHA) término por diseñar el citado reCAPTCHA (2014) donde una serie de algoritmos analizan datos como la IP y cookies activas para decidir si somos humanos. El resultado desembocó en calidad de vida para los sufridos usuarios a la hora de validarse, pero presenta dos problemas:

En caso de duda, nos remite al Captcha tradicional. La privacidad brilla por su ausencia. Y aquí es donde aparece la solución ofertada por Cloudflare Turnstile.

Grosso modo, vendría a ser el reCaptcha de Google menos intrusivo y totalmente respetuoso con la privacidad -Cloudflare dixit.

Cloudflare Turnstile se basa en la implementación Cloudflare Managed Challenge (Desafío gestionado por Cloudflare):

Managed Challenge, adapta el resultado real del desafío al visitante/navegador individual. Como resultado, podemos ajustar la dificultad del desafío en sí y evitar mostrar rompecabezas visuales a más del 90% de las solicitudes humanas, mientras que al mismo tiempo presenta desafíos más difíciles para los visitantes que exhiben comportamientos no humanos.

Cuando un visitante se encuentra con un Desafío administrado, primero ejecutamos una serie de pequeños desafíos de JavaScript no interactivos que recopilan más señales sobre el entorno de visitante/navegador. Esto significa que implementamos detecciones y desafíos en el navegador en el momento en que se realiza la solicitud. Los desafíos se seleccionan en función de las características que emite el visitante y en función de la información inicial que tenemos sobre el visitante. Esos desafíos incluyen, entre otros, prueba de trabajo, prueba de espacio, sondeo de API web y varios desafíos para detectar consultas de navegador y comportamiento humano.

También incluyen modelos de aprendizaje automático que detectan características comunes de los visitantes finales que pudieron pasar un CAPTCHA antes. La dureza computacional de esos desafíos iniciales puede variar según el visitante, pero está destinada a funcionar rápidamente.

Después de que se hayan ejecutado nuestros desafíos no interactivos, evaluamos las señales recopiladas. Si por la combinación de esas señales estamos seguros de que el visitante es probablemente humano, no se toman más medidas, y el visitante es redirigido a la página destinada sin ninguna interacción requerida. Sin embargo, en algunos casos, si la señal es débil, presentamos un rompecabezas visual al visitante para demostrar su humanidad.

El resultado final de todo esto es que, una vez implementado, veremos aparecer una animación de Cloudflare para informarnos de que está realizando la comprobación bot <-> humano y el correspondiente «check» verde caso de pasar la validación o un Captcha tradicional en caso contrario.

Su implementación es muy sencilla y con varias opciones:

Código HTML (Disponible en la web de Cloudflare) Plugins o extensiones para diversos CMD (WordPress, Joomla…) En el segundo caso, obviamente dependeremos de que terceros hayan creado dichos plugins o extensiones. Aquí adjunto uno para WordPress.

Una solución igual o tan buena como el reCAPTCHA de Google pero mucho más respetuosa con la privacidad.

 

Uno de los forks (adaptaciones) de Firefox más conocidas ha lanzado recientemente su primera versión para Android. Se trata de Waterfox.

La experiencia de usuario es prácticamente idéntica respecto a Firefox, con algunos pequeños matices. Pruebas realizadas con la misma configuración e idénticas extensiones ( uBlock Original + Dark Reader)

En la mayoría de casos a la hora de cargar páginas web, WaterFox resulta un poco más rápido que Firefox
El consumo de memoria (Ram) también es algo inferior por parte de WaterFox
WaterFox ocupa menos espacio de almacenamiento que Firefox

En el resto de características y uso diario, no he podido apreciar diferencias destacables.

Un aspecto que puede jugar en contra de WaterFox, es que sólo permite elegir entre 12 complementos posibles, frente a los 400 que -se supone- permitirá Firefox a final de éste mismo mes:

uBlock Origin
Dark Reader
Privacy Badger
NoScript
Metamask
Don´t track me Google
FastForward
Ruffle
User-Agent Switcher
Video Background Play Fix
Nitter Redirect
Super Agent

Al igual que en Firefox, tanto para cambiar los DNS como para activar DoH ( DNS Over Https) hay que hacerlo vía comando entrando en la configuración (about:config). Algo que habría que cambiar en un navegador que, de forma explícita, se enfoca en la privacidad; máxime teniendo en cuenta que navegadores como Kiwi lo permiten realizar de forma mucho más cómoda desde las opciones de Configuración.

Y finalmente dos cosas sin demasiada importancia pero que no han dejado de resultarme chocantes

El buscador que implementa por defecto es Bing, aunque obviamente permite elegir entre tres más (Google, DuckDuck y Starpage).
A fecha de hoy, sólo esta disponible en inglés.

Si ya usas Firefox, no encuentro excesivos motivos para cambiar a WaterFox. Caso contrario y si tienes la privacidad por bandera, puedes probar ambos y decidir a posteriori.

 

i hace poco comentaba mi experiencia con un editor de textos online (Lex), estos días me encuentro probando una propuesta que va un paso más allá; CryptPad se presenta como una suite de ofimática colaborativa, encriptada y de código abierto. Pudiendo llegar también a ofrecer funciones similares a Google Drive, OneDrive y similares.

CryptPad es un conjunto de software muy interesante que tiene como principales características:

Se puede auto-hospedar en un servidor propio
Código abierto y gratuito
Se puede utilizar a través de instancias públicas
Puedes trabajar con documentos, presentaciones, hojas de cálculo, formularios…
Permite almacenar ficheros para utilizarlo como nube personal
Todo su contenido está encriptado E2E (end-to-end)

La mejor forma de probarlo es elegir una de las instancias públicas de entre todas las disponibles (9 en estos momentos), y aquí empiezan las diferencias. Si como decimos todas son públicas y gratuitas, el alojamiento ofertado varía bastante entre ellas:

Nombre Ubicación Espacio Gratuito CryptPad.fr (principal) Francia 1 GB Cryptpad.disroot Holanda 500 MB Piratenpartei Baden-Württemberg Alemania 150 MB Pad.envs.net Alemania 100 MB Cryptpad.private.coffee Austria 5 GB Cryptpad.piratenpartei.de Alemania 100 MB CipherPad Francia 1 GB Ébauche FACiLe Canadá 50 MB NicFab CryptPad Italia 50 MB

[–] BurpBlog 1 points 4 months ago

Invizible Pro can act as a VPN (Tor and l2P) and allows you to choose from a list of DNS servers.

[–] BurpBlog 9 points 10 months ago

Bitwarden is your friend.

[–] BurpBlog 1 points 11 months ago

The simplest thing has been to use Brave + uBlock. NewPipe doesn't allow me to search within the same channel, so I discarded it.

[–] BurpBlog 1 points 11 months ago

He visto que el editor que viene incorporado es realmente potente. Trataré de maquetar las entradas para que queden lo mejor posible.

[–] BurpBlog 3 points 11 months ago
view more: next ›