No hi haurà gossos a Internet

A Google, HTTPS, y la Internet de los muertos, Versvs reflexiona sobre el moviment de Google per prioritzar els llocs amb HTTPS en els resultats de les cerques, i les implicacions que té, que no son poques. Interessantíssim post que cal llegir.

Jo em quedo amb un pensament central:

[…] este movimiento erradica uno de los últimos componentes verdaderamente desregulados y libres de la web que conocimos.

La posició de força de Google, provinent de la quantitat d’informació que ja tenia dels seus bots, i encara més de l’ús que recopila amb els usos dels navegadors i d’Android, li permeten forçar la web en la direcció que els interessi. Indubtablement ampliar l’ús de SSL reforça la seguretat i la fiabilitat de la web, però prioritza les possibilitats de llocs de determinats tipus: comercials, corporatius, comunicatius… professionals, en una paraula. La web personal queda marginada, sigui pel pes de l’existència de SSL en l’algorisme de posicionament o, d’una manera més subtil, per veure una marca vermella davant de l’adreça del lloc (i petits canvis estètics poden comportar canvis d’hàbits molt profunds) o, senzillament, pel factor econòmic: el certificat val uns diners, i més si es EV (acabarem veient registradors de DNS que ja no venguin el domini sense SSL?).

Al final, no podrà haver-hi gossos a Internet, d’una manera o altra, sembla imposar-se la visió de Zuckerberg: una única identitat, una identitat contrastada. En aquest cas, una identitat certificada.

Què fer? Es pot usar Let’s Encrypt, com en Versvs indica, i fer-nos un certificat pel nostre lloc. O també es pot seguir essent un mateix: al cap i a la fi, la pròpia xarxa que un es teixeix creix a poc a poc, i segons el lloc, estar adalt del pagerank no és prioritari, perquè el motiu del lloc és un altre que l’econòmic o el servei públic. I es poden usar altres cercadors, tant a l’ordinador com al mòbil, que prioritzin amb altres algorismes i criteris.

Però la tendència de donar resultats en temps real, prioritzant sites certificats (això és, de fonts identificades), s’acabarà imposant, i caldria saber que no serà la única manera de trobar informació, que també es podrà buscar en els mateixos cercadors amb altres criteris més atemporals, més centrats només en contingut.

I caldrà no oblidar que una informació donada per un lloc certificat potser no és scam, ni phising, però pot ser igualment perjudicial i tendenciosa (pensem en alguns mitjans de comunicació): disminuirem la inseguretat, però no guanyarem en qualitat d’informació.

Tagged , , , , , ,

Fast info


Ens alimentem amb menjar ràpid, amb plats precuinats, o amb menús preparats: fàcil i ràpid, sense complicacions. Se’ns presenta com plats deliciosos que no hem de cuinar, que no ens donen feina, per poder dedicar el nostre temps a d’altres coses. Però no tenim en compte com estan fets molts d’ells: els excessos de sucre i sal, els conservants o la qualitat dels components que porten, la brossa que generen i com afecta a la nostra salut. La cuina transformada en un element ràpid i de fàcil gaudir, però estandarditzat i sense substància, nu del seu element cultural i social. Ens intoxiquem lentament, adormim alguns gustos, estandarditzem les preferències. Fast food, per posar una etiqueta.

De la mateixa manera que ens alimentem, ens informem: notícies repetides una i altra vegada, petites píndoles amb informació ja digerida per altres i servida segons els seus gustos, informació de fàcil consum i ràpid aprenentatge, però moltes vegades mancada de profunditat. Fets repetits i tornats a repetir, servits en salsa rosa o amb unes gotes de tragèdia, reportatges a ritme de sèrie negra o notícies de safareig. Ens infoxiquem lentament, adormim algunes consciències, estandarditzem les opinions. Fast info, per inventar una etiqueta.

Recuperem la cuina i el menjar pausat, donem-li el temps que li toca. I aprofitem-lo i assaborim-lo sempre que podem (no siguem somiadors: no sempre tenim temps), gaudim del que fem quan ho fem, gaudim de la taula i de la cuina, de la conversa i del valor econòmic i social que té. Slow food, per posar una etiqueta.

Tornem a la informació i la comunicació: estiguem informats, i no perdem les novetats, és clar. Però no confonem informació contínuament repetida amb coneixement, dades tothora i detalls no rellevants com una informació rellevant. El coneixement requereix reflexió, i la reflexió requereix observació, i la observació i la reflexió necessiten temps. No podem estar contínuament absorbint informació i formant-nos opinions de tot, perquè acabem adoptant les opinions d’altres, les idees d’altres, com un dogma qualsevol, sense saber perquè o si hi estem realment d’acord. Necessitem períodes de desconnexió per dedicar a la reflexió i a fer-nos una opinió, necessitem una informació més lenta, més profunda, més objectiva. Slow info, per inventar una etiqueta.

Tagged , , ,

Volta de clau a la seguretat digital

El mètode més habitual per securitzar una web, una aplicació o un ordinador acostumen a ser els passwords. És el mètode de seguretat digital nadiu per defecte: es basa en alguna cosa que sabem, en el coneixement. Però per més que els guardem encriptats i en fitxers protegits o es donin consells per crear-los molt segurs, els passwords son la baula més dèbil de la cadena de la seguretat: la gent acostuma a fer-ne servir els mateixos, o no vigila gaire on els posa (phising o tècniques d’enginyeria social per aconseguir-los).

Per intentar solucionar aquests problemes la seguretat evoluciona: el reconeixement òptic, les empremtes per securitzar un dispositiu, els certificats digitals o els mètodes de login en dos passos (enviant un identificador al mòbil que després s’ha d’entrar a la web, per exemple). L’usuari (el seu comportament) no és fiable, com és, el que té, o forçar-lo a fixar l’atenció (dos passos) ja ho és més.

Ara Google, Yahoo o Microsoft comencen a provar mètodes d’identificació sense login i en un sol pas, derivant la identificació directament cap al nostre mòbil: volem entrar en un lloc, aquest ens avisa en el nostre mòbil (mitjançant una app) que validem l’entrada i ale-hop!, ja estem dins de la web al dispositiu inicial. Fàcil, molt fàcil, sembla. I segurament, a nivell general, incrementaran la seguretat (nota: un altre motiu per incrementar la seguretat dels nostres mòbils).

Ara bé,: aquests nous mètodes i dispositius no seran accessibles per tothom, només per aquells que tinguin smartphones capaços d’executar les aplicacions. La resta, o qui ho vulgui, podrà seguir fent servir la identificació amb el password tradicional (fins i tot en la identificació amb doble pas no calia tenir un smartphone, només havies de poder un sms amb el pin).

El temps ens confirmarà la utilitat i la fiabilitat d’aquests mètodes.

Però es constata una tendència a basar la seguretat no en allò que sabem (els passwords), sinó en allò que som (retina, empremta dactilar) o, cada vegada més, en allò que tenim.

Una curiosa volta de clau a la seguretat digital: basar-la cada vegada més en allò que tenim, com en la seguretat de tota la vida: qui no té la clau, no entra – només que la clau sembla, cada vegada més, un smartphone.

Tagged , , , ,

Què trobarem el 2016?

Acabem un any plè de novetats. Què ens portarà el 2016?

Algunes idees ràpides:

  • Seguirà linux essent l’etern aspirant a fer-se un lloc a l’escriptori?
  • Serà l’any de les monedes digitals? Començarà el comú de la ciutadania a utilitzar-les?
  • Què passarà amb ubers, airbnbs i demés contendents de l’economia col·laborativa? Serà col·laborativa de veritat, o un forat d’on treure quatre calerons alguns i aprofitar-se d’altres? La regularan reconduint-la a un model controlat? Servirà per obrir alguns monopolis de facto, per més regulats que estiguin?
  • Què passarà amb la criptografia? Seguirem podent usar-la, o els governs i les agències diverses de seguretat ens seguiran venent que moltes coses passen per culpa d’ella?
  • I els progressos i reptes de la e-Administració?
    • Què passarà amb els certificats i el java i el suport a la criptografia en els navegadors? Trobarem alternativa al java? Serà l’any de l’expansió dels HSM a nivell de proveïdors i d’administració (legislació europea, el DNI al núvol, els tercers de confiança…)
    • Sabrem donar-li la importància que té a la ordenació dels continguts? Metadades, arquitectura, distribució, fiabilitat, emmagatzematge, perdurabilitat… o seguirem repetint la informació en diferents portals? Començarem a treballar en federacions de portals o en reutilitzar informació de tercers que coneixem?
  • Què farem amb les xarxes socials? Seguiran creixent, o començaran a arribar a l’asímptota? (nota: en les nostres societats potser no queda gaire marge de creixement: més aviat començaran els balls d’usuaris d’una xarxa a altra en funció d’utilitats, usos, modes i edats, i el creixement vindrà, com aquest 2016, menjant-se les noves eines que surtin)
  • Blogs i mitjans digitals: uns seguiran donant informació contínua, de vegades produint més soroll informacional que no coneixements, i els altres seguiran essent canals d’informació de qualitat moltes vegades, però potser residual (en quant a volum, segueixo pensant que alguns blogs son petits nodes d’informació referencial que poc a poc va calant en d’altres mitjans degut a la seva qualitat – i que d’altres son petites xarxes dins la xarxa)
  • Quins seran els nous actors, les noves tendències aprofitant canals? La tv personalitzada on-line de periscope pot ser un model a seguir per alguns, obrir petites audiències que reportaran beneficis més endavant amb inversions no gaire grans mitjançant accions virals, els serveis de streaming d’audio i video seguiran creixent, segurament.
  • I, sense ser de la xarxa… què passarà amb els cotxes elèctrics? Arrencaràn? I els coets reusables? Tornarem a la lluna o anirem apuntant a Mart?

Segurament em deixo moltíssimes coses, o ni les conec. Però 2016 pinta un any interessant, molt interessant.

Tot i així, el més bàsic serà que, si volem una millor xarxa, haurem de seguir treballant per una millor societat, perquè son vasos comunicants.

Bon 2016.

Tagged , , ,

Quo vadis, certificat?

El pal de paller de les polítiques de seguretat i identificació a la xarxa son els certificats: una criptografia robusta i el reconeixement jurídic de l’equivalència amb la signatura manuscrita fan que siguin la tecnologia ideal per a la seguretat.

Però totes aquestes bondats tecnològiques no acaben de quadrar amb la facilitat d’ús rapidesa, comodització i descuit que comporten les aplicacions, dispositius i el públic d’avui en dia, i el poc suport per part dels fabricants no ho facilita.

Per fer la correcta gestió d’un certificat t’has de personar físicament en un lloc, demostrar que ets tu (o portar uns poders, imagina’t!), després instal·lar-te’l en un o varis dispositius que usis (si es pot), tenir-ne cura i vigilar que no te’l robin i encara després, anar-lo renovant.

En un entorn empresarial/professional això té un sentit i aquestes feines es fan i amb diferents suports (certificats software, targes criptogràfiques, o amb HSMs), però ves i diga-li a un ciutadà mitjà que ha de fer això. La gran majoria faran una ganyota, uns quants ho faran i l’usaran i un grup més petit encara es molestarà en entendre el perquè de tot plegat (sense entrar en raons tècniques).

S’entén doncs la poca expansió de l’ús de certificats malgrat els anys que fa que n’hi han, malgrat les campanyes per exemple del DNIe o de l’idCAT (en diferents suports) o l’impuls a la e-Administració. El que més ha triomfat és el de FNMT, i perquè l’usa Hisenda per tal que presentis la declaració de la renda.

A tot això, suma-li que està pensat (o es molt més còmode fer-lo anar) sobre un ordinador, i encara tindràs menys ús, perquè el que es demana cada vegada més és mobilitat (telèfon o tablet), i aquí si que topem amb un mur.

Vist això, als certificats, com els coneixem fins ara, no els veig gaire futur.

Desapareixeran? No, és clar que no. A la banda servidor seguiran existint, en el mon empresarial també… però en el dia a dia dels usuaris acabaran desapareixent… de les interfícies.

Signatura biomètrica
Els seguirem trobant, però darrere de solucions portàtils com signatures biomètriques, identificacions i claus d’un sol ús enviades al mòbil, proves de coneixença (preguntes) o similars
. Totes aquestes tecnologies, que no requereixen d’anar carregant ni custodiant un certificat software o hardware, o que es basen en aparells (mòbils) que tots portem a sobre, son les que ens anirem trobant cada vegada més.

La mobilitat i per tant la comodització de les solucions allunyen cada vegada més l’usuari final de fer-se càrrec de la seva pròpia identitat amb mitjans digitals propis, i deixen aquestes proves a càrrec de tercers que seran els que generin el certificat a partir de claus d’un sol ús generades amb dades numèriques que només l’usuari pot haver produït/saber/posseir.

I els sistemes jurídics que donen validesa a tots aquests processos s’acabaran adaptant a aquestes tecnologies.

Així que seguirem tenint certificats, i usant-los, però segurament sense gairebé adonar-nos-en que ho fem.

Tagged , , ,