#50 Me parece perfecto que los requisitos sean los mismos para cualquier CA. Sobre todo me parece perfecto que esos requisitos sean públicos, conocidos y verificados, no sólo por los desarrolladores de navegadores. Me imagino que la administración debería tener medios suficientes para cumplir esos requisitos y mantenerlos y por eso no veo la necesidad de delegar en terceros el certificar que una página pertenece a la administración. Tampoco es que me guste que poder entrar o no sin problemas en una página de la administración de mi país dependa de un tercero, por muy ong, fundación, independiente o bien intencionado o lo que sea que diga que es.

#60 El derecho al olvido aplicará cuando la orden de alejamiento prescriba, pero como es lógico, no antes.

#24 Yo diria que me entreguen los datos que tiene. Molesta más por laborioso y por mostrar qué graban de uno.


#22 Puede que en los centros nuevos tengan mejor calidad que en los veteranos? Se podria comprobar si los productos tienen el mismo sello fiscal en todas las zonas.
En guipuzcoa, la leche de mercadona estaba bastante buena y estaba envasada en el mismo sitio que Kaiku. Supongo que esa leche no la mandan a Andalucia.
#14 #13 #12 Nos caracterizamos de musulmana. No esta prohibido travestirse y yo creo que no les prohiben llevar burkas y derivados fuera de Francia.
#65 Algunos si dejamos usarlo. El problema es que otros lo usan y el que no le usa le puede afectar a la vida social porque me parece que a la gente le da pereza otros medios convencionales como correo o tlfno y menos aun instalarse mensajeria libre.
Además, la gente puede mandar fotos tuyas a esos medios y la gente no le parece grave.
#55 #71 Creo que guarda ciertos puntos como los que 3 lineas se juntan formando un Y. Si X o mas coinciden es positivo.
No se puede recontruir una imagen, pero se podria inventar una imagen con esas caracteristicas y que de positivo.
#16 O los propios clientes pueden denunciar al AEPD y las multas son gordas.

No se en todos, pero en uno vasco, te reconoce la matricula al entrar y te deja salir sin mostrar el tiquet solo con la matricula.
Por lo menos en ese rato se la guarda, no se si la guardará mas tiempo. Es dificil descartarlo.
#60 Interesante.

#79 En lo que atañe a la pregunta que me haces a mí, no; hablo de comprobar cómo la calidad en los mismos centros de hace bastantes años a ido a peor paulatinamente; por mi experiencia yendo a diferentes centros de la misma cadena, es algo generalizado, aunque sí que es cierto que por los motivos que sea, en productos no "universales" como puedan ser conservas o no perecederos, sí que hay alguno que destaca (para bien) sobre otros, pero como desconozco el motivo y hasta cuándo será así, y ya he caído muchas veces en el "joer, esto ya no es como era", prefiero comprar esos productos directamente en otros sitios.

En cuanto al resto de apreciaciones que haces, 100% de acuerdo empezando por la primera.

#44 El problema no es tanto la publicidad sino el rastreo. El puto rastreo continuo en Internet.

#77 El rastreo sin publicidad no sirve de nada. De hecho, el rastreo no es un fin en si mismo, sino un medio para que la publicidad sea exactamente lo que haga a tu cerebro comprar. Y eso es lo que pagan los anunciantes en internet, no ya el clásico targeting sino modelar al posible comprador para que acabe pasando por la compra.

#100 Mi comentario iba más por el hecho de que a muchas personas no nos importa la publicidad, sino el rastreo.

#40 Lo he leído todo pero #41 me lo ha aclarado de lujo. Gracias.

cc: #14

#42 Es lo que le estamos indicando a #0, y en #29, como indica #41, es redacción de una noticia, imagínate que se permita a todos redactar noticias... Ahora alguien envía la misma noticia adecuadamente y la matan a negativos por "duplicada" por culpa de uno que hace de Menéame una web de blogs.

#41 ya he modificado el contenido y las veces que me han censurado en movistar.

#66 Bueno no sé si alarmista es el post o los lectores (yo me incluyo), el post no aclara como hace todo el proceso y eso nos a confundido un poco, pero el post sigue siendo interesante.

#60 Si lo has probado entonces tendrás razón. O quizá han arreglado la aplicación al ver el post en menéame

#60 y #47 si es como decis, entonces al app no es vulnerable y el post es directamente falso e incorrecto.
En el post no da a entender que hay que cambiarse la CA.
Coincido en que cifrar otra vez es un absurdo con con que este https bien implementado es suficiente.

#62 Claro que sí hombre, implementar más seguridad en una aplicación de PAGOS es tontería

#63 Según entiendo con mis conocimientos básicos del tema, si como dice #60 hace falta tener una CA _{¿o un certificado?} corrupto previamente instalado en el teléfono la aplicación tendría la misma seguridad que cualquier navegador ¿no? pero está claro que la aplicación puede tener más seguridad llevando el certificado embebido o comprobando que la CA es tal y no es otra, una seguridad extra que no les cuesta nada de implementar y que puede evitar muchos problemas.

#64 Como ya dije en #47, "utilizando su propio almacén de CAs de confianza mejoraría bastante la seguridad", ya que el control de las CA pasaría del usuario del dispositivo al desarrollador.

No obstante la situación actual de la aplicación no es ni mucho menos como para dedicarle un post alarmista en el que no se explica claramente los requisitos previos (instalar una CA autofirmada en iOS, lo cual es un acto que pide confirmación y saltan advertencias de seguridad, y si es un móvil de empresa NO deja instalarla) y se tergiversa la realidad (texto plano es cuando NO hay SSL y en las capturas se aprecian siempre URL con https, y en ningún momento se indica que sin el requisito previo la aplicación NO envía ni un sólo dato)

#66 Bueno no sé si alarmista es el post o los lectores (yo me incluyo), el post no aclara como hace todo el proceso y eso nos a confundido un poco, pero el post sigue siendo interesante.

#63 Todo lo que se añada suma, pero si ya estas cifrando con un método, mas vale que cifrar bien con ese método, y no cifrar con dos y los dos mal.

#60 Hola, yo también he probado con varios proxies ssl y nada, sin instalar el certificado fake en el móvil esto no rula... El post da a entender que directamente interceptando el tráfico ssl con un certificado falso se ve todo y no es cierto. Es alarmista y confuso en mi opinión.

#56 Lo dice en #16 #17 y #18 , tienes razón en que en artículo no se entiende muy bien.

#59 He decidido hacer una prueba de concepto para ver si verdaderamente es como dice el autor del artículo.
Con un proxy interceptando SSL y una CA autofirmada, da error al iniciar la conexión SSL y no deja continuar.
Levantando un servidor suplantando el del BVVA y realizando DNS spoofing, el mismo comportamiento.

Conclusión: si no añades CA al móvil, la aplicación no te deja continuar ni envía un sólo dato.

Para mi gusto, igual de segura que cualquier navegador de cualquier dispositivo.

#60 Si lo has probado entonces tendrás razón. O quizá han arreglado la aplicación al ver el post en menéame

#60 y #47 si es como decis, entonces al app no es vulnerable y el post es directamente falso e incorrecto.
En el post no da a entender que hay que cambiarse la CA.
Coincido en que cifrar otra vez es un absurdo con con que este https bien implementado es suficiente.

#62 Claro que sí hombre, implementar más seguridad en una aplicación de PAGOS es tontería

#63 Según entiendo con mis conocimientos básicos del tema, si como dice #60 hace falta tener una CA _{¿o un certificado?} corrupto previamente instalado en el teléfono la aplicación tendría la misma seguridad que cualquier navegador ¿no? pero está claro que la aplicación puede tener más seguridad llevando el certificado embebido o comprobando que la CA es tal y no es otra, una seguridad extra que no les cuesta nada de implementar y que puede evitar muchos problemas.

#64 Como ya dije en #47, "utilizando su propio almacén de CAs de confianza mejoraría bastante la seguridad", ya que el control de las CA pasaría del usuario del dispositivo al desarrollador.

No obstante la situación actual de la aplicación no es ni mucho menos como para dedicarle un post alarmista en el que no se explica claramente los requisitos previos (instalar una CA autofirmada en iOS, lo cual es un acto que pide confirmación y saltan advertencias de seguridad, y si es un móvil de empresa NO deja instalarla) y se tergiversa la realidad (texto plano es cuando NO hay SSL y en las capturas se aprecian siempre URL con https, y en ningún momento se indica que sin el requisito previo la aplicación NO envía ni un sólo dato)

#66 Bueno no sé si alarmista es el post o los lectores (yo me incluyo), el post no aclara como hace todo el proceso y eso nos a confundido un poco, pero el post sigue siendo interesante.

#63 Todo lo que se añada suma, pero si ya estas cifrando con un método, mas vale que cifrar bien con ese método, y no cifrar con dos y los dos mal.

#60 Hola, yo también he probado con varios proxies ssl y nada, sin instalar el certificado fake en el móvil esto no rula... El post da a entender que directamente interceptando el tráfico ssl con un certificado falso se ve todo y no es cierto. Es alarmista y confuso en mi opinión.

#49 #47 #31 Según dice el autor del post ( #21 ) no es necesario añadir ninguna CA ni modificar nada en el teléfono, ya que la aplicación acepta certificados autofirmados sin mostrar siquiera un mensaje de warning.

#50 No, para nada. Los certificados los maneja el sistema operativo y algunas aplicaciones (en escritorio) como Firefox, que tienen su propio contenedor de certificados. Dudo mucho que BBVA haya implementado su propio contenedor en una pequeña aplicación o implementado su propia librería SSL. ¿Alguna prueba que sostenga lo que dice Oscar o tu?

#51 Yo te digo lo que dice la noticia, no lo he probado por que no tengo cuenta en BBVA ni tengo interés. Muchas aplicaciones se pueden configurar para ignorar los errores de certificados, por ejemplo wget si le pasas el parámetro --no-check-certificate se comerá cualquier certificado.

#51 perdón? Cualquier app de Android puede detectar certificados SSL no válidos y por ejemplo no seguir ejecutando nada, mostrar un warning o lo que sea.
De hecho puedes como en la propia web de development de Android hablan de ello: http://developer.android.com/training/articles/security-ssl.html
También puedes no aceptarlos por defecto cambiando parámetros en el manifest, como dicen en esta respuesta de StackOverflow: http://stackoverflow.com/questions/2012497/accepting-a-certificate-for-https-on-android
De hecho como he dicho antes, yo hago una app para un banco grande y es lo primero que se hace en la app, comprobar que el certificado es válido.

Si a ti te la pela la seguridad que te pueda dar una app de un banco, bien. A mi no me gustaría que NADIE pudiera ver mis contraseñas para poder hacer una transferencia o lo que sea por internet.
Creo que toda seguridad es poca en algo tan sensible como datos bancarios. Nosotros ofuscamos el código, encriptamos la base de datos temporal(que guarda mientras la app está activa la lista de movimientos y cuentas, cuando no usas la app durante 5min, te desloga y se borra. También ocurre si cierras la app, obviamente), se verifican los certificados, además nunca se mandan los datos sensibles en texto plano y no recuerdo qué mas cosas se le metieron a la app. Sólo por si acaso pasa algo.

#50 Según el texto del artículo "ya que el usuario ha podido instalar en su teléfono móvil el certificado del atacante así que todas las comunicaciones quedarían expuestas".
Sobre #21, no dice que no haya añadido estos certificados autofirmados manualmente a través de los ajustes de iOS, sólo "que se están fiando de un CA que no es el suyo".

#56 Lo dice en #16 #17 y #18 , tienes razón en que en artículo no se entiende muy bien.

#59 He decidido hacer una prueba de concepto para ver si verdaderamente es como dice el autor del artículo.
Con un proxy interceptando SSL y una CA autofirmada, da error al iniciar la conexión SSL y no deja continuar.
Levantando un servidor suplantando el del BVVA y realizando DNS spoofing, el mismo comportamiento.

Conclusión: si no añades CA al móvil, la aplicación no te deja continuar ni envía un sólo dato.

Para mi gusto, igual de segura que cualquier navegador de cualquier dispositivo.

#60 Si lo has probado entonces tendrás razón. O quizá han arreglado la aplicación al ver el post en menéame

#60 y #47 si es como decis, entonces al app no es vulnerable y el post es directamente falso e incorrecto.
En el post no da a entender que hay que cambiarse la CA.
Coincido en que cifrar otra vez es un absurdo con con que este https bien implementado es suficiente.

#62 Claro que sí hombre, implementar más seguridad en una aplicación de PAGOS es tontería

#63 Según entiendo con mis conocimientos básicos del tema, si como dice #60 hace falta tener una CA _{¿o un certificado?} corrupto previamente instalado en el teléfono la aplicación tendría la misma seguridad que cualquier navegador ¿no? pero está claro que la aplicación puede tener más seguridad llevando el certificado embebido o comprobando que la CA es tal y no es otra, una seguridad extra que no les cuesta nada de implementar y que puede evitar muchos problemas.

#64 Como ya dije en #47, "utilizando su propio almacén de CAs de confianza mejoraría bastante la seguridad", ya que el control de las CA pasaría del usuario del dispositivo al desarrollador.

No obstante la situación actual de la aplicación no es ni mucho menos como para dedicarle un post alarmista en el que no se explica claramente los requisitos previos (instalar una CA autofirmada en iOS, lo cual es un acto que pide confirmación y saltan advertencias de seguridad, y si es un móvil de empresa NO deja instalarla) y se tergiversa la realidad (texto plano es cuando NO hay SSL y en las capturas se aprecian siempre URL con https, y en ningún momento se indica que sin el requisito previo la aplicación NO envía ni un sólo dato)

#66 Bueno no sé si alarmista es el post o los lectores (yo me incluyo), el post no aclara como hace todo el proceso y eso nos a confundido un poco, pero el post sigue siendo interesante.

#63 Todo lo que se añada suma, pero si ya estas cifrando con un método, mas vale que cifrar bien con ese método, y no cifrar con dos y los dos mal.

#60 Hola, yo también he probado con varios proxies ssl y nada, sin instalar el certificado fake en el móvil esto no rula... El post da a entender que directamente interceptando el tráfico ssl con un certificado falso se ve todo y no es cierto. Es alarmista y confuso en mi opinión.

#47 Bravo a tu comentario en lo concerniente a los programadores. Cualquiera que se dedique (o se haya dedicado) al tema de la consultoría informática en España, sabrá que el programador, que con suerte anda cobrando 24K, es el último mono. A veces incluso, le habrán reportado ese problema al Jefe de Proyecto de turno, pero al final, el equipo de trabajo suele ser una barco en la tormenta creada por el comercial de turno.

Es más, me jugaría el cuello a que han echado mas horas que la puerta para poder cumplir con "los compromisos" adquiridos por el comercial/gerente/[inserte aquí al tocapelotas de turno]