#28 Para que una CA aparezca en como "confiable" en los almacenes de los navegadores debe cumplir una serie de requisitos bastante estrictos, pasar auditorías, etc. la FNMT tardó años en cumplir dichos requisitos y por eso Firefox no la incorporó hasta entonces. Es decir, por mucho que sea un organismo público, la CA debe cumplir los requisitos al igual que las "privadas" y pueden tener los mismos problemas (o no) que los que ha tenido Camerfirma. Y serían revocados con exactamente el mismo criterio por mucho que dejaran tiradas todas las web de la administración pública de España o de EE.UU.: han dado un plazo de varios meses hasta que se haga efectivo, hasta entonces tienen tiempo de pedir los nuevos certificados a una CA que cumpla los requisitos. ¿Te fiarías de una CA que después de que les reportasen incidentes por validar "a ojo" los nombres de los certificados, tras 3 años dandoles caña, sigan en 2021 haciendo exactamente lo mismo y justificando que van a entrenar mejor a los curritos? Yo no, independientemente de que sea una empresa privada o sea un ejército de funcionarios del gobierno del país X.
#9 lo peor de todo es que solo trasladen al cliente esta "consecuencia de los tipos negativos", pero las hipotecas o los préstamos sigan teniendo un interés como el que tienen (como las tarjetas revolving con sus intereses por encima del 10%). ¿No les conviene que me gaste el dinero? Pues que reduzcan esos intereses que van directos a SU liquidez, ¿no?
Los bancos llevan años "prejubilando" (que es un eufemismo de despedir a los mayores de 60 y que pague el paro el estado) y cerrando decenas de oficinas, reduciendo plantillas y gastos directos. Buscan un crecimiento igual o superior al de los años anteriores (si pudimos crecer un 5% el año pasado, seguro que optimizando conseguiremos crecer un 6 este año) y sinceramente no sé cómo pretende seguir creciendo eternamente... La población no crece a ese ritmo, envejece y los salarios de los jóvenes (los que no estén en paro, claro) son cada vez menores comparándolos en el mismo puesto que sus mayores (sobre todo en banca, pasan de "prejubilar" a un técnico que cobra +100k y las nuevas contrataciones empiezan en 15 o 18k y es difícil que esos lleguen a cobrar 50k cuando cumplan los 60). Pero a pesar de todo, siguen creciendo! Más préstamos, más tarjetas revolving, más deuda de sus clientes para que unos pocos sigan ganando cada vez "un poquito más". Pero esto es "por los tipos negativos", ¿eh?
#52 Exactamente lo que yo estaba pensando: el primer punto ilegal es retener CUALQUIER imagen de una persona más allá de un mes salvo REQUERIMIENTO JUDICIAL. Además que existe el "derecho al olvido" y cualquiera puede solicitar al delegado de protección de datos de Mercadona que revise si su imagen está recogida en las cámaras de seguridad (o cualquier otra base de datos que tengan) y pedir su supresión (que deberá realizarse salvo que exista un requerimiento judicial para conservar la imagen, como pudiera ser la grabación de un robo o similar). En mi comunidad hubo un robo y las cámaras grabaron a esas personas de forma perfectamente identificable, se consultó si era legal distribuir un aviso entre los vecinos con esa imagen para evitar futuros incidentes y nos informaron que era completamente ilegal que cualquier viera siquiera esas imágenes salvo el delegado de protección de datos para que identificase al ladrón y proporcionase los datos para la denucia. Como extra, extraído de #32: "Asimismo, cuando los datos biométricos se usan como medio de identificación, el RGPD establece en su artículo 9 que se trata de categorías especiales de datos y prohíbe expresamente su tratamiento dirigido a identificar de manera unívoca a una persona física." por lo que usar las imágenes de las cámaras de seguridad para "identificar a sujetos con una orden de alejamiento" choca justamente contra este punto.
#18 Pero es que sí que hay un problema existente, aunque no para los usuarios: cada vez hay más bloqueadores de anuncios y Google pierde dinero si no los ves. ¿Qué mejor forma de forzarte a la publicidad que implementar un protocolo que te obliga a tener todo el contenido (incluyendo anuncios y demás contenido adicional -mientras sigas viendo publicidad, el malware no es un problema para ellos-) en un único bundle para navegar? Además, con la cuota de mercado que tienen (tanto de navegador como de productos como el buscador, youtube o el correo), pueden anunciar que la tasa de adopción es inmensa y que es todo un éxito. Firefox ha denunciado varias veces que Google hacía cambios para que youtube se viese mal en otros navegadores para forzar la conversión a chrome. Al final conseguirán que otros tengan que implementar su protocolo so pena de que no puedas usar los servicios a los que te han acostumbrado y finalmente tendremos publicidad obligatoria casi como en aquel episodio de Black Mirror.
#57 Hace 2 años publicaron ya un artículo sobre esa misma botella y los comentarios sobre lo magufos que han sido esta otra vez cuando se ha demostrado que era una estafa inviable les habrán hecho borrar el artículo por vergüenza.
#38 El título de la noticia y la descripción hablan de la censura del post en los foros de Movistar, mientras que la noticia enlazada es el post para reclamar en la CNC en Banda Ancha, pero ni siquiera en los comentarios de BA dicen nada de que se hubiese borrado la noticia en los foros de Movistar. De ahí que a mi sí me parezca más microblogging que duplicada.
He visto muchas noticias antes que se han editado para poner links después de caídas o incluso borrados (la censura no es nueva).
Sinceramente me esperaba encontrar aunque fuese un post en blogspot de diez líneas comentando la cantidad de veces que se ha borrado el post en los foros de Movistar (ya lo decían en la propia noticia), pero no los foros de Banda Ancha con la misma noticia que ya había leído esta tarde.
#4 Ningún navegador almacena las contraseñas si no se lo indicas. Por tanto, que se sincronice una contraseña con Google depende de una acción manual siempre.
#64 Como ya dije en #47, "utilizando su propio almacén de CAs de confianza mejoraría bastante la seguridad", ya que el control de las CA pasaría del usuario del dispositivo al desarrollador.
No obstante la situación actual de la aplicación no es ni mucho menos como para dedicarle un post alarmista en el que no se explica claramente los requisitos previos (instalar una CA autofirmada en iOS, lo cual es un acto que pide confirmación y saltan advertencias de seguridad, y si es un móvil de empresa NO deja instalarla) y se tergiversa la realidad (texto plano es cuando NO hay SSL y en las capturas se aprecian siempre URL con https, y en ningún momento se indica que sin el requisito previo la aplicación NO envía ni un sólo dato)
#59 He decidido hacer una prueba de concepto para ver si verdaderamente es como dice el autor del artículo.
Con un proxy interceptando SSL y una CA autofirmada, da error al iniciar la conexión SSL y no deja continuar.
Levantando un servidor suplantando el del BVVA y realizando DNS spoofing, el mismo comportamiento.
Conclusión: si no añades CA al móvil, la aplicación no te deja continuar ni envía un sólo dato.
Para mi gusto, igual de segura que cualquier navegador de cualquier dispositivo.
#50 Según el texto del artículo "ya que el usuario ha podido instalar en su teléfono móvil el certificado del atacante así que todas las comunicaciones quedarían expuestas".
Sobre #21, no dice que no haya añadido estos certificados autofirmados manualmente a través de los ajustes de iOS, sólo "que se están fiando de un CA que no es el suyo".
#40 Para que eso funcionase, también necesitaría añadir una CA propia a tu teléfono, y no sólo "compremetería" la aplicación del BBVA, sino todo el tráfico de tu navegador, el correo y muchas otras aplicaciones (facebook, twitter, etc)... Que no es una vulnerabilidad "exclusiva" de la aplicación, si no de todo el dispositivo.
No voy a negar que utilizando su propio almacén de CAs de confianza mejoraría bastante la seguridad (el SSL Pinning es una exageración con muy poca visión de futuro), pero confiar en el almacén de CA del teléfono no es una vulnerabilidad en sí ni mala seguridad, como mucho un exceso de confianza.
A ver, no seamos alarmistas. Si en el navegador de tu PC te meten una CA de un "hacker" estás igual de jodido o peor.
Y sobre lo de cifrar con AES los datos... ya van cifrados así! El SSL usa AES desde hace años como principal algoritmo. Cifrar de nuevo los datos sólo traslada el problema a cómo almacenas esa segunda contraseña para el AES adicional y cómo se gestiona en caso de reinstalar la aplicación.
Y en cuanto a meterse con los programadores (#10 : Malos programadores detrás de la plataforma) me parece absurdo y de mal gusto: el programador debe ajustarse a las especificaciones que le piden. Muy posiblemente hubiese dos (o más) equipos, uno para la App móvil y otro para el servidor y se decidiese comunicar ambos de una manera concreta (xml + https o cualquier otra variante).
No echemos las culpas del diseño a un programador...
#50 NuTTyX 