Dando la chapa

Joder con la modita de pedir las credenciales de GMail/HotMail/Yahoo cuando la gente se registra en otra web. El tema vuele a salir en Coding Horror: Please Give Us Your Email Password. Y es que la gente se está acostumbrando a dar las llaves de su casa a cualquiera que se las pide…

La cuenta de correo principal es algo crítico. Quien tenga acceso a ella puede pasarse por cualquiera de las otras webs que utilizas, darle a recordar contraseña y esperar a que le llueva del cielo (eso sin contar con que no estés directamemente usado la misma).

Ten en cuenta que cuando le das tu contraseña a un tercero:

1) Se la das también a sus *empleados*. ¿Te fías de todos ellos?
2) Si hackean la web del tercero ya tienen acceso a tu cuenta
3) Seguramente la estén almacenando en texto plano y ya hemos dicho que eso es malo.

Pero no solo eso. Es que quien da acceso a su cuenta de correo está exponiendo a todo el spam del mundo a sus contactos:

Meanwhile, having gained access to your email account, it logs and sends emails to spams everyone in your address book. Presumably it will then sell every address it finds to spammers.

Sacado de Hello, Mr Website. Would you like my password?

Como programadores es una irresponsabilidad pedirle la contraseña de otro servicio a nuestros usuarios. Y como usuarios darla es lo mismo que darle las llaves de tu casa a quien te las pida.

NO DES NUNCA TUS CONTRASEÑAS. NUNCA, NUNCA, NUNCA. Ni Facebook, ni Linkedin ni a nadie por pinta de honorable que tenga.

Y alguno se tiene que estar tirando de los pelos después de pasarse años concienciando a la gente sobre contraseñas seguras para que después de conseguir que pongan una le regalen su flor al primero que se la pide…

Social engineering will never be solved.

Sé que soy más paranoico en temas de seguridad que la mayoría de la gente que me rodea pero no creo que sea ni de lejos todo lo que debería. Aquí va mi lista:

* Para cosas importantes NO uso cookies. Y esto por supuesto incluye acceder a mi GMail. Vamos, que meto la contraseña cada vez que quiero ver el correo (y lo veo unas cuantas veces al día).

* No utilizo el gestor de contraseñas de FF. ¿Por qué? Pues porque es un vector más de ataque sobre el que no tengo control.

* Siempre cierro las sesiones utilizando los botones de “Logout” habilitados para ello. La idea es que aunque no use cookies al cerrar el navegador la sesión queda abierta X minutos hasta que salte el timeout en el servidor.

* No me gusta hacer login a sitios importantes usando una WiFi, incluida la de mi casa. Mucho menos cuando es una WiFi de por ahí cuando estoy de viaje.

* ¡No digamos utilizar un equipo de un cibercafé! Sin contar el ascazo que dan sus teclados generalmente bastante llenos de mierda, tienen toda la pinta de estar infestados de viruses. La última vez que entré a uno me bajé la ultima versión de FF sin instalador (la 0.7) para navegar. Ahora llevaría una de esas versiones que van en un USB.

¿Exagerado? Puede, pero al dueño de tonterías.com le han robado/intentado robar el domino usando una vulnerabilidad de GMail consistente en redirigir todo el correo entrante de la cuenta a un mail externo ¿Cómo? Pues teniendo una sesión de GMail abierta y navegando por una página infectada que hacía un post al script de crear nuevo filtro. Sí señor, bien jugado.

Y si crees que estás a salvo por no visitar sitios de porno/warez/malware o por no utilizar la mula lo llevas clarinete. Lo más probable es que te infectes navegando sitios perfectamente honorables que han sido infectados (400.000 webs hace 2 semanas).

Resumiendo: todo lo que no sea Linux + FF + conexión ethernet (no WiFi) me me da un poco de urticaria.

¿Demasiado paranoico? Probablemente sí, porque casi da igual lo que nosotros hagamos si luego llega un banco y manda sin encriptar los datos personales de 4.5 millones de clientes, los pierde y tarda 3 meses en informar.