Juanjo 31 de julio de 2007

Aunque WordPress dispone de opciones para hacer un backup de todos los artículos, comentarios, categorías, usuarios y demás elementos, y opción de restaurarlo importando el archivo guardado a mi no me ha funcionado correctamente, dejándome todo el blog sin los comentarios. Por esto prefiero usar el método tradicional, que es consiste en hacer la copia de seguridad directamente de la base de datos.

Hay que especificar que aunque este hablando de este blog en WordPress, todo lo comentado a continuación sirve para hacer una copia de seguridad de una base de datos de cualquier aplicación y su posterior restauración.

Veamos como se hace desde phpMyAdmin en el caso de tener una base de datos pequeña (este término es relativo y dependerá de la versión de phpMyAdmin que tenga cada servidor ya que las versiones más antiguas solo permitirán subir backups desde archivos de 2048Kb (2Mb) mientras que las más actuales llegan hasta 16384Kb (16Mb)):

• Seleccionamos la base de datos correspondiente
  
• Pulsamos en la pestaña Exportar (Export)
• Seleccionamos todas las tablas (Select All) y escogemos la opción SQL
  
• En las “Opciones SQL” (“SQL options”) marcamos en “Estructura” (“Structure”) las opciones “Añadir DROP TABLE” (“Add DROP TABLE”), “Añadir IF NOT EXISTS” (“Add IF NOT EXISTS”), “Añadir el valor AUTO_INCREMENT” (“Add AUTO_INCREMENT value”), y “Usar “backquotes” con tablas y nombres de campo” (“Enclose table and field names witj blackquotes”). En “Datos” (“Data”) marcamos las opciones “Completar los INSERTS” (“Complete INSERTS”), “INSERTs extendidos” (“Extended INSERTs”), y “Usar hexadecimal para campos binarios” (“Use hexadecimal for binary fields”)
  
• Guardamos el archivo marcando la opción “Enviar (genera un archivo descargable)” (“Save as file”) en el formato que deseemos (sin ninguna compresión si no sabemos cuales soporta el servidor) y marcando la opción “recordar la plantilla” (“remember template”)
  

Y ya tenemos una copia de seguridad de nuestra base de datos descargada y lista para ser restaurada cuando sea necesario.

Para ello solo tenemos que seleccionar la pestaña Importar (Import) o SQL dependiendo de la versión de phpMyAdmin que tenga el servidor, e indicar cual es el archivo del backup.

Por otra parte, si la base de datos no es pequeña (según lo visto anteriormente), o en el servidor existe alguna limitación en cuanto al tamaño del backup, e incluso utilizando compresión no resulta suficiente, el proceso será similar, aunque algo más largo ya que debemos llevar a cabo todos los pasos pero tabla a tabla en lugar de seleccionar todas de una vez.

• Blog , Internet
• Comentarios (3)

Juanjo 30 de julio de 2007

Después de poco más de 4 meses de caminata hemos tenido un pequeño tropiezo. Fue el pasado Viernes 27 recien comenzado el día (de madrugada) y hasta hoy Lunes 30 hemos estado caídos. Pero ya estamos en pie de nuevo y listos para continuar con el paseo.

Dejándonos de metáforas hemos de decir que se ha procedido a cambiar de hosting puesto que el anterior, FreeHostia, tiene baneadas las IPs de toda Latinoamérica con lo cual ningún (o casi ningún) visitante de estos países ha podido entrar a este blog sino utilizando un proxy.

El cambio lo intentamos hacer a LeadHoster cuyas características eran similares, sin embargo tienen problemas con el alojamiento de dominios .COM.ES, y para más inri a los usuarios de cuentas gratuitas no les permiten hacer preguntas sobre su servicio para conocer si tienen problemas o no.

Así que tras esperar unas 85 horas para la propagación de DNS, esta misma tarde hemos creado una cuenta nueva en Pandela, y después de escasas horas ya esta todo funcionando, y en el mismo punto donde lo dejamos.

• Blog , Noticias
• Comentarios (0)

Juanjo 25 de julio de 2007

En el mundo virtual muchas veces nuestra seguridad se basa en una contraseña o password. Es por esto que tenemos que evitar escoger una contraseña que sea fácil de adivinar como pueden ser nombres propios, apellidos, mascotas, direcciones, números de teléfonos, matriculas, número del documento de identidad, fechas de cumpleaños o aniversarios, etc. igualmente tampoco es recomendable usar palabras que se puedan encontrar en un diccionario con el fin de evitar que se descubra mediante ataque de fuerza bruta mediante diccionarios.

Siempre que sea posible hay que usar, además de caracteres alfanuméricos, otros símbolos como signos de puntuación (punto “.”, coma “,”, punto y coma “;”, dos puntos “:”, guión “-“, guión bajo “_”, signo de exclamación “!” e interrogación “?”, paréntesis “(” y “)”, etc.) signos matemáticos (suma “+”, resta (igual que el guión), multiplicación “*”, división “/”, porcentaje “%”, igualdad “=”, mayor “>”, menor “<", etc.), símbolos de monedas (euro "€", dólar "$", libra "£", ), y otros símbolos especiales como arroba "@", almohadilla "#", ampersand "&", virgulilla "~", etc. Sin embargo podemos crear una contraseña realmente fuerte pero muy difícil de recordar y cometer el error de tenerla apuntada en alguna parte para recordarla. Este es un punto débil muy común, y muy susceptible a ser robada y/o perdida con lo que nuestra seguridad queda completamente comprometida. Lo ideal es un password fuerte pero a la vez fácil de recordar, pero ¿cómo es posible esto? En watching the net (en inglés) nos muestran una forma de hacer esto. Para ello juegan con la simbología asociada a los caracteres, veamos:

! excitación, emociones fuertes
@ letra o preposición “a”
# número, cifra
$ dinero, valor, letra “s”
% parte de algo
^ arriba, ceja levantada
V abajo
& letra o conjunción “y”, gemelos
( letra “c”, luna
) luna
* soleado, brillante, estrella
+ suma, unión
= balance, igualdad
< menor, más joven >mayor, más viejo
? desconocimiento, variable, cuestionable
~ agua, viento

Sus ejemplos son los siguientes:

• Nuestra hija mayor nació en 1987, sus iniciales son JML, y es una chica alegre e inteligente (brillante). Un posible password sería: 19*J87mL
• Nuestras iniciales son ABO, tenemos un hermano gemelo cuyas iniciales son STO, y las dos ultimas cifras de nuestro número de la Seguridad Social son 58. El posible password sería: Abo58&Sto
• Tenemos 2 hijos, el mayor, cuyas iniciales son MWP, nació en 1981, el segundo, cuyas iniciales son SEP, en 1983. Un posible password es: Mwp81>83Sep

Otros consejos que nos dan en esa página son escribir las letras fonéticamente, usar al menos un número pero no al principio o al final de la contraseña, y practicar la escritura del password para coger soltura y evitar que la descubran cuando la tecleamos.

En unos comentarios de Kriptópolis el usuario enxebree explica otra forma para crear contraseñas fáciles de recordar: usar combinaciones de iniciales de palabras de frases de poemas, libros, canciones, combinadas con el autor, grupo, año en que fueron publicadas,… De esta forma podríamos crear contraseñas a partir del poema inicial de la obra maestra de John Ronald Ruelen Tolkien, “El Señor de los Anillos”, escrita en 1954:

Tres anillos para los Reyes Elfos bajo el cielo.
Siete para los Señores Enanos en casas de piedra.
Nueve para los Hombres Mortales condenados a morir.
Uno para el Señor Oscuro, sobre el trono oscuro
en la Tierra de Mordor donde se extienden las Sombras.
Un Anillo para gobernarlos a todos. Un Anillo para encontrarlos,
un Anillo para atraerlos a todos y atarlos en las tinieblas
en la Tierra de Mordor donde se extienden las Sombras.

siendo un par de posibles contraseñas, usando varios versos, las siguientes:
54-7plSEecdp.9plHMcam.1peSO,setoelTdMdselS.JRRT
54-1Apgat.1Ape,1ApaatyaeltelTdMdselS.JRRT

Quizás puedan parecer demasiado largas, pero ¿quién no se sabe el estribillo de una canción? ¿o una estrofa de un poema?

Existen otras muchas formas de obtener contraseñas fuertes y a su vez fáciles de recordar, tantas como imaginación pongamos en el empeño de crearlas.

• Informática , Seguridad
• Comentarios (0)

Juanjo 21 de julio de 2007

A raíz del artículo sobre la inseguridad de sistemas como el de la página web www.quienteadmite.com he recibido un comentario con acusaciones e insultos. Debe ser porque no les interesa que se de a conocer la verdad a los usuarios…

A continuación una copia del comentario:

Para QuienTeAdmite.com el término “SEGURIDAD” es una palabra con mayúsculas. Por dicha razón, quienteadmite.com mantiene una estricta política de seguridad acorde con las exigencias actuales para hacer uso de logeadores.

Politica de Privacidad

QuienTeAdmite.com está comprometido con el derecho a la privacidad de todos los usuarios de su sitio de Internet www.quienteadmite.com y con el propósito de mantener confidencial la información que se recopila de usted en nuestro sitio hemos desarrollado la Política de Privacidad que rige la dirección Web www.quienteadmite.com

Para proteger sus datos página quienteadmite.com cuenta con la tecnología más avanzada. Los sistemas que utilizamos son los mismos con los que cuentan los Bancos y Gobiernos de todo el mundo para su protección.
Lo invitamos a leer o imprimir esta página para conocer cómo cuidamos de su seguridad.

1- Encripción de datos

Probablemente habrá notado que la dirección de esta página y de todas las de nuestro Sistema Seguro se puede iniciar con “https://”
Geo Trust Telephone: 678-366-8399 certifica a quienteadmite.com y distintos bancos a nivel mundial.

Esto significa que la página que está consultando tiene una llave que encripta a 128 bits (codificar o esconder) los datos, para que cuando son transmitidos de su computadora a nuestro sitio Web no puedan ser usados en caso de que alguien los intercepte. Cuando está en una zona segura también se muestra un candado en la parte inferior izquierda de su pantalla o una llave (dependiendo del navegador o browser que utilice para ver Internet).

NOTA: Si no se ve el candado en esta ventana haga click en la parte superior en el menú Ver(View) y luego haga click en la opción Barra de Estado(Status Bar)

Cuando quiere tener la certeza de que un sitio es seguro, no basta con que aparezca https en la dirección y el candado, es necesario que también el certificado sea válido y que haya sido expedido a la dirección web que está consultando (en este caso www.quienteadmite.com), puede ver los datos del certificado dando doble click con el botón izquierdo del mouse sobre el candado que aparece en la parte inferior derecha y le aparecerá una ventana con estos datos:

A continuacion a modo de EJ. facilitaremos unos ej de sitios seguros, y sitios inseguros.

Sitios seguros: (todos estos sitios les abrira, por lo tanto son seguros)

https://www.hotmail.com (se puede entrar mediante HTTPS, sitio SEGURO)
https://www.passport.net (se puede entrar mediante HTTPS, sitio SEGURO)
https://www.bancofrances.com (se puede entrar mediante HTTPS, sitio SEGURO)
https://www.quienteadmite.com (se puede entrar mediante HTTPS, sitio SEGURO)

Sitios inseguros: (a diferencia de los sitios nombrados anteriormente, estos sitios daran error al entrar por https)

Todo sitio que pida informacion personal, y no se pueda acceder mediante https:// es inseguro, por lo tanto no recomendamos que entre, ej https://www.checkmessenger.net https://www.sexyono.com https://www.badoo.com .Si usted quiere ver si un sitio es seguro, solo agregue “https” y fijese en el candadito, y vea el certificado del sitio, compruebe que este valido, y su fecha de caducacion. No recomendamos ingresar sus datos personales en checkmessenger, sexyono y badoo.
EJ, sitio inseguro https://www.caminando.com.es este sitio no tiene certificado de seguridad como quienteadmite .

LA MENTIRA SE ACABO, GILES SON LOS QUE SOBRAN, MENOS PALABRAS, Y MAS VALIDACION.

Corporate Headquarters
GeoTrust, Inc.
311 Arsenal Street
Watertown, MA 02472 Phone: 781-292-4100
Toll Free: 800-944-0492
Fax: 781-444-3961
www.quienteadmite.com SSL 129 BITS

El principal punto débil del sistema QuienTeAdmite.com es que es imposible conocer quien nos ha quitado la admisión porque así lo quiere MSN. Hace tiempo era posible debido a un bug que permitía acceder a dicha información sin embargo hace bastante tiempo que el bug fue corregido impidiendo conocer que contactos nos quitan la admisión.

Luego considero muy pretencioso y bastante egocéntrico tratar de comparar, en temas de seguridad, una página como QuienTeAdmite.com con otras de servicios bancarios por ejemplo. Esto añadido a intentar hablar sin conocimiento de causa solo lleva a aumentar la desconfianza hacia este sitio web. Veamos:

El protocolo https asegura una comunicación segura entre el servidor y el cliente, es decir, asegura que la transmisión de datos se hace cifrada evitando que un tercero pueda interceptarlos y obtener usuario y contraseña del cliente. Pero para nada influye en lo que el servidor, en este caso QuienTeAdmite.com, haga con los datos una vez recibidos. Incluso se puede ir más allá y comentar el uso erróneo del protocolo https por parte de QuienTeAdmite.com ya que nada más entrar a la web nos sitúa en una página que no usa dicho protocolo y desde la cual se hace el envío del usuarios y contraseña de forma totalmente desprotegida, es solo cuando el usuario escribe la URL en la barra de direcciones e incluye este protocolo cuando se hace uso de él… Entonces, parece que ni siquiera en este punto la página es segura. Imagino que esto es una diferencia con la página web de un banco cualquiera, ¿no? 🙂

Por tanto si toda la defensa del sistema se basa en la implementación de este protocolo para tratar de infundir confianza en el usuario mal camino han tomado.

Y peor camino aún si para defender dicha postura deben recurrir al insulto. Esto es simplemente un indicativo de la debilidad de sus argumentos a la hora de intentar mostrar su web como un sistema seguro y funcional.

En cuanto a los Términos y condiciones de uso del servicio, estoy completamente de acuerdo en que todos los usuarios deberían leerlos, y hago hincapié en el 4º y 5º párrafos donde se indica lo siguiente (nótense también las faltas ortográficas en la redacción, imagino que para dar más confianza al usuario 😉 ):

QuienTeAdmite.com en NINGÚN caso almacenará direcciones de correo electrónico ni contraseñas ingresadas en su sistema y no brindará datos de los usuarios que utilicen sus servicios a terceros sin su previo consentimiento. Los sistemas que utilizamos son los mismos con los que cuentan los Bancos y Gobiernos de todo el mundo para su protección SSL 128 BITS (si desea mas informacion lea nuestra seccion PRIVACIDAD)

Si alguna persona considera que QuienTeAdmite.com viola algún tipo de disposición, regla o norma vigente por favor póngase en CONTACTO (Con nuestro staff ) de QuienTeAdmite.com antes de tomar medidas que puedan perjudicar al sitio.

Imagen de la página de “Términos y condiciones�?

Respecto a lo cual me sigo preguntando que si no se almacenan las cuentas de correo ni las contraseñas como es posible que se brinden dichos datos a terceros. Y el otro párrafo habla por si solo.

En la página QuienTeAdmite.com se pueden ver otras formas de intentar obtener la confianza del usuario. Veamos un ejemplo: “Quienteadmite.com se une a Hotmai/MSN ,para brindarte cuentas @quienteadmite.com con 2gb o + !!” (y nótese de nuevo la ortografía y redacción en el nombre de Hotmail y las comas fuera de lugar 🙂 ). No es necesario tener ninguna relación con Hotmail o MSN para ofrecer cuentas de correo personalizadas con su dominio, sino que gracias a Windows Live Custom Domains cualquiera puede obtenerlas de forma gratuita, rápida y sencilla. Por lo tanto no es que Hotmail o MSN tengan confianza en QuienTeAdmite.com y por lo tanto le permitan ofrecer dichas cuentas de correo sino que es un servicio al que puede acceder cualquier webmaster. Al menos en este caso han tenido cuidado de protegerse las espaldas frente a cualquier demanda legal indicando en el pie de la página que “Este sitio NO tiene relación legal ni de ningún otro tipo con Microsoft Corporation.”. Es curioso entonces ver como por una parte se asegura que QuienTeAdmite.com se ha unido a Hotmail y MSN, ambos pertenecientes a Microsoft, y por otra parte QuienTeAdmite.com confiesa que no tiene ninguna relación, ni legal ni de ningún tipo, con dicha empresa.

Para terminar con la respuesta a este comentario hablaremos sobre el tema de que la presente web caminando.com.es no usa el protocolo https ni tiene ningún certificado de seguridad, aunque no entiendo que se pretende demostrar con esa acusación. Si no se usa dicho protocolo ni se dispone de certificado de seguridad es simplemente porque no son necesarios. No se necesita ninguna transmisión de datos segura entre los lectores del blog y el propio blog, entre otras cosas porque no es necesario introducir ninguna información personal ni tampoco se les solicita sus usuarios ni sus contraseñas de terceros servicios. Es más, desde aquí se aconseja a los lectores no dar usuarios y contraseñas a nadie, incluido QuienTeAdmite.com.

Leer más en los comentarios de este artículo.

EDICIÓN (19/12/2008): A día de hoy QuienTeAdmite.com ya ni siquiera usa el protocolo SSL para encriptar los datos…

• Internet , Seguridad
• Comentarios (68)

Juanjo 17 de julio de 2007

La barra de Alexa, usada para ver el ranking de las páginas web, solo estaba disponible para el navegador de Microsoft, Internet Explorer. Los usuarios de otros navegadores no podían hacer uso de ella de forma oficial, aunque existen plugins o extensiones como SearchStatus.

Sin embargo ahora Alexa ha lanzado una versión oficial de la barra para el navegador Mozilla Firefox: Sparky.

Además del ranking esta barra muestra la tendencia de tráfico de la web en forma de gráfica, y links a páginas relacionadas.

• Internet , Noticias , SEO
• Comentarios (0)