-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-02-09 a las 08:17 +0100, miguel gmail escribió:
Imagino que es con el sistema de certficados hechos por una entidad de autentificación.
No necesariamente... para montar un servidor https no necesitas obligatoriamente un certificado hecho por una agencia cualquiera. ...
Si, esa parte la conocía. No, lo decía porque al ser una empresa que usa NT como sistema fiable, pos a lo mejor habían pagado la pasta :-P
Me explico?
Si, está muy bien contado.
Pues por eso, las CA como verisign cobran como 2000$ por maquina biprocesador y año, mas o menos.
¡Ostrás! Sabía que cobraban, pero no cuanto. "Menudenncias" para una empresa, muy serio para un particular o pequeñita empresa, plan tiendecita de soporte.
<inciso> todos nosotros odiamos a verisign por el asalto al dns que hizo hace... 2 o 3 años... </inciso>
Si, algo recuerdo. Buscabas cualquier sitio inexistente, y daba existente, pero de un anuncio de ellos como entidad registradora - mandando a freir monas todas las comprobaciones de seguridad que se fiaban del resultado "not found", y abriendo una puerta al spam.
Y cobran ese dinero por decir que tu eres quien dice ser (bffffff). Hay sitios de registro de certificados gratuitos:
no lo sabía.
el problema que tienen es que no están metidos en los navegadores (al menos en el firefox 1.5.0.1 windows), con lo que da el error que puede asustar a usuarios noveles.
Cierto. Y los no tan noveles, porque como yo no se quienes son ellos, pues no los tengo metidos. Creo que la única autoridad que metí fué la FNMT. Y por cierto... que al renovar mi certificado personal este año te ponen unas claúsulas nuevas bastante leoninas, como que no puedes emplearlo en transacciones que supongan más de 200 euros, ni para firmar otros certificados.
(Realmente, aqui se podría abrir un debate sobre lo fiable que ha de ser una CA, como debe adquirir o registrar un certificado para darlo como válido, tipo si tienes que ir a sus oficinas con un cd, o si vale que les mandes un correo con la clave desde una cuenta hotmail, pero ese es un tema de procedimiento, no de robustez).
Pero muy crucial... Por un contertulio se de sitios que te emiten un certificado para email, pero que no certifica tu identidad. ¿Para que sirve? En cambio, el de la fnmt tienes que ir a hacienda con tu dni para que el director te reconozca. Recuerdo cuando me presenté en la la oficina local de hacienda hace años con mi impreso (con linux y netscape 4.7) para que me certificaran... el director tuvo que leerse la circular antes de hacerme pasar a su despacho, debía ser el primero X-)
Tengo la duda de es la empresa del servidor https la que crea el certificado y lo envia a la CA de turno para que lo valide y lo registre, o si es la CA la que ´firma´ el certificado que le presenta el servidor https :-?
En el caso del certificado de usuario de la fnmt, lo generas tu y ellos lo firman, en 24 horas.
Al menos, eso es lo que pensaba y es lo que pienso tras leer:
Acabo de leerlo. Es más simple de lo que pensaba.
El articulo de la wiki es bastante simple, se merece una buena revisión (de alguien que sepa, claro).
Of course.
El párrafo "caveats" es muy interesante: la transmisión es lo que se encripta, pero lo que el servidor web guarda no está encriptado. O, en tu caso, no hay garantía de que el servidor web reciba los datos bien.
Uhmmmmm. En mi caso, yo me bajo los datos del servidor https de la otra empresa.
Si te refieres en general, efectivamente, no hay garantia. Y además no se que va a hacer con mis datos de tarjeta de credito, por decir algo.
¿No has oido en las noticias de esos "crios" que timaron a unos 500 con lo de las recargas de moviles? Loque hacían era eso, recoger los datos de las tarjetas, y empezar a comprar cosas con ellos.
Hace años lei un artículo sobre plataformas de pago por internet. Y habia uno, que resulta que solo se ha implementado de forma mas o menos extendida en españa y tres paises más, que fué el que más me gusto.
Los datos personales delicados, ie tarjeta de credito, no viajaban al servidor de la tienda, sino directamente a tu banco, que los validaba. Si el banco da el OK, entonces enviaba una señal de autorización a la tienda en cuestion, que procedía con la venta.
Si, lo conozco. Los de 4B lo usan; es más, tienes que decirle a tu banco, en teoría personalmente, que quieres que tu tarjeta sea válida para esos usos. Las primera(s) vece(s) te funciona sin eso, pero después imagino que se bloquea. Lo que me dio miedo es que al saltar la página de la tarjeta en plan pop up y pedirme permiso para autorizar mi tarjeta a que en el futuro fuera usable en internet, fué precisamente que esa pregunta se me hiciera al intentar hacer un pago, es decir, disparado por el servidor de la tienda, en cierto modo. ¡Eso anula toda la seguridad! :-/ Me parece que ni siquiera los programadores de los bancos se han dado cuenta del phising ese... claro, estarán usando cobol :-P
De esta forma, una tienda se ´desentiende´ de la seguridad de esos datos, al ser responsabilidad del banco. Es un sistema bastante fiable, más que el pasarle los datos a la tienda on-line de turno que no se que va hacer con ellos, tal y como dice el articulo de la wiki.
Mucho más. Pero no es obligatorio que las tiendas lo usen.
Es como darle la tarjeta de credito al camarero del restaurante donde hemos comido * para siempre* y esperar que no la utilice (por mucho que la ley no lo permita, siempre se pueden robar).
Si, pero fíjate que, en paises como Inglaterra, donde las compras por correo son tradicionales, los datos de las tarjetas se enviaban por correo de papel... y respondían, por cierto.
En tu caso, aunque no estoy seguro de que sea imprescindible, me gustarían ficheros con firma incluida como los emilios con pgp inline:
gpg --sign --clearsign fichero
que produce un fichero.asc con dos secciones, el texto y la firma. Y al recibirlo:
gpg fichero.asc
regenera el original comprobándolo: tanto si es bueno como si no, lo dice, pero lo regenera. Es posible que el exitcode diga si es bueno o no.
Pues mira, lo he metido en mi propuesta. Me encantaría ver la cara que ponen cuando lo lean :D
X-) Pruébalo primero, no sea que te metas en un embolado :-p No, tiene que funcionar, está pensado para esas cosas.
O mejor aun, yo tengo pensar wget para bajar los ficheros que me dejaran en un cierto directorio con https. Cualquier programa con soporte ssl/tls debería servir...
Si, pero sobre un fichero.txt, no un html. Es cuestión de probarlo.
Oh si, si que puedes. Haz la prueba y bajate el index.html de cualquier sitio con wget. Te bajarás el html completo :D. El wget baja el fichero que le digas siempre que el protocolo esté soportado.
Si, pero cuidado: el wget tiene cosas al bajar un fichero .html que no hace al bajar un .txt: lo analiza, y convierte las referencias (enlaces) remotos a referencias locales a tu máquina. Depende de las opciones, por supuesto, pero que no siempre actúa como un bajador transparente.
A mi me encanta para bajarme rpms a un servidor estando trabajando desde un cliente con ssh.
Yo lo uso mucho con las actualizaciones grandes, como el kernel: miro que rpms son, y los pongo en un script con wget. Los voy bajando a trozos durante varios dias, para no tener el teléfono enganchado. Cuando ya está todo, entonces vuelvo a disparar el YOU (los ficheros se los he puesto donde él espera encontrarlos localmente), y no tiene que bajarlos, los instala después de mirar un poco.
-Puedes especificar el protocolo a usar dentro de un rango, por ejemplo https (brrrrr, mms no es uno de los protocolos soportados :-|). Admite cosas como --secure-protocol=SSLv2
Si, creo que puedes especificar un trozo de un fichero a descargar. ¿Dices que no soporta https? Pues eso fastidia las cosas.
Digo que SI soporta https. Con opciones como --secure-protocol=SSLv2, SSLv3, TLS no-se-cuantos... Lo que digo que el mms no es un protocolo soportado. Me gustaria usarlo para bajarme ciertos ficheros de audio de la radio para escucharlos en ´casa´ aqui (viva el internet para escuchar la radio, viva la economia global, viva el capital, viva el mal).
Ah, entendí mal. Mejor - por lo de https, claro.
What is MMS? MMS or ' Microsoft Media Server ' protocol is Microsoft's proprietary network streaming protocol. Microsoft has never released a specification to describe how MMS actually works, yet it is extensively used by their Microsoft media player software. MMS protocol can be used on top of TCP and UDP transport protocols over any network medium. Its primary use is to stream live or prerecorded audio and video content to your computer without any need to download a file before playing.
Mmmm...
Ya... lo que pasa es que yo si quiero bajar el fichero asf por el protocolo mms... alguien sabe como se puede hacer? (ya me extrañará obtener una respuesta a esta pregunta en este hilo)
Pos va a ser que no :-P No por nada, sino porque son protocolos que no uso, en general: ni voip, ni streaming, ni radio, etc, etc: por modem, ya me dirás.
Bueno, hay una cosa que le falta al linux en ese respecto que son los "audits", no está terminado. Pero eso se pierde en el momento que entras por web.
Si, tb he leido lo del ´audit´ en la security-list. Pero es que no creo que hayan puesto NT por eso precisamente. Yo creo que lo pusieron hace muuuucho tiempo, y ahi se ha quedado.
Si, primero se pone y luego se buscan las excusas :-P Posiblemente es que hablan de seguridad de ficheros porque lo comparan con el 98, y lo justifican contra él, no contra todo lo existente "ahí fuera".
No, la ethernet es bastante más robusta, pero también son velocidades más altas. Esos errores nunca deben llegar a la aplicación.
dios, es que si no fuese así, no funcionaría nada por internet. Menos mal (suspiro de alivio al saber que internet no se va a hundir mañana :D)
Mira, me he enterado que la adsl normal no tiene corrección de errores, pero la adsl2 si que lo tiene.
Sin embargo... sabes que si descargas una imagen iso es bastante posible que tenga un error, ¿no? Por eso tienen cheksums.
eso es... por eso, yo quiero meter los checksums para mi cliente. Aunque como digo, un fichero mío no tendrá en ningun caso mas de 100KB. Y normalmente serán bastante más pequeños...
Puede ser eso, o mejor gpg, puesto que hay dinero por medio. Seguridad a dos niveles: https y fichero a fichero, blindado desde que sale del generador hasta que llega al proceso del destinatario: se lo puedes vender así.
(qué es un checksum crc?)
| 6.3 `cksum': Print CRC checksum and byte counts
(qué apartados son esos, de donde salen?)
info. O mejor dicho, pinfo. | File: coreutils.info, Node: cksum invocation, Next: md5sum invocation, | Prev: sum invocation, Up: Summarizing files | | 6.3 `cksum': Print CRC checksum and byte counts
CRC viene de "cyclic redundancy check", y es el sistema de checksum que se ...
aaaaaaaah, vale vale.
:-) El crc es lo que se usa en los medios magnéticos - palabro - o sea, los discos, para detectar los errores de lectura. Por lo menos se usaba, no creo que haya cambiado. Está diseñado para errores de transmisión, y se basa en un polinomio que se ajusta según la aplicación - y que a mi siempre se me atragantaba al tratar de estudiarlo, nunca me lo explicaron en condiciones.
perfecto. He incluido los cuatro en mi propuesta. Con tal de que se animen a uno me conformo. Y si no, yo me lavo las manos en cuanto a integridad se refiere.
:-)
Y si, ahora que me doy cuenta, en muchos repositorios te ponen la firma (1) y el checksum (2) del paquete.
Si, pero es porque hay gente que no sabe como verificar una firma gpg ;-)
Uhm... yo soy uno de ellos :D . La verdad, me bajo tan pocos paquetes de internet que ni me preocupo. Principalmente los de packman y el amsn, a parte de los oficiales de suse. (si, ya se que esas webs pueden ser hackeadas y subir paquetes con troyanos, pero si lo hacen, tb pueden cambiar los md5, no?)
El yast te comprueba la firma gpg de lo que instalas, y la llave viene en el dvd y se instala desde ahí, por lo que puedes estar bastante seguro que sus paquetes son suyos. Más de uno ha aparecido por las listas que que rayos pasa con el apt que no le instala noseque... y es la firma que falla.
Ale, vale de rollo por hoy... Espero no haberme equivocado en mucho.
Dale un abrazo muy fuerte al instalador! :D
:-) No, es un simple repartidor, y todavía estoy esperando. Seguro que llegará a la noche, cuando ya no pueda instalarlo hasta mañana. ¡BRRR! Llevo años esperando este momento, y ahora que me decido, un retraso de dias, y ahora horas, me desespera :-P
Se dice que dentro de no mucho telefonica ofertara a las nuevas altas con el 20+ ... igual te has ´adelantado´ por raro que suene :D
Naaaa... tienes que estar cerca de la central, y en determinadas ciudades. Eso es lo que no te dicen en los anuncios de la tele del "que son veinte megas, a ver si te enteras" :-P - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFD6zU2tTMYHG2NR9URAhLlAKCO5IUPa0yVKOgjlcMKkTu2RKzR5wCffs15 P0d+e5wUVh4Bb9Z6yEQeM6Q= =bA5r -----END PGP SIGNATURE-----