De la web ideal a la web real

Un breu i explicatiu resum de perquè la web no és l’ideal que en tenim d’ella:

The idea of a global web pub­lic wholly in­de­pen­dent of state sov­er­eignty was to a great ex­tent an il­lu­sion of the early web in­dus­try, a sub­cul­tural hubris that posited the geek pub­lic as a van­guard of every­one on the planet: today Palo Alto, to­mor­row the world. Once the com­mer­cial logic of mar­ket seg­men­ta­tion, prin­ci­pally through the economics of mar­ket­ing, en­tered the pic­ture, the uni­ver­sal pub­lic gave way to the re­al­ity of con­sumer pref­er­ences, which have their own, dis­tinctly non-uni­ver­sal logic.

Scott Malcomson (2016). Splinternet. OR Books

No hi haurà gossos a Internet

A Google, HTTPS, y la Internet de los muertos, Versvs reflexiona sobre el moviment de Google per prioritzar els llocs amb HTTPS en els resultats de les cerques, i les implicacions que té, que no son poques. Interessantíssim post que cal llegir.

Jo em quedo amb un pensament central:

[…] este movimiento erradica uno de los últimos componentes verdaderamente desregulados y libres de la web que conocimos.

La posició de força de Google, provinent de la quantitat d’informació que ja tenia dels seus bots, i encara més de l’ús que recopila amb els usos dels navegadors i d’Android, li permeten forçar la web en la direcció que els interessi. Indubtablement ampliar l’ús de SSL reforça la seguretat i la fiabilitat de la web, però prioritza les possibilitats de llocs de determinats tipus: comercials, corporatius, comunicatius… professionals, en una paraula. La web personal queda marginada, sigui pel pes de l’existència de SSL en l’algorisme de posicionament o, d’una manera més subtil, per veure una marca vermella davant de l’adreça del lloc (i petits canvis estètics poden comportar canvis d’hàbits molt profunds) o, senzillament, pel factor econòmic: el certificat val uns diners, i més si es EV (acabarem veient registradors de DNS que ja no venguin el domini sense SSL?).

Al final, no podrà haver-hi gossos a Internet, d’una manera o altra, sembla imposar-se la visió de Zuckerberg: una única identitat, una identitat contrastada. En aquest cas, una identitat certificada.

Què fer? Es pot usar Let’s Encrypt, com en Versvs indica, i fer-nos un certificat pel nostre lloc. O també es pot seguir essent un mateix: al cap i a la fi, la pròpia xarxa que un es teixeix creix a poc a poc, i segons el lloc, estar adalt del pagerank no és prioritari, perquè el motiu del lloc és un altre que l’econòmic o el servei públic. I es poden usar altres cercadors, tant a l’ordinador com al mòbil, que prioritzin amb altres algorismes i criteris.

Però la tendència de donar resultats en temps real, prioritzant sites certificats (això és, de fonts identificades), s’acabarà imposant, i caldria saber que no serà la única manera de trobar informació, que també es podrà buscar en els mateixos cercadors amb altres criteris més atemporals, més centrats només en contingut.

I caldrà no oblidar que una informació donada per un lloc certificat potser no és scam, ni phising, però pot ser igualment perjudicial i tendenciosa (pensem en alguns mitjans de comunicació): disminuirem la inseguretat, però no guanyarem en qualitat d’informació.

Volta de clau a la seguretat digital

El mètode més habitual per securitzar una web, una aplicació o un ordinador acostumen a ser els passwords. És el mètode de seguretat digital nadiu per defecte: es basa en alguna cosa que sabem, en el coneixement. Però per més que els guardem encriptats i en fitxers protegits o es donin consells per crear-los molt segurs, els passwords son la baula més dèbil de la cadena de la seguretat: la gent acostuma a fer-ne servir els mateixos, o no vigila gaire on els posa (phising o tècniques d’enginyeria social per aconseguir-los).

Per intentar solucionar aquests problemes la seguretat evoluciona: el reconeixement òptic, les empremtes per securitzar un dispositiu, els certificats digitals o els mètodes de login en dos passos (enviant un identificador al mòbil que després s’ha d’entrar a la web, per exemple). L’usuari (el seu comportament) no és fiable, com és, el que té, o forçar-lo a fixar l’atenció (dos passos) ja ho és més.

Ara Google, Yahoo o Microsoft comencen a provar mètodes d’identificació sense login i en un sol pas, derivant la identificació directament cap al nostre mòbil: volem entrar en un lloc, aquest ens avisa en el nostre mòbil (mitjançant una app) que validem l’entrada i ale-hop!, ja estem dins de la web al dispositiu inicial. Fàcil, molt fàcil, sembla. I segurament, a nivell general, incrementaran la seguretat (nota: un altre motiu per incrementar la seguretat dels nostres mòbils).

Ara bé,: aquests nous mètodes i dispositius no seran accessibles per tothom, només per aquells que tinguin smartphones capaços d’executar les aplicacions. La resta, o qui ho vulgui, podrà seguir fent servir la identificació amb el password tradicional (fins i tot en la identificació amb doble pas no calia tenir un smartphone, només havies de poder un sms amb el pin).

El temps ens confirmarà la utilitat i la fiabilitat d’aquests mètodes.

Però es constata una tendència a basar la seguretat no en allò que sabem (els passwords), sinó en allò que som (retina, empremta dactilar) o, cada vegada més, en allò que tenim.

Una curiosa volta de clau a la seguretat digital: basar-la cada vegada més en allò que tenim, com en la seguretat de tota la vida: qui no té la clau, no entra – només que la clau sembla, cada vegada més, un smartphone.

Quo vadis, certificat?

El pal de paller de les polítiques de seguretat i identificació a la xarxa son els certificats: una criptografia robusta i el reconeixement jurídic de l’equivalència amb la signatura manuscrita fan que siguin la tecnologia ideal per a la seguretat.

Però totes aquestes bondats tecnològiques no acaben de quadrar amb la facilitat d’ús rapidesa, comodització i descuit que comporten les aplicacions, dispositius i el públic d’avui en dia, i el poc suport per part dels fabricants no ho facilita.

Per fer la correcta gestió d’un certificat t’has de personar físicament en un lloc, demostrar que ets tu (o portar uns poders, imagina’t!), després instal·lar-te’l en un o varis dispositius que usis (si es pot), tenir-ne cura i vigilar que no te’l robin i encara després, anar-lo renovant.

En un entorn empresarial/professional això té un sentit i aquestes feines es fan i amb diferents suports (certificats software, targes criptogràfiques, o amb HSMs), però ves i diga-li a un ciutadà mitjà que ha de fer això. La gran majoria faran una ganyota, uns quants ho faran i l’usaran i un grup més petit encara es molestarà en entendre el perquè de tot plegat (sense entrar en raons tècniques).

S’entén doncs la poca expansió de l’ús de certificats malgrat els anys que fa que n’hi han, malgrat les campanyes per exemple del DNIe o de l’idCAT (en diferents suports) o l’impuls a la e-Administració. El que més ha triomfat és el de FNMT, i perquè l’usa Hisenda per tal que presentis la declaració de la renda.

A tot això, suma-li que està pensat (o es molt més còmode fer-lo anar) sobre un ordinador, i encara tindràs menys ús, perquè el que es demana cada vegada més és mobilitat (telèfon o tablet), i aquí si que topem amb un mur.

Vist això, als certificats, com els coneixem fins ara, no els veig gaire futur.

Desapareixeran? No, és clar que no. A la banda servidor seguiran existint, en el mon empresarial també… però en el dia a dia dels usuaris acabaran desapareixent… de les interfícies.

Signatura biomètrica
Els seguirem trobant, però darrere de solucions portàtils com signatures biomètriques, identificacions i claus d’un sol ús enviades al mòbil, proves de coneixença (preguntes) o similars
. Totes aquestes tecnologies, que no requereixen d’anar carregant ni custodiant un certificat software o hardware, o que es basen en aparells (mòbils) que tots portem a sobre, son les que ens anirem trobant cada vegada més.

La mobilitat i per tant la comodització de les solucions allunyen cada vegada més l’usuari final de fer-se càrrec de la seva pròpia identitat amb mitjans digitals propis, i deixen aquestes proves a càrrec de tercers que seran els que generin el certificat a partir de claus d’un sol ús generades amb dades numèriques que només l’usuari pot haver produït/saber/posseir.

I els sistemes jurídics que donen validesa a tots aquests processos s’acabaran adaptant a aquestes tecnologies.

Així que seguirem tenint certificats, i usant-los, però segurament sense gairebé adonar-nos-en que ho fem.

Petita guia de privacitat i energia al mòbil

Portem a la butxaca un petit ordinador que deixa rastre de tot el que fem i allà on estem gairebé sense adonar-nos-en: es tan còmode, tan fàcil fer-lo anar i posar-hi i provar coses, que no ens adonem de l’espia que pot ser.

A mesura que ha passat el temps, els telèfons mòbils han guanyat en capacitat i possibilitats, però també en consum energètic (algú recorda aquells mòbils -no smartphones- als que la bateria els durava una setmana?) i hem sacrificat privacitat i anonimitat.

Tot i així, aplicant quatre conceptes molt bàsics, encara podem conservar una mica d’aquesta privacitat i estalviar una mica de consum, allargant la vida de la bateria. No es tracta de ser un neoluddita ni un amish digital estricte, sino de fer un ús racional del mòvil, de dominar-lo i que no ens domini (el “program or be programmed” d’en Rushkoff, aplicat a telefonia).

Cadascú que els apliqui quan i com vulgui, en compte de les seves necessitats.

  • Desactivar localització: no cal indicar a tothom on som, només quan es necessiti (cal geolocalitzar tweets o que fb sàpiga on som… sempre?
  • El mateix aplica a serveis de localització de Google, si no empres Google Now
  • Desactivar el bluetooth: tant per privacitat, com per seguretat, com per estalvi energètic. Qualsevol interfície wireless és un potencial forat de seguretat i un segur consumidor de bateria.
  • Desactivar la interfície wifi: doncs això, posar i treure, no cal anar buscant xarxes continuament; gastem bateria i li diem a la gent per on anem passant.
  • Seleccionar quin tipus de xarxes de dades usem: les 3G i 4G son molt més segures (sobretot les 4G) però alhora consumeixen molta més bateria que una wifi. Opció: usar una 3G normalment i canviar a 4G quan sigui necessari si no tenim wifi.
  • Desactivar google now: accedeix a calendari, ubicació, cerques, perfil, etc. per donar un millor servei, més proper. No dubto de la seva utilitat, però jo de moment puc passar-ne sense.
  • Aplicacions: cal tenir apps per tot? De vegades amb la versió mòbil del site n’hi ha prou, més si tenim en compte que hi ha aplicacions que semblen tenir més informació al teu telèfon que tu mateix (heu mirat els permisos de Facebook?) o que et mantenen bastant captiu dins de la seva interfície (proveu a compartir un article a Linkedin de manera ràpida).
  • Usar la versió mòbil del site, o usar petites aplicacions wrappers per versions mòbils (mireu per exemple Tinfoil for Facebook: s’integra amb el sistema, però alhora manté bastant la privacitat del teu telèfon).

Per aprofundir una mica més en la seguretat al mòbil i en el consum d’energia de la xarxa:

Com dic més adalt, tot això depèn de l’ús que cadascú faci del seu telèfon, o de l’entorn on estigui (casa, feina, carrer). Però està clar que cada petita decisió que prenem (o que no prenem) té les seves conseqüències, segurament molt més grans que la pantalla del nostre mòvil i més duradores que la seva vida útil.