¡Eran otros tiempos! Hace 10 años cualquier red social era más informal y distendida de lo que son ahora. Los trolleos eran simpáticos, se captaban las ironías, etc. Había que venir llorado de casa . Y las disputas más salvajes se solventaban en las quedadas, ¿recuerdas?
Ha cambiado mucho. Las redes sociales se usan para ofenderse, nadie entiende el sarcasmo ni el humor negro, y los trolleos "benignos" han degenerado en campañas de acoso y boicot. La autocensura limita la difusión de ideas controvertidas...
Menéame ya no es lo que era (de hecho, Menéame nunca fue lo que era)
@anacard@gallir
> El segundo salt podría estar incrustado directamente en el código fuente (mala práctica) o tomarse a partir de archivos de configuración
- el salt tiene que ser distinto para cada usuario, o no funciona. Si usas el mismo salt, es contraproducente.
- si tienen acceso a tu db de usuarios puedes asumir que también tienen acceso a la app. El código fuente, o la config, estarán en memoria.
> Seguramente en rendimiento no merece la pena, pero quería plantear el escenario de que el atacante sólo tuviera acceso a una parte del salt.
El salt es algo público, casi por definición. La idea es que el hash y el salt son públicos y conocidos, mientras que el password es secreto y es (casi)imposible de deducir a partir del hash y el salt.
@anacard@gallir sobre guardar el salt en otra db. Cuantos más factores añadas, mejor. Pero:
- Desventaja 1: No añade seguridad.
Se asume que alguien que ha accedido a tu base de datos de contraseñas también tiene acceso a esa otra base de datos externa. La dificultad de romper las claves es la misma, por lo que la ventaja 1 desaparece.
Idem para sistemas que calculan otro factor "secreto" a partir de los datos de usuario (base64 del email, md5 de la fecha de creación, etc). Se asume que el código se filtra.
- Desventaja 2: Rendimiento y complejidad.
Si para validar cada usuario tienes que acceder y cruzar datos de varios sitios, el rendimiento empeora. Si usas un slow hash (PBKDF2), ya es bastante lento como para añadir más pasos.
En todo caso, el artículo se centra en cómo mitigar daños cuando la db de usuarios se ha filtrado. Lo que tú propones es cómo evitar que el atacante se haga con los datos, y sobre ese tema da para otro artículo igual de largo.
@gallir, no sé si se podrá solucionar que si accedes a una noticia con meneo/cXXX#c-XX y ves una imagen subida por un usuario de otro comentario, cuando cierras la imagen, se te desplace el navegador para mostrar el c-XX.
@cubaman@gallir gracias, lo conozco. Pero lo utilizo poco porque tengo la mano derecha en el ratón y la izquierda en el teclado. Y como el botón de HOME está a la derecha, me es un poco incómodo. Normalmente pincho en la barra de desplazamiento y la llevo hasta arriba en un momento.
Lo decía sobre todo pensando en móviles y en darle alguna utilidad a la columna de estado, que ahora mismo esos links no aportan nada.
@gallir, ¿qué tal que el link de estado de la fisgona (publicada, pendiente, etc) apunte al link de la noticia? Creo que sería útil, al menos a mí. Me explico:
Siempre tengo abierta la fisgona con los checkbox de chat/comentarios. Cuando veo un comentario de una noticia que me interesa, si lo que quiero leer es la noticia propiamente dicha (y no el comentario), tengo que hacer click en el link del comentario y luego hacer scroll hasta arriba del todo.
Parece una tontería, pero a mí me pasa mucho y no hay forma de ir directamente a la descripción del meneo. Me ahorrarías millones de scrolls
Además, esos links de publicada/pendiente de la columna estado están accesibles desde la cabecera.
@gallir lo único que hacía era coger los links de la clase fancybox del texto de los comentarios y formaba una galería. Pero sólo lo hacía de la página actual; si el meneo tiene varias páginas, no cogía todas. Si lo quieres meter, no valdría y habría que hacerlo para todos los comentarios.
@gallir, he metido a un script que me he hecho algo que creo que es bastante útil: añadir al subheader de cada noticia un link con la galería de imágenes de los comentarios.
@gallir, siento estar tan pedigüeño, pero también me sería útil que en el rss de las notas se añadiera la id del usuario, el karma y el número de votos.
Y otra tontería: si has votado algún comentario de un usuario baneado, el color que indica el tipo de voto a dicho comentario se superpone sobre la estrella para marcarlo como favorito www.meneame.net/user/padre/shaken_comments/2350
Te equivocas completamente. Los "poderosos" cierran el 23. Las webs normales cierran el 18.
¿Por qué se cierra? Pues para obligar a los medios a que hablen de SOPA/PIPA. Por si no os habéis fijado, no han salido en ningún medio corporativo tradicional.
El hecho de que menéame cerrase ayudaría a que influya en los medios, ni que sea por que por un día no tiene noticias para plagiar
@ailian me gustaría invitarte al Escèptics al Pub, para ver la otra cara de la moneda.
Hemos hecho charlas sobre transgénicos, homeopatía, energía nuclear... con especialistas en esos temas. Y, la verdad, la ciencia que hay detrás es muy convincente.
@ailian@NazguL2 me refiero a los votos negativos injustificados, en base a dogmas irracionales.
Los transgénicos no son un milagro, son un hecho.
Cada día comes productos transgénicos, te vistes con transgénicos, te medicas con transgénicos, tus billetes son transgénicos, etc.
@Alecto un par de cosas:
- Los "diminutos" no reciben financiación por tu voto, ni por nada. Solo reciben financiación los grandes.
- Si no te gusta ninguno, vota nulo. Así expresas tu opinión, y no sube el número de votos válidos.
- No votes en blanco, pues sube la cantidad de votos válidos: perjudicas a los pequeños, beneficias al bipartidismo
¡Eran otros tiempos! Hace 10 años cualquier red social era más informal y distendida de lo que son ahora. Los trolleos eran simpáticos, se captaban las ironías, etc. Había que venir llorado de casa
Ha cambiado mucho. Las redes sociales se usan para ofenderse, nadie entiende el sarcasmo
Menéame ya no es lo que era
[Edit] Ah, no, lo que pasa es que si tengo subs añadidos me carga por defecto la pestaña de subscripciones. Creo que sería mejor que mostrara todas.
Supongo que habrá algún motivo técnico que me gustaría conocer. Gracias.
> El segundo salt podría estar incrustado directamente en el código fuente (mala práctica) o tomarse a partir de archivos de configuración
- el salt tiene que ser distinto para cada usuario, o no funciona. Si usas el mismo salt, es contraproducente.
- si tienen acceso a tu db de usuarios puedes asumir que también tienen acceso a la app. El código fuente, o la config, estarán en memoria.
> Seguramente en rendimiento no merece la pena, pero quería plantear el escenario de que el atacante sólo tuviera acceso a una parte del salt.
El salt es algo público, casi por definición. La idea es que el hash y el salt son públicos y conocidos, mientras que el password es secreto y es (casi)imposible de deducir a partir del hash y el salt.
- Desventaja 1: No añade seguridad.
Se asume que alguien que ha accedido a tu base de datos de contraseñas también tiene acceso a esa otra base de datos externa. La dificultad de romper las claves es la misma, por lo que la ventaja 1 desaparece.
Idem para sistemas que calculan otro factor "secreto" a partir de los datos de usuario (base64 del email, md5 de la fecha de creación, etc). Se asume que el código se filtra.
- Desventaja 2: Rendimiento y complejidad.
Si para validar cada usuario tienes que acceder y cruzar datos de varios sitios, el rendimiento empeora. Si usas un slow hash (PBKDF2), ya es bastante lento como para añadir más pasos.
En todo caso, el artículo se centra en cómo mitigar daños cuando la db de usuarios se ha filtrado. Lo que tú propones es cómo evitar que el atacante se haga con los datos, y sobre ese tema da para otro artículo igual de largo.
Ejemplo: www.meneame.net/story/cuanto-cuesta-tener-apendicitis-eeuu/c027#c-27 y ves la imagen del comentario #38
Lo decía sobre todo pensando en móviles y en darle alguna utilidad a la columna de estado, que ahora mismo esos links no aportan nada.
Siempre tengo abierta la fisgona con los checkbox de chat/comentarios. Cuando veo un comentario de una noticia que me interesa, si lo que quiero leer es la noticia propiamente dicha (y no el comentario), tengo que hacer click en el link del comentario y luego hacer scroll hasta arriba del todo.
Parece una tontería, pero a mí me pasa mucho y no hay forma de ir directamente a la descripción del meneo. Me ahorrarías millones de scrolls
Además, esos links de publicada/pendiente de la columna estado están accesibles desde la cabecera.
Por si te parece buena idea y lo quieres poner.
En lugar de: 1,2...última,siguiente
Y otra tontería: si has votado algún comentario de un usuario baneado, el color que indica el tipo de voto a dicho comentario se superpone sobre la estrella para marcarlo como favorito www.meneame.net/user/padre/shaken_comments/2350
es.juanelo.net/tiras/Juanelo1572.png
Te equivocas completamente. Los "poderosos" cierran el 23. Las webs normales cierran el 18.
¿Por qué se cierra? Pues para obligar a los medios a que hablen de SOPA/PIPA. Por si no os habéis fijado, no han salido en ningún medio corporativo tradicional.
El hecho de que menéame cerrase ayudaría a que influya en los medios, ni que sea por que por un día no tiene noticias para plagiar
@syrusakbary @gallir
PD: Se escribe "escépticos", se pronuncia igual.
Hemos hecho charlas sobre transgénicos, homeopatía, energía nuclear... con especialistas en esos temas. Y, la verdad, la ciencia que hay detrás es muy convincente.
Estáis todos invitados. Algunos enlaces:
www.esceptics.com
www.facebook.com/esceptics
twitter.com/esceptics
Los transgénicos no son un milagro, son un hecho.
Cada día comes productos transgénicos, te vistes con transgénicos, te medicas con transgénicos, tus billetes son transgénicos, etc.
Infórmate un poco antes de votar negativo...
www.meneame.net/story/productos-naturales-vaya-timo-amigos-tierra-busc
Menéame ya no es lo que era
- Los "diminutos" no reciben financiación por tu voto, ni por nada. Solo reciben financiación los grandes.
- Si no te gusta ninguno, vota nulo. Así expresas tu opinión, y no sube el número de votos válidos.
- No votes en blanco, pues sube la cantidad de votos válidos: perjudicas a los pequeños, beneficias al bipartidismo
En este vídeo se explica bien:
www.youtube.com/watch?v=9xqhbx_DYoI&t=13m5s