Robots.txt, la SGAE y Multivac

El archivo robots.txt, presente en prácticamente cualquier sitio web, sirve para indicar a algunos bots de análisis web que deben ignorar determinados directorios o archivos. Estos bots son utilizados, por ejemplo, por motores de búsqueda como Google para explorar e indexar la web de forma automática.

Algunos administradores utilizan erróneamente el archivo robots.txt para privatizar directorios o archivos. En realidad, solo sirve para hacer peticiones a algunos bots y estos directorios o archivos seguirán accesibles usando un navegador si no se protegen de otra manera.

De hecho, es irónico pensar que a menudo estas rutas “ocultas” dejan de estar ocultas para cualquier atacante gracias al archivo robots.txt . [Entrada de Chema Alonso sobre estos pobres incomprendidos].

Sigue leyendo

Principios de diseño de interfaces, IBM (2001)

Simplicidad

El programa debe ser de manejo fácil (buena usabilidad). Esto no implica perder funcionalidad.

Apoyo

El control del programa recae sobre el usuario. El sistema debe ofrecerle ayuda para facilitarle la labor.

Familiaridad

Debemos diseñar la interfaz teniendo en cuenta los conocimientos previos del usuario.

Evidencia

Hacer los controles y otros objetos visibles e intuitivos, por ejemplo, usando representaciones del mundo real.

Sigue leyendo

“Hacking” a través de Dropbox

Esteban Pardo nos muestra en su trabajo “Dropbox + symlinks = Privacidad(0)” como acceder a los archivos de otra persona a través de la nube usando Dropbox.

La idea es muy buena y fácil de hacer. Se trata de crear un link simbólico, ocultarlo en una carpeta comprimida y compartirla con la víctima a través de Dropbox. Cuando la víctima descomprime la carpeta, el link se enlaza automáticamente y ya tenemos acceso a la  ruta deseada.

Sigue leyendo

Mensajes falsos por Facebook usando Emkei.cz

Ya escribí en unos de mis posts anteriores acerca de Emkei.cz, pero ahora he encontrado la manera de usarlo para enviar mensajes privados por Facebook desde cualquier perfil. Para ello lo único que necesitamos es la dirección de correo asociada a la cuenta de Facebook de la persona a la que queremos suplantar, la que envía el mensaje.

Puede ser que conozcamos a esa persona y ya sepamos su correo, o que lo muestre públicamente en su perfil, pero muchas veces tendremos que investigar un poco para saberlo. Por suerte, Facebook puede ayudarnos.

Sigue leyendo

Android Lost: seguridad Android

Si tuviéramos acceso a la cuenta de Google de algún conocido podríamos cotillear en su cuenta de YouTube, podríamos interferir en sus relaciones personales usando Google + (si es que queda gente que lo use) o podríamos entrar en su cuenta de Gmail y además con ello acceder a cuentas de otros servicios. Pero si además esa persona usa Android, podríamos controlar su vida móvil instalándole Android Lost.

Sigue leyendo

Mail Spoofing: Emkei’s Fake Mailer

¿Imaginas poder enviar mails desde cualquier dirección?

En realidad es muy fácil de hacer, se llama Mail Spoofing (spoofing = suplantación)  y cualquiera puede usarlo para gastar una broma a un amigo. El problema es que con un poco de imaginación resulta mucho más útil y es una herramienta interesante para realizar estafas, robar información y, en definitiva, ingeniería social.

Sigue leyendo