Conexión cifrada a burbuja.info

[Addan]

He observado que burbuja.info no cuenta con la posibilidad de establecer una conexión cifrada porque al usar el https:// el navegador me avisa de que el certificado está autofirmado y aunque lo acepte lleva a una página sin configurar del servidor.

Para quien no lo sepa, al conectarte a esta página con una conexión desprotegida cualquier persona puede saber los hilos que visitamos, los post que leemos, las respuestas que escribimos, los perfiles que visitamos, los enlaces que seguimos, los mensajes privados que nos envían, los mensajes privados que enviamos a los demás...

Podría ser una persona que se aburre o podría ser nuestro ISP o la policía si cree que formamos parte de algún grupo "subversivo" (con el reciente revuelo del 15m y el manifiesto de burbuja es más que probable que ya haya sucedido).

Dado que no es la primera vez que burbuja.info sale en los medios, es de suponer que hay muchos ojos vigilando y creo que es imprescindible el proporcionar un poco de seguridad a los usuarios al visitar la página.Y aunque alguien piense que esto es una magufada y que no hay que hacerlo porque aquí no tenemos nada que ocultar, la realidad es que no hay motivos para NO hacerlo, puesto que es gratis y las páginas no van más lento por activarlo y como prueba aquí esta el post que Google hizo al activar el cifrado SSL por defecto en Gmail y que viene a decir lo mismo:

Default https access for Gmail - Official Gmail Blog

Lo único que habría que hacer es conseguir un certificado digital porque la conexión SSL ya funciona en el servidor pero no está configurada.

Creo que es importante.

 

[El_Niño_Del_Palo]

De todas maneras, el dia que empiecen a ir a por algunos por expresarse por internet es que ya estamos en MADMAX.

 

[hibridus]

Trankis. Una copia de vuestras cuentas ya están seguras en el CNI. SI seguis haciendo estos comentarios solo vais a conseguir que os pongan en lista de sospechosos si no lo estais ya.

 

[Cui Bono]

Si el CNI interviene burbuja no te sirve de nada la conexión cifrada. Cualquier mensaje perseguible está en la base, junto con tu IP.

En el caso de que quieras cifrar la salida desde tu casa, por si tu ISP te ha puesto un sniffer, vas a necesitar una VPN de confianza.

Yo que tú dejaba de ser malo, te va a salir más barato. Y no, opinar no es malo, ni perseguible por los agentes del estado, a no ser que escribas las palabras prohibidas, tal que "mato", "Zapatero", "detonador", "bomba" o "aibalaostia patxi" (uppppsss, estoy perdido).

 

[Addan]

Si el CNI interviene burbuja no te sirve de nada la conexión cifrada. Cualquier mensaje perseguible está en la base, junto con tu IP.

En el caso de que quieras cifrar la salida desde tu casa, por si tu ISP te ha puesto un sniffer, vas a necesitar una VPN de confianza.

Yo que tú dejaba de ser malo, te va a salir más barato. Y no, opinar no es malo, ni perseguible por los agentes del estado, a no ser que escribas las palabras prohibidas, tal que "mato", "Zapatero", "detonador", "bomba" o "aibalaostia patxi" (uppppsss, estoy perdido).

Eso de que todos los mensajes se guardan con su correspondiente IP en la base de datos debería en todo caso decirlo querido líder. Desde luego en la política de privacidad no lo pone:
Legal: burbuja.info

Pero aunque así fuera eso es algo que se puede remediar fácilmente con el uso de un proxy, por lo que si alguien lo considera necesario tiene esa opción.

En cuanto a lo de que tu ISP puede ver tus comunicaciones con un sniffer... yo todavía no lo he visto y de hecho la información sale cifrada del servidor y sale cifrada de tu ordenador y puedes saber si ha sido modificada por el camino porque te daría un error de seguridad. De todas formas estoy abierto a todo tipo de información por lo que agradecería que pusieses algún enlace en el que se explique ese ataque.

Pero lo he dicho antes: NO hay razón para no hacerlo excepto la dejadez. Yo puedo confiar mucho en mis vecinos pero eso no significa que deje abierta la puerta de mi casa porque me de pereza llevar las llaves encima.

 

[Addan]

Tor fue creado por el gobierno de EE.UU como herramienta de código abierto para el espionaje — ALT1040

Si quieren pillarte te van a pillar igual, aunque navegues detrás de 7 proxies.

Vamos a ver, este post no trata ni mucho menos sobre Tor pero...

Si te crees el primer mensaje sensacionalista que te encuentras en cualquier página lo llevas mal.
Para empezar, que Tor fue un proyecto apoyado económicamente en sus inicios por el gobierno de los Estados Unidos es algo que lo sabe todo el mundo, de hecho lo dicen sus propios creadores y está en la propia página principal del proyecto:

https://www.torproject.org/about/torusers.html.en#military
https://www.torproject.org/about/overview.html.en

Tor was originally designed, implemented, and deployed as a third-generation onion routing project of the U.S. Naval Research Laboratory. It was originally developed with the U.S. Navy in mind, for the primary purpose of protecting government communications. Today, it is used every day for a wide variety of purposes by normal people, the military, journalists, law enforcement officers, activists, and many others.

¿Por qué iban a admitirlo de esa manera si tuviesen algo que ocultar?

Por otra parte es completamente normal que los distintos gobiernos apoyen y financien programas de cifrado y seguridad. Son ellos precisamente las entidades con mayor cantidad de documentos clasificados y de información confidencial por lo que son los principales interesados en que esta tecnología se desarrolle y sea cada vez más efectiva.

El gobierno de los EEUU no solo está detras de Tor, también financió e impulsó el standard de cifrado AES que es actualmente el método más utilizado por gobiernos y organizaciones de todo el mundo y es el considerado más seguro precisamente por los controles de calidad que realizó la agencia nacional de seguridad de los EEUU. Lógicamente no iban a confiar en un cifrado que no creyesen que es 100% seguro.

Tanto Tor como AES son de código completamente abierto y han sido auditados por infinidad de particulares, empresas y gobiernos extranjeros y nadie ha encontrado ninguna puerta trasera ni ningún fallo en su implementación que impida su uso. ¿Te crees que el gobierno de Rusia (por poner un ejemplo) no utiliza también Tor? ¿Crees que lo utilizarían si fuese de código cerrado y no lo hubiesen auditado previamente?

La realidad es que cuanta más gente utilice el cifrado de comunicaciones y cuanta más gente y organizaciones comprueben su código, más seguros estamos todos.

En tecnología si crees que algo no funciona como debe hay que demostrarlo, no sirve con un "pues yo creo que...."

Y el cifrado de páginas funciona, es eficaz y es rápido. No hay razón para no implantarlo.

 

[Seneca]

Si te da igual, en el momento que la policía quiera investigar el foro querido líder no les va poner ningún impedimento.

 

[Cui Bono]

Eso de que todos los mensajes se guardan con su correspondiente IP en la base de datos debería en todo caso decirlo querido líder. Desde luego en la política de privacidad no lo pone:
Legal: burbuja.info

Por si acaso no te fíes un pelo, que los moderadores vete a saber tú lo que ven. Menudas joyitas son!!

Pero aunque así fuera eso es algo que se puede remediar fácilmente con el uso de un proxy, por lo que si alguien lo considera necesario tiene esa opción.

Con un proxy seguirías sin tener el anonimato asegurado y, además , si son públicos ("free") pones en peligro tu privacidad.

En cuanto a lo de que tu ISP puede ver tus comunicaciones con un sniffer... yo todavía no lo he visto y de hecho la información sale cifrada del servidor y sale cifrada de tu ordenador y puedes saber si ha sido modificada por el camino porque te daría un error de seguridad.

Ya, pero hablas de privacidad, no de anonimato. Primero se pierde el anonimato y luego la privacidad.

Una vez localizados tú y tu contraparte haciendo htpps, y conocidas las IP debido a la falta de anonimato, el packet sniffing permite el registro de los datos intercambiados, siendo irrelevante que estén encriptados, ya que el descifrado viene después, cuando a la clave pública se le sume la privada obtenida por petición judicial. Entonces caen las claves de operación del proceso de handshaking inicial, y tus conversaciones durante meses se desvelan.

Ten en cuenta que lo que pides es la clave pública de burbuja.info para una conexión https. Es decir, pides que querido líder te asegure privacidad y nada menos que contra el CNI.

Este es el aspecto de una orden de packet sniffer bajo la aplicación winbox para rourterOS:

Donde pone "0.0.0.0" pon la IP del aparato que han traido los agentes para registrar el streaming o bien, la dirección ip del server que te digan.

Esto lo hará tu ISP, tu servidor de Proxy VPN contratado o el DataCenter de esta web, si eres malo y el juez lo estima.

De todas formas estoy abierto a todo tipo de información por lo que agradecería que pusieses algún enlace en el que se explique ese ataque.

Pero lo he dicho antes: NO hay razón para no hacerlo excepto la dejadez. Yo puedo confiar mucho en mis vecinos pero eso no significa que deje abierta la puerta de mi casa porque me de pereza llevar las llaves encima.

Ni dejadez ni leches. Sólo tiene sentido tener https si buscas privacidad. Ya me dirás que privacidad hay si luego todo se expone en un foro público ::

Pide privacidad en la conexión de tu banco, no en un foro público, no vaya a petar el server de querido líder por tener que encriptar o desencriptar todo el tráfico.

 

[Calculín]

Por si acaso no te fíes un pelo, que los moderadores vete a saber tú lo que ven. Menudas joyitas son!!



Con un proxy seguirías sin tener el anonimato asegurado y, además , si son públicos ("free") pones en peligro tu privacidad.



Ya, pero hablas de privacidad, no de anonimato. Primero se pierde el anonimato y luego la privacidad.

Una vez localizados tú y tu contraparte haciendo htpps, y conocidas las IP debido a la falta de anonimato, el packet sniffing permite el registro de los datos intercambiados, siendo irrelevante que estén encriptados, ya que el descifrado viene después, cuando a la clave pública se le sume la privada obtenida por petición judicial. Entonces caen las claves de operación del proceso de handshaking inicial, y tus conversaciones durante meses se desvelan.

Ten en cuenta que lo que pides es la clave pública de burbuja.info para una conexión https. Es decir, pides que querido líder te asegure privacidad y nada menos que contra el CNI.

Este es el aspecto de una orden de packet sniffer bajo la aplicación winbox para rourterOS:

Donde pone "0.0.0.0" pon la IP del aparato que han traido los agentes para registrar el streaming o bien, la dirección ip del server que te digan.

Esto lo hará tu ISP, tu servidor de Proxy VPN contratado o el DataCenter de esta web, si eres malo y el juez lo estima.



Ni dejadez ni leches. Sólo tiene sentido tener https si buscas privacidad. Ya me dirás que privacidad hay si luego todo se expone en un foro público ::

Pide privacidad en la conexión de tu banco, no en un foro público, no vaya a petar el server de querido líder por tener que encriptar o desencriptar todo el tráfico.

No sé si entonces yo estoy equivocado, porque tenía entendido que para https se negocia una clave aleatoria (Que se transmite con clave privada/pública), y a parir de ahí en la conexión se usa cifrado simétrico.

Con la clave privada de server no podrías hacer mucho más que sin ella.

 

[Cui Bono]

No sé si entonces yo estoy equivocado, porque tenía entendido que para https se negocia una clave aleatoria (Que se transmite con clave privada/pública), y a parir de ahí en la conexión se usa cifrado simétrico.

Con la clave privada de server no podrías hacer mucho más que sin ella.

Pero estás en layer 4, tienes todos los paquetes, en crudo.
OSI model - Wikipedia, the free encyclopedia

El cliente usa la clave pública para encriptar y para desencriptar. El server entiende lo encriptado porque tiene la clave privada y a su vez emplea la clave privada para encriptarle al cliente, que lo puede desencriptar porque las claves son asimétricas y teniendo la clave privada desencriptas lo que ha sido escrito por la clave pública, y viceversa.

Es el cliente el que establece la clave de operación, y si tú eres el man-in-the-middle y no tienes la clave privada, no te enteras de ese trámite, no puedes desencriptar más que la parte del server, que empieza a usar la clave de operación para lo siguiente a transmitir dejándote tirado.

En tanto que el sniffing es en crudo, en la capa de transporte, lo tienes todo cuando la clave privada es desvelada, solo tienes que desencapsular, descomprimir y, con el soft adecuado y ambas claves asimétricas, verlo desencriptado por pura y simple simulación de las capas superiores.

 

[Vamos P´Alemania Pepe]

Pero estás en layer 4, tienes todos los paquetes, en crudo.
OSI model - Wikipedia, the free encyclopedia

El cliente usa la clave pública para encriptar y para desencriptar. El server entiende lo encriptado porque tiene la clave privada y a su vez emplea la clave privada para encriptarle al cliente, que lo puede desencriptar porque las claves son asimétricas y teniendo la clave privada desencriptas lo que ha sido escrito por la clave pública, y viceversa.

Cifrar, por favor.

 

[Addan]

Una vez localizados tú y tu contraparte haciendo htpps, y conocidas las IP debido a la falta de anonimato, el packet sniffing permite el registro de los datos intercambiados, siendo irrelevante que estén encriptados, ya que el descifrado viene después, cuando a la clave pública se le sume la privada obtenida por petición judicial. Entonces caen las claves de operación del proceso de handshaking inicial, y tus conversaciones durante meses se desvelan.

Ten en cuenta que lo que pides es la clave pública de burbuja.info para una conexión https. Es decir, pides que querido líder te asegure privacidad y nada menos que contra el CNI.

Este es el aspecto de una orden de packet sniffer bajo la aplicación winbox para rourterOS:

Donde pone "0.0.0.0" pon la IP del aparato que han traido los agentes para registrar el streaming o bien, la dirección ip del server que te digan.

Esto lo hará tu ISP, tu servidor de Proxy VPN contratado o el DataCenter de esta web, si eres malo y el juez lo estima.



Ni dejadez ni leches. Sólo tiene sentido tener https si buscas privacidad. Ya me dirás que privacidad hay si luego todo se expone en un foro público ::

Pide privacidad en la conexión de tu banco, no en un foro público, no vaya a petar el server de querido líder por tener que encriptar o desencriptar todo el tráfico.

Ya pero lo que tu dices no es un ataque o un fallo en la seguridad del sistema, supongo que si la policía consigue las claves por orden judicial podrá descifrarlo. Pero aquí de lo que se trata es de evitar "curiosos" o escuchas no autorizadas como ciertas organizaciones o la policía misma configurando perfiles de foreros de forma ilegal sin pasar por el filtro previo de los jueces y sin tener que dar explicaciones a nadie.

Yo creo que aquí nadie está haciendo nada como para justificar una intervención "oficial" de la policía y quiero pensar que querido líder no les daría ningún dato a no ser que tengan la correspondiente orden, por lo que implantando el cifrado se garantizaría casi al 100% la seguridad de las comunicaciones.

A quien diga que no le importa que nadie le vigile le reto a que ponga en este hilo todos sus mensajes personales con sus respuestas. Total, que más da.

 

[Cui Bono]

Ya pero lo que tu dices no es un ataque o un fallo en la seguridad del sistema, supongo que si la policía consigue las claves por orden judicial podrá descifrarlo. Pero aquí de lo que se trata es de evitar "curiosos" o escuchas no autorizadas como ciertas organizaciones o la policía misma configurando perfiles de foreros de forma ilegal sin pasar por el filtro previo de los jueces y sin tener que dar explicaciones a nadie.

Yo creo que aquí nadie está haciendo nada como para justificar una intervención "oficial" de la policía y quiero pensar que querido líder no les daría ningún dato a no ser que tengan la correspondiente orden, por lo que implantando el cifrado se garantizaría casi al 100% la seguridad de las comunicaciones.

A quien diga que no le importa que nadie le vigile le reto a que ponga en este hilo todos sus mensajes personales con sus respuestas. Total, que más da.

Los mensajes personales están sin cifrar en la base de datos y esa información no es accesible a otros usuarios o a moderadores. El que estén cifrados o no, es asunto tuyo, no de querido líder. Usa el cifrado que quieras y luego pásalos a base64 y podrás tener MP que no sean rastreables. Eso sí, el tipo al que escribes el MP ha de ser capaz de descifrarlo.

Tamién puedes borrar esos mensajes personales y pedir a tus interlocutores que lo hagan tambíen, si te quedas más tranquilo.

En cuanto al resto de mensajes, los normales, el resto de usuarios los vemos, con lo cual es absurdo lo que planteas acerca de tener conexión https para que la comunicación con el server esté cifrada. Es absurdo porque después los mensajes se ponen tal y como están, sin cifrar, y no tenemos cadenas extrañas de texto que después desciframos porque poseemos claves. Te recuerdo que esto es un foro público.

En cuanto a los perfiles, se pueden almacenar mensajes, con sus usuarios y organizados en hilos. Sólo necesitas tecnología muy básica y conocimiento suficiente de PHP, JQuery, DOM, CSS, etc.. Una vez capturada esa información de forma recursiva y estructurada, sería posible establecer perfiles por datamining y por búsquedas en una base. No es un problema de este foro, ya que es inevitable que si están todos los mensajes y toda la información es abierta a la red, estos mensajes puedan ser de alguna forma capturados y analizados los hilos y los usuarios. Google lo hace, lo de descargar y analizar. No veo a donde quieres ir a parar.

El anonimato en este foro está garantizado en tanto que la información que recoje el servidor y que puede revelar quién eres como persona física está salvaguardada tanto por el dueño de esta web como por la compañía de telecomunicaciones.

Lógicamente, si crees que la Compañía o esta Web forman parte de una trama de registro de comportamientos de cara a acciones de control social o de persecución política y tienes pruebas de ello, te invito a que contactes conmigo (si es que soy de fiar) y moneticemos esa jugosa información que vale su peso en oro si llega a ser cierta.

Si resulta que no tienes pruebas, que es un sentimiento de inseguridad que tienes, decirte que eso es sanísimo, lo de tener miedo y ser precavido, pero en lo que concierne a este foro o a las fuerzas de seguridad del estado, creo que es una conspiranoia como una catedral de grande y no nos van a perseguir por tratar en este foro datos que mayormente son de dominio público y por expresar opiniones.

 

[SGAE CLOACAE]

He observado que burbuja.info no cuenta con la posibilidad de establecer una conexión cifrada porque al usar el https:// el navegador me avisa de que el certificado está autofirmado y aunque lo acepte lleva a una página sin configurar del servidor.

Para quien no lo sepa, al conectarte a esta página con una conexión desprotegida cualquier persona puede saber los hilos que visitamos, los post que leemos, las respuestas que escribimos, los perfiles que visitamos, los enlaces que seguimos, los mensajes privados que nos envían, los mensajes privados que enviamos a los demás...

Podría ser una persona que se aburre o podría ser nuestro ISP o la policía si cree que formamos parte de algún grupo "subversivo" (con el reciente revuelo del 15m y el manifiesto de burbuja es más que probable que ya haya sucedido).

Dado que no es la primera vez que burbuja.info sale en los medios, es de suponer que hay muchos ojos vigilando y creo que es imprescindible el proporcionar un poco de seguridad a los usuarios al visitar la página.Y aunque alguien piense que esto es una magufada y que no hay que hacerlo porque aquí no tenemos nada que ocultar, la realidad es que no hay motivos para NO hacerlo, puesto que es gratis y las páginas no van más lento por activarlo y como prueba aquí esta el post que Google hizo al activar el cifrado SSL por defecto en Gmail y que viene a decir lo mismo:

Default https access for Gmail - Official Gmail Blog

Lo único que habría que hacer es conseguir un certificado digital porque la conexión SSL ya funciona en el servidor pero no está configurada.

Creo que es importante.

nooooo!!!! no solo no ha sucedido si no que NUNCA sucederá :rolleye: