Mercè
Follow

Dejé dicho en Twitter que me iba y la cuenta en Mastodon donde podian localizarme, pero lo he pensado mejor y lo he borrado: no quiero que me encuentren.

@jmanumeza hola Manu :) si, hacer limpieza de vez en cuando :)

@merce ... a eso se le llama, irse ' a la francesa '  ?

@jordila es imposible irse de esa gente. "Patrullan" rutinariamente las redes alternativas y he visto charlas donde explican la poca seguridad que hay en Mastodon et alii, que permite un espionaje más fácil.

Esto es Matrix y el agente Smith está por todas partes...

@merce @jordila ¿En qué sentido lo de poca seguridad? Lo digo porque si una cuenta es pública (como normalmente lo son en microblogging) la seguridad de lo que se publica no "aplica" demasiado...

@tagomago @jordila mira, aquí está el video: NcN 2017 - Seguridad en redes sociales libres.Ataques y amenazas vimeo.com/249057699

@merce @tagomago @jordila le doy like para marcarlo y verlo luego porque lo poco que he visto es de traca...

@kim @tagomago @jordila agradeceré conocer tus impresiones de lo que aquí se dice :)

@merce @kim @jordila
He visto más o menos la mitad y para mí casi todo lo que señalan como fallos de seguridad en realidad son características de la red. Llamar "espionaje" a leer el historial me parece un poco fantasmada, la verdad. Creo que aquí todo el mundo es consciente de que lo que publica es público. Yo pensaba que iban a entrar en la administración, inyectar SQL y cosas de esas. Además he visto varios errores de bulto. Creen que GNU social usa ActivityPub (ya quisiéramos todos), p.e.:

@merce @kim @jordila

También creen que Quitter es una red distinta a GNU social. Vamos, que yo creo que se dieron una vuelta por aquí un par de días a jugar con sus juguetes y reírse un rato, pero que se han perdido conceptos de base...

@tagomago @jordila @kim @merce Algún que otro fallo hace un año esto tenia y sigue seguramente como todo teniendo. No obstante recuerdo estas charlas ya que yo mismo puse urls de esto hace tiempo. Es maravilloso que existan charlas pensé en su momento. Luego dije... y ¿no sería mejor que se solucionasen estas cosas?. Esas charlas han quedado desde hace meses "depecrated" (obsoletas). Aunque supongo que a algún nodo aún le dañan.

@fanta

Es que ellos se nota que piensan en clave de servicio centralizado en producción y "for profit", porque mencionan todo el rato temas de DoS, de impersonations y tal, que aquí como que nos la pela.

Las soluciones que proponen ellos son tipo "poned reCaptchas" (mira, mejor no, gracias), limitar las APIs, y (en GNU social) evitar los nombres correlativos de recursos. Yo creo que hay prioridades más importantes a nivel de eficiencia de código (y otros) ahora mismo.

@jordila @kim @merce

@tagomago @jordila @kim @merce en una barbacoa el verano pasado resolvimos esto a base de dialogo entre gente cercana al ponente. Era gente que venia de ver esa charla. Y que conste que el ponente es potente pero creo que suelta cosas que son poco relevantes desde un punto de vista funcional en redes federadas. Suelta algunas cosas buenas claro, y esas cosas ya han sido arregladas. Pero empezó quizás con eso para ir informando de como funcionan estas cosas. Es una charla buena pero ... ahora mismo ya obsoleta y superada entiendo.
@tagomago @jordila @kim @merce lo que si sabemos es que pendemos del nodo en el que tenemos la cuenta. Lo mismo para protocolos xmpp. Y por eso nos abrimos cuenta en varios nodos para cuando fallen. Y fallarán. Esto no es twitter, es autogestión sin muchos recursos muchas veces. Una cuenta backup no sobra en otro nodo.

@fanta @jordila @tagomago @merce yo gracias a Mastodon hago backup de mi cuenta, así si pasa algo o cierra esta instancia puedo migrar a otra sin perder nada, de hecho tengo otro en mastodon.social :)

Fue una gran aportación esta.

@merce @darwinglara09 en las preferencias de Mastodon hay la opción exportar y puedes bajarte en formato ActivityPub todo incluso las imágenes.

Creo recordar que esto es de hace un par de versiones atrś solo, antes solo eran los seguidores, preferenciasy poco más.

@kim @merce Y después en la nueva instancia se carga esa información? Excelente

@darwinglara09
en "Ajustes" -> "Exportar datos" tienes los CSV con las listas de usuarias y abajo el botón "Solicitar fichero" de medios.

En la otra cuenta vas a "Importar" esos ficheros.

También en los "Ajustes" -> "Editar perfil", abajo del todo, está "Mover a una cuenta diferente", para redirigir a la nueva cuenta a quién llegue a la actual.

@kim @merce @fanta @tagomago

#mastodon #tip #migrateaccount #movercuenta #backup #activitypub

@fanta @jordila @kim @tagomago @merce
Realmente es un problema grave. Que la identidad y el servicio sean inseparables.
Igual que pueden cambiar de telefonica y sin perder el numero, deberia ser igual
Hubzilla tiene Nomadic identities y te puedes llevar tu identidad a otro servidor.

Tal vez el sistema por DNS este obsoleto o se quede corto para algunas cosas importantes.
https://about.psyc.eu/XMPP
Psyc, creo que tambien separaba la identidad de la localizacion fisica del servicio.

@pipistrellum

El problema que veo con las identidades nómadas en una federación es que el historial de publicaciones está conectado a una identidad (perfil, canal, da lo mismo). Las publicaciones son lo que hace a la identidad ser quien es. Y pretender que todas esas publicaciones referencien a una nueva identidad es confiar en que todos los servidores federados en los que se han replicado van a actualizarlas, lo cual en la práctica es una fantasía, al menos hoy.

@jordila @fanta @kim @merce

@pipistrellum Justo acabo de estar investigando en mi instancia junto a otros compañeros con la funcionalidad del export.

La idea es bajar un archivo con todos tus datos, imagenes, configuración, todo y tu clave rsa con la que firmas.

Ahora mismo es un mero backup pero teoricamente se pretende que se pueda migrar no solo entre instancias de Mastodon si no entre plataformas que usen ActivityPub.

Suena muy bien.

@jordila @fanta @tagomago @merce

@pipistrellum si es más bien eso que la identidad porque para subir ese backup primero deberas crear el usuario en la otra instancia y claro igual el nombre ya está cogido y no será exactamente mover la identidad en ese caso.

@jordila @fanta @tagomago @merce

@kim @pipistrellum @jordila @fanta @tagomago en todo caso lo que está bien de Mastodon es que puedas descargar la lista de gente a la que sigues, y pasarla a otra identidad en otra instancia, asi lo hice para pasar de merce@infosec.exchange a merce@hispagatos.space. Esto en Twitter no he visto como hacerlo que no sea un servicio de pago, o bien a mano, siguiendo uno a uno.

@merce

En Twitter puedes cambiar de username sin más. Sería el equivalente (manteniendo de hecho todo el contenido publicado). Pero no podrías crear un duplicado con otro user, cosa que aquí sí (aunque sin contenido).

@kim @pipistrellum @jordila @fanta

@xosem

Eso lo hace también Pump.io (mira, una cosa que he aprendido de la presentación de los hackers del BBVA 😂)

Es como el sistema de OpenID (que a mí nunca me ha hecho del todo gracia, no sé por qué). La autenticación se delega a otro servidor. En OpenID puede estar incluso fuera de la red. De hecho, ¿GNU social no aceptaba OpenID? Me ha venido ahora a la cabeza...

@pipistrellum @jordila @fanta @kim @merce

@tagomago @fanta @jordila @merce yo veo una falta de empatia hacia este tipo de software que tanta falta nos hace con la que llueve, en vez de analizar puntos fuertes y soluciones a los puntos flojos cuando estas aplicaciones son libres y se puede participar mejorandolas o potenciandolas de multiples formas parece que le hagan la rosca a las privadas como si fueran donde espejarse.

@kim @jordila @tagomago @merce estas redes no están exentas de errores. todo lo contrario, nos hacen crecer. Siempre es positivo gente que comparta eso.

@kim

Hay una perla que me ha hecho gracia, en 37:58 creo, dice "la verdad es que los del opensors se lo curran". O sea, para ellos esto es una marcianada absoluta 😂

@fanta @jordila @merce

@tagomago @fanta @jordila @merce es que esa era la sensación general que todo esto era una mierda, una copia chapucera de las privadas.

Muy poco constructivo para mi gusto y muy poco cercano a la filosofia comprometida con la libertad que a mi me gusta.

@tagomago @merce @jordila yo cuando he visto empezar con los curriculums para luego decir que estan muy interesados en privacidad para luego frotarse las manos y empezar el ataque a estas redes ya lo he puesto en marcadores... ;)

@merce He visto la 1º parte que sobre Mastodon y esta gente ha perdido del todo el norte. Empiezan diciendo que estan comprometidos con la privacidad, viendo que usan TW ya ves el grado de compromiso. Dejando de lado el galimatias técnico, tienen un buen kakao mental con protocolos y conceptos. pasan por alto la parte más importante, la filosofia de los proyectos pero claro a ellos que más les da la cultura libre y el anonimato si el GAFAM les da unas apps con las que pueden inflar su ego.

@merce la segunda no se si verla porque ha empezando definidiendo gnusocial como "otra porqueria"... prefiero ocupar el tiempo en otra cosa porque el tipo ademas me da urticaria.

@kim sí, coincido, y hablan de alguien que creó una instancia como de un colgado. Estos dos están totalmente intoxicados por la Ciberseguridad y lo que conlleva (dinero, escribir manuales y llamarlos libros, que te inviten a dar charlas en las cons de la policía.. fama, sexo y rock'n'roll). Dan a entender que el Fediverso está habitado por delincuentes y colgados y estoy segura de que se lo creen. Hay que tenerles compasión.

@merce si ya lo de metasploits y lo del phishing prefiero ni valorarlo.

Molaria un review de @fanta en mierda.tv :D

@kim voy a leer este hilo ya que es cierto que existen problemas en estas redes libres aún no resueltos pero justamente los de las diapositivas del navaja y de otros eventos están más que superados. Con estas cosas @merce/ nos pasa un poco como con eso de que en "GNU/Linux no se puede jugar a juegos".
¿Cuantos años más con esto?.
Si. Vimos esa charla. Se solucionaron los problemas. La vida sigue en las redes libres :).
@kim @merce yo podría seguir abriendo en otro nodo una cuenta con nick merce @ otro nodo. pero no en tu nodo. Eso no es un problema como no lo es que yo mande un correo a benito@hotmail.com o a benito@gmail.com. Aquí se curra con un id completo de nick at host. Federamos pues es necesario para habilitar la posibilidad de que existan diferentes redes que hablen un mismo idioma. Y al final se trata de standard en protocolo y que de lo mismo que sistemas/apps/... use la gente. Por eso es vital en redes no centralizadas lo de saber que puede existir gente con el mismo nick (pero otro id). Tal y como en la vida misma. Existen más merces :)

@fanta tu que eres más técnico en estas cosas, por ejemplo lo del phishing, con una cuenta o 200 envian un link que suplanta una identidad en el fediverso. Bien.

Y en TW que pasa, ¿controlan los links posteados para evitar que yo meta un paypol.com y pida el login de paypal?

@merce

@fanta he estado dandole al tema porque soy cabezon, el problema es el la linea de tiempo federada que permite ver un link de phishing aunque no sigas al usuario en cambio en TW deberias cultivar unos seguidores para que te leyeran.

Pero cuidado aprovechando un hashtag trending topic llegarias a mucha mas audiencia que en Mastodon.

Por esa regla de tres el filtro por hashtags en TW es un agujero de seguridad.

@merce

@merce @kim

Lo gracioso es que al final de la presentación (sí, he acabado viéndola entera) el que tiene pinta de becario (el más normal) se pone a hablar maravillas de la comunidad de las redes libres. Vamos... que todo lo anterior es pura prepotencia y chulería para vender la moto de lo guays que son en su chachilab del BBVA. 💩

@tagomago @merce "el más normal" jaja parece que has tenido la misma sensación que yo.

El que ha hablado de Mastodon no te ha hecho tilín. :D

@kim @merce

😂 A ver, que tampoco quiero insultar u ofender a nadie, pero es que el primero me ha parecido que se gustaba demasiado. El típico jaquer corporativo de postal con su hoodie. Y seguramente la culpa de esa actitud la tenga el público al que están acostumbrados... Si luego serán gente maja y todo.

@tagomago @merce n ose trata de insultar es cuestión de química :D

@kim @abdhessuk @tagomago @merce el segundo ("el más normal" 😂) sí tiene una cuenta por aquí, en mastodon.social. el primero (@mindcrypt) no parece haber usado mastodon realmente..

@jartigag
Por lo q comentáis es un ejemplo perfecto de ese refrán que dice: "no muerdas la mano que te da de comer"
@kim @tagomago @merce

@abdhessuk en realidad... "está todo muy bien", que no hay "mierdas raras" y la gente es "normal", pero hay aparentes fallos de seguridad que yo les invito a que dediquen "cinco minutos" a corregir y hagan un PR al proyecto. Ya puestos.

Lo que no entiendo bien es lo de la intimidad. Si quieres intimidad -> no escribas en internet.

Sign in to participate in the conversation
Hispagatos Mastodone GNUstatus Server

Hispagatos - Anarcho hacker collective a(A)a