Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

Google Photos y URL inolvidable

A pocos días del gran lanzamiento de Google Fotos, un usuario en Reddit notó algo desagradable. «Estaba hojeando mis fotos y quería ver el tamaño completo de una imagen, así que hice clic derecho», escribió RossFletch. Esto condujo a una URL abierta, todavía accesible en modo de incógnito. De acuerdo con la lógica de Photos, la imagen debería haber sido privada (no había hecho clic en el botón de compartir), pero esta URL estaba disponible para cualquiera que ingresara la cadena correcta. Incluso extrajo la imagen usando Wget, una utilidad web-scraper, dirigida a través de un servidor virtual para ocultar su identidad. Llegó a la URL de todos modos, apareció su foto. «¿Cómo es esto posible cuando esta imagen no se comparte con nadie?» preguntó Fletch.

Pero lo que parecía una vulnerabilidad en Reddit es, de hecho, algo mucho más complejo y menos atractivo. Google usa este tipo de URL privada, pero se puede compartir a través de una serie de servicios con Facebook y otras empresas. Las direcciones URL no son un problema de seguridad importante (sería extremadamente difícil usar esta técnica para espiar las fotos de otra persona), pero el sistema no genera una alarma cuando los usuarios se topan con él. A medida que más y más de nuestras fotos se almacenan en jardines amurallados controlados por Google, Facebook o Apple, las convenciones como el botón Compartir se han vuelto inseparables de las ideas de seguridad y privacidad. Dado que Fotos parece superar estos límites, se nos han ocurrido ideas sobre cómo son las buenas prácticas de privacidad.

Lo que parecía una vulnerabilidad es en realidad algo mucho más complejo

Entonces, ¿por qué esa URL pública es más segura de lo que parece? La respuesta corta es que la URL funciona como una contraseña. Las URL de las fotos suelen tener unos 40 caracteres, por lo que si desea escanear todas las combinaciones posibles, debe trabajar con 10 ^ 70 combinaciones diferentes para obtener la correcta, un problema astronómico. «Hay tantas combinaciones que se considera una tontería», dice Aravind Krishnaswamy, líder de ingeniería en Google Photos. «Es mucho más difícil de adivinar que la contraseña». Debido a que el tráfico web para Fotos está encriptado con SSL, también se mantiene en secreto para cualquier persona en la red que pueda estar escuchando.

Lo más importante es que la foto no se coloca en esa URL hasta que la solicite. Google Photos normalmente extrae sus imágenes a través de un sistema de back-end más complejo, pero cuando un usuario hace clic con el botón derecho en una de sus propias imágenes, Photos responde colocando la imagen en la URL pública designada. En esencia, Google ha invertido la ingeniería del clic derecho. Al hacer clic derecho, invoca la imagen existente a una URL pública (aunque es imposible de adivinar), aproximadamente el equivalente a hacer clic en el botón «Compartir». Google puede ser más transparente acerca de este proceso, pero dado que las URL son funcionalmente imposibles de adivinar, no está mucho más expuesto de lo que estaba antes de hacer clic.

Google realizó una ingeniería inversa con el botón derecho del ratón

El resultado es que solo una pequeña parte de Google Photos se coloca en URL públicas. Google también tiene ingenieros que buscan a cualquier persona que escanee o solicite de sus servidores, por lo que si alguien ha intentado escanear a través de duovigintilioane de las posibles URL, se bloquearían antes de pasar por millones.

Tenga la seguridad de que nadie adivinará la URL al azar, los ingenieros de Google pueden dar mucha más libertad a cualquiera que tenga la URL. Como ha documentado RossFletch, se puede acceder a la misma foto desde otro ordenador o desde otro continente. Puedes dárselo a un amigo o tirar de él con una escobilla de goma automática y cargará igual. Para Google, esta es una característica. Es posible que desee compartir una foto con un amigo que no tenga una cuenta de Google o crear un sistema automatizado para llevar la foto a otro sistema.

En cierto modo, así es como deberían funcionar las contraseñas: mientras tenga la contraseña, no necesita nada más. Y a diferencia de una cuenta o inicio de sesión, la cadena puede viajar a cualquier lugar. «El valor de las URL es que son universales», dice Vincent Mo, otro ingeniero fotográfico senior. «Puedes ponerlo en un mensaje de texto, puedes ponerlo en un correo electrónico, puedes ponerlo en una página web». Debido a que hemos sido entrenados en hacer clic con el botón derecho durante dos décadas, también es un sistema que la mayoría de los usuarios de la web ya entienden. Es la más rara de las cosas: un sistema verdaderamente abierto.

«El valor de las URL es universal».

Entonces, ¿por qué se siente más como un truco que como una función? Cuando Reddit se encontró con las URL, el grupo supuestamente encontró algo no autorizado, un agujero que Google no tapó. Esto se debe principalmente al hecho de que no había ninguna señal clara de autorización de las fotografías. La web está llena de botones «Compartir», por lo que es extraño encontrar una manera de tomar una foto sin uno. Estos botones generalmente te bloquean en una determinada red, ya sea Facebook, Flickr o incluso un sitio universal como Tumblr. Incluso si comparte más de lo que le gustaría, teóricamente todavía está limitado a otras personas que usan el mismo servicio o canales más específicos, como una dirección de correo electrónico o un archivo local.

Bajo esta luz, la URL de la foto parece un nicho vacío. Tal vez en cualquier lugar, tal vez incluso más lejos de lo que querías. Si el servicio está fuera de control, ¿quién lo está? No estamos acostumbrados a sistemas abiertos, especialmente de empresas tan grandes como Google, pero una vez que estos servicios se separan de las redes sociales (como Google+ Fotos), esa apertura es el resultado inevitable. Es un nuevo tipo de servicio y necesita poder hablar con todos. Sorprendentemente, sin el botón de compartir, necesitamos aprender una nueva forma de usarlo.

El problema con VDI Krypton Solid

Cuando uso mi sombrero de TI, me gusta la infraestructura de escritorio virtual (VDI). Con él, puede implementar de forma fácil y segura escritorios completos desde servidores a sus usuarios Bueno, en teoría, me gusta.

Hack presenta cientos de fotos con estrellas desnudas

Cientos de imágenes desnudas, semidesnudas y reveladoras con estrellas femeninas se filtraron durante la noche después de haber sido robado de sus colecciones privadas. Los juegos del hambre la actriz Jennifer Lawrence, Kirsten Dunst y

IPO Salesforce se prepara para actuar

¡Marcha! La empresa de software Salesforce.com tiene la intención de ofrecer sus acciones para cotización pública desde marzo, según una fuente familiarizada con los planes de la empresa. La compañía con sede en San Francisco

La demanda anti-LHC acaba en un agujero negro legal

Una prueba mental poco convincente para detener el Gran Colisionador de Hadrones está muerta. La jueza federal de distrito Helen Gillmor desestimó la demanda porque los tribunales estadounidenses no tienen jurisdicción sobre el destructor atómico

Oracle dará a conocer el «Proyecto X»

Se espera que el Copresidente de Oracle, Charles Phillips, presente el Proyecto X, una estrategia de aplicación compuesta, en unas pocas horas en la conferencia del Grupo de Usuarios de Aplicaciones de Oracle. Renee Boucher

Optus suma 127.000 clientes móviles «récord»

Optus reportó un crecimiento «récord» en su base de clientes móviles, con 127.000 clientes de pospago agregados en los tres meses hasta diciembre. Al mismo tiempo, perdió 29.000 clientes de prepago para una adición total

¿Dónde comprar Lenovo Yoga 11 naranja?

Me gustaría comprar un Lenovo IdeaPad Yoga 11 de 64 gb por $ 599 en naranja, pero parece que no puedo encontrarlo en ningún lado. Todas las tiendas que veo se venden por mucho más

Tendencia de dólares Optus en las quejas de TIO

Vodafone continúa teniendo la mayor proporción de quejas de clientes ante el Defensor del Pueblo de la Industria de las Telecomunicaciones (TIO), según las últimas estadísticas, pero Optus ha informado una disminución significativa debido a

Post-Powell FCC | Krypton Solid

Acepta recibir actualizaciones, promociones y alertas de Krypton Solid.com. Puede darse de baja en cualquier momento. Al registrarse, acepta recibir boletines seleccionados de los que puede darse de baja en cualquier momento. Tu tambien estas

¿Microsoft sacará a Apple?

COMENTARIO – ¿Microsoft matará a la computadora Apple? Algunos podrían decir que ya ha sucedido, al menos desde la perspectiva del dominio relativo de Windows sobre el Mac OS de Apple. Pero estoy hablando de

Funda iPhone: ¿Ser o no ser?

He tenido dos iPhones hasta ahora. El año pasado compré mi primer iPhone 4 y me gustó. Me gustó un poco menos después de que lo dejé caer desde unos cuatro pies y le di

ReadyBoost – ¿Alguien lo usa?

Vista se convirtió en RTM hace poco más de un año, y una de las características que Microsoft presentó como innovadora y una verdadera razón para actualizar a Vista fue ReadyBoost. En caso de que

Wi-Fi no reemplazará la banda ancha móvil

Se espera que la banda ancha móvil enfrente la recesión económica a medida que se generalice, y que los puntos de acceso Wi-Fi no sean una amenaza significativa, según los analistas. Daryl Schoolar, analista senior

OpsWare elimina el terrible trabajo de proporcionar el servidor

Al igual que otros productos de entrega de sistemas remotos, como Altiris, OpsWare de LoudCloud automatiza todo, desde la configuración simple del servidor (sistemas operativos, middleware, aplicaciones) hasta la reparación y actualización. Estos productos son

Repaso de la semana: color dorado

Los Juegos Olímpicos no fueron el único lugar donde se establecieron récords y las actuaciones fueron premiadas con medallas de oro. De hecho, fue una semana similar a un momento olímpico para la propia web,

Filtraremos cuando la ley diga: Internode

Internode ha aclarado su posición sobre el esquema de filtrado limitado implementado por otros proveedores de servicios de Internet (ISP), diciendo que implementará el esquema cuando lo requiera la ley, pero no de otra manera.

NAB lanza una plataforma de asesoramiento personalizado

National Australia Bank (NAB) ha lanzado NAB Prosper para proporcionar a sus clientes asesoramiento financiero personalizado a través de su plataforma de banca por Internet en línea. El banco dijo que NAB Prosper hará preguntas

¿Orange finalmente lanzará HSDPA?

Quizás, parece que Orange se está preparando para lanzar HSDPA en el Reino Unido. Les tomó bastante tiempo: todos los demás lo tienen (incluso 3 lo traen) y EDGE, si disculpas el juego de palabras,

Deja un comentario