Registro de usuario express

Como usuario intensivo y extensivo de la web me encuentro que una de las cosas más anodinas y repetitivas que tengo que hacer cada vez que quiero probar una nueva web es el registro de usuario.

En el mejor de los casos solo se me pide un email y una contraseña, en el peor un formulario intrincado y complejo con recaptchas y verificaciones adicionales que hacen que, muy a mi pesar, desista de registrarme o, si no me queda más remedio, comience la experiencia con la nueva web un poco mosqueado.

Sin entrar en más teorías sobre interfaces de usuario, y basándome en mi propia experiencia, creo que lo único que debería pedírseme inicialmente para registrarme es el email (y/o el nombre de usuario si es que la web los usa). Del password no quiero ni saberlo (por eso uso nomorepass) y el resto de datos ya los rellenaré si me interesa la web en cuestión.

Así que, dado que es algo en lo que yo puedo aportar mi granito de arena como programador y fundador de NoMorePass, me puse manos a la obra y he creado una nueva versión del plugin nomorepass para wordpress que permite registrarse, recibir el password en el móvil y hacer login de una sola vez… ¿interesante?

Todavía no he subido a la tienda oficial el plugin, si lo quieres probar lo puedes descargar aquí, aunque va sin ninguna garantía, lo he probado bastante como para decir que no tiene demasiados errores. Eso sí, si quieres ver cómo funciona de verdad, solo tienes que registrarte en esta página (sigue este enlace)… Para poder registrarte tendrás que haberte instalado antes nomorepass (android o ios) y haber entrado en la app al menos una vez (para ponerle la contraseña maestra). Si ya la tienes instalada no hace falta que hagas nada más.

Escribe tu nombre de usuario deseado, tu email y haz click en el icono de nomorepass.. Usa el botón rojo de nomorepass para escanear el código y ¡voila! estás registrado y con la contraseña segura en nomorepass (y además has hecho login ya directamente)… Todo ello superseguro, protegido por la tecnología NoMorePass, ¿qué más se os ocurre que puedo poner?

 

¿Porqué el ciberataque no me importa?

Como diría Pablo Iglesias en el congreso refiriéndose a Rajoy, el “ciberataque” de estos días no me importa lo más mínimo, me trae sin cuidado o, al final, me la bufa.

¿Porqué me la bufa?

Primero, porque ese “ataque” no me afecta en lo más mínimo. Se basa en un factor de infección exclusivo de windows, utilizando una vulnerabilidad conocida hace pocos meses (excepto para la CIA) y que, por tanto, no afecta a los ordenadores Linux con los que trabajo. Así, ante la alarma causada por todos los medios de comunicación y el principio del apocalipsis cibernético augurado, yo me senté tranquilamente a ver el espectáculo.

Segundo, porque hago backups regularmente de TODO ya que no te puedes fiar de nada en esta vida y de un disco duro menos. Aunque algún muñón de colaborador le diese por venir infectado de casa con un windows y se conectase a mi red los daños que podría causar serían mínimos.

Tercero, porque no es nada nuevo, ni nada que no hayamos vivido antes. Todavía recuerdo los famosos ataques por messenger, donde toda la oficina en la que trabajaba empezó a ver como sus ordenadores empezaban a mandar infecciones a sus contactos mientras les impedía seguir trabajando. O aquella vez que cada vez que instalaba windows a mi hermana y lo conectaba a internet no pasaban ni dos minutos hasta que el virus se instalaba de nuevo y me reiniciaba el ordenador (el famoso sasser).

Y, por último, porque ahora que guardo casi todo en la nube y mis passwords están seguras en mi móvil con nomorepass, nada de esto me ha quitado ni un solo minuto de mi tiempo. ¿No hay posibilidades de infecciones en Linux? Si, claro que si, pero si un sistema operativo se ha hecho para gente sin conocimiento (como windows), lo más normal es que gente sin conocimiento lo use (y caiga más fácilmente en trampas) y eso arrastre a muchos otros que tienen que cargar con las deficiencias de un sistema que solo puede parchear un equipo determinado en un país determinado. Los usuarios de Linux suelen estar más informados y las soluciones pueden llegar de cualquier parte del mundo en cualquier momento.

Instalar un servidor de correo con docker

Hace tiempo que vengo mirando la tecnología de contenedores con interés, la verdad es que desde hace mucho tiempo el trabajo más ingrato, después de haber terminado un desarrollo, era configurar el servidor donde se iba a ejecutar finalmente. No basta con saber el sistema operativo, necesitas instalar una miriada de dependecias y de versiones de software que no siempre se encuentra en la versión que usaste para el desarrollo. Docker promete poder replicar entornos completos mediante una virtualización parcial y eso me parece muy, muy interesante.

Aunque no entraré al análisis profundo de cómo funciona docker, por el momento, si que veremos un ejemplo práctico de una tarea muy habitual como administrador de sistemas, configurar un servidor de correo con todos los servicios habituales. Para ello vamos a utilizar una máquina virtual (no sirve cualquiera, hay sistemas de virtualización que no se llevan bien con docker, en mi caso usé un VPS de OVH después de desechar otros dos de strato y webserver4you). Nuestra máquina virtual tiene un ubuntu 14.04… Al lío.

Lo primero que hay que hacer es instalar docker. Por suerte esto es bastante sencillo:

sudo apt-key adv --keyserver hkp://ha.pool.sks-keyservers.net:80 --recv-keys 58118E89F3A912897C070ADBF76221572C52609D
echo "deb https://apt.dockerproject.org/repo ubuntu-trusty main" | sudo tee /etc/apt/sources.list.d/docker.list
sudo apt-get update
sudo apt-get install apt-transport-https ca-certificates
sudo apt-get install linux-image-extra-$(uname -r) linux-image-extra-virtual
sudo apt-get install docker-engine

Con esto ya tendremos docker en la máquina. Podemos probarlo:

sudo service docker start
sudo docker run hello-world

Si no queremos andar usando sudo para cada comando, añadiremos nuestro usuario al grupo de docker:

sudo groupadd docker
sudo usermod -aG docker $USER

Ahora usaremos Poste.io como contenedor de nuestro servidor de correo. Es una solución simplemente completa y muy sencilla de instalar y configurar. En nuestro caso lo único que hay que hacer para ponerlo a funcionar es crear un directorio (en mi caso /home/mail/data) y ejecutar lo siguiente:

docker run \
-p 25:25 \
-p 81:80 \
-p 110:110 \
-p 143:143 \
-p 8443:443 \
-p 465:465 \
-p 587:587 \
-p 993:993 \
-p 995:995 \
-v /etc/localtime:/etc/localtime:ro \
-v /home/mail/data:/data \
-e "HTTPS=OFF" \
--name "mailserver" \
--restart=always \
-t analogic/poste.io

Lo más relevante en este caso es que NO queremos las redirecciones https porque vamos a configurar el servidor apache que ya tenemos para que actúe de proxy y será él quien tenga el https y los certificados y que el puerto que exponemos para la administración es el puerto 81 (redirigido al puerto 80 del contenedor).

Para que sea accesible desde el exterior por https lo que hicimos fue configurar un virtualhost en apache de esta manera:

<VirtualHost *:80>
        ServerName mail.midominio.es
        AssignUserId mailuser mailuser

        ServerAdmin info@midominio.es
        DocumentRoot /home/mailuser/www

        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined

        <Directory /home/mailuser/www>
                Options Indexes FollowSymLinks
                AllowOverride All
                Require all granted
        </Directory>

ProxyPass / http://localhost:81/

RewriteEngine on
RewriteCond %{SERVER_NAME} =mail.midominio.es
RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,QSA,R=permanent]
</VirtualHost>

La configuración del https es similar, aunque yo dejé que el certbot de let’s encrypt me lo configurase automáticamente al generar los certificados, quedó una cosa como esta:

<IfModule mod_ssl.c>
<VirtualHost *:443>
        ServerName mail.midominio.es
        AssignUserId mailuser mailuser

        ServerAdmin info@midominio.es
        DocumentRoot /home/mailuser/www

        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined

        <Directory /home/mailuser/www>
                Options Indexes FollowSymLinks
                AllowOverride All
                Require all granted
        </Directory>

ProxyPass / http://localhost:81/

SSLCertificateFile /etc/letsencrypt/live/mail.midominio.es/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/mail.midominio.es/privkey.pem
Include /etc/letsencrypt/options-ssl-apache.conf
SSLCertificateChainFile /etc/letsencrypt/live/mail.midominio.es/chain.pem
</VirtualHost>
</IfModule>

Si todo ha ido bien (seguro que algún detalle se nos pasa), tendremos el contenedor funcionando y podremos acceder al administrador de esta manera:

https://mail.midominio.es/admin/

Y, después de verificar la identidad y hacer los primeros ajustes de dominio, cuentas y demás podremos disfrutar de nuestro servidor de correo…

 

El final del verano

Pues si, aunque este verano nos ha dejado temperaturas record y parece que se alarga más de lo debido, todo llega a su fin. Es lo normal, y aunque el calorcito y la falta de gente en la gran ciudad nos han brindado unos meses en los que poder relajarnos, eso se acabó… Hay muchas cosas en las que trabajar y muchas otras que disfrutar.

Atrás quedó la playa, el pueblo incomunicado, las (con suerte) barbacoas y el tener tiempo para estar con tus hijos, que, ahora si, vuelven a los estudios. Atrás quedaron los gastos excesivos, pero necesarios, para disfrutar un poquito con lo ahorrado el resto del año y ahora solo nos queda volver a mirar hacia adelante. Empezar, como cualquier septiembre que se precie, con nuevos propósitos, con esas colecciones por fascículos que nunca pasaban de la segunda entrega, con una sensación vacía de que lo que nos espera es ya el otoño y “winter is comming”, ir cuesta abajo hasta chocar con la navidad y el año nuevo en el que, otra vez, recapitular sobre lo que hemos hecho.

Es un ciclo, perverso o virtuoso según como queramos verlo, pero lo único importante es saber que, hayamos hecho lo que hayamos hecho, no nos arrepentimos. Que intentaremos trabajar un poco más agusto, incluso con esas personas imposibles que nos rodean, que aprenderemos un poco más cada día y que, invariablemente, apreciaremos más a quienes nos quieren y a todos los que son amables con nosotros y con el resto.

Quizá me ha quedado una entrada un poco off-topic, pero es que todavía queda mucha carrera que correr, tenemos que elegir un gobierno nuevo, tenemos que buscar clientes, montar nuevas arquitecturas, leer nuevos libros, demostrarnos una vez más que no tenemos límites en lo que hacemos y, todo ello, sabiendo que cada vez hará más frío y nos lloverán chuzos de punta… Pero, siendo optimistas, nos quedan tres estaciones completas para prepararnos para el verano que viene.

¡A por ello!

Porqué no hay que tener miedo de la palabra Pucherazo

campana_1881Estos días estamos viviendo una oleada de suspicacia por parte de los simpatizantes de Podemos, entre los cuales, en este momento, me encuentro. Además de Fraude, la palabra más oída ha sido Pucherazo. Parece que esta palabra da mucho miedo, solo de pensarlo a algunos se les estremecen las canillas y se les aflojan los esfínteres.

No, a nosotros no, eso son los países tercermundistas los que sufren este tipo de cosas, nuestro sistema es perfecto.

Bueno, no quiero quitarles la ilusión, que hasta hace poco era mía, pero si que me voy a permitir deciros por qué no hay que tener miedo de expresar las dudas y porqué nuestro sistema puede ser perfecto, pero puede ser igualmente vulnerado.

Primero, ¿quién dijo miedo? Las garantías que hay en nuestro ordenamiento administrativo y jurídico para asegurar que las elecciones sean limpias e imparciales me parecen, simplemente, impecables. Sin embargo, seríamos cómplices por dejadez si no estuviésemos vigilantes de que todas las medidas orientadas a evitar el fraude se han tomado adecuadamente. Si nadie pone en duda el sistema, ¿quién avisará cuando este sea vulnerado? Ni siquiera sitios tan “democráticos” como EEUU ha quedado libre de los “pucherazos” electorales, y no lo digo yo, lo dicen aquí, por ejemplo. Lo bueno de todo esto es que con una ciudadanía vigilante y unos garantes aleccionados a seguir alerta todo puede funcionar correctamente. ¿Miedo a mostrar dudas? Ninguno. Lo peor que puede pasar es que estemos equivocados y, en ese caso, seremos los primeros beneficiados… Así que, ¿quién dijo miedo?

Segundo, ¿el sistema perfecto? Desde que algunos mostrasen sus dudas, e incluso que algunos intentaran aprovecharlas para colar HOAX falsos o portadas de periódicos trucadas, salieron muchos artículos defendiendo lo “perfecto” de nuestro sistema electoral, donde destaco este de David Fernandez: No, el 26J No hubo pucherazo (ni puede haberlo), artículo donde explica muy bien el funcionamiento de las mesas electorales y desmonta los hoax (o similares) que pretendían demostrar pucherazo en las mesas electorales. No obstante, en el artículo y en los comentarios posteriores, queda demostrado que no hay auditoría sobre la transmisión de datos ni el tratamiento inmediato de los datos provisionales. Es decir, el programa que recoge los datos desde las apps de los delegados de la administración que hay en cada mesa puede hacer con esos datos lo que quiera sin que nadie lo sepa en ese momento. Imaginemos, por un momento, que, por error informático, se produce una mezcla de los datos de algunos partidos con otros en esa recogida de datos, los resultados provisionales serán completamente distintos de los reales, habiendo sido las mesas completamente decentes y habiendo cumplido al 100% con su cometido.

Evidentemente la ley prevé que haya un recálculo global en las juntas electorales provinciales a la vez que se añade el voto de los Españoles residentes fuera del país, pero tal como se vió en Sevilla en el 22-M (no lo digo yo, de nuevo, lo dicen aquí y fue una realidad) es costumbre dar por válido el recuento provisional y solo añadir el voto de los residentes en el extranjero. ¿Qué problema tiene esto? Que realmente se confía al 100% en un sistema que no ha sido auditado debidamente y no se puede corregir los errores humanos en este segundo recuento. Esto, y nuestra maravillosa ley D’Hont puede hacer bailar escaños a los distintos partidos (incluso solo por errores). Así que, si no se exige un completo escrutinio general “de verdad” hay muchas posibilidades de que la realidad no coincida con las cifras.

Tercero, ¿porqué dudo?, visto que el sistema no es perfecto, que tenemos un intermediario que no es fedatario público y que no ha sido auditado y en vista de las variaciones tan poco comunes entre las encuestas a pie de urna (estaríamos hablando de las mayores variaciones desde que se hacen) y las encuestas previas (incluida la del CIS) no puedo sino tener una duda “razonable”.Además, siempre he creído que el pueblo español podía ser engañado durante un tiempo, pero ver un repunte de votos de un partido corrupto y de demostrada toxicidad para la sociedad Española me parece más increible si cabe.

En cualquier otro momento de nuestra corta historia democrática ni me hubiese planteado que hubiese podido haber algo raro, pero vivimos unos momentos donde el gobierno ha cobrado en dinero negro de oscuros contribuyentes, que ha repartido beneficios con turbios amiguetes, que han utilizado el poder en su beneficio como partido y que alimentado una caverna mediática y un estado de opinión más de hooligan que de discusión política… Por eso dudo, y espero fervientemente que el escrutinio general termine por aclararme y borrarme de una vez las dudas. Cualquier otra cosa sería un pucherazo en toda regla y la mayor estafa perpetrada contra los españoles.

ACTUALIZACIÓN 1: En sitios no tan lejanos ni tercermundistas hay quien ha impugnado elecciones y no se les ha caído la democracia. Como en Austria (ver noticia).

ACTUALIZACIÓN 2: Qué se está haciendo en podemos para verificar los datos.