De políticas de privacidad y burbujas de búsqueda

A una semana desde que Google comenzara a aplicar su nueva política de privacidad, y aunque a primera vista pareciera que estos cambios no alteran fundamentalmente nuestro trato con el buscador, probablemente recién estamos en la víspera de las transformaciones más profundas.

Al respecto, la semana pasada comentaban en TheNextWeb sobre las implicancias que estos cambios tendrían en nuestros procesos de búsqueda: An information paradox: How Google’s new privacy policy may harm our discovery process.

There’s really nothing we can do. Google is going to change its privacy policy and we’re going to keep using its products. Simply because it’s incredible and addicting to have so much information pouring out of a screen. Google has us by the proverbial (digital) balls. But in a very short while it’s going to be essential we become more responsible searchers, more savvy web surfers. Interneters that actively search for things they disagree with and Googlers that get to the fifth page of their search results. Because soon the world’s information will be filtered through the habits and dependencies of the most biased, unforgiving and scary editor of all: ourselves.

Y en el mismo tema, vale la pena recordar la presentación que Eli Pariser dio en TED en marzo pasado: cuidado con la “burbuja de filtros” en la red

Mejorando la privacidad en BitTorrent

Algunos tips para mejorar la privacidad del intercambio de archivos a través de BitTorrent: cómo cifrar el flujo de red y configurar listas de bloqueos de IPs

Tras el cierre de MegaUpload y otros servicios para compartir archivos, muchos han optado por volver a visitar a un viejo conocido: BitTorrent (el protocolo, no el cliente).

Afortunadamente, los clientes más nuevos y populares han incluido un par de opciones que nos permiten aumentar (aunque sea sólo un poco) el nivel de privacidad de nuestras conexiones.

Continue reading “Mejorando la privacidad en BitTorrent”

WordPress 2.3 y las preocupaciones por la privacidad

WordPress 2.3 te informa sobre las actualizaciones a tus plugins, pero ¿cómo sabe qué notificaciones enviarte? La información enviada ¿constituye una violación a la privacidad?

Ésta es una noticia fresquita: algunas horas después del lanzamiento de WordPress 2.3, apareció [un hilo en Slashdot->http://yro.slashdot.org/article.pl?sid=07/09/25/1632246] titulado WordPress 2.3 espía a sus usarios (que a esta hora ya ha sido actualizado a WordPress 2.3 no espía a sus usuarios).

La polémica se ha armado por el sistema de notificación de actualizaciones para el core y los plugins de WordPress, una de las novedades más interesantes de la nueva versión; lógicamente, si el sistema habría de informar que existirían actualizaciones disponibles, tenía que existir alguna forma de “saber” qué plugins habían instalados en cada blog, lo que se ha logrado a través de el envío de un informe a un servidor central en api.wordpress.org.

Lo objetable de este sistema se ha centrado fundamentalmente en un punto: que el informe enviado no incluye solamente la lista de plugins instalados, sino además el número de versión y la URL del blog, algo que por muchos es visto como innecesario y derechamente injustificable.

La respuesta de Matt Mullenweg no ha sido especialmente alentadora —traducción de SigT:

Si no os fiáis de wordpress.org os sugiero hacer una de las siguientes cosas:

  1. Usar un software diferente.
  2. Crear un fork de WordPress (una ramificación/proyecto paralelo).
  3. Instalar uno de los plugins ya comentados.

He estado revisando los mensajes en la lista de correo de los desarrolladores de WordPress y he podido encontrar algunos nuevos detalles: la discusión se ha centrado sobre las razones que podrían justificar el envío de la URL de cada blog, ya que en principio parece una decisión poco afortunada; se ha argumentado que en su reemplazo se podría haber utilizado un hash MD5, que serviría de todos modos como un identificador único, pero sin otorgar detalles concretos sobre cada blog. Aquí Matt ha respondido de una manera algo más razonable; resumo sus razones:

  1. Una URL es (según él) la mejor forma de identificar un blog, ya que se pueden normalizar, agrupar por sub/dominios, crear estadísticas por dominios, asociar con perfiles en WordPress.org, etc. —en este sentido le encuentro razón; una URL/:uri: es ciertamente una fantástica forma de identificar un sitio en internet… pero ¿para qué?
  2. Un hash MD5 es único, pero no tiene más valor; cualquier cambio, como la barra final (dominio.com versus dominio.com/) o de mayúsculas/minúsculas alterará la relación entre el blog y su hash —nuevamente, ¿para qué es necesaria mantener la identificación del blog con la información sobre plugins?
  3. Podrían haber nuevas funcionalidades que aun no se han planificado y necesitarían de esto —mmm… sí; me huele a sacada de pillo: ¿porqué recién ahora sale a la luz esta idea? ¿no se les habrá ocurrido justo ahora, cierto?
  4. Un hash MD5 no es necesariamente más anónimo: cualquiera que tenga acceso a una lista de los hashes y una lista de URLs podría identificar los blogs —cierto, lo que abre algunas preguntas: ¿cómo tendrían acceso a estas listas? y ¿qué tan seguros estarán los datos en los servidores de WordPress.org? Recordemos que hace algún tiempo alguien logró poner una versión modificada de una actualización; si alguien logra acceder a la información sabrá inmediatamente las vulnerabilidades de un montón de blogs.
  5. Estamos a horas del lanzamiento discutiendo un cambio que fue enviado hace meses —en este punto le encuentro toda la razón: ¿porqué nadie dijo nada antes del lanzamiento? Muchas personas conocíamos el calendario del lanzamiento, vimos pasar las betas y los release candidate, pero recién ahora a alguien se le ocurre que hay otra forma de hacer las cosas. Raro, ¿no?

A todo esto, se ha actualizado la [política de privacidad->http://wordpress.org/about/privacy/] en WordPress.org, y un [usuario no identificado->http://digg.com/users/lawthomp], registrado hoy, ha enviado algunas notas a Digg al respecto y un par de comentarios bastante cizañeros.

Es cierto, hay mucho de FUD en esto (como decía antes, ¿por qué justo ahora aparecen estas preocupaciones?), pero hay cosas que se pueden mejorar. En lo personal, más que la preocupación por la privacidad, me queda la preocupación por la seguridad de los datos enviados, no solo en su almacenamiento en el servidor de WordPress, sino también sobre su seguridad en el tránsito hacia allá… ¿y si fueran cifrados con una clave API de WordPress.com?

Habrá que ver en qué termina esto. Otros que han escrito al respecto:

Sin querer queriendo

Es realmente increíble lo absurdas que pueden llegar a ser algunas políticas de prestaciones de servicio. A la descarada forma en que Yahoo recopila vastas cantidades de información al navegar por su web hay que agregarle cláusulas que deben ser consideradas, cuando menos, curiosas:

You agree not to use the Service to: (…)
(k) intentionally or unintentionally violate any applicable local, state, national or international law, including, but not limited to, regulations promulgated by the U.S. Securities and Exchange Commission, any rules of any national or other securities exchange, including, without limitation, the New York Stock Exchange, the American Stock Exchange or the NASDAQ, and any regulations having the force of law; (…)

Yahoo! Geocities Terms Of Service (negrillas mías)