Back

@modulux @Javichi yo pensaba más bien en trasladar la autentificación por clave al fediverso, que los usuarios firmaran sus mensajes y que se pudiese verificar que un mensaje es de X persona. No he ido más allá, seguramente las implicaciones técnicas son jodidas.

@kastwey @Javichi Esa idea esstá bien. De hecho está tan bien que ya se hace. cuando los mensajes van de servidor en servidor van firmados con una clave privada, que debería ser por usuario. Dado el éxito de que la gente gestione sus propias claves (ya sabemos lo que pasa con ese tema) las claves están guardadas en el servidor.

@modulux @Javichi diría que la clave es por instancia. Lo malo de las claves privadas, como dices, es cómo se gestionan. La gente no está acostumbrada.

@kastwey @Javichi En teoría cada actor de ActivityPub debe tener su propia clave. Supongo que hay software the instancias que usan una sola para la instancia entera pero en el caso de GTS por ejemplo sé que cada usuario tiene la suya. Pero no sirve de nada si está en el control del servidor, y por otra parte como lo de guardar claves es magia, pues nada, así nos va.

@modulux @Javichi tal cuál. Deberíamos poder autentificarnos con nuestra clave en todos los sitios. Y ponerla en... no sé, una yubi key... Pero claro, si te la roban estás jodido igual. Es complicado el tema

@modulux @Javichi supogno que lo que nos quedaría es ponerla en alguna nube tipo gestor de contraseñas que sea realmente segura, y recordar una contraseña maestra la ostia de larga y rara para que sea realmente jodido que alguien la desencripte.

@kastwey @modulux @Javichi La contraseña maestra no tiene por qué ser jodida, aunque sí larga. Por ejemplo, puedes poner una frase completa de tu libro favorito

@tinitun @modulux @Javichi sí, digo jodida para que nadie la adivine, pero sí, efectivamente. Mientra más larga, mejor (para que luego digan que el tamaño no importa, jajajaja) De hecho hay un libro súper famoso donde un tío hace justo eso.

@kastwey @modulux @Javichi Lo jodido muchas veces es que los gestores de contraseñas no te dejan meter frases demasiado largas. Por cierto que hay un estudio reciente que dice precisamente que las contraseñas raras, que obligan a meter números, mayúsculas y minúsculas, etc., en realidad son perjudiciales para la seguridad, porque la gente las apunta en algún sitio para recordarlas

@tinitun @kastwey @Javichi Ya puestos, el tema del cambio periódico de contraseñas. Si te piden una contraseña extremadamente compleja y te la hacen cambiar cada 90 días como te la aprendes?

@modulux @tinitun @Javichi eso es una mierda, si la contraseña es buena, no deberían obligarte a cambiarla, al final la gente le mete un número al final y ya

@kastwey @modulux @Javichi Justo eso, recuerdo que eso lo hicieron en Ilunion, creo que con la dichosa DST, y que yo lo que hacía era poner al final el año y mes que tocaba, con lo cual si me sacan una contraseña me las sacan todas

@tinitun @modulux @Javichi ostias, te acuerdas de la inyección SQL del DST? jajajajaja

@kastwey @modulux @Javichi Encima eso, que tanta contraseña y tanta tontería y luego resulta que podías meterte en el perfil de cualquiera simplemente cambiando la URL

@tinitun @modulux @Javichi cuando se me olvidaba actualizar mis horas, me metía como admin y las metía, jajaja

@tinitun @modulux @Javichi jajajajajaja