Recibe nuestra bienvenida a Tuentidad.es
Volver al kernel | "lotienes.com" o "MonoMola"


Mientras se publica la aparición de una serie de páginas web (de especial mención tuentidad.host56.com) donde se realizaban claras actividades ilícitas, como la obtención de información privada de una conocida Red Social, desde la Plataforma Social "TuEntidad.es"queremos hacer varias menciones:

La primera, es el completo rechazo desde la Plataforma Social a estas técnicas ilegales, que consisten en mostrar una página web muy similar a la verdadera, donde los usuarios introducen sus credenciales de acceso, y éstas son enviadas a un tercero. Está mucho mejor documentado en el artículo, en donde además se publica la lista de webs actualmente activas. La práctica suele estar orientada a vender la información. Esta venta está encaminada a usar los datos para suplantar la identidad de estas personas, recabar información sobre ellas, y por último, en la mayoría de los casos, realizar actividades publicitarias no solicitadas.

La segunda, es la publicación del mecanismo anti-phishing pionero en el ámbito de las aplicaciones Web 2.0 para garantizar la correcta implementación del protocolo, incluidas todas las técnicas relativas a la seguridad y privacidad que desde la Plataforma Social "TuEntidad.es" se persiguen.

certificacionVisores

1. Se descarga el visor y una semilla de la web del visor

2. El visor realiza un desafío; por ejemplo: una función, una verificación, un captcha, un nombre de usuario...

3. El resultado del desafío se envía a la web del visor

4. Se evalúa el resultado en la web del visor y, si es correcto, el visor solicita la certificación al kernel.
4b. El kernel envía al usuario la clave de certificación del visor.

5. El usuario inicia sesión tras verificar la respuesta del kernel.

6. El kernel identifica al usuario con sus credenciales.

También desde hoy, una de las funcionalidades que se añaden al gestor de cuentas, para garantizar la entrada y el correcto funcionamiento desde los visores (o aplicaciones) de terceros, es la generación de una contraseña temporal. El usuario que desee verificar si un visor es seguro, generará esa contraseña temporal en un visor de confianza (los oficiales) y probará a acceder desde el visor desconocido. En caso de implementar correctamente el protocolo, accederá y la contraseña temporal dejará de ser válida; en caso de fallar algo, el usuario recibirá una notificación y la contraseña temporal se invalidará.

En el caso de los visores oficiales, además de la certificación automática, se permite la certificación manual. Para realizar esta operación basta con seleccionar "certificación manual", y escribir el nombre de usuario de acceso a la Red Social (sin contraseña), que será enviado a la web del visor para generar la clave de certificación del visor en el kernel. Dicha clave permite que se cargue y muestre una imagen en la que aparece su "código de certificación" que el usuario, con una captura del visor de fondo, además de la URL que debería aparecer en la parte superior del navegador (si el visor es vía web) y demás información que se puede comparar en las páginas de certificación del kernel. El "código de certificación" se puede ver, y regenerar, desde un visor de confianza. Esta técnica es la más eficiente, sin acarrear grandes problemas al usuario, y da una alta fiabilidad.

Además también se permite que los visores implementen nuevos mecanismos pasivos para detectar automáticamente el fraude, basados en la librería pública de captchas del Proyecto eWa, en la que el usuario deberá certificar la propia identidad del visor si, por ejemplo, es la primera vez que se identifica en ese visor.

Por último, a partir de ahora, en el historial de inicios de sesión (en el diario) se reflejará, de forma certificada, el visor (oficial o no) desde el que se ha accedido a la cuenta y podrá ser compartido (o no) con el resto de usuarios de la Plataforma Social.

Todos estos esfuerzos se realizan para intentar mejorar la seguridad y calidad de experiencia de los usuarios de Redes Sociales.