La Cuenca de México

• El Mundo de Suiri

Les comparto algunas capturas de la obra Made in El Salvador, de parte de Suiri para una cobertura para el El Multiverso del Raciocinio. https://photos.app.goo.gl/5zX5oXbXT9th2PB89

UDP

Faster Speed – suitable for UDP VPN service offers significantly higher speeds than TCP.
Less Reliable – UDP includes error checking (but with no recovery), where delivery of packets are not guaranteed.
Best for video conferencing, gaming, broadcasts, and downloading torrents/p2p.

https://www.namecheap.com/support/knowledgebase/article.aspx/10432/2274/which-protocol-to-choose/

OR

like us without TLS/SSL
https://www.namecheap.com/support/knowledgebase/article.aspx/10432/2274/which-protocol-to-choose/

See more
/watch?v=Y7wfLlXiyD8&feature=share

”
No puedes perseguir la felicidad.
La felicidad no es suficiente.
Quieres ser desafiado
y respetado y amado.
Primero internamente.
Luego externamente.
Persigue el propósito y sé humano.
Humano es mejor que feliz.

LEER MÁS CONTENIDO INSPIRADOR

SoCurious

See more

”

¿Qué fue eso de pollo?

Tashtahui NuTatMax

Samuel (yo), edad ≈ 3 años. Samuel Suiri Saris Hikari

Status Bar:

HP *.* (+500)
¿*
¿*
¿*
¿*
¿*
¿*
¿*
¿*
¿*
¿*

Ob.

¿*¿*¿*¿*¿*¿*¿*¿*¿*¿*¿* hijra?

The strange world of quic and http/3
https://quicwg.org/

• El Mundo de Suiri

<> https://www.leaderssl.es/articles/484-rsa-ecc-ecdsa-which-algorithm-is-better-to-choose-when-ordering-a-digital-certificate-in-leaderssl

• El Mundo de Suiri

Cuando te das seguridad; pero vos solo, y con errores identificables en el experimento: Para que una A+ sí puedes emular a su Fordería y evocar a la T, de Un Mundo Feliz (Brave New World).

Getting an A+ on the Qualys SSL Test – Windows Edition

https://scotthelme.co.uk/getting-an-a-on-the-qualys-ssl-test-windows-edition/

O bloquea protocolos viejos y obtiene una B
https://scotthelme.co.uk/getting-an-a-on-the-qualys-ssl-test-windows-edition/

By Dan Soschin
in Releases
WordPress 6.0 Beta 1

WordPress 6.0 Beta 1 is now available for download and testing.

This version of the WordPress software is under development. Please do not install, run, and test this version of WordPress on a production or mission-critical website. Instead, it is recommended that you test Beta 1 on a test server and site.

You can test the WordPress 6.0 Beta 1 in three ways:

Option 1: Install and activate the WordPress Beta Tester plugin (select the “Bleeding edge” channel and “Beta/RC Only” stream).
Option 2: Direct download the beta version here (zip).
Option 3: Use WP-CLI to test: wp core update –version=6.0-beta1.
Do not use this option if your filesystem is case-insensitive.

The current target for the final release is May 24, 2022, which is about six weeks away.

Additional information on the full 6.0 release cycle is available.

Check the Make WordPress Core blog for 6.0-related developer notes in the coming weeks which will detail all upcoming changes.

WordPress 6.0 Beta 1

See more

Aveces me preocupan estas estadísticas; pero recuerdo que solo soy periodista y en los servidores a lo mucho se guardan notas; además los vídeos y fotos están en otros servidores para almacenamiento y back up, y que si entraran a mi pc empezaran a sonar los discos duros viejos y solo desconecto el internet o físicamente los discos y ni la lluvia los dañaría…; entonces, se me pasa la preocupación:
https://datatracker.ietf.org/doc/html/rfc5289

Al parecer lo recomendado es:

RFC 5289

Title:
TLS Elliptic Curve Cipher Suites with SHA-256/384 and AES Galois Counter Mode (GCM)

Recommended Cipher Suite (https://ciphersuite.info/cs/TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256/ )

IANA name:
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
OpenSSL name:
ECDHE-ECDSA-AES128-GCM-SHA256
GnuTLS name:
TLS_ECDHE_ECDSA_AES_128_GCM_SHA256
Hex code:
0xC0, 0x2B
TLS Version(s):
TLS1.2

Ya que la comunidad de las lentes locas, nombre inventado auto descriptivo, pública cosas, hagamos una reacción y escribamos una anécdota.

Pero hay unas que no tienen y se le tiran a los viejitos, sin importan si tienen que divorciarse de la actual; para tener cuentas bancarias, seguro medico (aunque la viejita se este muriendo o por eso haya hasta perdido la vista y otras afecciones), y propiedades…

Pero es bonito que te inviten, no sé, ya lo he vivido; pero en mi infancia si uno quería una almohada tenía que comprarla, por más barata que fuera; y también pagar por las colcha de $10, si uno no era el favorito (que es hijo de otro); o hasta las invitadas de cine a la otra persona, solo para poder salir de la casa a ver Lilo y Stich; por que sino nunca va uno al cine… y así… mil historias.

• El Mundo de Suiri

Retomando, con algunos pequeños errores… Gracias #Documentación… ver imagen en grande: https://scontent.fsal3-1.fna.fbcdn.net/v/t39.30808-6/278399097_10227801953300404_2407542932092913402_n.jpg?_nc_cat=103&ccb=1-5&_nc_sid=730e14&_nc_ohc=OyeScsiUwakAX_3T75a&_nc_oc=AQlyGRKyMdVvEaWOmljv0r8PnN3BiYBHFHCYa0_IhgQwOcehKVtS_OO7DaYZU-4Q6E8&tn=vIvIxmnbdK6OGV9E&_nc_ht=scontent.fsal3-1.fna&oh=00_AT_k3ovDCQDavX8aY3-sdDv3FHz-65vehDT0XXO8RTjD2w&oe=625FEA79

• El Mundo de Suiri

Compatibilidad con Privacy Pass Privacy Pass es una extensión del navegador desarrollada por el equipo de Privacy Pass para mejorar la experiencia de navegación de los visitantes. Al habilitar Privacy Pass, reduce la cantidad de CAPTCHA que se muestran a los usuarios. Esta configuración se modificó por última vez hace un minuto ¿Qué es Privacy Pass? Privacy Pass es una extensión del navegador que mejora la experiencia de navegación de los visitantes de sitios web protegidos por Cloudflare. En particular, si se designa que la dirección IP de un usuario tiene mala reputación, el usuario tendrá que resolver una página de CAPTCHA de Cloudflare para acceder al sitio. Privacy Pass usa criptografía de curva elíptica para generar tokens “anónimos” luego de resolver una página de CAPTCHA simple. Estos tokens se pueden usar en interacciones futuras con sitios web de Cloudflare para evitar otros CAPTCHA. https://support.cloudflare.com/hc/en-us/articles/115001992652 ” Explicación de las cookies de SameSite Mantenga protegido su sitio aprendiendo a establecer explícitamente sus cookies entre sitios. May 7, 2019 — Actualizado May 28, 2020 Available in: Deutsch, Français, 日本語, 한국어, Português, Русский, 中文, English Appears in: Seguro y protegido Rowan Merewood Rowan Merewood Twitter GitHub Glitch En esta página Este artículo es parte de una serie de artículos que hablan sobre los cambios en los atributos para cookies de SameSite – Explicación sobre las cookies de SameSite – Recetas para usar las cookies en SameSite – Esquema en el mismo sitio Las cookies son uno de los métodos disponibles para agregar un estado persistente a los sitios web. A lo largo de los años, sus capacidades han crecido y evolucionado significativamente, pero también dejaron algunos problemas heredados importantes en la plataforma. Para solucionar esta situación, los navegadores (incluidos Chrome, Firefox y Edge) están modificando su comportamiento a fin de hacer cumplir más valores predeterminados que ayuden a preservar la privacidad. Cada cookie consiste en un par de variables key=value que incluyen una serie de atributos, los cuales controlan cuándo y dónde se utiliza esa cookie en particular. Probablemente ya haya usado estos atributos para establecer cosas como fechas de vencimiento o indicar que la cookie solo debe enviarse a través de HTTPS. Los servidores establecen las cookies cuando envían el encabezado Set-Cookie apropiado en su respuesta. Para obtener más información sobre este tema, puede consultar la extensión RFC6265bis, pero aquí encontrará un resumen rápido. Supongamos que tiene un blog en el que desea mostrar un promocional de “Novedades” a sus usuarios. Los usuarios pueden ignorar el promocional y entonces no lo volverán a ver por un tiempo. Sin embargo, usted puede almacenar esa preferencia en una cookie, configurarla para que caduque en un mes (2,600,000 segundos) y solo enviarla a través de HTTPS. Ese encabezado se vería de la siguiente manera: Set-Cookie: promo_shown=1; Max-Age=2600000; Secure Se envían tres cookies a un navegador desde la respuesta contenida en un servidor Los servidores deben establecer las cookies mediante el encabezado Set-Cookie. Cuando su lector vea una página que cumpla con esos requisitos, es decir, se encuentra en una conexión segura y la cookie tiene menos de un mes de antigüedad, entonces su navegador enviará el siguiente encabezado en su solicitud: Cookie: promo_shown=1 Se envían tres cookies desde un navegador a un servidor mediante una solicitud Su navegador devuelve las cookies con el encabezado Cookie. También puede agregar y leer las cookies disponibles para ese sitio en JavaScript usando document.cookie . Hacer una asignación hacia document.cookie creará o anulará una cookie con esa clave. Por ejemplo, intente hacer lo siguiente en la consola JavaScript de su navegador: → document.cookie = “promo_shown=1; Max-Age=2600000; Secure” ← “promo_shown=1; Max-Age=2600000; Secure” La lectura de document.cookie generará todas las cookies a las que se tiene acceso en el contexto actual, donde cada cookie estará separada por un punto y coma: → document.cookie; ← “promo_shown=1; color_theme=peachpuff; sidebar_loc=left” JavaScript tiene acceso a las cookies dentro del navegador JavaScript puede acceder a las cookies mediante document.cookie. Si prueba esto en una selección de sitios populares, notará que la mayoría de ellos establecen significativamente más de tres cookies. En la mayoría de los casos, esas cookies se envían a ese dominio a partir de cada solicitud, lo cual tiene varias implicaciones. El ancho de banda que se emplea para la carga suele estar más restringido para sus usuarios que la descarga, de modo que la sobrecarga en todas las solicitudes que salen agrega un retraso en el tiempo que transcurre hasta llegar al primer byte. Por este motivo, sugerimos que sea conservador en la cantidad y el tamaño de las cookies que establezca. Utilice el atributo Max-Age para garantizar que las cookies no permanezcan más tiempo del necesario. ¿Qué son las cookies propias y de terceros? # Si regresa a la misma selección de sitios que veía antes, probablemente notó que había cookies para una gran variedad de dominios, no solo el que visitaba en ese momento. A las cookies que coinciden con el dominio del sitio actual, es decir, el que se muestra en la barra de direcciones del navegador, se les conoce como cookies propias. De manera similar, las cookies cuyos dominios son distintos al del sitio que se visita en ese momento se denominan cookies de terceros. Esta no es una una forma para denominarlas que pueda usarse en todos los casos, pero es relativa al contexto del usuario. Es decir, la misma cookie puede ser propia o de terceros, según el sitio donde se encuentre el usuario en ese momento. Se envían tres cookies a un navegador desde diferentes solicitudes en la misma página Las cookies pueden provenir de una gran variedad de dominios diferentes en una misma página. Para continuar con el ejemplo anterior, digamos que una de las publicaciones de su blog tiene la imagen de un gato particularmente asombroso y está alojada en /blog/img/amazing-cat.png . Debido a que es una imagen bastante sorprendente, otra persona la usa directamente en su sitio. Si un visitante estuvo en su blog y tiene la cookie promo_shown , cuando vea la imagen amazing-cat.png en el sitio de la otra persona, esa cookie se enviará en la solicitud de esa imagen. Esto no es particularmente útil para nadie, ya que promo_shown no se usa de ninguna forma en el sitio de esta otra persona, solo agrega una forma de sobrecargar la solicitud. Si ese es un efecto no deseado, ¿por qué querría hacer eso? Este es el mecanismo que permite a los sitios mantener su estado cuando se utilizan en un contexto de terceros. Por ejemplo, si inserta un video de YouTube en su sitio, los visitantes verán la opción “Ver más tarde” en el reproductor. Si su visitante ya inició sesión en YouTube, esa sesión estará disponible en el reproductor integrado mediante una cookie de terceros, lo cual significa que el botón “Ver más tarde” simplemente guardará el video, en lugar de pedirle que inicie sesión o sea necesario que navegue fuera de su página y regrese de nuevo a YouTube. La misma cookie se envía en tres contextos diferentes Cuando visita diferentes páginas se envía una cookie en el contexto de terceros. Una de las propiedades culturales de la web es que tiende a estar abierta de forma predeterminada. Esto es parte de lo que ha hecho posible que muchas personas creen allí su propio contenido y aplicaciones. Sin embargo, esto también ha generado una serie de problemas relacionados con la seguridad y la privacidad. Los ataques de falsificación de solicitudes entre sitios (CSRF) se basan en el hecho de que las cookies se adjuntan a cualquier solicitud con un origen determinado, sin importar quién inicie la solicitud. Por ejemplo, si visita evil.example, esto puede desencadenar solicitudes en your-blog.example, y su navegador adjuntará con gusto las cookies asociadas. Si su blog no tiene cuidado con la forma en que valida esas solicitudes, entonces la visita a evil.example podría desencadenar acciones como la eliminación de publicaciones o la adición de su propio contenido. Además, los usuarios cada vez son más conscientes sobre cómo se pueden utilizar las cookies para realizar un seguimiento de la actividad en varios sitios. Sin embargo, hasta ahora no ha habido una forma de indicar explícitamente cuál es su intención con la cookie. La cookie promo_shown solo debe enviarse en un contexto propio, mientras que una cookie de sesión para un widget que esté destinada a incrustarse en otros sitios, se coloca allí de manera intecional para proporcionar el estado de inicio de sesión en un contexto de terceros. Indique explícitamente el uso de las cookies con el atributo SameSite # La introducción del atributo SameSite (como se definió en la extensión RFC6265bis ), le permite declarar si su cookie debe restringirse a un contexto propio o del mismo sitio. Es útil comprender exactamente lo que significa “sitio” en este contexto. El sitio es una combinación entre el sufijo del dominio y la parte del dominio que se encuentra justo antes de él. Por ejemplo, el dominio www.web.dev es parte del sitio web.dev. Término clave Si el usuario está en www.web.dev y solicita una imagen de static.web.dev, entonces esa es una solicitud same-site. La lista de sufijos públicos define esto, por lo que no se trata solo de dominios de nivel superior como .com sino que también incluye servicios como github.io . Eso permite que your-project.github.io y my-project.github.io se consideren como sitios separados. Término clave Si el usuario está en your-project.github.io y solicita una imagen de my-project.github.io esa es una solicitud cross-site. La introducción del atributo SameSite en una cookie proporciona tres formas diferentes de controlar este comportamiento. Puede optar por no especificar el atributo, o puede utilizar Strict o Lax para limitar dicha cookie a las solicitudes same-site. Si configura SameSite en Strict , su cookie solo se enviará en un contexto propio. En términos del usuario, la cookie solo se enviará si el sitio de la cookie coincide con el sitio que se muestra actualmente en la barra URL del navegador. Entonces, si la cookie promo_shown se establece de la siguiente manera: Set-Cookie: promo_shown=1; SameSite=Strict Cuando el usuario esté en su sitio, la cookie se enviará con la solicitud tal y como se esperaba. Sin embargo, al seguir un enlace a su sitio, digamos desde otro sitio o mediante el correo electrónico de un amigo, en esa solicitud inicial no se enviará la cookie. Esto es bueno cuando tiene cookies relacionadas con la funcionalidad, las cuales siempre estarán detrás de una navegación inicial, como cambiar una contraseña o realizar una compra, pero es demasiado restrictiva para la cookie promo_shown . Si su lector sigue el enlace que aparece en el sitio, entonces quiere que se le envíe la cookie para que puedan aplicarse sus preferencias. Ahí es donde SameSite=Lax entra en juego al permitir que la cookie se envíe con esta navegación de nivel superior. Revisemos el ejemplo del artículo sobre los gatos que mencionamos anteriormente, donde otro sitio hace referencia a su contenido. Ellos utilizan directamente su foto del gato y proporcionan un enlace hacia su artículo original.

Look at this amazing cat!

Read the article.

Y la cookie se configuró de esta manera: Set-Cookie: promo_shown=1; SameSite=Lax Cuando el lector esté en el blog de la otra persona, la cookie no se enviará en el momento en que el navegador solicite la imagen amazing-cat.png. Sin embargo, cuando el lector siga el enlace hacia cat.html en su blog, esa solicitud incluirá la cookie. Esto hace que Lax sea una buena opción para las cookies que afectan la visualización del sitio con Strict, debido a que es útil para las cookies relacionadas con las acciones que efectúa su usuario. Precaución Ni Strict ni Lax son una solución integral para mantener la seguridad de su sitio. Las cookies se envían como parte de las solicitudes del usuario y debe tratarlas de la misma forma en que lo haría con cualquier otra entrada de él. Eso significa que debe desinfectar y validar la entrada. Nunca utilice una cookie para almacenar datos que considere un secreto del lado del servidor. Finalmente existe la opción de no especificar el valor, que hasta el momento era la forma de indicar implícitamente que la cookie debe enviarse en todos los contextos. En el último borrador de la extensión RFC6265bis esto se hace explícito al introducir un nuevo valor para SameSite=None. De modo que puede usar None para comunicar claramente que la cookie debe enviarse intencionalmente en un contexto de terceros. Las tres cookies se etiquetaron como None, Lax, o Strict dependiendo de su contexto El contexto de una cookie se indica explícitamente como None, Lax, o Strict. Si proporciona un servicio que otros sitios consumen, como widgets, contenido incrustado, programas para afiliados, publicidad o inicios de sesión en varios sitios, debe usar None para asegurarse de que su intención sea clara. Cambios en el comportamiento predeterminado cuando no se usa SameSite # Si bien el atributo SameSite cuenta con bastante apoyo, desafortunadamente no tuvo demasiada aceptación por parte de los desarrolladores. La configuración abierta en la que se envían cookies a todas partes de forma predeterminada implica que todos los casos de uso funcionan, pero se deja vulnerable al usuario ante los CSRF y a las fugas de información de manera involuntaria. Para alentar a los desarrolladores a manifestar su intención y brindarles a los usuarios una experiencia más segura, la propuesta de IETF, Incrementally Better Cookies, establece dos cambios fundamentales: Las cookies que no tienen un atributo SameSite se tratarán como SameSite=Lax . Las cookies con SameSite=None también deben especificar a Secure, esto significa que requieren de un contexto seguro. Chrome implementa estos comportamientos predeterminados a partir de la versión 84. En Firefox están disponibles para probarlos a partir de la versión Firefox 69 y, en el futuro, los convertirá en comportamientos predeterminados. Para probar estos comportamientos en Firefox, abra about:config y configure network.cookie.sameSite.laxByDefault. Edge también planea cambiar sus comportamientos predeterminados. Este artículo se actualizará a medida que los navegadores adicionales anuncien su compatibilidad. Cuando SameSite=Lax se encuentra de forma predeterminada # No attribute set Set-Cookie: promo_shown=1 Si envía una cookie sin especificar ningún atributo SameSite Default behavior applied Set-Cookie: promo_shown=1; SameSite=Lax El navegador tratará esa cookie como si se hubiera especificado SameSite=Lax. Si bien la intención es implementar un valor predeterminado más seguro, lo ideal sería establecer un atributo SameSite de manera explícita en vez de confiar en que el navegador lo aplicará por usted. Esto hace que su intención para la cookie sea explícita y aumenta la probabilidad de tener una experiencia uniforme en todos los navegadores. Precaución El comportamiento predeterminado que implementó Chrome es un poco más permisivo que un SameSite=Lax explícito, pues permitirá que ciertas cookies se envíen en las solicitudes POST de nivel superior. Puede ver los detalles exactos en el anuncio de blink-dev. La intención de estas medidas es convertirse en una mitigación temporal, sin embargo, aún debe corregir sus cookies entre sitios para usar SameSite=None; Secure. El atributo SameSite=None debe ser seguro # Rejected Set-Cookie: widget_session=abc123; SameSite=None Cuando la cookie se establezca sin el atributo Secure será rechazada. Accepted Set-Cookie: widget_session=abc123; SameSite=None; Secure Debe asegurarse de conjuntar a SameSite=None con el atributo Secure. Puede probar este comportamiento a partir de la versión Chrome 76 si habilita about://flags/#cookies-without-same-site-must-be-secure, y desde Firefox 69 en about:config al configurar network.cookie.sameSite.noneRequiresSecure. Es necesario que lo aplique cuando configure nuevas cookies y en caso de que quiera actualizar de manera activa las cookies ya existentes, incluso si estas no están cerca de su fecha de vencimiento. Si confía en algún servicio que proporcione contenido de terceros en su sitio, también debe verificar con dicho proveedor que sus servicios se actualizan continuamente. Es posible que usted también deba actualizar sus dependencias o fragmentos para garantizar que su sitio acepta el nuevo comportamiento. Ambos cambios son compatibles con las versiones previas de los navegadores que implementaron correctamente la versión anterior del atributo SameSite, o que simplemente no lo implementaron en absoluto. Al aplicar estos cambios a sus cookies, hace explícito el uso que se tenía previsto de las mismas, en lugar de confiar en el comportamiento predeterminado del navegador. Del mismo modo, cualquier cliente que no reconozca a SameSite=None hasta este momento debería ignorarlo y continuar como si el atributo no se hubiera establecido. Advertencia Varias versiones antiguas de los navegadores, entre los que se incluyen Chrome, Safari y UC, no son compatibles con el nuevo atributo None y pueden ignorar o restringir la cookie. Este comportamiento se corrige en las versiones actuales, pero es necesario que compruebe su tráfico para determinar qué proporción de sus usuarios se ven afectados. Puede ver la lista de clientes conocidos que no son compatibles en el sitio de Chromium. Recetas para usar las cookies en SameSite # Si desea obtener más información sobre la manera exacta para actualizar sus cookies e implementar con éxito estos cambios en SameSite=None, así como la diferencia en el comportamiento del navegador, vaya al artículo de seguimiento, Recetas para usar las cookies en SameSite. Me gustaría agradecer a Lily Chen, Malte Ubl, Mike West, Rob Dodson, Tom Steiner y Vivek Sekhar por todas sus contribuciones y valiosos comentarios. Imagen Cookie hero realizada por Pille-Riin Priske en Unsplash “” https://web.dev/samesite-cookies-explained/ https://web.dev/samesite-cookies-explained/

• El Mundo de Suiri

Getting started with Trust Tokens Trust Tokens is a new API to enable a website to convey a limited amount of information from one browsing context to another (for example, across sites) to help combat fraud, without passive tracking. Summary # Trust tokens enable an origin to issue cryptographic tokens to a user it trusts. The tokens are stored by the user’s browser. The browser can then use the tokens in other contexts to evaluate the user’s authenticity. The Trust Token API enables trust of a user in one context to be conveyed to another context without identifying the user or linking the two identities. You can try out the API with our demo, and inspect tokens in the Chrome DevTools Network and Application tabs. https://web.dev/trust-tokens/ Google prueba los ‘tokens de confianza’, su propia alternativa a las cookies de terceros en Chrome Google prueba los ‘tokens de confianza’, su propia alternativa a las cookies de terceros en Chrome 3 comentarios HOY SE HABLA DE Whatsapp AirTag The Witcher Nintendo Switch Netflix Apple Zoom PS5 Monitores Nuevo iPad TE RECOMENDAMOS El misterioso caso de cómo un cambio el en buscador de Google estaba colgando Microsoft Edge El misterioso caso de cómo un cambio el en buscador de Google estaba colgando Microsoft Edge Facebook preve un 2021 de incertidumbre y Google prepara alternativas: así afectarán los cambios en iOS al rastreo de usuarios Facebook preve un 2021 de incertidumbre y Google prepara alternativas: así afectarán los cambios en iOS al rastreo de usuarios Google quiere acabar con las cookies de Internet, y dice que su alternativa es casi igual de eficaz para los anunciantes Google quiere acabar con las cookies de Internet, y dice que su alternativa es casi igual de eficaz para los anunciantes Suscríbete a Xataka Recibe un email al día con nuestros artículos: Síguenos Twitter Facebook Youtube Instagram Telegram RSS Flipboard LinkedIn Tiktok 3 Agosto 2020Actualizado 3 Agosto 2020, 14:43 cristian-rus Cristian Rus @CristianRus4 A principios de años Google anunció el fin de los cookies de terceros en su navegador Chrome. Un movimiento audaz si tenemos en cuenta que Google basa su negocio precisamente en la publicidad, donde los cookies son una parte elemental para rastrear al usuario y ofrecer publicidad más acertada. En su lugar plantean una alternativa: los tokens de confianza. Cómo va a cambiar la web con el fin de las cookies de terceros de Chrome En Xataka Cómo va a cambiar la web con el fin de las cookies de terceros de Chrome Las cookies esencialmente son rastreadores que se encargan de anotar qué webs visita cada usuario para así crear un historial más completo y preciso para el anunciante sobre cada usuario. Como consecuencia el anunciante ofrecerá anuncios más específicos según los gustos y preferencias de cada usuario. Sin embargo también tiene un punto negativo: permite crear un perfil único de cada usuario y poder identificarlo, levantando así las preocupaciones de privacidad. Según explica Google, proponen usar en su lugar ‘tokens de confianza’. Dicen que están diseñados para autenticar a un usuario sin desvelar su identidad. En teoría, al ser todos iguales, no pueden rastrear al usuario a lo largo de Internet. Pero aún así sí que pueden decirle al anunciante que son usuarios reales (no bots) y qué anuncios han visto o hecho click. https://www.xataka.com/privacidad/google-prueba-tokens-confianza-su-propia-alternativa-a-cookies-terceros-chrome https://www.xataka.com/privacidad/google-prueba-tokens-confianza-su-propia-alternativa-a-cookies-terceros-chrome

• El Mundo de Suiri

DNS-over-TLS for insecure delegations draft-bretelle-dprive-dot-for-insecure-delegations-00 Abstract This document describes an alternate mechanism to DANE ([RFC6698]) in order to authenticate a DNS-over-TLS (DoT [RFC7858]) authoritative server by not making DNSSEC a hard requirement, making DoT server authentication available for insecure delegations. Status of This Memo This Internet-Draft is submitted in full conformance with the provisions of BCP 78 and BCP 79. Internet-Drafts are working documents of the Internet Engineering Task Force (IETF). Note that other groups may also distribute working documents as Internet-Drafts. The list of current Internet-Drafts is at https://datatracker.ietf.org/drafts/current/. Internet-Drafts are draft documents valid for a maximum of six months and may be updated, replaced, or obsoleted by other documents at any time. It is inappropriate to use Internet-Drafts as reference material or to cite them other than as “work in progress.” This Internet-Draft will expire on March 31, 2019. Copyright Notice Copyright (c) 2018 IETF Trust and the persons identified as the document authors. All rights reserved. This document is subject to BCP 78 and the IETF Trust’s Legal Provisions Relating to IETF Documents (https://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License. Table of Contents 1. Introduction 2. Terminology 3. Authenticating an insecure delegation 3.1. Public Key Infranstructure (PKIX) 3.2. Simple Public-Key Infrastructure (SPKI) 3.3. Authenticating from the parent 3.3.1. Example 4. DSPKI Resource Record 4.1. DSPKI RDATA Format 5. Security Considerations 6. IANA Considerations 7. Normative References Acknowledgments Author’s Address 1. Introduction This document describes an alternate mechanism to [RFC6698] as described in [I-D.bortzmeyer-dprive-resolver-to-auth] Section 2 extending the authentication of DoT [RFC7858] to insecure delegations and therefore enabling the onboarding of DoT authoritative servers without the requirement for the authorities to support DNSSEC ([RFC4033], [RFC4034], and [RFC4035]). To do so, this document introduce the Delegation SPKI (DSPKI) resource record, its purpose, usage and format. 2. Terminology A server that supports DNS-over-TLS is called a “DoT server” to differentiate it from a “DNS Server” (one that provides DNS service over any other protocol), likewise, a client that supports this protocol is called a “DoT client” A secure delegation ([RFC4956] Section 2) is a signed name containing a delegation (NS RRset), and a signed DS RRset, signifying a delegation to a signed zone. An insecure delegation ([RFC4956] Section 2) is a signed name containing a delegation (NS RRset), but lacking a DS RRset, signifying a delegation to an unsigned subzone. The key words “MUST”, “MUST NOT”, “REQUIRED”, “SHALL”, “SHALL NOT”, “SHOULD”, “SHOULD NOT”, “RECOMMENDED”, “NOT RECOMMENDED”, “MAY”, and “OPTIONAL” in this document are to be interpreted as described in BCP 14 [RFC2119] [RFC8174] when, and only when, they appear in all capitals, as shown here. 3. Authenticating an insecure delegation To authenticate a DoT server of a secure delegation, it is possible to use the TLSA resource record [RFC6698] of the nameserver as decribed in [I-D.bortzmeyer-dprive-resolver-to-auth] Section 2, while this method is valid, the absence of support of DNSSEC for such delegations precludes the onboarding and discovery of nameservers serving those zones as DoT servers. Without the use of DNSSEC, a delegation is not able to authenticate itself as the chain of trust cannot be followed, however other mechanisms exist to have a server authenticate itself, such as Public Key Infrastructure (PKIX [RFC6125]) , SPKI, which have their own pros and cons. 3.1. Public Key Infranstructure (PKIX) It would be possible to authenticate the nameservers of the insecure delegation using PKIX, relying on an existing trust model and trust anchors. While simple, a single trusted CA that breaks said trust (voluntarily or involuntarily), can issue certificate for any domains, allowing an attacker to potentially impersonate both the application and the DoT server. Another issue that rises is that the DoT servers may use an identity which belong to the same origin as application servers, which could permit personal information (such as cookies) to be leaked to the DoT servers. 3.2. Simple Public-Key Infrastructure (SPKI) SPKI on the other hand does not have the same issues than PKIX, the certificates can be generated by the authority itself, adding a separation of privileges between the PKIX infrastructure and the DNS one. The problem is now on how to advertise/distribute the delegation’s public key. This is in essence what TLSA records solve, but with the use of DNSSEC enabled and functional for the queried zone. For insecure delegations, simply advertising the public key would be subject to interception and mangling. 3.3. Authenticating from the parent While a delegation is not secured, the DNS core infrastructure already support DNSSEC, meaning that if the owner of an insecure delegation could set the public key to authenticate the DoT servers against, such key could be authenticated using DNSSEC at the parent level, which would then permit trusting the DoT servers providing their certificate validates against the ( then validated) public key provided by the parent. From this stage, the “formerly” insecure delegation can be authenticated, and therefore considered secure, allowing delegating to other zones which can be authenticated by either DNSSEC or TLS. In order to provide its public key to the DoT clients, an insecure would set the DSPKI RRset at the parent with the content of its extracted SPKI, which the parent then sign. A DoT client which is about to talk with a DoT server can obtain and validate the DSPKI RRset from the parent and authenticate the DoT server, without needing the DoT server to serve a secure delegation. 3.3.1. Example example.com is an insecure delegation from .com which has set the DSPKI RRset. A DoT client looking for records under example.com will learn from .com that example.com is delegated to example.com 172800 NS ns1.example.com example.com 172800 NS ns2.example.com example.com 86400 DSPKI h0KPxSKAPTEGXnvOPPA/5HUJZjHl4Hu9eg/eYMTPJcc= ns1.example.com 172800 AAAA 2001:db8:abcd:12:1:2:3:4 ns2.example.com 172800 AAAA 2001:db8:abcd:ab:1:2:3:4 with the accompanying signature. The DSPKI RRset signals that the nameservers are able to support DNS-over-TLS and the DoT client can authenticate them using the provided public key, If subzone.example.com is a delegation from example.com, example.com can provide the DSPKI RRSet of the delegation. While example.com is not a secured delegation, because it has been authenticated using TLS, it is also able to be part of the chain of trust and provide either a DS or DSPKI RRset for subzone.example.com 4. DSPKI Resource Record There may be 0 or more DSPKI served by the parent of the delegation. 0 would mean that DSPKI is not supported, therefore the DoT client could try other alternatives. 1 or multiple public keys can be distributed to let the DoT client validate multiple public keys, which can be useful while doing certificate rotation or when willing to provide different secret keys to different providers that may serve the delegated zone. 4.1. DSPKI RDATA Format +–+–+–+–+–+–+–+–+–+–+–+–+–+–+–+–+ / PUBKEY / / / +–+–+–+–+–+–+–+–+–+–+–+–+–+–+–+–+ Where PUBKEY: A base64 encoded string of the sha256sum of the public key, as generated by: ~~~~ openssl x509 -in cert.pem -pubkey -noout | openssl pkey -pubin -outform der | \ openssl dgst -sha256 -binary | openssl enc -base64 ~~~~ FIXME: consider * format that can evolve over time, e.g 1 byte specifying hashing algorithm. * no need for base64, raw bytes are fine. * alternate URI to support DoT (host, port, spki), DoH (host, port, URL template), DNS-over-QUIC… would rather be an ALTNS type of record * CDSPKI a la CDS, CDNSKEY 5. Security Considerations TODO Security 6. IANA Considerations TODO: This document requires IANA actions (new RR type). 7. Normative References [I-D.bortzmeyer-dprive-resolver-to-auth] Bortzmeyer, S., “Encryption and authentication of the DNS resolver-to-authoritative communication”, Internet-Draft draft-bortzmeyer-dprive-resolver-to-auth-01, March 2018. [RFC2119] Bradner, S., “Key words for use in RFCs to Indicate Requirement Levels”, BCP 14, RFC 2119, DOI 10.17487/RFC2119, March 1997. [RFC4033] Arends, R., Austein, R., Larson, M., Massey, D. and S. Rose, “DNS Security Introduction and Requirements”, RFC 4033, DOI 10.17487/RFC4033, March 2005. [RFC4034] Arends, R., Austein, R., Larson, M., Massey, D. and S. Rose, “Resource Records for the DNS Security Extensions”, RFC 4034, DOI 10.17487/RFC4034, March 2005. [RFC4035] Arends, R., Austein, R., Larson, M., Massey, D. and S. Rose, “Protocol Modifications for the DNS Security Extensions”, RFC 4035, DOI 10.17487/RFC4035, March 2005. [RFC4956] Arends, R., Kosters, M. and D. Blacka, “DNS Security (DNSSEC) Opt-In”, RFC 4956, DOI 10.17487/RFC4956, July 2007. [RFC6125] Saint-Andre, P. and J. Hodges, “Representation and Verification of Domain-Based Application Service Identity within Internet Public Key Infrastructure Using X.509 (PKIX) Certificates in the Context of Transport Layer Security (TLS)”, RFC 6125, DOI 10.17487/RFC6125, March 2011. [RFC6698] Hoffman, P. and J. Schlyter, “The DNS-Based Authentication of Named Entities (DANE) Transport Layer Security (TLS) Protocol: TLSA”, RFC 6698, DOI 10.17487/RFC6698, August 2012. [RFC7250] Wouters, P., Tschofenig, H., Gilmore, J., Weiler, S. and T. Kivinen, “Using Raw Public Keys in Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS)”, RFC 7250, DOI 10.17487/RFC7250, June 2014. [RFC7858] Hu, Z., Zhu, L., Heidemann, J., Mankin, A., Wessels, D. and P. Hoffman, “Specification for DNS over Transport Layer Security (TLS)”, RFC 7858, DOI 10.17487/RFC7858, May 2016. [RFC8174] Leiba, B., “Ambiguity of Uppercase vs Lowercase in RFC 2119 Key Words”, BCP 14, RFC 8174, DOI 10.17487/RFC8174, May 2017. Acknowledgments TODO acknowledge. Author’s Address Emmanuel Bretelle Facebook EMail: chantra@fb.com https://tools.ietf.org/id/draft-bretelle-dprive-dot-for-insecure-delegations-00.html The DNS-Based Authentication of Named Entities (DANE) Transport Layer Security (TLS) Protocol: TLSA Abstract Encrypted communication on the Internet often uses Transport Layer Security (TLS), which depends on third parties to certify the keys used. This document improves on that situation by enabling the administrators of domain names to specify the keys used in that domain’s TLS servers. This requires matching improvements in TLS client software, but no change in TLS server software. Specification for DNS over Transport Layer Security (TLS) Abstract This document describes the use of Transport Layer Security (TLS) to provide privacy for DNS. Encryption provided by TLS eliminates opportunities for eavesdropping and on-path tampering with DNS queries in the network, such as discussed in RFC 7626. In addition, this document specifies two usage profiles for DNS over TLS and provides advice on performance considerations to minimize overhead from using TCP and TLS with DNS. This document focuses on securing stub-to-recursive traffic, as per the charter of the DPRIVE Working Group. It does not prevent future applications of the protocol to recursive-to-authoritative traffic. https://tools.ietf.org/id/draft-bretelle-dprive-dot-for-insecure-delegations-00.html