Páginas

viernes, 11 de marzo de 2011

Cookies Flash

Fuente: Carla Schroder de Planet Linux
URL: http://www.linuxplanet.com/linuxplanet/tips/6706/1/

¿Qué son las cookies de Flash y ¿Por qué debería importarme?
Las cookies de Flash tienen más información que las cookies de HTTP - cookies HTTP son cerca de cuatro kilobits, mientras que las cookies de Flash con capacidad para 100kb. Usted puede encontrarlas en su sistema Linux almacenadas en ~ / .macromedia/Flash_Player/directorio. Hay dos directorios llenos de cookies aquí, enterrado hacia abajo en rutas macromedia.com y SharedObject #. Las cookies tienen extensiones .sol, y son archivos binarios, no se puede leer como "cookies de HTTP de texto sin formato. (Usted puede abrir archivos binarios en cualquiera de los muchos buenos editores hexadecimales Linux, como hexedit, sólo por diversión. Debería haber un poco de texto mezclado con el material hexedecimal.)
Las cookies de Flash son los desagradables secretos de utilizar el reproductor de Flash en cualquier plataforma. Se trata de algo así como la ordinaria cookies HTTP que infestan los sitios Web en nuestros sistemas. Algunas cookies HTTP tienen fines útiles, como almacenar el contenido de los carros de compras e información de otra sesión que es realmente útil para nosotros los usuarios humildes. Pero la mayoría de las cookies HTTP son cookies de rastreo, siguen nuestros viajes alrededor de la web, recopilan datos sin nuestro consentimiento y con fines que no nos benefician. Los vendedores no tienen vergüenza a la hora de nuevas y más formas innovadoras para espiar y realizar un seguimiento de nuestros movimientos, y reunir datos de identificación de diversos sitios.

Según Wikipedia, las cookies de Flash pueden ser leídos sólo por sus sitios de origen, y no se comparten a través de dominios. Y, sin embargo se les llama "objetos locales compartidos." Las cookies HTTP son comúnmente abusivas ​​por compartir a través de dominios a través de servidores de anuncios de terceros y de acuerdo con los Web bugs, y así es como se construyen perfiles detallados de los visitantes del sitio. Si introduce datos personales en un sitio, es posible que los datos sean compartidos con otros sitios, y luego saben quién eres. Todos estamos familiarizados con la vieja y cansada "Oh, no recopilamos datos personales a propósito, e incluso cuando es accidental que no lo veo. Todo agregados y anónimos! No, en serio!" bushwah. Uh huh. Abre tus servidores y vamos a ver, porque "la confianza, pero verificar" es lo que la gente sabia hace.
Hay muchas buenas herramientas de software libre administrador de cookies, y modernos navegadores Web incluyen administradores de la galleta, pero hasta donde yo sé ninguno de estos son conscientes de las cookies de Flash. Adobe tiene un administrador de cookies de Flash (primera figura). Así es, es en el sitio Web de Adobe. Ese es el gerente real que lee las cookies en su computadora. Adobe afirma que "Adobe no tiene acceso a la configuración que ve en el Administrador de configuración o información personal en su ordenador." Sí lo que sea, mantengo mi escepticismo en "always on".

Hay varias fichas que muestran varias opciones interesantes, como "Haga clic en preguntar siempre a exigir cualquier sitio web pedir permiso si quiere acceder a su cámara y/o un micrófono." ¿No es especial! No podía encontrar cual es el valor por defecto, aunque, naturalmente, siempre sospecho lo peor.

El nombre correcto de las cookies de Flash es Local Shared Objects, o LSO, pero vamos a llamarle de todas formas "las cookies de Flash". Hay dos maneras de gestionarlas:

1.- la forma de Adobe, basicamente boton derecho y clickando en la entrada global settings encima de un objeto flash.
2.- La forma Linux.

Tal vez usted no desea las malditas cookies en su sistema. Como de costumbre, Linux te permite controlar tu propia maquina y le permite  evitar que las cookies de Flash aniden en el sistema. Hay varias  maneras de hacer esto. las cookies de Flash residen en dos directorios, ~ /.macromedia/Flash_Player/SharedObjects#/ y ~ /.macromedia/Flash_Player/macromedia.com/. Si quieres ver a estos en un administrador de archivos gráfico, asegúrese de que tiene "ver archivos ocultos" activado. Elimine todos los archivos en estos directorios, acto seguido, cambie los permisos a modo de 0500, que es de sólo lectura y ejecución:

$ chmod -Rv 0500 .macromedia/
...

 mode of `.macromedia/Flash_Player/#SharedObjects/' retained as 0500 (r-x------)mode of `.macromedia/Flash_Player/macromedia.com/support/flashplayer/sys/' retained as 0500 (r-x------)

chmod significa "cambio de lectura-escritura-el modo de ejecución",-R significa recursivo, y v es detallado para que pueda ver lo que está sucediendo. Usted necesita este conjunto para que pueda entrar en los directorios y asegurarse que no se han escrito nuevas cookies. (Sí, es necesario establecer el bit de ejecución para que pueda entrar en ellos). Pero los directorios no son modificables por lo que nuevas cookies no se pueden agregar.

Si desea asegurarse, realice la comprobación:

gentoo@hypatia ~ $ ls -lR .macromedia/
.macromedia/:
total 4
dr-x------ 4 gentoo users 4096 Aug 26  2010 Flash_Player
.macromedia/Flash_Player:
total 8
dr-x------ 3 gentoo users 4096 Mar 11 13:49 macromedia.com
dr-x------ 2 gentoo users 4096 Mar 11 13:46 #SharedObjects
.macromedia/Flash_Player/macromedia.com:
total 4
dr-x------ 3 gentoo users 4096 Mar 11 13:49 support
.macromedia/Flash_Player/macromedia.com/support:
total 4
dr-x------ 3 gentoo users 4096 Mar 11 13:49 flashplayer
.macromedia/Flash_Player/macromedia.com/support/flashplayer:
total 4
dr-x------ 2 gentoo users 4096 Mar 11 13:49 sys
.macromedia/Flash_Player/macromedia.com/support/flashplayer/sys:
total 0
.macromedia/Flash_Player/#SharedObjects:
total 0

Alternativamente, es posible deshacerse manualmente de las carpetas contenedoras de la información sin cambiar los permisos a los directorios involucrados:
$ rm -rf ~/.macromedia/Flash_Player/macromedia.com/support/flashplayer/sys
$ rm -rf ~/.macromedia/Flash_Player/#SharedObjects/SFP2X82Y

Linux es genial!.

martes, 8 de marzo de 2011

OpenVPN

Configurar un escenario de pruebas openvpn seguro

Quiere crear un entorno controlado y seguro para probar openvpn?. Vamos a contruir un pequeño laboratorio de pruebas con tres ordenadores. Uno sera el ordenador remoto, el segundo el servidor y router OpenVpn, y el tercero la LAN. El ordenador que actue como servidor y router OpenVpn necesitara dos interfaces de Ethernet. De manera que sera posible probar las reglas de configuracion y cortafuegos de OpenVpn de un modo realista. Utilice cables de Ethernet y un conmutador.

Primero instale OpenVPN en el ordenador remoto y la maquina que hara de servidor OpenVpn. Todos los ordenadores ejecutan Linux, (trataremos otros clientes más adelante). En la mayoria de distribuciones Linux OpenVpn esta incluida, de manera que está a un emerge openvpn o apt-get install openvpn (gentoo y debian respectivamente).

La configuración de rutas puede resultar un poco confusa, sobre todo si tiene que dibujar diagramas de red para configuraciones sencillas (como me pasa a mi), así que tómeselo con tranquilidad y siga estos pasos. Más adelante puede cambiar direcciones y rutas.


El ordenador remoto y el servidor conéctelos directamente con un clave cruzado. Llamaré "tux" al servidor OpenVpn, "stinkpad" al cliente remoto y "server1" escenificará al resto de la LAN.

tux y stinkpad es necesario que estén en subredes diferentes. Nuestro direccionamiento de red será:

stinkpad
    eth0
    address 192.168.2.100
    netmask 255.255.255.0
    broadcast 192.168.2.255
    network 192.168.2.0

tux   
    eth0 - LAN
    address 192.168.1.10
    netmask 255.255.255.0
    broadcast 192.168.1.255
    network    192.168.1.0
   
    eth1 - INTERNET
    address 192.168.3.10
    netmask    255.255.255.0
    broadcast 192.168.3.255
    network    192.168.3.0
   
server1
    eth0
    address 192.168.1.76
    netmask    255.255.255.0
    broadcast 192.168.1.255
    network 192.168.1.0
    gateway por defecto 192.168.1.10

No hace falta cambiar las configuraciones de red actuales, serán utilizados temporalmente para las pruebas. No necesita tocar ningun fichero de configuración. Establecer las IP:

root@stinkpad # ifonfig eth0 192.168.2.100 netmask 255.255.255.0 up
root@tux # ifconfig eth0 192.168.1.10 netmask 255.255.255.0 up
root@tux # ifconfig eth1 192.168.3.10 netmask 255.255.255.0 up
root@server1 # ifconfig eth0 192.168.1.76 netmask 255.255.255.0 up

Crear las rutas estáticas y activar el reenvio en tux, para permitir el flujo de los bits:

root@stinkpad # route del default
root@stinkpad # route add -net 192.168.1.0/24 gw 192.168.3.10 eth0
root@stinkpad # route add -net 192.168.2.0/24 gw 192.168.2.100 eth0
root@stinkpad # route add -net 192.168.3.0/24 192.168.2.100 eth0
root@tux # route del default
root@tux # echo 1 > /proc/sys/net/ipv4/ip_forward
root@tux # route add -net 192.168.2.0/24 gw 192.168.3.10 eth1

El comando route le permite ver sus rutas:

root@stinkpad # route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.3.0     stinkpad.local  255.255.255.0   UG    0      0        0 eth0
192.168.2.0     *               255.255.255.0   U     0      0        0 eth0
192.168.1.0     192.168.3.10    255.255.255.0   UG    0      0        0 eth0

Cometer errores es normal, con este comando puede eliminar las rutas:
# route del -net 192.168.2.0/24

root@tux # route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.3.0     *               255.255.255.0   U     0      0        0 eth1
192.168.2.0     tux.local       255.255.255.0   UG    0      0        0 eth1
192.168.1.0     *               255.255.255.0   U     0      0        0 eth0

configuracion server1:
root@server1 # route del default

root@server1 # route add -net 192.168.2.0/24 gw 192.168.1.10 eth0
root@server1 # route add -net 192.168.3.0/24 gw 192.168.1.10 eth0

root@server1 # route
Tabla de rutas IP del núcleo
Destino         Pasarela        Genmask         Indic Métric Ref    Uso Interfaz
192.168.3.0     tux.local       255.255.255.0   UG    0      0        0 eth0
192.168.2.0     tux.local       255.255.255.0   UG    0      0        0 eth0
192.168.1.0     *               255.255.255.0   U     0      0        0 eth0

Prbar la conectividad entre server1 y stinkpad:
root@server1 # ping -c3 192.168.2.100
PING 192.168.2.100 (192.168.2.100) 56(84) bytes of data.
64 bytes from 192.168.2.100: icmp_seq=1 ttl=63 time=0.535 ms
64 bytes from 192.168.2.100: icmp_seq=2 ttl=63 time=0.523 ms
64 bytes from 192.168.2.100: icmp_seq=3 ttl=63 time=0.553 ms

--- 192.168.2.100 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 1998ms
rtt min/avg/max/mdev = 0.523/0.537/0.553/0.012 ms

root@stinkpad # ping -c 3 192.168.1.76
PING 192.168.1.76 (192.168.1.76) 56(84) bytes of data.
64 bytes from 192.168.1.76: icmp_seq=1 ttl=63 time=0.469 ms
64 bytes from 192.168.1.76: icmp_seq=2 ttl=63 time=0.434 ms
64 bytes from 192.168.1.76: icmp_seq=3 ttl=63 time=0.511 ms

--- 192.168.1.76 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 1998ms
rtt min/avg/max/mdev = 0.434/0.471/0.511/0.036 ms

Ha configurado dos pasarelas por defecto y no sabe como eliminar una de ellas?, utilice este comando:
# route del default gw 192.168.1.10

Este diseño imita Internet. stinkpad solo necesita estar encaminado hacia tux, el enrutamiento en la LAN detrás de tux pasara a ser controlado por el servidor OpenVPN. Si añade más ordenadores no olvide ponerlos en la misma LAN que server1 (192.168.1.0/24) y convertir la IP de la LAN (192.168.1.76) en su pasarela por defecto.

Para las pruebas no es necesario tener pasarela (gateway) por defecto, contrariamente en las maquinas de produccion deberia tenerlas. "Stinkpad" (pc remoto), debe conectarse directamente con el router "tux". Dominios de emision diferentes necesitan enrutamiento entre si o un puente.

Siguiente --> Iniciar y probar OpenVPN:
to be continued...

Referencias:
Administracion de sistemas Linux. Tom Adelstein Bill Lubanovic
Redes en Linux. Carla Schroder

Linux es genial!.