Archivo del Autor: Liarjo

Avatar de Desconocido

Acerca de Liarjo

....

Crash que gran película

Deja un comentario

Fui a ver esta película al pésimo cine del alto Las Condes. Aunque estaba en esa pésima sala, la  película fue notable.

 

La película muestra la peor cara de los Angeles, dónde todos viven con miedo y encerrados. Los americanos “clásicos” temen  de los Negros, árabes, Chinos, etc.

 

Cuando vi la película me recordó a “Perros de la calle”, un mosaico de historias entrelazadas por eventos accidentales. También a perros de la calle.

 

Para ser una película americana, con armas y explosiones es buenísima. El guión esta muy bien escrito, porque le da su espacio a una docena de personajes profundamente bien desarrollados.

 

En el transcurso de la película la primera opinión que uno se hace de un personaje, va cambiando según pasan los cuadros, llegando muchas veces a la conclusión que nada es como lo vemos tras el prisma de nuestros prejuicios.

 

Altamente recomendable verla.

Siempre son 3 respuestas, las que abren miles de nuevas preguntas.

1 respuesta

Pensando en cómo introducir el tema de WSE (Web Service mejorados) pensé en una analogía con el mundo de la física de principios del siglo XX. Los Web Services resolvieron 3 problemas fundamentales de la integración de aplicaciones: llamada a procedimientos remotos, descripción de los servicios, interoperabilidad basada en XML.

 

Con la solución de Web Services, si bien se solucionaron esos tres aspectos,  se crearon nuevas necesidades o problemas. Por ejemplo seguridad de las comunicaciones, manejo de contexto transaccional, etc.

 

Hacia fines del 1900 habían algunos puzzles no resueltos a los que Einstein aporta notables explicaciones. En particular 3 muy interesantes, que abren infinitas nuevas preguntas no resueltas.

 

1. La teoría electromagnética de Maxwell no era consistente con la relatividad de Galileo. Ello se traduce en que un sistema electromagnético no se comporta de igual forma en tierra o arriba de un tren en movimiento. Si bien Lorentz aporta una solución matemática a ese problema, Einstein introduce la Teoría de la Relatividad, en la  que el tiempo obedece las mismas leyes de transformación que las coordenadas espaciales.

 

Luego de la Relatividad Especial Einstein desarrolla la Relatividad general y con ella la Cosmología. Esta última es un problema abierto y sumamente complicado, con una serie de ‘patologías’ o inconsistencias. El tema actual de la materia oscura es uno de los     ingredientes en esta discusión. Conclusiones tales como ‘más de la mitad de la materia del universo es materia oscura’ surge de interpretaciones observacionales a la luz de la Relatividad General de Einstein. Materia oscura es aquella que no detectamos desde  tierra pero que si es necesaria suponerla para explicar la dinámica observada del universo.

 

2. El efecto fotoeléctrico es el otro aporte: para explicarlo introduce la noción del ‘foton’ o quanto de energia. Una partícula sin masa que se mueve a la velocidad de la luz. Posteriormente el foton entra como ingrediente fundamental en la teoría cuantica de campos, las cuales adolecen de otra serie de problemas tales como  ‘renormalizacion’, que es una manera poco elegante de sacarse se encima algunos ‘infinitos’ que aparecen en las expresiones matemáticas.

 

Estas mismas teorías de campo se extienden a otras interacciones pero el problema es aun más complicado, llevándolas a límites casi  inmanejables: problemas abiertos.

 

3. El movimiento browniano. Se trata de ‘zig-zageo’ (observados con microscopio) en el polvo de polen en suspensión acuosa. Este movimiento interpreta Einstein como respuesta de los gránulos al impacto de corpusculos muy pequeños (átomos!).

 

Su descripción cuantitativa de las observaciones constituye el primer aporte serio (no especulativo) acerca de la naturaleza corpuscular de la materia. De ahí en adelante la identificación de estructuras y sub estructuras, dentro de las nuevas nociones de  espacio-tiempo, nos lleva a plantearnos nuevamente que es la materia: partículas? ondas? campos? o algo mas complejo? Como participa la energía en todo esto? Que es la materia? el espacio-tiempo? Como condicionan al universo? su origen, estado actual y lo que viene?

 

PD: Agradezco a Hugo Arellano, quien me explico estos problemas de manera que yo pudiera comprenderlos dentro de mis limitadas capacidades.

Introducción a conceptos de seguridad en Web Services, Autentificación

Deja un comentario

Conceptos importantes

 

  • Autentificación: Proceso de verificar la identidad de una persona.
  • Autorización: proceso de permitir el acceso de una persona a un sistema.
  • Credenciales: El juego de artefactos usados para proveer la identidad a un cliente.

Introducción

 

En la historia de la física Albert Einstein resolvió las 3 preguntas que hasta ese momento quitaban el sueño a los físicos de finales del siglo IX y principios del siglo XX, pero al hacerlo dejo al descubierto muchos nuevos desafíos para los físicos modernos.

 

De una manera análoga, los Web Services vinieron a solucionar los 3 problemas fundamentales de la interoperabilidad de sistemas. Esta tecnología resolvío los problemas de descripción de los contratos de los servicios (WSDL), la invocación de procedimientos (SOAP) y la interoperabilidad entre plataformas (Uso de XML). Al utilizar está solución, los desarrolladores se enfrentaron a nuevos problemas  generados por el uso de está tecnología. Algunos ejemplos de los esos problemas son seguridad, desempeño, manejo de contextos trasnacionales y confiabilidad, por nombrar algunos.

 

En esté articulo revisaremos los conceptos más importantes de seguridad en Web Services. Abordaremos los patrones de autentificación y protección de mensajes.

 

Patrones de autentificación

Los patrones de autentificación tienen como objetivo guiarnos en las decisiones de la aproximación con que nuestro sistema enfrentará el problema de la autentificación de los clientes que quieren usar los recursos expuestos por nuestros servicios.

 

En está sección veremos dos patrones fundamentales:

 

  • Autentificación directa
  • Autentificación indirecta (Brokered Authentication)

 

Ambas alternativas buscan solucionar el problema de identificación del cliente que hace uso de los recursos del Servicio Web. Cuando el cliente y servidor tienen una relación de confianza que les permite intercambiar y validar credenciales donde se incluye el password, el patrón de autentificación directa aplica perfectamente.

 

En un escenario en que el cliente y el servidor no tienen una relación de confianza, el camino es utilizar autentificación indirecta. En esta opción el cliente se autentifica contra un tercero (Broker) quien le entrega un Token al cliente para que lo entregue al Servicio cómo credencial. El Web Service toma el Token y lo valida con el Broker. Este tercero, llamado Broker, tiene relaciones de confianza con el cliente y el servidor.

 

Además de la razón de compartir relaciones de confianza entre el cliente y el servidor existen múltiples criterios que se deben tener en cuenta para la toma de decisión de cuál aproximación utilizar para la autentificación de los Web Services. Algunos de los criterios que se deben considerar al momento de evaluar son:

 

  • ¿Qué necesita el servicio para autentificar al cliente? ¿Password? ¿Certificados? ¿Algo más?
  • ¿El Web Services es capas de acceder al servicio de autentificación directamente?
  • ¿Cuál es la infraestructura existente?
  • ¿Es necesario soportar SSO?
  • ¿Necesita la aplicación un contexto de sesión?
  • ¿Estamos trabajando en el mundo Microsoft? ¿Tenemos Windows Impersonate?

 

Estas preguntas y más se deben tener en cuenta al momento de optar por un patrón de autentificación.

Autentificación directa

El escenario de la autentificación directa es que el Servidor Web espera del cliente las credenciales que él mismo validará con el servicio de autentificación (Identity Store).

 

El problema de está aproximación es el cómo el Servicio Web validará las credenciales presentadas por el cliente.

 

Las principales razones para utilizar autentificación directa son:

 

  • Las credenciales presentadas por el cliente al Servicio Web son basadas en un secreto compartido, por ejemplo un password.
  • El Servicio Web tiene capacidad para validar credenciales contra un servicio de autentificación.
  • El Servicio Web es simple y no necesita SSO o soporte para asegurar la no repudiación.
  • EL cliente y el Servicio Web confían uno en el otro en el manejo de seguro de credenciales.

 

Se puede utilizar autentificación directa cuando el Servicio Web actúa cómo un servicio de validación de las credenciales del cliente. Las  credenciales usadas, que se aceptan por el hecho de poseerlas (proof-of-possession), están basadas en un secreto compartido y son verificables contra un Identity Store.

 

Los participantes de este patrón de autentificación son los siguientes:

 

  • Cliente: Aplicación que accede al Servicio Web, entrega las credenciales para la autentificación.
  • Servicio Web: Web Services que requiere las credenciales para el uso de sus recursos.
  • Identity Store: Es la entidad que almacena las credenciales de los clientes.

  

El siguiente Diagrama muestra la secuencia de mensajes que se intercambian en entre los participantes de este patrón de autentificación.

 

 

 

Ilustración 1: Mensajes del patrón de autentificación directa.

 

Los beneficios del uso del patrón de autentificación directa son:

 

  • Simpleza.
  • Si existe un problema de seguridad en la relación de confianza del cliente y Servidor, sólo compromete a este cliente y servidor y no a todo un modelo.

 

Las consecuencias resultantes del uso de autentificación directa son:

 

  • Este modelo no permite el uso de SSO, lo que implica el paso de credenciales en cada llamada. Es posible sortear este asunto con cache de credenciales, pero si las credenciales son del tipo password está solución implica problemas de seguridad.
  • Si se comienzan ha crear muchos servicios Web, el sistema se vuelve muy complejo porque las relaciones de confianza entre clientes y servidores son punto a punto, dificultando las labores administrativas del sistema.
  • Si un cliente llama muchas veces al mismo servicio, el desempeño que obtiene es pobre porque cada vez el Servicio Web debe validar contra el Identity Store.
  • Las credenciales de un cliente deben estar replicadas en todos los Identity Store, lo que lleva a tener actividades de sincronización y actualización.

 

Algunas consideraciones de seguridad que se deben observar al momento de implementar autentificación directa son:

 

  • Es posible que ataques al canal entre el cliente y el Servidor Web puedan obtener las credenciales del cliente y atacar el servidor usando esas credenciales.
  • El Identity Store puede ser foco de un ataque, con el objetivo de obtener las credenciales, por ejemplos password guardados en texto plano.
  • El cliente puede implementar un Cache de Login y Password para entregarlos en cada requerimiento. Esto es un foco de riesgo de seguridad.

 

Autentificación indirecta

 

………………continuará……

 

 

 

Definiciones para inovación

Deja un comentario

4.1. Cultura

 

La cultura es cómo un buen par de lentes, uno ve a través de ellos el mundo pero sin darse cuenta de que los tiene. El resto al vernos los nota de inmediato. Llevado al extremo de lo simple, la cultura es el contexto de obviedad, es todo el sustrato de las relaciones de los individuaos de un grupo.

 

Formalizando la definición tenemos que cultura es el conjunto de presunciones básicas que desarrolla un grupo dado, a medida que va aprendiendo a enfrentarse con sus problemas de adaptación externa e integración interna, y que han ejercido la suficiente influencia como para que puedan considerarse válidas y en consecuencia puedan enseñarse a los nuevos miembros de una organización, como el modo correcto de percibir, pensar, sentir y actuar y que estos puedan reforzarlos.

 

4.2. Antropología

La Antropología -del griego antropos (hombre, ser humano) y logos conocimiento, estudio; conocimiento del ser humano- es la ciencia social que estudia todas las dimensiones del ser humano de forma similar a la sociología, pero holísticamente. Principalmente enfocada desde la cultura y por medio del método etnográfico como exponente clásico.

 

4.3. Sociedad

La sociedad, de manera general, es el conjunto de individuos que comparten fines y conductas, y que se relacionan interactuando entre sí, cooperativamente, para constituir un grupo o una comunidad. También es una entidad poblacional o hábitat, que considera los habitantes y su entorno, todo ello interrelacionado con un proyecto común, que les da una identidad de pertenencia.

 

4.4. Cognición

 

Es la capacidad para recibir, recordar, comprender, organizar y usar la información recogida por los sentidos. Esto se refiere al pensar y todos los procesos mentales relacionados al mismo.

Temario inicial para CT «Diseño y Desarrollo de Web Services Seguros e Interoperables»

4 respuestas

 Estimados,

 

He aquí mi propuesta de temario para la conferencia técnica del día 9 de marzo en Microsoft.

  • Introducción
    • Seguridad en Web Services
    • Patrones de autentificación
    • Patrones de protección de mensajes.
  • Patrones de autentificación
    • Introducción
    • Autentificación directa
    • Broker de autentificación
      • Uso de Kerberos
      • Uso de X.509
      • Nuevo Security Token Services STS
  • Patrones de protección de mensajes
    • Introducción
    • Integridad de los datos
    • Confidencialidad de los datos
    • Autentificación de origen de datos 
  • Patrones adicionales de seguridad para Web Services

 Si alguien quiere hacer algún comentario o aporte, es bienvenido. La idea es que salga lo mejor posible.

Constant Gardener

Deja un comentario

Está película es me gustó mucho. Eso no significa necesariamente que sea buena o mala. Veo muchas películas, pero la mayoría pasa sin dejar huellas. No es el cado de está película.

 

Tiene todo lo que me gusta, está filmada en Africa, habla de conspiraciones de los poderes formales, es épica y tiene un final notable.

 

El nombre original es Constant Gardener, aquí se titulaba El Jardinero Fiel.

Nueva conferencia técncia, 9 de marzo

Deja un comentario
 
Briefing:
 
Ya no hay duda de que Web Services es la tecnología del futuro de comunicación entre aplicaciones. Las principales empresas en Chile ya los están desarrollando. Sin embargo, cuando quisieron incorporar seguridad a nivel de mensaje a sus Web Services, se dieron cuenta de que no era simple hacerlo sin sacrificar la interoperabilidad entre tecnologías Microsoft, Java y otras.
 
En esta charla expondremos qué consideraciones tener al momento de disponerse a diseñar y desarrollar Web Services con tecnología .NET de modo de tener la confianza de que estos interoperarán con otras tecnologías y cumplirán con los más altos estándares de seguridad.
 
Conoceremos la última versión de los Web Services Enhancements de Microsoft (WSE 3.0). Veremos algo acerca de los Profiles de WS-I (Web Services – Interoperability), sus Herramientas de Conformidad y un ejemplo de cómo implementar el Basic Profile junto con certificados X.509 en Visual Studio 2005. De hecho, explicaremos un poco acerca de qué son los certificados X.509 y los KerberosTokens.
 
Finalmente introduciremos al Microsoft Web Service Security Patterns (MWSSP), una guía de arquitectura de Web Services liberada por Microsoft el último mes de Diciembre.

K

Deja un comentario

La letra K es exótica, sobre todo en los nombres. Esa fue una conversación que tuve hace un tiempo. En esa oportunidad surgió la duda de palabras que comienzan con K en español.

 

Aquí hay una lista de algunas:

 


  1. Kabak
  2. Kabila
  3. Kadi
  4. Kaiser
  5. Kaki
  6. Kaleidoscopio
  7. Kan
  8. Kanato
  9. Kantismo
  10. Kermesse
  11. Kilo
  12. Kiosco
  13. Kirie


 

Santiago Rock

Deja un comentario

Santiago Rock  &  Batuta  Presentan….

 

Santiago Rock Fest, Tributo al Rock, Este Viernes 03 de Febrero realizaremos en La Batuta, la sexta fecha de este ciclo que ya es un clásico. En esta ocasión se presentan INMOTION + RESONANCE, Tributos a THE GATHERING + ANATHEMA. Fiesta lanzamiento The Gathering en Chile.

La entrada tiene un valor de $4.000 y se pueden comprar en forma anticipada a través del sistema Ticketmaster o el mismo día en la puerta del local.

Jorge Washington 52, Pza. Ñuñoa, 23:00 Hrs.