Mecanismo de reclutamiento para las FFAA: ¿es seguro?
Almirante Cjhurruca
Últimamente, siempre que se inicia el proceso de reclutamiento para las FFAA, me encuentro con que la sección de comentarios se llena de discusiones acerca de la presunta inseguridad de dicho proceso.
Ya en su día estuve a punto de escribir sobre este asunto, pero al final me entró la flojera y desistí.
Hoy finalmente me he decidido, ya que me dolían los ojos al leer tanto comentario infundado.
Para aquellos despistados comentar que las FFAA requieren que introduzcas tu nombre de usuario y contraseña de eRepublik para iniciar el proceso de alistamiento.
Sobra decir que es vital que un jugador se identifique cuando se va a unir a una organización tan importante para los intereses de nuestro ePais como son las Fuerzas Armadas.
Ahora, se ha abierto un nuevo proceso, y el debate se ha reabierto.
He leído muchas opiniones al respecto, pero, en resúmen, se critica el método utilizado porque supuestamente:
1) permitiría a jugadores con acceso a las cuentas de las FFAA conocer las contraseñas de aquellos que se alistaran
2) es un sistema inseguro "porque abre la puerta a exploits de terceros"
Pues bien, en la VR me dedico profesionalmente a la informática, y, precisamente, no hace mucho que tuve que "pelearme" con el sistema de autentificación que usan las FFAA.
Este protocolo de autentificación, OAuth, es (fíjate que casualidad) usado también por Facebook o Twitter para que aplicaciones de terceros interactúen con el sitio.
Pasemos ahora a desmontar "la teoría de la conspiración de las FFAA" 😉
1) eRepublik usa el mencionado OAuth para que aplicaciones de terceros (en este caso el sistema de las FFAA) puedan acceder a los datos sensibles de los jugadores.
Para ello, el jugador debe irse a la página de la aplicación. La página de la aplicación abrirá la pagína del API de eRepublik, y es en esta página donde el jugador introducirá su usuario y contraseña.
Es decir, únicamente el servidor de eRepublik recibirá la contraseña del jugador.
Una vez que eRepublik compruebe que los datos son correctos, volverá a redirigir al jugador a una URL que la aplicación previamente le indicó, junto con un TOKEN que permitirá a dicha aplicación interactuar con el API de eRepublik en nombre del usuario.
Moraleja: el servidor de las FFAA únicamente dispondrá de un TOKEN (un chorizo de caracteres) que encima expira con el tiempo.
2) Qué decir sobre ésto sin que nadie se sienta insultado... mmmm... veamos... mejor os paso un enlace ¡Mami, mami, me han juankeado!
Sólo decir que ante este tipo de "exploits" no hay defensa posible, ya que se basa en la imbec... digo en la poca atención que la gente le pone a los enlaces que abre o programas que se descargan.
Bueno, espero que las palabras de este humilde servidor sirvan para que desaparezcan todas las dudas que existían acerca de la seguridad en los reclutamientos, y que dejemos que asustar a los posibles reclutas con "leyendas urbanas" infundadas.
Para aquel que haya aguantado hasta el final (¡gracias!), aquí dejo un par de enlaces de interés:
OAuth en la wikipedia
API de eRepublik
PS: Votad el artículo para que lo lea el máximo de gente posible. Gracias.
Comments
claro que es seguro no vengan ahora con chorradas de robos si hay robos es por que hay hacker que os hackean la cuenta, en el API de errepublik tienes la misma opcion de ser hackeado que en el api asi que no me vengan con cuentos
v! Buen articulo. De todas formas, la gente prefiere la conspiración,etc. Somos así.
Yo lo tenía claro desde hace meses. El que no, que se lea esto y analice los hechos.
Pues justamente lo que dije yo en el ultimo alistamiento.
En cierto modo me parece bien que la gente desconfíe, hay que prevenir, pero desconfiar de las FFAA…
Cuando a satonio se le vaya la pinza empezará a controlar a todos los que pasaron por las FFAA para beneficio propio y la dictadura de satonio comenzará.
"Una API para gobernarlos a todos. Una API para encontrarlos, una API para atraerlos a todos y atarlos en las Tinieblas".
El ojo de satonio que todo lo ve.....
Votado 🙂
@Ballantines
comenzará de nuevo...
Buen y necesario artículo. Votado
Gracias.
uff miren yo esto no lo sabia xD no pensaba alistarme ya que estoy alistandome a las milicias de mi partido pero veo un gran articulo informando a la gente de lo que es cada cosa y para lo que sirve y asi como dice quitar las "leyendas urbanas" que levanta la gente
Votado
Pues yo cuando entré a las FFAA, no habia este bonito y lindo sistema de reclutamiento... Quejicas coño XD
El que no lo entienda ahora es simplemente... porque no le da la gana.
Y... como bien dice el Boletín de Defensa... "Si has tenido que leer este artículo para confiar en las FFAA... por favor... no te alistes"
😉
El sistema se creó hace pocos meses porque los troles daban mucho por culo y siempre teníamos como 200 solicitudes de jugadores húngaros muertos.
¡Vamos a morir todos!
La verdad, no sé para que escribo estos tochos. Ganas de perder tiempo y encima echarme a la manada encima...
Hola Sumsura. Te agradezco que des tu opinión al respecto, y es una opinión totalmente respetable.
Pero, creo que eres tú el que no ha enfocado bien donde está el problema.
Lo que se debería debatir/criticar es si el sistema actual de reclutamiento es SUFICIENTEMENTE seguro. Y, según los estándares actuales, LO ES.
En lo que te equivocas es en mezclar ésto, con otra cuestión: ¿es navegar por Internet suficientemente seguro? Y ahí, la respuesta es clara: NO.
La cuestión es que no por no ser totalmente seguro, vamos a dejar de aprovechar las ventajas que Internet nos ofrece. Y eso es una decisión personal. Poner a un lado las ventajas, al otro los peligros, y decidir si se usa.
Aún recuerdo una frase que escuché hace ya bastantes años en un curso de seguridad en las redes, y que se me ha quedado marcada:
"La seguridad no es una realidad, es una sensación"
Y esta es una frase que se puede aplicar no sólo en la informática, sino en la VR.
Por muchas medidas que tomes (instalar revisores de autenticidad en los links, etc...) es muy probable que alguna vez caigas en algún "timo" ya que existen numerosas técnicas (envenenamiento de DNS, man-in-the-middle, etc...) que son casi indetectables; pero, por otra parte y como comentaban más arriba, es muy importante que la gente no esté confiada, y, sobre todo, que esté informada de los posibles peligros.
Por lo menos el riesgo será menor.
Y para terminar, decirte que precisamente yo no tengo un interés personal en favorecer a las FFAA (de hecho, perteneciendo a una Milicia son como la "competencia" xD), pero tampoco veo bien que se critique algo cuando no es cierto.
Un saludo
PS: Gracias a todos los que habéis votado hasta el momento