Gotardo González

Aunque el navegador RockMelt ya había sido publicado (sólo para algunos invitados), ha sido esta semana cuando se ha ido extendiendo a más usuarios, precisamente la misma semana en que Facebook ha anunciado su sistema de correo electrónico, en el que unificará todos los mensajes entre dos usuarios en un solo canal -lo que ha hecho que se le llame GMail Killer-.

No creo que el sistema de Facebook llegue a ser un sustituto de GMail, por mucho que se le haya anunciado ya como aniquilador de los sitemas de correo electrónico tal y como los conocemos hoy día. No lo creo en primer lugar porque no es su objetivo; en segundo lugar porque no creo que haya mucha gente dispuesta a dejar ciertos asuntos en manos de una empresa que si por algo se caracteriza es por hacer lo que le da la gana con la privacidad de los usuarios.

Al revisar RockMelt hablo también de Facebook porque etá orientado principalmente a esta red social. Para descargarnos debemos identificarnos mediante Facebook Connect dando permiso a RockMelt para accederCuando lo abrimos por primera vez vemos una ventana de Google Chrome (el navegador en el que está basado RockMelt) con tres cambios principales:

• A la izquierda aparece una barra en la que podremos colocar a nuestros contactos favoritos. Haciendo click sobre ellos se abrirá una emergente en la que veremos el muro de nuestro contacto y una ventana de chat totalmente funcional. Esta ventana podremos extraerla de la ventana principal del navegador y utilizarla como un cliente de mensajería instantánea cualquiera.
• A la derecha varios botones nos conectan con otras redes sociales (Twitter, nuestras notificaciones de Facebook, un agregador de Feeds).
• Entre la barra de direcciones y la barra de búsqueda, aparece un nuevo botón, Share, que nos permitirá compartir la dirección del sitio que estemos visitando en nuestras redes sociales.

La interfaz es intuitiva, manteniendo dentro de lo posible la filosofía de sencillez de Chrome, aunque parece tener algunos problemas de eficiencia y por supuesto es una distracción constante, por lo que no parece recomendable ser utilizado en entornos laborales.

Que evolucione con el tiempo, integrando nuevas redes sociales, hará de RockMelt una herramienta muy interesante para quienes tengan que estar continuamente conectados a redes sociales o para quienes simplemente disfruten navegando mientras comparten aquello que visitan.

La inyección de código en Twitter

A la hora de escribir esto, “Twitter got hacked” es trending topic y algunos me han preguntado qué pasa exactamente en Twitter. Vamos a explicarlo a grandes rasgos.

A media mañana, ha aparecido @RainbowTwtr, un usuario capaz de convertir su timeline en franjas de colores mediante inyecciones de código CSS (el código que utilizamos los desarrolladores para definir el aspecto gráfico de una web). Algunos hemos estado probando estos códigos, jugando a poner cosas de colores en el timeline, incluso los amigos de CSS Barcelona han conseguido poneer una imagencita muy graciosa de Chuck Norris (era complicado hacerlo sólo en los 140 caracteres de Twitter).

Hasta aquí la parte amable de esta incidencia que, pese a oler a chamusquina, al principio parecía divertida.

Lo malo ha sido cuando esas inyecciones inocuas de código CSS (sólo afecta al diseño de la web) se han convertido en inyecciones de JavaScript (el lenguaje que utilizamos los desarrolladores web para definir procesos en el ordenador de los navegantes). Esto permitía que cualquier acción del usuario, por pequeña que fuera, disparara un proceso en JavaScript capaz de lanzar un retwitt: un twitt podía retwittearse a sí mismo a través de los timelines de miles de usuarios.

140 caracteres parece poco para un procedimiento, pero teniendo en cuenta que Twitter utiliza JQuery el código se convertía en algo sencillísimo. Un usario llamado @Matsa, cuya cuenta ya ha sido suspendida, lo ha hecho utilizando este código:

http://t.co/@”onmouseover=”document.getElementById(‘status’).value=’RT Matsta’;$(‘.status-update-form’).submit();”class=”modal-overlay”/

Teniendo en cuenta que Twitter se caracteriza por la inmediatez con la que se transmite la información de unos usuarios a otros y que este tipo de twitts no requerían una acción voluntaria del usuario, la rapidez con la que se podía transferir era tremenda. Si a eso añadimos que mediante inyecciones de código javascript podemos llamar a procedimientos alojados en otras páginas web, la posibilidad de ejecutar código malicioso en las máquinas de los usuarios de Twitter ha sido tremenda.

La vulnerabilidad parece que no ha llegado a ser explotada de una forma peligrosa (al menos yo no tengo aún noticia de ello). A estas horas la falla ya ha sido corregida.

Acabo de instalar ‘Post to twitter’, un plugin para integrar twitter con el blog.