Empezamos el 2018
Empieza el año y ya hay situaciones:
- Meltdown y Spectre rompieron todas las computadoras del mundo. Es un tema delicado, un problema de hardware que afecta (confirmado ya) los procesadores de Intel y AMD (casi todas las computadoras que hay). Hace unas semanas leía un post de un researcher que especulaba acerca de las últimas actualizaciones a linux, me dejó con un sentimiento de algo malo y grande se viene. Kaboom. Si les interesa hay muchos links para encontrar info de lo que está pasando, yo acá comparto este: https://googleprojectzero.blogspot.com.es/2018/01/reading-privileged-memory-with-side.html
- 5 lines of JavaScript broke every single Intel processor made in the past 15 years. Siguiendo con el punto anterior; resulta que la vulnerabilidad en los procesadores se puede atacar/explotar no solo desde línea de comando sino hasta el navegador! Y por supuesto que ya hay vectores de ataque. Qué hacen esas 5 líneas? No sé. Tampoco voy a probarlo. Pero lo peor es que no puedo confiar en ningún website hasta que se haya arreglado lo primero.
- Volvieron a romper el Internet Una vez más, esta vez por un tema de la herramienta interna de seguridad, npm “perdió” paquetes lo que hizo que no se pudieran instalar esos paquetes ni los que los tienen como dependencia. Para algunos no es un tema tan grave, en lo personal creo que no poder instalar paquetes bastante conocidos (como
create-react-app) porque tenían como dependencia alguno de los paquetes que desapareceieron si me parece grave. En un blog post que estoy escribiendo para Citrusbyte menciono la idea de crear una app decentralizada que ayudaría a evitar este tipo de problemas. Ya compartiré el link. - Por esto es que no podemos tener cosas chidas: manera sencilla de “cosechar” números de tarjeta de crédito y contraseñas desde websites Miedo. La sensación de tener que revisar el código de las dependencias de las dependencias de mi código es tan abrumadora que creo, prefiero ver hacía otro lado. Security through not looking. Este ataque es ficticio pero viable. El ecosistema JvaScript vive demasiado de la mano de la fé y confianza en código de otros.
Asi que bueno. A seguir supongo, que esto solo acaba de empezar.
Saludos,
Gorka
P.D. - yo también empiezo mi año, esta vez como mentor en Thinkful. A ver que tal, me gusta mucho la oportunidad: guiar a personas que están interesadas en aprender de tecnologías Web. Ya contaré como va todo.