Hace cosa de un mes empecé un pequeño proyecto para terminar con una práctica muy extendida, en mi profesión como administrador de sistemas y en general entre todo tipo de usuarios: enviar información sensible por correo.
Como todos sabemos el correo electrónico, por normal general, viaja por la red en claro. Es decir, alguien en el camino entre nuestro correo y su destinatario lo tiene muy fácil para ver su contenido. Una vez entregado el correo tampoco se suele almacenar cifrado. Así que si el ordenador en el que se almacena es infectado por un virus/troyano o robado, la información vuelve a correr peligro. Todos, en alguna ocasión, hemos recibido una clave por correo. Y allí quedó la clave para el resto de sus días. Yo me veo obligado a informar a clientes de claves de acceso o URLs que no deben ser públicas, y lo he hecho mal (por correo sin cifrar) mucho tiempo.
Onetimepaste es mi granito de arena para terminar con esta práctica. Una pequeña aplicación web donde puedes «pegar» la información sensible que deseas enviar y a cambio te devolverá una URL para que sea accedida por el destinatario. En cuanto alguien visita la URL, la información almacenada se muestra Y se destruye. Es decir, sólo se puede ver una vez. Si la persona a la que envíes la URL para recuperar sus datos se encuentra con que ya no están cuando visite la dirección, sabréis que alguien lee vuestro correo, y que esa información ya ha sido comprometida. Todo esto se hace de forma segura y se basa en dos pilares muy importantes: un código muy sencillo (para un informático, claro) y la recomendación encarecida de instalarlo en un servidor de tu confianza. En la página del proyecto se dan más detalles y yo tengo una instalación que puedes usar libremente (si te fías de dejar datos en mi servidor).
Muerte a los adjuntos sin cifrar
Hoy he hecho pública la segunda versión de onetimepaste. Proporcionando la característica más solicitada desde su primera versión; la capacidad de enviar ficheros de forma segura. Siguiendo exactamente la misma lógica que con los mensajes, los ficheros se almacenan de forma segura hasta que alguien los solicita y posteriormente son eliminados del servidor. Un fichero Word con tu próximo libro para que lo revise tu editor, una foto que no debe circular mucho, un fichero de texto con claves, … sea lo que sea que no sea público 🙂
Debo dar las gracias a mis amigos Silvia y Dario por su gran ayuda con el PHP, cazando errores en el código y probando la aplicación como sólo Silvia sabe.
$ exit
Tengo interés en saber como haces para lidiar con el problema de los antispam que abren los enlaces de correo, antes de entregarlo, para ver si hay virus.
Gracias. Saludos.
Gracias por tu comentario. La verdad es que no los había tomado en cuenta.
La solución pasaría por algo como un captcha, que por ahora no he incluido por no complicar el código (quiero que se mantenga extremadamente simple). Aunque se podría poner algo más simple (tipo ¿Cuánto es dos al cuadrado?) porque no es combatir con bots.
En cualquier caso todavía no se me había dado el caso, y no tengo claro cuanto de «inteligente» es que un software antispam visite los links que te llegan al correo. ¿No están confirmando la validez de tu dirección de correo? ¿O que fué recibido, si se trata de un enlace que haga tracking de usuario? ¿Y si el enlace es una confirmación de una baja a una lista que pidió un tercero?
La verdad es que me gusta la agilidad, sobre todo al pedir ficheros, que tiene ahora la aplicación, sin preguntas ni captchas. Pero si el problema es real/frecuente, hay que solventarlo. ¿Me puedes decir que antispam hace eso? Porque podría filtrar por User-Agent en la petición… Heh, que por otro lado también lo estarán haciendo/podrían hacer los que envían spam… Tal vez no sea un User-Agent diferente de un navegador corriente…
Le daré una vuelta. Mil gracias!
Pingback: onetimepaste, el servicio “paste” de usar y tirar | victorhckinthefreeworld