Avalancha

Los que tengáis unos cuantos servicios de streaming de películas y vídeo, quizá encontréis útil JustWatch, que en España conglomera el catálogo de Netflix, Prime Video, Disney+, HBO, Filmin, Movistar+, Atres Player, FlixOlé, CrunchyRoll, Mitele y más de una decena de otros servicios más.

Parece ser que KLF era uno de los últimos irreductibles galos que se resistían al streaming, pero finalmente podéis doctorizar la Tardis en vuestro servicio de música favorito.

Otra tecnología de futuro alternativo que se perdió para siempre y que sólo recuerda Mr. Morning Sheep Time.

No sé qué extraña madriguera me llevó a la cadena DuMont, a aprender sobre las grabaciones en kinescopio y que hasta 1949 no era siquiera posible emitir un programa en directo para Nueva York y Chicago.

Con el soporte de addons generalizado de Firefox en Android, llevo cierto tiempo usando NoScript en mi móvil. Hay demasiadas (y cada vez más) páginas de “contenido” que no renderizan sin el JavaScript activado, el interfaz para activarlo es pelín subóptimo y que la cuenta de Firefox Sync no sincronice las opciones de NoScript es un tostón, pero lo recomiendo.

También finalmente tuve la oportunidad de pasarme por una oficina de DNIE, y debo decir que tras establecer una contraseña, creo que he podido incorporar el certificado correctamente a Firefox en Linux (Debian 10 “Buster”) sin mayor fricción.

De bonus: Tom Gauld y una variante del “para liarla parda hace falta un ordenador”, un fascinante hilo sobre el aparentemente extenso vocabulario en japonés para describir errores protocolarios con los palillos, un fascinante texto sobre la credulidad y un curioso y preocupante bug de Windows 10.

Coche escoba

Sobre los orígenes del lenguaje de programación C (con detalles sobre su antepasado BCPL, famoso por su influencia en el Commodore Amiga).

Un descubrimiento fijarse en que Wired sorbe muchos artículos de Quanta Magazine. Esto me ha llevado a este fascinante artículo sobre los “castores atareados”, una maravillosa teoría entroncada en el “problema de la parada” que ofrece una elegante, pero efectivamente inviable de resolver problemas matemáticos.

La Sophie también me ha llevado a descubrir True Faith (la canción de New Order, no ninguna creencia). Y de ahí a descubrir que el videoclip (el videoclip en Youtube, por si esa instancia de Invidious deja de ir) tiene… lenguaje de signos francés.

Un tipo que ha encontrado la manera de correr Doom en… patatas (en Youtube, donde podéis el curioso rap que describe el vídeo).

Finalmente, el confuso panorama actual de las figuritas de La Guerra de las Galaxias.

De bonus, algo que ha sacado mi querido Internet Archive en su función de biblioteca, aunque no acabo de entenderlo.

Un dios griego, el servicio postal, una frambuesa y un elemento de una imagen

$ cat check_pixel
#!/bin/bash

set -ue

curl -s https://store.google.com/config/pixel_4a?hl=es >/tmp/pixel
grep Agotado /tmp/pixel >/dev/null || mail yo@example.com -s "pixel disponible" </dev/null

$ crontab -l
# m h  dom mon dow   command
16  *    *   *   *   /home/alex/check_pixel

Actualización: parece ser que el script no funciona correctamente (acabo de comprobar que ya hay Pixels y no he recibido email). Me da un poco igual porque ya he comprado uno en la FNAC de Francia, como 40€ más barato, que ha llegado hoy.

Los libros de Fabien

Ha llegado a mis manos una edición física del libro de Fabien sobre Doom para acompañar a la del Wolfenstein 3D. Como el anterior, es un descenso a las profundidades del Doom, que incluye una variedad de temas que incluyen:

  • Descripción del hardware de los PC de la época
  • Contexto del videojuego y su proceso de creación y diseño
  • Detallada información técnica sobre la implementación (con comentarios sobre el código fuente)
  • Descripción de las implementaciones para otras plataformas

Se nota la experiencia del primer libro- está mucho más pulido, se lee mejor y contiene menos gazapos (sobre todo los diagramas de la primera edición del libro del Wolfenstein 3D, que espero que hayan corregido en la segunda). Completamente recomendable para los que quieran profundizar en la magia negra que practica John Carmack y sumergirse en el mundo de dos juegos que cambiaron el mundo de los videojuegos (por ejemplo, apuntalando el ataúd del Amiga).

Popurrí

Parece ser que Apple ha alterado los términos de uso de macOS de manera que permite servicios cloud basados en macOS, pero con un periodo mínimo de 24h. Curiosamente, esto ha sucedido a la vez que AWS ha sacado su servicio de EC2 con macOS. He usado algún servicio (Flow) para cuando he necesitado hacer algo con macOS sin disponer de hardware físico; por una parte se agradece que por fin haya cierta claridad legal, pero por otra parte, el mínimo de 24h le quita bastante el sentido para algunos usos. Para CI/CD GitHub Actions tiene runners con macOS que se cobran al minuto (!), pero para uso general, el Mac Mini de AWS sale a unos 24€ por día. Son unos 30 días para que cueste como comprarse un Mac Mini, con la ventaja de no tener que mantenerlo/reemplazarlo/etc.

Por supuesto, tanto Linux como Windows se pueden usar por minuto en EC2 (y cualquier otro proveedor) sin problemas, pudiendo aprovechar mucho más la elasticidad. De las pocas cosas que me fastidia de Windows (a parte del coste base, claro) es que cosas como el escritorio remoto y, especialmente, Hyper-V, estén valladas en la edición Pro de Windows 10. Este último complicando un poco la vida de quien quiere desarrollar software y usar cosas como Docker o Kubernetes.

La queja que tenía sobre Linux recientemente- la pérdida de la “transparencia en red” al pasar de X11 a Wayland- parece que está en vías de ponerse interesante.

En temas más lúdicos, acabo de descubrir (años después de acabarme el juego) que “The Music of Grand Theft Auto V, Vol. 2: The Score” (YouTube Music, Spotify) es un interesante pelotazo de Tangerine Dream, DJ Shadow y otros nombres que no conozco.

Llevo días sin viciarme a los recientemente adquiridos art of rally y Control. art of rally es un homenaje a los rallies de los del Absolute Drift. Es una experiencia prácticamente hipnoticorelajante de derrapes con un estilo gráfico la mar de agradable y una banda sonora que acompaña.

Control por otra parte es un juego de tiros en tercera persona con elementos sobrenaturales y superpoderes que inmediatamente me dio unas vibraciones fantásticas del Max Payne al que jugaba hace casi dos décadas. Qué sorpresa descubrir que comparte muchos responsables. Me lo compré para amortizar un poco el PC con GTX 2060 que me compré por culpa del Flight Simulator. No sé si todos los juegos modernos son así, pero entre los gráficos con trazado de rayos y el entorno físico con mogollón de elementos destruibles, se me está haciendo agua con lo que es posible en los videojuegos de hoy y de la próxima década.

La bola extra es que debería ser un deportista de élite y no lo soy.

Smörgåsbord

Si hay segundos bisiestos mal. Si no hay segundos bisiestos, mal también. Si hay segundos bisiestos negativos, posible apocalipsis.

Una interesante reflexión sobre los juegos de rol (los de verdad) en Rock Paper Shotgun.

Nunca he sido mucho del Mortal Kombat, pero a veces hacen cosas como sacar un complemento que trae a los actores de la peli del 95 a la última versión del juego. Christopher Lambert incluido.

Más sobre No Man’s Sky (que ayer volví a no comprarme. No puedo decir lo mismo sobre Control, art of rally, Assetto Corsa y City Car Driving). Parece ser que obviamente la introducción de la bioluminiscencia en el mundo también ha traído los planetas discoteca pastillera.

Un artículo en Vox (Media) sobre el mundo de los análisis sobre efectividad de los donativos y otro en Ars sobre compensar tu huella de carbono.

Un artículo en la BBC sobre una descendiente del amigo de Churchill que trajo al mundo la abreviatura OMG.

Un tuit de esos que se hacen extremadamente populares me descubre Prisencolinensinainciusol de Adriano Celentano. Ligeramente relacionado, curiosidad infinita por ver cómo se resuelve el problema de cantar a coro por Internet.

Algo viejo, algo prestado, algo nuevo y algo azul

Cada día vertemos más confianza en un campo relativamente nuevo como es la seguridad informática. Muestra de ello son las contraseñas, un concepto más bien primitivo (si bien el uso informático está relativamente cercano en el tiempo, las contraseñas indudablemente llevan milenios en uso. Particularmente entrañable revisar la historia de su primo el shibboleth) del que pende muchísima de nuestra seguridad.

De momento no existen muchas alternativas a las contraseñas que sean viables para la mayoría de usos comunes que les damos. Una manera de complementar la seguridad de las contraseñas es aplicar el concepto de un doble factor de autenticación. Un factor de autenticación es algo que usamos para identificarnos. Normalmente se clasifican de la siguiente manera:

  • Algo que sabemos (por ejemplo, una contraseña)
  • Algo que tenemos (por ejemplo, un dispositivo físico específico)
  • Algo que somos (por ejemplo, nuestra huella dactilar)
  • Un lugar en el que estamos (por ejemplo, nuestra casa)

Combinando dos factores podemos protegernos del fallo de uno de ellos. Un uso típico es tener un dispositivo físico que genera códigos numéricos cada cierto tiempo y tener que introducir nuestra contraseña y este código para identificarnos. Si alguien descubre nuestra contraseña, no podrá hacerse pasar por nosotros porque no tendrá el dispositivo físico; al contrario, si alguien nos roba el dispositivo físico, normalmente no conocerá nuestra contraseña.

Obviamente esto no ofrece una protección total (alguien puede robarnos y torturarnos para que le digamos la contraseña), pero sí nos protege de unos cuántos ataques verosímiles.

Muchos sistemas que requieren identificación, como nuestra cuenta de correo, nuestro banco o incluso las redes sociales nos permiten utilizar dobles factores para identificarnos y proteger nuestra identidad. Además, aparte de dispositivos físicos dedicados a actuar como doble factor, se han estandarizado protocolos que permiten que podamos usar nuestros móviles como un factor.

Se nos anima mucho a utilizar estos dobles factores para protegernos, pero cabe ser cauteloso.

Un primer elemento que tenemos que considerar es el uso de envío de mensajes SMS a nuestro móvil como factor de autenticación. Se han documentado suficientes casos de duplicación de SIM, en los que mediante ingeniería social alguien consigue un duplicado de la SIM de nuestro móvil con lo que puede recibir los SMS y saltarse el doble factor, como para que varias entidades hayan dejado de recomendar los SMS como factor de autenticación.

Otro elemento, más peliagudo, es que tenemos que analizar el riesgo que supone perder (sin actor malicioso de por medio) nuestro segundo factor de autenticación. Al igual que perder una contraseña puede ser más problemático de lo que parece (por ejemplo, si perdemos la contraseña para acceder a nuestro correo- de manera que no podemos pedir un enlace para cambiar nuestra contraseña por correo), hay que tener claro cómo recuperar una cuenta en la que dependemos de un segundo factor como autenticación.

Para usos laborales, las empresas pueden establecer protocolos relativamente sencillos para identificarnos que aprovechen el hecho de que nuestros compañeros de trabajo nos conocen, por ejemplo. En general, el uso de doble factor laboralmente es por tanto fácil, de coste razonable y efectivo.

Pero para usos personales, la cosa se complica. Podríamos pensar que hay factores de autenticación que no podemos perder, como los que “somos”- nuestra huella dactilar, el iris, etc. A pesar de que el uso de este tipo de identificadores es conveniente (soy el primero que desbloquea su móvil con su huella), tenemos que considerar que el otro nombre de esta práctica (a parte de “identificación biométrica”) es “la contraseña que no puedes cambiar y que todo el mundo puede ver”. Se ha engañado a lectores de huella creando reproducciones de huellas dactilares a partir de fotografías. Cualquier pérdida de seguridad de un identificador biométrico es definitivo.

Un dispositivo físico así mismo puede perderse. Afortunadamente, la mayoría de sistemas de doble autenticación permiten tener varios dobles factores que podemos usar alternativamente. Por ejemplo, es típico poder crear un conjunto de códigos de un solo uso que podemos imprimir, por ejemplo, y utilizar en caso de perder el móvil. Sin embargo, dependiendo de lo crítico que sea una cuenta, la urgencia con la que podamos necesitarla, etc. podemos comenzar a plantearnos preguntas como “qué pasa si necesito un factor alternativo y estoy lejos de mi casa donde guardo mi copia impresa de mi doble factor de respaldo” o “qué pasa si se incendia mi casa y se destruye”, por no hablar de que somos seres humanos y cometemos errores.

Yo, personalmente, de momento no utilizo doble factor- lo que conlleva un déficit de seguridad importante, pero que personalmente creo que me vale la pena y puedo compensar con otros mecanismos (uso de un gestor de contraseñas, las medidas adicionales de Google que protegen mi cuenta de correo, etc.). Existen medidas en este sentido (como contactos en los que confiamos de emergencia) y probablemente existe espacio para más mejoras en este sentido.

Es recomendable analizar la situación de cada uno y decidir- creo que el uso de doble factor en entornos personales tiene sentido bajo muchos puntos de vista, pero sólo cada uno puede juzgar los riesgos y ventajas de cada sistema.

La iglesia catódica

¿Acertaron de pleno los creadores de YouTube con su nombre? ¿Los “smart” phones nos han enganchado a la nueva caja tonta?

Vivo un poco ajeno al mundo de las imágenes en acción para responder adecuadamente a esa preguntas (aunque todo apunta a que sí), pero me es conveniente documentar dos proyectos relacionados con YouTube que, sorprendentemente en estos días, no son youtube-dl.

Uno es NewPipe. NewPipe es una aplicación Android open source (es decir, sus entrañas están al alcance de todos) que permite ver vídeos de YouTube, como la propia aplicación de YouTube. Para ello, imita a un navegador web visitando YouTube sin hacer login. Curiosamente, se salta los pasos de mostrar anuncios y dificulta bastante que YouTube nos identifique fácilmente. Adicionalmente, implementa funcionalidades en la propia aplicación, como la suscripción a canales, con un mecanismo propio que, aunque cuenta con desventajas (no nos “sigue” de dispositivo a dispositivo), nos permite hacer cosas que no se pueden hacer usando YouTube sin hacer login. También cuenta con funcionalidades como poder reproducir el sonido de los vídeos sin tener la aplicación en primer plano, o descargar vídeos.

¿Tiene pegas? Para empezar, una aplicación así va en contra de los términos de uso de la Play Store de Google, así que no la podremos encontrar ahí. Recomiendo el uso de F-Droid para instalarla. F-Droid es una tienda de aplicaciones Android alternativa que ofrece sólo aplicaciones open source como NewPipe. Esto está contemplado dentro de Android- podemos configurar Android fácilmente para que nos permita instalar aplicaciones de fuera de la Play Store, instalar F-Droid y con F-Droid instalar nuevas aplicaciones.

¿Es esto legal? Pues dependerá de la legislación que rija sobre cada uno. ¿Es peligroso? Un riesgo podría venir por instalar una aplicación que no está aprobada por Google, que supuestamente evita que se publiquen aplicaciones con funcionalidades maliciosas ocultas. Sin embargo, dado que NewPipe es una aplicación open source, en teoría cualquiera podría auditar sus entrañas, verificar que no hay tales funcionalidades ocultas y verificar que la descarga que ofrece F-Droid se corresponde con el código fuente.

Así mismo, podría existir el riesgo de que Google “castigue” a los usuarios de NewPipe, por ejemplo, cerrando sus cuentas Google, algo que no es poca broma. Sin embargo, aparte de que no constan casos, a falta de alguna puerta trasera en Android, dado que NewPipe interactúa con YouTube sin hacer login, no debería haber manera fiable de identificar quién usa NewPipe. Así mismo, no ha habido manifestación alguna de Google en contra de NewPipe- más allá de que los términos de la Play Store evitan que, como muchas otras aplicaciones, la podamos encontrar allí.

Un proyecto similar a NewPipe es Invidious, una web alternativa que nos ofrece el contenido de YouTube que forma parte de la ilustre familia compuesta por Nitter (Twitter) y Bibliogram (Instagram). Estas webs reimplementan la funcionalidad de webs con contenido público como YouTube, permitiéndonos acceder a él como un intermediario que protege nuestra identidad. Al igual que NewPipe, Invidious curiosamente se olvida de mostrarnos anuncios y dificulta el seguimiento por parte de Google de nuestras acciones.

Al ser una aplicación web, Invidious debe ser hospedada por alguien. Al ser open source, cualquiera puede crear su propia instancia. A diferencia de NewPipe, que siendo una aplicación nos la bajamos y la ejecutamos en nuestro móvil, Invidious se ejecuta en un servidor al que accedemos. Hay un listado de instancias en la propia web de Invidious.

Sin embargo, dado que es una aplicación web, si bien el código fuente de Invidious es open source al igual que NewPipe, en este caso al ser una aplicación web, no podemos validar que la instancia a la que nos conectamos de Invidious se corresponda con el código fuente que alguien podría haber auditado y verificado que no contiene funcionalidades maliciosas. Sólo creando nuestra propia instancia de Invidious podremos tener esta certeza. Además, la instancia que usemos puede dejar de funcionar, aunque en este caso podriamos cambiar y seguir usando otra instancia.

Por lo demás, el análisis es bastante similar al de NewPipe- con las diferencias lógicas derivadas de que una es una aplicación para móvil y la otra una aplicación web.

Bola extra: aquí un artículo sobre un soporte histórico, desconocido para mí, de películas que al parecer tuvo su momento en los ochenta.

Sagrada correspondencia

Hace unos días salió una noticia sobre alguien que había perdido el acceso a su cuenta de Google. Esto me ha llevado a revisar un poco mi situación.

Adelanto que hay un factor que aún no tengo resuelto, que es que uso mi cuenta de Google para identificarme en servicios no Google. Dentro de la configuración de vuestra cuenta de Google podéis ver en qué webs podéis entrar usando vuestra cuenta de Google. En mi caso son 17, y podría perder esas cuentas si perdiese mi cuenta Google. Algunas de ellas permiten mecanismos alternativos de identificación, así que vale la pena auditar aquellos servicios que sean importantes.

Otro punto es el correo. La inmensa mayoría de servicios usan una dirección de correo para identificarnos y funcionalidades como “olvidé mi contraseña” son especialmente peligrosas si perdemos el acceso a la dirección de correo asociada.

Personalmente, no uso prácticamente jamás ninguna dirección del dominio gmail.com. Tengo un dominio propio y uso un dominio de un allegado cercano, y uso direcciones de correo de esos dominios, que es bastante complicado perder (notifican con mucho margen para renovar, es un servicio de pago y no he oído nunca que se rescinda un dominio unilateralmente). Esa es la dirección de correo; la cuenta de correo en sí si la tengo con Google, que almacena el correo y me da acceso a él (nota: uso una arcaica versión gratuita de Google Workspaces. Para asuntos personales, no recomiendo usar Google Workspaces. Es posible usar un dominio propio con Google sin Google Workspaces). Pero al usar un dominio propio, puedo reemplazar a Google sin demasiado problema si fuera necesario- sin tener que cambiar mi dirección de correo.

Con esto, mi correo lo almacena Google, que también perdería si no pudiese acceder a mi cuenta. Google proporciona una amplia variedad de maneras de exportar el correo. Para empezar, he decidido usar un procedimiento bastante sencillo e incómodo, pero efectivo.

Uso isync, una herramienta para sincronizar cuentas de correo IMAP con archivos locales. IMAP es un protocolo para consultar el correo muy común en herramientas como Thunderbird y Outlook. Google da acceso al correo de GMail mediante IMAP, con lo que podemos usar cualquier herramienta IMAP como isync.

Para hacer la sincronización, basta crear un sencillo archivo de configuración:

IMAPAccount gmail
Host imap.gmail.com
User <usuario_de_gmail>
PassCmd +"head -1"
SSLType IMAPS

IMAPStore gmail-remote
Account gmail

MaildirStore gmail-local
SubFolders Verbatim
Path ~/.mail/gmail/
Inbox ~/.mail/gmail/Inbox

Channel gmail
Master :gmail-remote:
Slave :gmail-local:
Patterns *
Create Both
SyncState *

El fragmento +"head -1" hace que isync nos pregunte nuestra contraseña por pantalla (de una manera bastante fea, y mostrando la contraseña por pantalla) al hacer la sincronización. Ejecutando mbsync -a, tendremos que teclear nuestra contraseña interactivamente y se realizará la sincronización.

Para que esto funcione, sin embargo, necesitaremos permitir el acceso “menos seguro” a nuestra cuenta Google, que permite el acceso al correo IMAP mediante una simple contraseña (mecanismo que Google no considera seguro). De momento y para salir del paso, dado que tampoco me preocupo de ejecutar el proceso automáticamente, lo que he hecho es programarme un recordatorio para ejecutar el proceso semanalmente y sólo activar el acceso “menos seguro” mientras se ejecuta el proceso.