Jolicloud es uno de los últimos gritos en cuanto a cloud computing se refiere. Se define como un sistema operativo ideado para netbooks, que nos facilita la gestión de nuestros datos y los servicios que usamos en Internet. Al final, es un sistema operativo que centraliza diferentes servicios externos y facilita su uso. Dicho así parece atractivo, pero por otro lado algo que se basa tanto en la nube necesita unas medidas de seguridad extra, y si no las tiene puede jugarnos una mala pasada.
Hasta hace poco sólo se podía probar mediante invitación, pero en estos momentos está disponible la primera versión del sistema, y cualquiera puede crearse una cuenta y empezar a usarlo.
Puesto que ya está abierto al público, es el momento de ver cómo se han hecho las cosas. Vamos a crearnos una cuenta, y arrancamos la Live CD para probar. Además, vamos a monitorizar el tráfico que genera.
Lo primero que nos pide Jolicloud cuando termina de arrancar es que nos conectemos a Internet para poder iniciar sesión en el ordenador. Una vez preparados iniciamos sesión y vemos qué y cómo ha enviado los datos al servidor:
El nombre de usuario y la contraseña se envían en una petición POST HTTP en claro. ¿SSL? ¿Para qué?
Después de que nuestros credenciales hayan viajado legibles por medio mundo, estamos dentro de nuestro ordenador, con nuestras aplicaciones en local, y un montón de accesos directos a servicios online (Dropbox, Gmail, Facebook, Twitter …). Vamos a descargar nuestra primera aplicación, que va a ser VLC:
La petición vuelve a ser en claro, indicando la aplicación y la acción a realizar.
Son pocas las peticiones que realiza el propio Jolicloud a sus servidores (y menos mal), el resto están gestionadas por el servicio en cuestión, ya que realmente lo que nos facilita el sistema es un acceso directo a la página web o la aplicación oficial del servicio.
Que cada uno saque sus propias conclusiones.
Artículo por Alberto Ortega Llamas.
Via: Security by Default