La Coctelera

Gravatar a la escucha

31 mar 07

Hace un par de semanas hablaba con Blat sobre seguridad y privacidad. La verdad es que son temas que me interesan mucho y sobre los que espero tener algo que escribir de cuando en cuando. El tema es que durante la conversación le hablé sobre una cosa a la que le vengo dando vueltas desde hace algún tiempo, y es que Gravatar no me gusta, y me gustan aun menos los sitios que lo implementan. El caso es que, como no me dio la sensación de que Blat creyera que estoy totalmente pirado, he decidido escribir mis pensamientos al respecto :)

¿Qué es Gravatar?

Antes que nada, y para los que a lo mejor no lo conocen, una descripción del servicio :)

Traducción de la web del sitio con algunos enlaces míos :)

Un Gravatar, o avatar reconocido globalmente, es simplemente una imagen de 80x80 pixels que te sigue de weblog en weblog apareciando junto a tu nombre cuando comentas en sitios que tienen activado gravatar. Los avatares ayudan a identifiar tus posts en los foros, así que, por qué no en los weblogs?

La idea es que cuando te creas una cuenta en gravatar, subes tu avatar y leste queda asociado a tu cuenta de correo, con lo que cualquier sitio puede acceder a tu avatar a partir de tu cuenta de correo.

Cómo funciona

Gravatar proporciona una URL desde la que cargar el avatar de cualquier usuario de gravatar, o una imagen por defecto en caso de no existir. Para hacer referencia al avatar que se quiere obtener se pasa como argumento en la URL el Hash del e-mail del usuario.

La mayoría de las webs que usan gravatar tratan de cargar la el avatar de todos sus usuarios. Lo que quiere decir que siempre que dejas un comentario en un blog que usa este servicio, el blog va poner en su código una imagen con la que se está enviando el Hash de tu mail a gravatar cada vez que un usuario trata de cargar la imagen. Además, esto es independientemente de si eres usuario de gravatar o no.

Las implicaciones

El simple hecho de que a gravatar le llegue el Hash de tu e-mail no es preocupante por si solo. La parte peliaguda viene por cómo funcionan los navegadores web.

Cuando tu navegador va a cargar una imagen de cualquier web, al realizar la petición de la imagen al servidor siempre envía una cabecera llamada Referer. En dicha cabecera el navegador le indica al servidor en qué web se está cargando la imagen, por ejemplo: cuando entráis a la página principal de este blog, todas las imágenes del mismo se piden a los servidores con una línea que dice Referer: http://www.lacoctelera.com/ernesto-jimenez.

¿Qué pasa cuando juntamos en la misma petición a Gravatar el Hash del mail y el Referer? Pues que Gravatar tiene la posibilidad de trazar un perfil con los blogs en los que comentas, con que frecuencia, en qué posts... Y da lo mismo que seas usuario de Gravatar o no, en los blogs que implementan gravatares, todos los usuarios que comentan pasan por el aro.

A mí ver la cantidad de información privada que les llega a los de gravatar me pone los pelos de punta.

¿Y tú? ¿Valoras tu privacidad?

13 comentarios

13 comentarios

  1. 31 mar 2007 | 04:45 PM # verbosemode dice:

    ves conspiraciones por todas partes XD

  2. 31 mar 2007 | 04:54 PM # Ernesto Jiménez dice:

    xD

    No es cuestión de conspiraciones sino de aplicar el principio de menor privilegio. Gravatar no necesita toda esa información sobre mí, así que no debería llegar a ella.

    Luego está que con la LOPD en la mano, a lo mejor podría ser hasta ilegal implementar gravatar de forma tan indiscriminada, pero de eso hablaré otro día, además de lo absurda que es la LOPD XD

    Un saludo!

  3. 1 abr 2007 | 04:05 PM # Adirael dice:

    Yo esto lo llamaría "daños colaterales", no creo que los creadores de Gravatar le diesen tantas vueltas para obtener informacion semi privada de un usuario... o sí ;)

  4. 1 abr 2007 | 04:21 PM # Ernesto Jiménez dice:

    Adariel, está claro que muchas veces por disfrutar de La Web 2.0 sacrificamos parte de nuestra privacidad o la dejamos en manos de otras personas o empresas. Google sin ir más lejos tiene más de 2.000 mails míos en Gmail, mis convalidaciones de la erasmus en Google Docs, mis calendarios (exámenes, prácticas, reuniones, etc...) en Google Calendar, etc...

    Muchas veces sacrificamos privacidad para obtener un servicio, el problema viene cuando la elección no es tuya. Si tú comentas en un weblog que implementa gravatar da lo mismo que tengas un gravatar o no, aunque no te estés beneficiando del servicio el hash de tu e-mail va a ir a parar a sus servidores junto al post que estabas viendo.

    Es perfectamente válido confiar en la buena fe del proveedor del servicio, pero... ¿De quién es la elección? Yo creo que el usuario es el que debe elegir si quiere sacrificar parte de su privacidad, el dueño del blog no tiene derecho a elegir por ti.

    Al menos esa es mi opinión :)

  5. 3 abr 2007 | 04:42 PM # Manz dice:

    Yo estoy con verbosemode, me parece un castillo de un granito de arena...

    ¿Cuantas páginas obtienen la misma información al comentar? Este mismo blog, obtendrá la información desde donde vine (referer), el navegador que uso (user agent), incluso se puede hasta sacar de la ip el pais o la ciudad (con geoip u otros, de remote_addr)...

    Pero aún así, creo que roza la paranoia. Comprendería la privacidad en el caso de Google (emails, videos en youtube, busquedas, etc...) pero Gravatar lo más privado que podría obtener es nuestra ip (al igual que todos los sitios) o nuestro email, cosa que ya tenemos en cuenta (o deberíamos) al registrarnos.

    Un saludo Ernesto,

  6. 3 abr 2007 | 05:16 PM # Ernesto Jiménez dice:

    Manz,

    El problema de la privacidad no consiste sólo en que obtengan datos privados nuestros, sino que alguien sea capaz de recolectar información sobre nosotros (qué hacemos, cómo lo hacemos, cuándo lo hacemos...) y trazar un perfil sobre nuestra persona. El Hash de tu dirección de correo te identifica de forma casi inequívoca, y junto ese hash Gravatar obtiene una lista de los blogs en los que comentas, qué posts, a qué horas... Además, podría luego almacenar información sobre el contenido de los posts que comentas e ir recavando información sobre aquello que te interesa.

    Yo no digo que lo hagan, digo que con esa información pueden hacerlo, tú al querer disfrutar del servicio que Gravatar te proporciona no tienes problema en asumir esa posibilidad (por remota que sea).

    Para mí, el problema no es que Gravatar reciba toda esa información de sus usuarios, ellos quieren un servicio y están dispuestos a dar sus datos para obtenerlo (aunque muchos no serán conscientes de la cantidad de información que Gravatar recibe). El problema está en aquellos que no son usuarios de Gravatar, su información se filtra igualmente sin que ellos lo consientan.

    A mí no me molesta Gravatar, lo que me preocupa es que los sitios que implementan filtran toda esa información de los usuarios y los que no son usuarios :)

    Un saludo ^_^

  7. 3 abr 2007 | 10:58 PM # Topochan dice:

    Es cierto que esta información esta compartida, y como comentan arriba ellos tienen el mail y sabrían a quien comentan, etc... para que veas como anda la cosa mugshot ya se encarga de hacer cosas similares y es un servicio(extrae información de tus actividades online) y las registra y puedes consultar libremente... Hoy en día en el que nos volvemos más paranoicos con la privacidad damos más información a servicios web y damos más información a empresas que si lo pidieran por teléfono no los daríamos...

  8. 3 abr 2007 | 11:13 PM # Ernesto Jiménez dice:

    Totalmente de acuerdo Topo.

    Lo que no me parece de recibo es que sean otros los que den nuestra información a terceros sin nuestro conocimiento ni consentimiento.

    Además, es ilegal, lo que habría que ver es si la Agencia de Protección de Datos considera esa filtración de información ilegal, pero cómo son (una dirección IP es un dato personal de nivel alto, tan personal como tu orientación sexual o tu religión) no me extrañaría que lo hicieran.

  9. 13 abr 2007 | 10:13 PM # talishte dice:

    No quiero comentar porque este sitio usa gravatar y me pueden estar controlando :D
    Los de gravatar deben de tener una base de datos muy interesante.

  10. 14 abr 2007 | 12:58 AM # Ernesto Jiménez dice:

    talishte, por ahora la coctelera no usa gravatar, los avatares son de las cuentas de los usuarios dentro de la propia coctelera :)

  11. 14 oct 2008 | 01:11 AM # REN dice:

    PUEDO HACERTEBUNA CONSULTA PRIVADA ....???? DE SER ASI ESPERO TU RESPUESTA SALUDOS

  12. 14 oct 2008 | 10:39 PM # REN dice:

    HICE UN COMENTARIO RESPCTO A TU DESCRIPCION DEL GRAVATAR Y SUS USOS Y ESTO ME CONTESTAN
    dejame decirte que aqui esta el avatar que señalas, el cual por cierto si ya se fijaron es el mismo para todos los q escribismos aqui, eso que los avatar te siguen y todo ese rollo,si estuviera en la escuela y no supiera me cae que te la creo, pero opss ni las cookies hacen eso compa, un avatar es solo una imagen una foto de identificacion, el cual cada sitio mediante su foro ofrece a sus usuarios, los cuales en algunos casos te ofrecen la posibilidad de subir tu imagen o foto, por lo que eso es la mentira mas grande q alguien haya podido escribir en este blog por cierto aqui esta el avatar que mencionas http://www.gravatar.com/avatar.php?gravatar_id=3ce199509f337815fd...,

    ESPERO TUS COMENTARIOS MIL GRACIAS

  13. 23 oct 2008 | 12:41 AM # pixelkar dice:

    hola

Escriba un comentario:

« El suplicio el SPAM | Inicio | Vota por un one-click install de Trac en Dreamhost »

La Coctelera: Condiciones de uso Política de Privacidad