Mecanismos de Confiança Virtual: OpenID, WOT e Chrome

Padrão

Mencionei de passagem em outra nota o fracasso comercial do sistema OpenID, desenvolvido pela Identity Gang, mais um projeto do Berkman Center for Internet and Society de Harvard.

O sucursal brasileiro desse último é o CTS | FGV, com laços institucionais formais.

Desde então, eu tenho em mente fazer uma resenha técnica das ferramentas que eu já testei para proteger minha privacidade e avaliar a confiabilidade de fontes na Internet.

Como base da comparação, ou «benchmark», as pesquisas que ando fazendo utilizando GNOME Net Tool e serviços disponiveis na rede, como You Get Signal e Traceroute.org.

Vou lhe dizer logo no começo: Google Chrome é de longe minha ferramenta preferida nesse sentido.

Jamais trabalhei no Google, não recebi jabá para dizer isso, e se alguem consiguir apontar navegador comprovadamente superior para minha plataforma — a Sereia Enigmática é mal fã de Opera, mas ela é de Windows — tô lá no mesmo momento.

Um bom começo será a comparação de Chrome com WOT.

«What? »

WOT: Web Of Trust, ou «rede de confiança»

Essa extensão terá acesso a seus «logs» pessoais de navegação e dados privados em todos os sites visitados.

Depois, resumo o caso do projeto OpenID.

O navegador Chrome produziu o seguinte aviso ontem:

Eu naveguei ao site de Carlos Bresser Pereira — campeão brasileiro do New Public Management — e recibi o aviso mostrado acima do navegador de Google,versão Linux.

Nessa época de «mashups» e agregadores de conteúdo, é muito común uma página ser composta de muitos elementos vindo de vária fontes, hospedadas em vários servidores. Eis o Web 2.0. É bacana em muitos casos, chato e atrapalhador em muitos outros. Mais em qualquer caso, apresenta riscos de segurança.

Nesse caso, o Chrome reconhece que um elemento no site de Bresser Pereira pode ser perigoso — provavelmente só para usuários de Windows, alvo da maioria de golpes devido a suas vulnerabilidades de segurança.

O Linux, porém, não é a fortaleza impermeavel que alguns dos evangelistas pregam.

Eu utilizo ClamAV ora para cbrayton@macunaimachine (Ubuntu) ora para cbrayton@carmenmirands (Debian SID).

Nesse caso, o navegador

  1. Avisa contra o conteudo provindo do CHINABNR.COM
  2. Obriga o usuário a assinar embaixo, afirmando que a decisão de ignorar o aviso foi uma decisão informada

Com isso, Google transfere o risco ao usuário, mas não sem avisar e apontar fontes de informação úteis para entender essa questão melhor. Eu acho essa uma solução bem responsável e razoável.

Mas quem é CHINABNR.COM?

É realmente uma fonte de demônios e cavalos de Troia do mal?

Num primeiro momento, parece que inexiste.

Um traceroute feito pelos servidores de You Get Signal confirma:

O traceroute também mosta que o ORG.BR de Bresser e tão brasileiro quão beiseból.

Mora nos subúrbios de Washington, D.C. com Olavo de Carvalho

O responsável pelo servidor onde nosso sinal de teste some:

Brinkster Communications Corporation
OrgID:      BCC-134
Address:    2600 N. Central Ave.
Address:    Suite 310
City:       Phoenix
StateProv:  AZ
PostalCode: 85004
Country:    US

Sou sensível demais ou trata-se de um trocadilho bilíngue entre PT-BR «brincadeira» e EN «prankster» — brincalhão, praticante de golpes humorísticos?

Um dos servidores de Brinkster, por exemplo, é um servidor virtual dentro de outro servidor, um serviços de relacionamentos amorosos virtuais em Inglaterra:

Curioso: Me lembro de uma nota de um dos covardes anônimos do Millenium em que (1) fustiga o Foro de São Paulo, e (2) recomenda um site de relacionamentos virtuais.

Tenh mais a observações sobre esse ORG.BR, mais em fim: a fonte desse elemento «perigoso » da página e Ninguém. Não está «casado» com qualquer número de identificação única, como rezam os padrões de ICANN.

A Rede de Confiança: Resenhas e Veredas

Navegando ao site da extensão WOT para Chrome, eu cruzo com resenhas mistas, quase todas anônimas.

WOT pretende ser uma rede social pela avaliação de vários fatores: confiabilidade, malware e spam, e a aptidão dá página para ser visitada por crianças.

Nesse sentido, pretende fornecer à rede aberta o «circúito crítico» ou «Model L.I.A.R.» descrito por nossos pesquisdores do Pentágono:

Logo no começo, porém, os «inputs» do sistema pela avaliação colaborativa do mesmo WOT fazem surgir o efeito FUD: «fear, uncertainty, and doubt», ou «medo, incerteza, e dúvida» (MID).

As resenhas, na sua maioria, dividem-se entre

  1. Avisos sobre a natureza invasiva da ferramenta
  2. Exaltações do produto, sem o fornecimento de «warrants», que quer dizer os fatos fundamentando a avaliação positiva

Eis o programa melhor do mundo inteiro!

Compare a pichação na comunidade de Caros Amigos, «ch0wned» por invasores anônimos covardes:

Veja é a melhor revista no Brasil! É como mágica!

Refereiuse à capa da revista elogiando o iPhone.

Outro anônimo ainda avisa do risco de invasão de privacidade:

Vocês ficam sabendo que o programa está gravando todos seus dados num servidor central e possível-provavelmente vendendo esses dados a empresa com as quais WOT tem contratos?

«Possível-provável» não é suficiente, como constatou Edmund Geddier, para dizer que sabemos que WOT atue assim.

Mas pelo menos a afirmação pode ser testado conferindo a política de privacidade de WOT

When you download the Licensed Software for the first time WOT automatically creates for you a random (anonymous) identifier that will be used later to connect you with the requests from the Services. While using the Licensed Software it sends information about the identifier, the date and time of the request and the host name for each site you visit to WOT servers for identifying the visited web sites and retrieving their rating information. This information will be stored only temporarily and will be erased after a month.

Basicamente, respeita sua privacidade tirando qualquer dado identificador da pessoa única, mais recolhe e reserve o direito de vender dados genéricos sobre sua atividade no portal da empresa:

When you register yourself at the Portal, you are asked to give certain background information that describes you (country, city, year when born etc.). This information together with your Ratings and web site usage is used for statistical purposes only without any connection to your personal information. The statistical data may be stored and used as found appropriate by WOT.

Não é tal Grande Irmão assim.

Google AdWords, por exemplo, utiliza os mesmos dados para mandar aqueles anuncios contextuais.

Mas também informa como deixar de mandar esses dados.

Geralmente falando, é a mesma política utilizada no site de Diogo Chiuso — nosso diabo escondido e covarde anônimo do Cato Institute.

Em qualquer caso, o Chrome oferece um método simples de abrir uma sessão segura, dito «incognito»:

O problema como o serviço de WOT, entretanto, é o anonimato das «resenhas de um clique só», que não contam a razão da avaliação dada:

Para encurtar o relato: WOT pode ser utilizado anonimamente ou pseudonimamente, e portanto é fácilmente manipulável.

Não podendo conferir a confiabilidade do autor do relatório sobre a confiabilidade do autor da resenha que você recebe através de seis graus de separação, não pode ser dito confiável.

Com manipular WOT:

  1. Abre uma conta de hospedagem de sites que oferece 999 contas de e-mail, como a minha
  2. Cria 999 contas de e-mail, e convida os 999 de Sparta a abrirem 999 contas de GMail
  3. Utiliza as 999 identidades de Google para avalar a confiabilidade do seu site

Eis a tática da «Multidão de Eu Sozinho» tão amada dos lobistas do Grupo LM (Living Marxism).

Por isso, WOT é um exemplo de MÍDia social

«Medio-Miedo» e o Fracasso Comercial de OpenID

Li outro dia no wiki do projeto OpenID que a próxima reunião vai levantar a questão de como melhorar um desempenho no mercado além das expectativas iniciais.

Leitores de blogs já viram essa opção na caixa de comentários ao fundo da página: Pode comentar como usuário de WordPress, com uma conta cadastrada em Google, entrar seu nome e e-mail, ou fazer «login» de uma identidade cadastrada com OpenID.

A técnica não passa da versão 2.0 do velho esquema de «link exchange» — combinando clandestinamente com donos de outros site para criar um cartel auto-moralizante, um círculo de avals que aumenta o «churn» do complexo de sites — o trâfego — como um todo.

Exemplo relacionado: No Estadão agora, você entra na página incial, clique numa matéria interessante, e chega a um página contendo

  1. A manchete, repetida
  2. Um link, «leia a matéria»

Assim, em sites como Google Analytics, cada leitura da matéria registra como duas visitas.

Há um efeito multiplicador meio safado aqui.

O projeto OpenID, entrentanto, conseguiu incentivar o establecimento de vários «servidores de identidade», que possibilitam o desenvolvimento de uma identidade consistente é segura em várias redes sociais — criando uma presença-lenda que será coerente em cada canal de cada rede da sua rede de redes.

O modelo é o que costumavamos chamar de «write once, publish many» — escreve uma vez e divulga muitas vezes, por muitos conteúdutos.

Também fornece instruções pela montagem de um servidor de identidade pessoal (acima). Eu pessoalmente tenho curiosidade no projeto Masquerade, do MIT, disponível no repositório de Ruby Gems.

Desse jeito, você pode hospedar uma rede social na qual os cadastrados são livres para ou dar o recusar seu aval aos outros — supondo que são desconhecidos pelos outros logo no começo.

Fica meio óbvio que essa tecnologia pode facilmente ser utilizada na criação de «circulos de elite» clandestinos.

Tome os 999 militantes do «bloco de eu sozinho» que eu descrevi lá encima e cadastrem eles num servidor que você controla.

Com tempo e sorte, outros usuários vindo de fora do circulo fechado se cadastrarão, diluindo eventuais pistas — por que será que cada integrante dessa comunidade só tem conta de GMail? — e dando a aparência de uma verdadeira rede aberta.

Se não me engano, os patentes dessa é muitos outras tecnologias da rede social são a propriedade de Harvard, que têm um fundo de investimento — RSS Investors — para a gestão dessa propriedade intelectual.

Tem vários projetos ulilizando o mesmo conceito, entre os quais quero destacar

  1. The Identity Project
  2. The Identity Project
  3. The Identity Project

E não nos esqueçamos de The Identity Project, este patrociniado pela filantropia The Wellcome Trust, de GlaxoSmithKleinWellcome, do setor de «farmão» — Big Pharma, a indústria farmacéutica.

Vou empregar o truque barato de deixar a ironia desse homônomia de tantos projetos aparentemente distintos falar para si.

O truque livrará minha cara do trabalho de levar a questão mais adiante hoje. Tô cansado, tenho trabalho a fazer.

Quanto ao desempenho do Projeto OpenID no mercado: Talvez seria uma questão de uma sigla — OID — inconscientemente irónica.

Em English, o suffixo «-oid», como PT-BR «-óide», tem uma conotação negativa.

Tem fatos, por exemplos, mas na outra mão tem «factóides» ou «fatóides».

Tem um Identity Project tupiniquim, do qual tirei a imagem a seguir:

Os memes políticos do momento são «neopetista» e «neoudentista», mais imagino, julgando do jeito de empregá-lo, que só o primeiro seria traduzivel em termos de OID.

«Petistóide»? Não tem a mesma graça.

De certo jeito, o presidente pemedebista, egresso, tecnicamente, do PFL, se comportava meio como um »pemedebistoide».

Mas quando as força do continuismo referem-se no «neoudenismo», não estão questionando a autenticidade deste.

Estão denunciando que o movimento é a continuação auténtica do mal e velho UDN.

Com certa razão, seja dito.

Eu tenho um livro dos discursos de Carlos Lacerda aqui nas estantes.

Cruzei com um belo de um artigo sobre o Caso Lacerda-Time-Life-Globo na revista Telehistoria.

(A revista consta como propriedade de SWTH DIVULGACAO ON LINE LTDA, aliás.)

Tenho livros e artigos contando a história de Lacerda como locutor da Rádio Globo.

Plus ça change, plus ça la meme chose.

Anúncios

2 comentários sobre “Mecanismos de Confiança Virtual: OpenID, WOT e Chrome

Os comentários estão desativados.