De hippie a chic

"¿Un parvulario en medio del bosque? ¿Sin paredes ni techo? Demasiado alternativo para mi gusto". Eso es lo que habría contestado si me hubierais preguntado hace unos días sobre el tema. Pero... ¡ay!, la Sra. Tempora-Mores decidió sin más apuntar al primogénito a un intercambio entre el parvulario normal y el del bosque. Y allá ha ido "Indiana" J toda esta semana, con sus botas de agua, su mono impermeable, abrigo, gorro y guantes, a pasar la mañana al aire libre. El lunes, lluvia; el martes, viento, lluvia y frío; el miércoles algo de nieve, que no cuajó, y más frío; sólo el jueves estuvo despejado. Para guarecerse los veinte nanos y las dos cuidadoras cuando la cosa se pone peligrosa, una pequeña caravana con calefacción. Y el resto del tiempo (aunque llueva un poco o estén a bajo cero) a la intemperie: amontonar rocas, berrear, construir cabañas y descansar, escalar, fisgonear agujeros, gatear y husmear, investigar senderos, jugar al escondite, lanzar palos, mover troncos, nombrar insectos, orinar en los tocones, protegerse de huracanes imaginarios, querer saltar más alto que los demás, recoger raíces, sentarse en el suelo en círculo y cantar, trepar como los monos, untarse las manos con barro y vigilar los agujeros de los topos¹ son las actividades que componen el programa diario.





Los parvularios del bosque nacieron en Dinamarca en los años cincuenta y se extendieron rápidamente por los países escandinavos, donde abundan más que en el resto de Europa. El primero en Alemania se fundó en 1993 y a estas alturas hay más de 350, uno de ellos en Usingen.

Según algunos estudios, los niños que han visitado un parvulario del bosque tienen ciertas ventajas con respecto a los que han estado en un parvulario tradicional al llegar a la edad escolar:
* Mejor capacidad de concentración, motivación y aguante que el resto
* Unas mayores habilidades sociales y mejor capacidad para resolver conflictos de manera pacífica
* Mayor colaboración en el transcurso de las clases
* Una fantasía y creatividad más acentuadas
* Mejores notas en ciencias sociales y ciencias naturales

Por todos estos motivos beneficiosos, en la clase burguesa alemana en vez de hippie, empieza a ser incluso chic llevar a tu hijo al parvulario del bosque. Otras de las presuntas ventajas de los parvularios del bosque mencionadas en el artículo de Wikipedia no se pueden demostrar científicamente (como el disfrutar los niños de más habilidades deportivas o de ser en general más tranquilos). Y por otra parte, niños provenientes de un parvulario tradicional podrían tener, por ejemplo, habilidades motoras en manos y dedos más desarrolladas que los niños del bosque (¡claro, todo el día los pobrecillos con las manoplas puestas!), lo que teóricamente influiría de manera negativa en sus notas de escritura.

Bueno, ¿realmente es mejor para el futuro escolar de tu hijo llevarle al parvulario del bosque? Antes que nada, recuerda: correlación no implica causalidad. Quizás haya una causa común, que hace que los padres lleven a los hijos a parvularios del bosque y al mismo tiempo que los niños saquen mejores notas en la escuela. Lo cual me recuerda a la entretenida demostración de Levitt y Dubner en Freakonomics: para las notas de la escuela, no importa si el niño ve mucha TV en casa o no, si la madre trabajó mientras era un bebé o se quedó en casa, o si llevas al nano a menudo a visitar museos o no lo haces. No importa lo que hagas como padre, importa lo que eres.


¿Inscribiremos al agente J a un parvulario del bosque? Pues no lo sé aún. Lo importante para nosotros es que el niño esté a gusto. J volvió ayer reconociendo el canto de unos pájaros de los que yo no sé ni el nombre en español y sabiendo distinguir piñas según las haya roído una ardilla, un ratón o un pájaro carpintero.

¹ Premio para el primer listillo que escriba un comentario diciendo que faltan K, Ñ, W, X, Y, Z.

La antipila

Cuatro pilas alcalinas nuevas (fecha caducidad: 2013) en el coche teledirigido del agente J conectadas en serie. Al cabo de unos días deja el juguete de funcionar. Todas las pilas a 1,3-1,4 V excepto una que no se ha vaciado, ¡sino que ha invertido la polaridad! ¿Ha experimentado alguien alguna vez algo parecido?

Clarita

Título: "Das Klärchen"
(Klärchen es el nombre de una oruga multicolor de peluche que tiene el agente J)

Cómo transformar un protocolo de redes en un viaje a la dimensión desconocida

Información introductoria: IDN es el estándar de nombres de dominio internacionalizados (con eñes, acentos, otros diacríticos, otros alfabetos, etc.) desarrollado en el IETF. El antiguo estándar (IDN versión 2003) va a ser sustituido por uno nuevo (IDN versión 2008) que desgraciadamente no es completamente compatible hacia atrás. Es decir, hay IDNs que son válidos según IDN2003 que dejarán de serlo cuando se despliegue IDN2008. La ventaja de IDN2008 es que no está limitado a Unicode 3.2. Con el uso de Unicode 5.1 IDN2008 permitirá nuevos nombres de dominios en muchos lenguajes que antes no eran posibles.

Este documento del consorcio Unicode (un borrador del Unicode Technical Standard 46) propone una solución para aliviar el problema de la falta de compatibilidad hacia atrás entre IDN2008 y IDN2003: un mapeado de ciertos caracteres en otros a modo de puente entre los estándares. En principio buena idea, hasta que el documento sugiere por razones de “seguridad” que una aplicación compare en DNS si hay una “divergencia en el registro” entre el dominio mapeado y el no mapeado. Trataré de ilustrar esta idea con un caso concreto.

El carácter ZWJ (zero-width joiner o "conector de anchura cero") es un carácter permitido en IDN2008 y que en IDN2003 realmente no lo era. ZWJ es necesario, por ejemplo, para expresar en Unicode el nombre de Sri Lanka usando el lenguaje local cingalés (ver línea A, primera columna):


Si no se usa el ZWJ, el conglomerado "Sri" se desmorona (como se puede apreciar en la línea C). ZWJ es, pues, como una especie de pegamento entre caracteres que interaccionan entre sí. Desgraciadamente por sí solo ZWJ es un carácter invisible, así que el nombre de dominio www.ejemplo[ZWJ].de es visualmente indiferenciable de www.ejemplo.de. Ya os imagináis ahora por dónde van los tiros del problema, ¿verdad?

UTS46 propone que si una aplicación encuentra el nombre de dominio banco-perico-de-los-palotes[ZWJ].de, haga dos consultas de DNS para averiguar primero la dirección IP de banco-perico-de-los-palotes[ZWJ].de y luego la de banco-perico-de-los-palotes.de, y que a continuación compare los resultados. En caso de que los resultados no fueran iguales ("divergencia en el registro") nos encontraríamos, según el documento, ante un compromiso de seguridad. Y es aquí cuando empezamos a jugar con fuego y a adentrarnos en la Twilight Zone.


Pregunta 1: Si banco-perico-de-los-palotes.de y banco-perico-de-los-palotes[ZWJ].de tienen la misma dirección IP, ¿he descartado de verdad que tras el segundo se esconde una página web fraudulenta?

No, no está descartado. El malvado estafador podría registrar intencionadamente banco-perico-de-los-palotes[ZWJ].de por medio del mismo agente registrador que su víctima. Si se trata de un agente registrador grande, hay bastantes posibilidades de que las páginas web de muchos dominios sean servidos por un solo servidor web (es decir, una sola dirección IP). Y es que la página web solicitada por un navegador no se determina por la dirección IP del servidor web al que se dirige, sino que es una información contenida en la petición HTTP.

Pregunta 2: ¿Está garantizado que dos consultas idénticas y consecutivas en el DNS (por ejemplo sobre la dirección IP de banco-muy-legal.de) vayan a recibir dos respuestas idénticas?

No, no está garantizado. Hay muchas situaciones operacionales en las que dos peticiones consecutivas de la dirección de IP de banco-muy-legal.de pueden devolver dos direcciones IP distintas:
* Si las respuestas se obtienen de una caché. Las cachés son volubles por naturaleza y pueden devolver resultados distintos a medida que sus contenidos expiran.
* Sin entrar cachés en juego, si las dos peticiones de DNS se envían a dos servidores DNS distintos, los dos responsables de devolver la dirección de banco-muy-legal.de, pero uno tiene una zona (así se llama en la jerga a su listado de contenidos) menos actual (p.ej. con una dirección IP vieja) y otro una una zona más actual (con una dirección IP nueva).
* Si las dos peticiones de DNS se envían incluso al mismo servidor de DNS, pero por puntazos que le dan a veces a Internet, son enrutadas a dos servidores distintos (por ejemplo, dos nodos distintos de una nube anycast) e, igual que antes, cada uno de ellos tiene zonas distintas.
* Si las dos peticiones de DNS llegan al mismo servidor, pero una es respondida antes de un cambio en la dirección IP (la dirección vieja) y la otra después de un cambio en la dirección IP (la dirección nueva).
* Si las dos peticiones de DNS llegan al mismo servidor, las direcciones IP tampoco están siendo cambiadas, pero existen varias de ellas a la vez y el servidor DNS las devuelve alternativamente para emular así una especie de "reparto de carga" entre distintos servidores web.


De estas dos preguntas se desprende que la medida descrita en el documento no proporciona una condición ni suficiente ni necesaria para detectar un problema de "seguridad". Además de complicar la arquitectura y generar tráfico innecesario, esta medida produce un número no despreciable tanto de falsos positivos como de falsos negativos, todos ellos muy complicados de analizar y diagnosticar a posteriori. Ésta es una idea muy mala para solucionar un problema que a mi parecer no tiene ninguna relevancia práctica.

Full disclosure: Soy miembro plenario del Unicode Technical Committee (UTC) en el consorcio Unicode. La posición aquí expuesta es sólo personal y no necesariamente representa la del UTC ni la de mi empresa.