data:newerPageTitle data:olderPageTitle data:homeMsg

martes, 19 de abril de 2011
10:04:00

Por cada comentario que haces, Dios salva un gatito

No todo es como lo pintan: HTTPS resulta NO ser seguro


httpsLas siglas HTTPS (Hypertext Transfer Protocol Secure) han generado siempre confusión, ya que bajo el paraguas de la "S" de seguro siempre se han escondido mitos sobre lo que realmente significa e implica.
Con la entrada de hoy, a modo "Cazadores de Mitos", espero aclarar algunas de estas confusiones y que poquito a poco, todos  naveguemos mejor informados.


Las páginas bajo HTTPS no se almacenan en la caché del ordenador.

haz clic en la imagen para verla en mayor tamañoEs común asociar HTTPS a información sensible, son siempre las páginas más delicadas y en las que más capas de seguridad se aplica las que contienen datos confidenciales, como datos de carácter personal,  o bancarios.
En teoría todo lo que se transmita por HTTPS y sea sensible el propio servidor debería identificar que no se cacheé, de esta forma se optimizaría las peticiones al igual que ocurre con HTTP.
Imaginemos que me conecto a un banco y este no especifica que la información no ha de cachearse localmente, si visito este banco desde un ordenador público, otro usuario podría consultar la cache del navegador y conocer mis movimientos u otros datos confidenciales. Esto es considerado una vulnerabilidad, pero aún hay miles de webs en las que se produce esta problemática
Está por lo tanto en manos del navegador definir qué hacer con el contenido pedido bajo HTTPS. Internet Explorer, salvo lo indique el servidor, por defecto usará la caché, aunque tiene una opción para deshabilitarlo y que nunca almacena datos, tal y como se comenta en el siguiente artículo: HTTPS Caching and Internet Explorer.
Para configurarla, tan solo hay que ir a "Herramientas"->"Opciones de Internet" y en la pestaña "Avanzado", seleccionar "No guardar las páginas cifradas en el disco"

 

Adelanto de comentario

Editor es totalmente aplicable para este tema de las creencias de que porque aparece HTTPS en la dirección de un web o aparece el candado indicando una conexión segura, pues no siempre es así y esto ha quedado claramente demostrado, pues si vamos a depender exclusivamente de la seguridad de los programas, y dejamos que ellos hagan lo suyo sin meternos de por medio, estaremos cometiendo un gran error ya que parte de la solución es, precisamente, estar metidos en el asunto, pero no haciendo cambios experimentales o estableciendo configuraciones complejas y algo excéntricas.....

(ver comentario completo al final de la publicación)

.../

En Firefox, depende de la versión del navegador tiene un funcionamiento u otro, hasta el 2010 han tenido abierto un bug donde han discutido este funcionamiento. Actualmente las páginas son cacheadas si el servidor no dice lo contrario, al igual que hace Internet Explorer. Se puede controlar este comportamiento mediante la directiva: cache.disk_cache_ssl. La siguiente imagen muestra un elemento cacheado que se sirvió por SSL.

haz clic en la imagen para verla en mayor tamaño

En el caso de Opera, las páginas cacheadas de HTTPS son eliminadas al cerrar el navegador. Definido en la opción: Cache HTTPS After Sessions. haz clic en la imagen para verla en mayor tamañoChrome cachea las páginas como el resto y no permite modificar este comportamiento, salvo se use una extensión, como ya comentamos anteriormente en: Extensiones para navegar más seguro con Chrome.

 

Si hay HTTPS puedo mandar cualquier cosa en las Cookies o en la petición (URL)
Todos los datos confidenciales deben ser enviados utilizando el método POST, ya que si existe información confidencial en la propia URL, está quedará almacenada en múltiples sitios, como el historial del navegador, los registros del proxy, o los registros del propio servidor donde llegan las peticiones, como ocurre con HTTP. Aunque la conexión se establezca utilizando SSL, las sesiones han de ser configuradas para que no puedan ser enviadas utilizando otros canales. Tal y como comentamos en "Sesiones seguras: es gratis", se ha de establecer el parámetro "secure".

 

Hace falta un certificado SSL para cada dirección IP, domonio o subdominio.

haz clic en la imagen para verla en mayor tamañoExisten muchas opciones y alternativas que permiten versatilidad con los certificados SSL y su instalación y configuración. Un único certificado SSL que soporte wildcards, podrá ser instalado en todos los subdominios que queramos. Server Name Indication extiende el protocolo de SSL y TLS permitiendo que el "CN" sea solicitado en la negociación TLS, dejando al servidor presentar el certificado correcto en base a la consulta que reciba.

Mediante Unified Communications Certificate (UCC), es posible incluir varios dominios distintos en un único certificado. En caso de que compartamos IP con otras aplicaciones y otros clientes.

 

haz clic en la imagen para verla en mayor tamañoLos certificados SSL son muy caros y dificiles de conseguir

Algunas compañías no usan SSL porque piensan que adquirir uno tiene un precio muy elevado. Esto no es así. Hay certificados incluso gratuitos como los que ofrece StartSSL, Comodo.o CACert.

Se pueden adquirir otros productos, con garantía o que permiten wildcards, desde 10$ anuales. Un precio asumible para cualquier compañía que tenga presencia y venta de productos online.

 

HTTPS es muy lento.

haz clic en la imagen para verla en mayor tamañoSobre este mito hay aún debates abiertos. Uno de ellos es el que mantiene Adam Langley deImperioViolet con el fabricante de aceleradores SSL F5. El primero ofrece argumentos  por lo que la negociación SSL hoy por hoy se puede asumir económicamente. F5 (entre otras cosas, vendedor de aceleradores SSL) responde con unas tablas de pruebas y explicando que las pruebas de Adam son con certificados 1024-bit y no con los 2048-bit. Finalmente Adam opina que las pruebas de F5 no son reales, ya que están hechas con portátiles y no con servidores.

Lo único que hay que transmitir vía HTTPS es la información sensible, como el usuario y contraseña.

Si algo hemos aprendido todos con FireSheep es que no es necesario tener las credenciales de un portal para acceder con la cuenta de otro usuario. Basta con robarle la sesión y asignarla a nuestro navegador.

Por ese motivo, si una web requiere autenticación y trata datos confidenciales, todas las páginas que se sirvan  han de ser única y exclusivamente vía HTTPS.

 

El usuario debería elegir si quiere utilizar o no HTTPS.

Volvemos a lo de siempre: Seguridad Por Defecto (SbD). Me gustaría no tener que explicarle a nadie porque debe usar HTTPS y no HTTP. La seguridad ha de ser impuesta, evitará problemas.
Si a un usuario únicamente le dejas acceder al servicio mediante el protocolo seguro, con certeza jamás hará una transacción por otra vía. No debe ser una opción y mucho menos una opción deshabilitada por defecto.

haz clic en la imagen para verla en mayor tamaño

 

Me puedo fiar de la web si hay un candado en mi navegador.

El candado que se muestra en el navegador solo indica que el certificado SSL es válido, no que la entidad que dice estar detrás es la auténtica. Generalmente informa que la los datos serán transmitidos de forma cifrada. Pero insisto nuevamente: no garantiza la autenticidad de la compañía en la que está alojado. Yo puedo crear un certificado SSL válido para "paipal.com" y hacerme pasar por Paypal, y el navegador mostraría el candado correctamente. Yago escribió sobre esto y lo demostró en un magnifico artículo: Fraude online con firma digital y SSL. Comprobar que la dirección y el dominio son correctos, es tarea que ha de hacer el usuario manualmente.

haz clic en la imagen para verla en mayor tamaño

 

Las páginas que tienen HTTPS no tienen problemas de seguridad.

Fuera de este mundo, para el usuario final y no experto posiblemente el mayor mito es que las páginas que se alojan en un servicio que contiene HTTPS ya son seguras en todos sus aspectos. Ignorando que la seguridad que proporciona HTTPS no afecta a la calidad del código de las páginas web, solo al canal por el que son transmitidas. Un banco, una red social, el correo electrónico o cualquier otro servicio web no está libre de fallos por el mero hecho de publicarse mediante el protocolo seguro de HTTP.

AVISO: todos los posts que provienen de webs de terceros han sido copy & paste tal cual aparecen (incluyendo los errores ortográficos y sintaxis). Los únicos casos en que se hace una excepción a lo antes mencionado es cuando se traduce para su publicación, en cuyo caso, toda falta de ortografía es asumida por este blogger. Lo único que podría modificarse es la ubicación y tamaño de la(s) imagen(es). En el caso de las infografías sólo se realizará una traducción al español. En la medida de lo posible se publicará el post original de la noticia. En último caso se llegará al último post que no haga referencia a su fuente y se asumirá como fuente (más no se asegura que lo sea). Si tienes información sobre la fuente te agradeceré mucho la compartas.

Si te gustó el presente post, te pido consideres LEER ESTE AVISO y brindarme tu apoyo. Si tienes alguna duda sobre el tipo de ayuda que solicito, puedes publicar un comentario o mandarme un mensaje, que yo me pondré en contacto contigo lo más pronto posible. Muchas gracias por leer mi blog y por tomarte el tiempo de leer este aviso. Igualmente te invito a PARTICIPAR EN LA ENCUESTA que estoy realizando con la finalidad de poder brindarte una mejor información.

gossip_birds ¿Tienes Twitter?. Entonces
¡vamos a seguirnos mutuamente!

Etiquetas de Technorati :            
Etiquetas de Digg :            
Etiquetas de Del.Icio.Us :            
____________________________
Artículo Fuente : Mitos de HTTPS y la navegación segura
Autor / Publicado por : Alejandro Ramo
Artículo publicado el día martes, 19 abril 2011 a las 06:30
Web Site / Blog : Security by Default

COMENTARIO
¿sabían esto sobre https?Poco puedo agregar a este excelente artículo que encontré y que comparto con ustedes. Como algunas veces lo he mencionado “el mayor peligro está frente al teclado” haciendo referencia clara al usuario. Aunque esta máxima la uso más para los temas se infección de virus, troyanos y contra el pishing o hacking, es totalmente aplicable para este tema de las creencias de que porque aparece HTTPS en la dirección de un web o aparece el candado indicando una conexión segura, pues no siempre es así y esto ha quedado claramente demostrado, pues si vamos a depender exclusivamente de la seguridad de los programas, y dejamos que ellos hagan lo suyo sin meternos de por medio, estaremos cometiendo un gran error ya que parte de la solución es, precisamente, estar metidos en el asunto, pero no haciendo cambios experimentales o estableciendo configuraciones complejas y algo excéntricas, sino estando bien informados. Y esto implica leer, leer, leer y leer. Esa es la mejor solución que podemos dar para que la ecuación de seguridad usuario & software tenga el efecto deseado y esperado.

 

publicado por RMSD


*****

0 comentarios:

Haznos saber tu opinión

Todo comentario es bien recibido. Pero debes de tener en consideración los siguientes puntos:
1. No se permitirán insultos.
2. No se permitirá comentarios únicamente con publicidad. En todo caso te sugiero enviar un mensaje privado para ver el tema.
3. No se permitirá ningún tipo de ataque, agresión ni apologías de ningún tipo que inciten a la violencia o reacciones violentas. Se puede criticar y entablar debate sin necesidad de agredir a nadie.
4. No se permitirá ningún tipo de discriminación, segregación ni racismo.

Todos los comentarios serán sujetos a moderación, así que por favor les pido un poco de paciencia. Muchas gracias por comentar en este blog.



Coméntalo en Facebook

data:newerPageTitle data:olderPageTitle data:homeMsg

Publicados en esta categoría...

Suscribete a De Copy and Paste