Tag Archive for HTTPS

Matias Katz | 13:09 hrs.
No comments

Navegación Segura

Este artículo va dirigido al público en general y la idea principal es concientizar sobre el uso de protocolos encriptados para la transferencia de datos.
En ésta oportunidad vamos a denotar las diferencias entre los protocolos HTTP (Hyper Text Transfer Protocol o “Protocolo de transferencia de hipertexto” en castellano), y HTTPS (Hyper Text Transfer Protocol SECURE).

HTTPS a diferencia de HTTP, trabaja sobre una sub-capa mas baja en el Modelo OSI y utiliza, generalmente, el puerto 443. No es un protocolo estrictamente hablando, sino que refiere el uso del HTTP sobre una capa de conexión Segura y cifrada (SSL).
Generalmente podemos ver un icono con la imagen de un “Candado” en la barra de nuestro navegador cuando utilizamos una conexión “Segura“. Pero qué significa en términos normales, “Conexión Segura” ?

Básicamente, significa que generamos una sesión con un servidor en la cual la información viaja a través de la red, encriptada. Lo cual implica al mismo tiempo que, solo nosotros (cliente), y el servidor, vamos a ser capaces de leer o interpretar la información transmitida.


La pregunta que muchos se harán en este punto es “Para y por qué? ” .

Situación Hipotética:

Imaginemos que estamos en un shopping (lugar público) que posee un hotspot para que nosotros podamos ir a tomar un café mientras revisamos nuestro correo electrónico y navegamos por las redes sociales.

A) La red no tiene contraseña, ergo, quien quisiera podría conectarse fácilmente.
B) La conexión se realiza por “Aire” o Wireless, ergo, cualquiera con una PC/Celular/Tablet podría capturar las señales transmitidas sin ningún esfuerzo.

Para un atacante con muy poca experiencia solo le bastaría con usar un “Sniffer” para poder hacer una captura de los datos que viajan a través de la red pública. Si usaramos simplemente el protocolo HTTP, nuestros datos viajarían en TEXTO PLANO, lo cual implica una lectura en línea de nuestra información mas privada, desde números de tarjetas de crédito, passwords, mails, hasta conversaciones de MSN.

En cambio, si usaramos una conexión “Segura“, cada vez que el cliente/servidor intercambien datos, la información es previamente procesada mediante métodos matemáticos de encriptacion para ofuscar la lectura de la transmisión, transformando de esta forma nuestra información en un pedazo de código ilegible para cualquiera que esté “Sniffeando” la red.

Captura de credenciales de FB enviadas a través de protocolo HTTP

Información En Texto Plano

Captura de credenciales de FB enviadas a través de protocolo HTTPS

Información Encriptada – No Legible

La mayoria de los sitios tienen implementada la conexión Segura por defecto para evitar este tipo de ataques. Sin embargo, como veremos en los siguientes articulos, existen otros que solamente proveen por defecto el INICIO DE SESION con conexión segura y deja el resto de la sesión al descubierto para que el usuario decida por iniciativa propia, encriptar o no, su información.

Por mas seguridad que pueda proveernos la tecnologia, es indispensable evitar lo innecesario para reducir las chances de ser víctimas de ataques informáticos.

Fuente: Gustavo Nicolas Ogawa, de la redacción del Blog de Mkit Argentina

Category: Seguridad | Tags: , , , , , , , , , ,
Matias Katz | 14:16 hrs.
2 comments

Y? Donde esta mi seguridad en Facebook?

Como todos ya sabemos, Facebook se ha comprometido a aumentar el nivel de seguridad de su portal y lo ha conseguido, por lo menos parcialmente.

Hace mucho ya que permite hacer un tracking de los lugares y momentos en donde nuestra cuenta ha iniciado sesión, permitiéndonos saber si alguien mas está ingresando con nuestra cuenta.

Recientemente se ha incorporado un método nuevo para validar la identidad de un usuario al perder su contraseña, mediante la identificación de sus amigos en fotos aleatorias que se presentan en pantalla.

Pero la mayor novedad fue la publicada en el blog oficial de Facebook el 26 de Enero de 2011: Conexiones HTTPS persistentes durante la navegación dentro del portal web.

Al igual que ya Gmail lo había habilitado, desde hace ya mucho tiempo, uno podrá navegar por Facebook de manera segura, a través de canales HTTPS, lo cual fue algo muy pedido por muchos, durante un largo tiempo.

Ahora bien, luego de hacer la introducción del tema, quiero hacer unas aclaraciones:

  1. Para todos los que me enviaron mails preguntándome porque no les aparecía la opción en sus perfiles, sepan que el rollout de esta nueva implementación sera paulatino, por lo que deben tener paciencia.
  2. Las cookies de sesión siguen enviándose en texto plano, por lo que un ataque sobre las mismas seguirá teniendo efecto.

  3. Un ataque con la herramienta SSLSTRIP seguirá teniendo efecto, ya que esta herramienta elimina la capa de protección de SSL, dejando al sitio en texto plano.

Mas allá de los puntos negativos que acabo de aclarar, esta es una muy buena noticia para el mundo cibernético, ya que cumple (tarde pero seguro) con una demanda muy importante por parte de los usuarios del portal, a nivel global.

Category: Seguridad | Tags: , , , , ,
Matias Katz | 19:10 hrs.
One comment

Finalmente, Google habilitó HTTPS por defecto para acceder a Gmail

Gmail ha estado disponible a través de HTTPS desde mediados de 2008, pero dicha medida de seguridad se remontaba únicamente al log in. No sólo eso, sino que su configuración por defecto era la de no usar HTTPS.

Finalmente, la gente de Google se dió cuenta de lo ridícula que era esa configuración (no fué mérito de ellos, realmente. Recibieron una carta de queja firmada por varias personalidades importantes) y decidieron habilitar HTTPS por defecto a lo largo de toda la sesión, no solo al log in.

Una implementación que debería haberse hecho hace tiempo, lo cual sorprende de Google. Pero bueno, por lo menos ya se hizo.

Link (Inglés): http://gmailblog.blogspot.com/2010/01/default-https-access-for-gmail.html

Category: Seguridad, Servicios | Tags: , , , , , ,