Historias
Slashboxes
Comentarios
 

Guía para implantar correctamente http seguro en tu sitio web

editada por Candyman el Miércoles, 17 Noviembre de 2010, 07:55h   Printer-friendly   Email story
desde el dept. ante-todo
Tras la alarma suscitada por de Firesheep está claro que los sitios web deberían implementar https (http seguro) con cifrado SSL en todas partes. Yo estoy dándole vueltas cómo lo hago compatible con todas las demás cosas que tengo que hacer sin tirar abajo el servidor web, que va muy justito. Para todos los webmasters que, estén en mi situación la EFF ha publicado una guía sobre cómo implantar https correctamente, incluyendo el consejo de usar Strict Transport Security y las lecciones aprendidas por la implantación de "https everywhere" en Gmail. De nuevo via Hacker News, donde la discusión es, una vez más, tan ilustrativa como el artículo original, si no más.

Historias relacionadas

[+] ciberderechos: Firesheep captura las sesiones de navegación de los sitios más visitados 32 comentarios
Los estándares de cifrado SSL y https son lo bastante seguros para ser imposibles de romper en la práctica. Sin embargo, esto no es cierto si no se usan bien, y si no se usan, pues no hace falta ni romperlos. La costumbre de los desarrolladores web --sí, también de barrapunto- de usar https sólo para los logins y mandar el resto del tráfico sin cifrar, incluídas las cookies de sesión, hace que sea fácil capturar estas credenciales y hacerse pasar por otro usuario. Para demostrar esta vulnerabilidad común, Eric Butler, un asistente a la conferencia de seguridad Toorcon, ha programado una extensión de Firefox llamada Firesheep que automatiza todo este proceso. Uno se pone con su navegador conectado a una red inalámbrica, y cuando ve el icono de un usuario de Facebook, Twitter o cualquiera otra de las aplicaciones reconocidas por la extensión, no tiene más que pulsar sobre su icono para hacerse pasar por él. Su justificación para publicar el código de Firesheep es: «Los sitios web tienen la responsabilidad de proteger a la gente que depende de sus servicios. Llevan demasiado tiempo ignorando esta responsabilidad, y es hora de que todos exijamos una web más segura. Espero que Firesheep ayude a los usuarios a ganar.» Va a ser cuestión de ir metiendo https en todo lo que hagamos, al menos para los usuarios registrados. Via Hacker News.
Mostrar opciones Umbral:
Y recuerda: Los comentarios que siguen pertenecen a las personas que los han enviado. No somos responsables de los mismos.
  • Otro sacacuartos

    (Puntos:1, Interesante)
    por pobrecito hablador el Miércoles, 17 Noviembre de 2010, 11:00h (#1251430)
    Eso es lo que es "Strict Transport Security": otro sacacuartos de Network Solutions.

    STS hace dos cosas:
    1) Forzar que el acceso a un sitio se haga mediante HTTPS en lugar de HTTP. O sea, lo que cualquiera puede hacer gratis y sin concurso del navegador con una simple redirección como las que permite hacer gratis Apache desde hace mil años.
    2) Prohibir el acceso salvo que se pueda "garantizar" la conexión. O sea, lo mismo que el punto 1 peeeero (y aquí viene el sacacuartos) tal como dice la Wikipedia, "If the security of the connection cannot be ensured (e.g. the server's TLS certificate is self-signed), show an error message and do not allow the user to access the site despite the error."
    Es decir que, en la generalidad de los casos, hay que "pasar por caja" y comprarle a Verisign/Network Solutions o parientes suyos un certificado de una "autoridad reconocida".

    En resumen: STS no hace nada nuevo pero refuerza el sentimiento de que hay que pagarle pasta a Network Solution para tener un sitio "verdaderamente seguro".
    [ Responder ]
  • Re:¿Y los virtual hosts?

    (Puntos:3, Interesante)
    por Almorca (13171) <AlmorcaNO@SPAMgmail.com> el Miércoles, 17 Noviembre de 2010, 08:46h (#1251397)
    ( http://www.almorca.es/ | Última bitácora: Martes, 28 Octubre de 2008, 22:35h )
    IPv6 y una IP por web o buscas un tutorial que te diga como usar una misma IP con varios virtualhost [miguelangelnieto.net].
    --

    We don't need no education - Pink Floyd

  • 3 respuestas por debajo de tu umbral de lectura actual.