in

HTTPS Everywhere: Navegación segura en 1.400 sitios

No les cuesta nada poner unos cientos de miles más al presupuesto y hacer que nuestra navegación sobre los sitios sea por HTTPS. Es decir, más segura y fiable. Pero si así lo hiciesen en general, hay vulnerabilidades técnicas que no podrían sortearse. A menos que tengas HTTPS Everywhere, una extensión para Firefox y Chrome que da solución a ambos problemas ofreciendo una navegación segura en 1.400 sitios al usar el cifrado HTTPS.

A pesar de las cientos de reglas que hay establecidas en los acuerdos de conectividad y comercio electrónico, la protección que nos brindan los sitios web no cumple con los requisitos que nos harían dormir tranquilos. Por ejemplo, hace poco menos de dos semanas, un equipo de matemáticos y criptógrafos publicó un documento en el que describían una debilidad en el cifrado utilizado por los routers, firewalls, servicios web y redes privadas virtuales de todo el mundo. La falla se debía la generación aleatoria de números primos, que no funciona correctamente. ¿Qué es lo que genera esto? Que la encriptación de los datos de nuestra navegación sea menos fiable, dejando un hueco considerable por donde se puede infiltrar alguien. Si a esto le sumamos la carencia general de navegación HTTPS que existe entre los sitios más visitados, el panorama se opaca un poco. HTTPS Everywhere viene a echar luz sobre el asunto con una actualización, dándote una navegación HTTPS en más de 1.400 sitios.

HTTPS Everywhere es una extensión para Firefox y Chrome que hace lo que deberían hacer los sitios formales, brindarte un entorno seguro de navegación cifrando todo a través de HTTPS. La extensión instalada supone que cuando ingreses a un sitio que tiene dos versiones, una cifrada y otra sin cifrar, el navegador escoja automáticamente la que está cifrada con HTTPS. Google, Twitter, WordPress y los sitios de compra-venta de artículos son ideales para probarla. Su presencia en el navegador es casi nula, ya que funciona a través de un botón con el que accedes a sus opciones y hasta puedes administrar la lista de los sitios seguros. Es decir que con un solo clic, puedes sentirte más seguro en más de 1.400 sitios que están en la lista de compatibilidad de HTTPS Everywhere y que se expandirán luego de cada actualización.

Hasta ahí podríamos haber reseñado la primera versión de HTTPS Everywhere 2.0, sin embargo esta actualización viene con una función adicional que está basada en el problema que introducimos en el primer párrafo. Se trata del SSL Observatory (por ahora para Firefox). Esto trabaja de dos formas: La primera es enviando copias de los certificados HTTPS con los que nos topamos al EFF Observatory a través de Tor para lograr anonimato (se necesita la extensión TorButton) o sin cuidar la privacidad. Una vez les llega el dato, se chequea que no haya algún hacking en acción con un tercero. Lo segundo es que nos ayuda a proteger nuestro sistema indicándonos si estás visitando un sitio con credenciales corruptas o en peligro dado el descubrimiento sobre la vulnerabilidad de los HTTPS de la que hablábamos al principio. Disponible para Firefox y Chrome, HTTPS Everywhere tiene que estar instalada en tu ordenador.

Reportar

¿Qué te pareció?

Escrito por Nico Varonas

3 Comments

Leave a Reply
  1. ¿Es realmente seguro el HTTPS?
    Publicado por Oscar Eduardo Reyes T. en jun 16, 2011 en Alertas de Fraude, Con Seguridad, Destacados, Investigaciones

    Hace no muchos días hemos asistido a una nueva demostración de la fragilidad de los mecanismos de seguridad en los que a veces confiamos ciegamente. En este caso le ha tocado el turno a la versión segura del protocolo HTTP, es decir al protocolo HTTPS.

    HTTPS cifra la información que transmitimos a un servidor desde un cliente, mediante protocolo SSL o TLS de forma que la información sensible que pudiera ser interceptada no sería en principio interpretable por el atacante.

    Pues bien, como decíamos, hace menos de un mes, la seguridad de los certificados utilizados por el protocolo HTTPS ha sido puesta en entredicho por un hacker iraní que consiguió que la Autoridad de Certificación (CA) Comodo “emitiera” certificados falsos para dominios de la talla de mail.google.com, login.live.com, http://www.google.com, login.yahoo.com, login.skype.com y addons.mozilla.org. El resultado de esta acción es que a través del falso certificado se redirige el tráfico a otro servidor en el que se recogen los datos de autenticación de los usuarios.

    Así que ha caído un mito: el de que navegar bajo el protocolo HTTPS nos garantiza la seguridad de la transmisión de datos con el servidor. Y teniendo en cuenta que ese servidor puede ser incluso el de nuestro banco (si el certificado llegara a ser comprometido), la situación es poco tranquilizadora.

    Hay que decir no obstante que desde Comodo fueron muy rápidos en comunicar la situación a las empresas afectadas, y que algunas de ellas, como Google, ya se han unido a un grupo de trabajo con la finalidad de desarrollar un sistema que permita validar la firma de los certificados digitales. Esperemos que este trabajo dé sus frutos lo antes posible.

    Fuente: Web Security

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

MechWarrior Online! sale este año y es gratis (trailer)

Anuncian gigantesca tormenta solar para 2020