Banda Ancha EU

Información independiente
sobre fibra, móvil y ADSL

hosting en interdominios

354

Extensión de Firefox protege contraseñas web forzando a usar HTTPS

EFF Tool ha elaborado una nueva extensión para Firefox que fuerza al navegador a emplear el protocolo HTTPS para conectar a un buen número de webs conocidas, protegiendo al usuario de ataques que se pueden producir al capturar la cookie a través de una red inalámbrica abierta.

HTTPS es un método para asegurar las conexiones web, cifrando tanto las peticiones como las respuestas del servidor a la hora de navegar. Con ello, nos salvamos de que nuestra conversación sea interceptada por terceros y, por tanto, que capturen nuestros datos de usuario o los contenidos a los que accedemos.

Sin embargo, pese a que algunos sitios web sí que operan de forma segura a la hora de identificarse, sólo emplean estos protocolos en el primer contacto, dejando el resto de la conversación sin cifrar y, por tanto, vulnerable. Esto es mucho más habitual que lo que solemos pensar, ya que por ejemplo Facebook emplea este método.

La extensión llamada HTTPS Everywhere tiene precisamente como fin forzar que siempre se emplee este protocolo seguro para interactuar por las webs con las que es compatible. Algunas de estos sitios son redes sociales como Facebook o Twitter, y en otros casos hablamos de servicios como Hotmail, Dropbox, Evernote o incluso Paypal.

https_everywhere.png

Conseguir contraseñas de terceros en una red Wi-Fi abierta es juego de niños

¿Por qué es esto especialmente interesante? Si usas una red Wi-Fi pública, tus datos pueden estar en peligro.

Otra extensión para Firefox, llamada Firesheep, fue desarrollada expresamente para hacer patente el problema, ya que se aprovecha del mismo agujero que HTTPS Everywhere tapona.

Como ya hemos dicho, una vez se autentica de forma segura el usuario en la web consiguiendo una cookie para la sesión, lo normal es que en las posteriores peticiones no se cifre la comunicación. Esto, en términos de seguridad en una red Wi-Fi abierta, tal y como dicen en el blog de desarrollo de Firesheep, es como gritar a plena voz nuestros datos de usuario.

Con este pequeño software ejecutándose en el navegador, que funciona a modo de sniffer, tan sólo se tiene que abrir la red (dejarla desprotegida), que algún incauto se conecte a ella y, en el momento que entre a alguna web afectada, tendremos sus datos.

firesheep-1.png

La única solución a este problema en este tipo de redes es utilizar cifrado extremo a extremo en toda comunicación, pero si no tenemos algo así a mano, con HTTPS Everywhere estaríamos a salvo de miradas indiscretas en unas cuantas webs (aunque se dan los métodos para que entre todos amplíe su funcionalidad).

Por tanto, si utilizáis de forma más o menos común redes públicas Wi-Fi, no está de más tener este pequeño plus de seguridad.

Los comentarios más recientes se muestran primero. Haz click sobre un comentario para desplegar/plegar.
  • BocaDePez BocaDePez
    6

    Yo soy de los que opinan que si te conectas desde un hotspot…

    Yo soy de los que opinan que si te conectas desde un hotspot público lo mejor es sencillamente conectarte a través de un VPN (preferiblemente OpenVPN). He probado esta extensión y me sigue pareciendo ciertamente cutre, y ojo, que se que si usas un VPN la conexión no es 100% segura ya que queda un tramo de la conexión al descubierto, pero esta extensión funciona francamente mal.

      • Me refiero a que uso PayPal y el navegador jamás me ha…

        Me refiero a que uso PayPal y el navegador jamás me ha informado de que la conexión no fuera segura (cuando se pasa de usar HTTPS a HTTP éste lo adverte). En el artículo se dice que la conexión segura se emplea basicamente "en el primer contacto", pero yo cuando me identifico y hago modificaciones en PayPal veo que todo sigue siendo enviado y recibido bajo HTTPS.

        • BocaDePez BocaDePez
          6
          pero yo cuando me identifico y hago modificaciones en PayPal…

          pero yo cuando me identifico y hago modificaciones en PayPal veo que todo sigue siendo enviado y recibido bajo HTTPS.

          a bueno, trabajar bajo HTTPS es bastante constoso computacionalmente, para los servers, todo el trafico no se puede gestionar asi, por ahora,

          pero paypal trabaja con HTTPS cuando mueve datos "personales"...

          En el articulo dicen que las webs normales, incluida esta, BA, trabajan con Https solo al principio.

          pero si tienen recursos y medios, pueden o podrian trabajar con Https constantemente.

          code: LOG

          • BocaDePez BocaDePez
            6
            de todas formas hay que estar como una cabra, para mirar la…

            de todas formas hay que estar como una cabra, para mirar la banca online, comprar o vender, a traves de una red wifi sin protección...

            o para poner la misma clave en varias webs y servicios distintos.

            • BocaDePez BocaDePez
              6
              O incluso hacerlo con dispositivos móviles (telefonos…

              O incluso hacerlo con dispositivos móviles (telefonos móviles...) donde no hay ni un puñetero cortafuegos o antivirus.

  • Una duda si en una lan o wifi alguien le da por usar un…

    Una duda si en una lan o wifi alguien le da por usar un sniffer,con este programita te ocultas del snifer o 100% seguro?

    • Por lo mismo, eres newbie. Para usarlo hay que instalar…

      Por lo mismo, eres newbie. Para usarlo hay que instalar WinCap que pone en modo promiscuo a la tarjeta, es decir receptiva a recibir todos los datos sin ignorar ninguno, aunque esos datos no sean directos hacia la tarjeta. Es como lo mismo, Firefox es para tener el programa en el navegador, perfectamente puede ser una aplicacion cualquiera.

  • BocaDePez BocaDePez
    6

    Banners

    Mientras que la mayoría de servicios publicitarios no sirvan sus banners através de https, la mayoría de los sitios no van a activar un protocolo que no les reporta nada y le añade mas carga a sus servidores. Que conste que como usuario uso https todo lo que puedo y mis webs&blogs si tienen https activado, pero yo no tengo nada de publicidad. -- un debianero

  • BocaDePez BocaDePez
    0

    interesante, por una vez no incentivan al LADO oscuro...…

    interesante, por una vez no incentivan al LADO oscuro...

    venga. UNA MAS, esta costando la ostia, pero 3 editores son multitud, una Noticia más y enterramos esa del banner rojo con los 400 y pico comentarios...

1