BandaAncha.eu

Información independiente
sobre fibra, móvil y ADSL

  • 📰 Artículos

Extensión de Firefox protege contraseñas web forzando a usar HTTPS

Luis

EFF Tool ha elaborado una nueva extensión para Firefox que fuerza al navegador a emplear el protocolo HTTPS para conectar a un buen número de webs conocidas, protegiendo al usuario de ataques que se pueden producir al capturar la cookie a través de una red inalámbrica abierta.

HTTPS es un método para asegurar las conexiones web, cifrando tanto las peticiones como las respuestas del servidor a la hora de navegar. Con ello, nos salvamos de que nuestra conversación sea interceptada por terceros y, por tanto, que capturen nuestros datos de usuario o los contenidos a los que accedemos.

Sin embargo, pese a que algunos sitios web sí que operan de forma segura a la hora de identificarse, sólo emplean estos protocolos en el primer contacto, dejando el resto de la conversación sin cifrar y, por tanto, vulnerable. Esto es mucho más habitual que lo que solemos pensar, ya que por ejemplo Facebook emplea este método.

La extensión llamada HTTPS Everywhere tiene precisamente como fin forzar que siempre se emplee este protocolo seguro para interactuar por las webs con las que es compatible. Algunas de estos sitios son redes sociales como Facebook o Twitter, y en otros casos hablamos de servicios como Hotmail, Dropbox, Evernote o incluso Paypal.

https_everywhere.png

Conseguir contraseñas de terceros en una red Wi-Fi abierta es juego de niños

¿Por qué es esto especialmente interesante? Si usas una red Wi-Fi pública, tus datos pueden estar en peligro.

Otra extensión para Firefox, llamada Firesheep, fue desarrollada expresamente para hacer patente el problema, ya que se aprovecha del mismo agujero que HTTPS Everywhere tapona.

Como ya hemos dicho, una vez se autentica de forma segura el usuario en la web consiguiendo una cookie para la sesión, lo normal es que en las posteriores peticiones no se cifre la comunicación. Esto, en términos de seguridad en una red Wi-Fi abierta, tal y como dicen en el blog de desarrollo de Firesheep, es como gritar a plena voz nuestros datos de usuario.

Con este pequeño software ejecutándose en el navegador, que funciona a modo de sniffer, tan sólo se tiene que abrir la red (dejarla desprotegida), que algún incauto se conecte a ella y, en el momento que entre a alguna web afectada, tendremos sus datos.

firesheep-1.png

La única solución a este problema en este tipo de redes es utilizar cifrado extremo a extremo en toda comunicación, pero si no tenemos algo así a mano, con HTTPS Everywhere estaríamos a salvo de miradas indiscretas en unas cuantas webs (aunque se dan los métodos para que entre todos amplíe su funcionalidad).

Por tanto, si utilizáis de forma más o menos común redes públicas Wi-Fi, no está de más tener este pequeño plus de seguridad.

vukits

A la saca :P

BocaDePez
BocaDePez
-1

interesante, por una vez no incentivan al LADO oscuro...

venga. UNA MAS, esta costando la ostia, pero 3 editores son multitud, una Noticia más y enterramos esa del banner rojo con los 400 y pico comentarios...

BocaDePez
BocaDePez

Muy Interesante. Gracias.

BocaDePez
BocaDePez

"Facebook. Velamos por la seguridad de tu intimidad"

🗨️ 1
inar

Traducción: "Ante un problema de seguridad, corremos un tupido velo"

pakoman

No soy informático pero lo que me sorprende es que capturan datos sin poner la tarjeta en modo monitor.

¿Se podrían capturar datos para extraer claves wep con un simple plugin de firefox?

🗨️ 1
Takuru

Por lo mismo, eres newbie. Para usarlo hay que instalar WinCap que pone en modo promiscuo a la tarjeta, es decir receptiva a recibir todos los datos sin ignorar ninguno, aunque esos datos no sean directos hacia la tarjeta. Es como lo mismo, Firefox es para tener el programa en el navegador, perfectamente puede ser una aplicacion cualquiera.

BocaDePez
BocaDePez

Mientras que la mayoría de servicios publicitarios no sirvan sus banners através de https, la mayoría de los sitios no van a activar un protocolo que no les reporta nada y le añade mas carga a sus servidores. Que conste que como usuario uso https todo lo que puedo y mis webs&blogs si tienen https activado, pero yo no tengo nada de publicidad. -- un debianero

negora

A mí me parece gravísimo que PayPal haga comunicaciones sin HTTPS. Me sorprende mucho, porque hasta ahora el navegador jamás me ha avisado de lo contrario.

🗨️ 5
BocaDePez
BocaDePez

¿como dice?

🗨️ 4
negora

Me refiero a que uso PayPal y el navegador jamás me ha informado de que la conexión no fuera segura (cuando se pasa de usar HTTPS a HTTP éste lo adverte). En el artículo se dice que la conexión segura se emplea basicamente "en el primer contacto", pero yo cuando me identifico y hago modificaciones en PayPal veo que todo sigue siendo enviado y recibido bajo HTTPS.

🗨️ 3
BocaDePez
BocaDePez

pero yo cuando me identifico y hago modificaciones en PayPal veo que todo sigue siendo enviado y recibido bajo HTTPS.

a bueno, trabajar bajo HTTPS es bastante constoso computacionalmente, para los servers, todo el trafico no se puede gestionar asi, por ahora,

pero paypal trabaja con HTTPS cuando mueve datos "personales"...

En el articulo dicen que las webs normales, incluida esta, BA, trabajan con Https solo al principio.

pero si tienen recursos y medios, pueden o podrian trabajar con Https constantemente.

code: LOG

🗨️ 2
BocaDePez
BocaDePez

de todas formas hay que estar como una cabra, para mirar la banca online, comprar o vender, a traves de una red wifi sin protección...

o para poner la misma clave en varias webs y servicios distintos.

🗨️ 1
BocaDePez
BocaDePez
MrRata

Una duda si en una lan o wifi alguien le da por usar un sniffer,con este programita te ocultas del snifer o 100% seguro?

anthrax

Por lo visto de momento no es posible tener una extensión de este tipo para Chrome,

pero "parece" que los de google están interesados, así que igual en alguna futura versión de chrome es posible ...

:)

🗨️ 1
Graku

Al Chrome le falta todavía mucho por conseguir.

Graku

Interesante plug-in para Mozilla.

BocaDePez
BocaDePez

Yo soy de los que opinan que si te conectas desde un hotspot público lo mejor es sencillamente conectarte a través de un VPN (preferiblemente OpenVPN). He probado esta extensión y me sigue pareciendo ciertamente cutre, y ojo, que se que si usas un VPN la conexión no es 100% segura ya que queda un tramo de la conexión al descubierto, pero esta extensión funciona francamente mal.