Gracias al trabajo de txuspe, el login ya va por HTTPS, lo que añade un poco más de seguridad a la hora de enviar tu contraseña de usuario de BA al servidor, sobre todo si estás en una red wifi abierta.
- 💬 Foros
- Comunidad
Bugs/Devel
Login por HTTPS
BocaDePez
⋮
Pero si te capturan la sesión estás vendido igual (hay extensiones para firefox que capturan sesiones de facebook y demás). Todo el tráfico "debería" ser https, claro que esto sería inviable con tantos visitantes. Una opción (que imagino también es demasiado costosa de implementar en sitios como este) es que el envío de un nuevo comentario/editar uno pida una clave (y sea por https) y que editar cualquier dato personal: email, etc requiera contraseña anterior y sea por https.
Por supuesto teclear la clave cada vez que se escribe/edita un comentario es incómodo. Posible solución: no mantener sesiones abiertas todo el rato (incomodo) o poner esa posibilidad si estás en un ordenador público o usando wifi y tener un buen control de sesiones además de comprobar el useragent, IP y SO dentro de la misma sesión y otras pijadas similares.
Al final suele ser mejor asumir que lo que habéis puesto es un poco más seguro y que para sitios normales que no sean un banco no existirá la seguridad al 100%, de hecho, esta seguridad ni en los bancos.
Pero felicidades por implementar esto.
✖
Sí, al hilo de esto es interesante la publicación de Barrapunto ayer: (link roto)
En cualquier caso, en BA no necesitamos tanta seguridad de momento. Implementaremos sobre HTTPS el registro, actualización de datos e inicio de sesión, principalmente para proteger la contraseña del usuario; ya sabes que mucha gente usa la misma para todo. Como te digo, el resto de datos no vamos a protegerlos por ahora.
Muchas gracias por comentarlo de todas formas. :)
BocaDePez
⋮
Tienen la posibilidad de migrar hacia Cherokee y verificar el rendimiento por HTTPS constante,
aqui hay un manual: :)