16 de Enero, 2011

Usa HTTPS

HTTPS Everywhere

HTTPS es la versión segura del protocolo HTTP, gracias a añadir cifrado y autenticación mediante SSL, que se implemtenta entre la capa de transporte (TCP en este caso) y la capa de aplicación (HTTP).

Básicamente HTTPS nos permite por una parte verificar que el servidor web al que accedemos es el que dice ser, y por otra que la comunicación entre nuestro navegador y el servidor es privada gracias a utilizar un canal cifrado.

Seguramente lo hemos utilizado muchas veces para transmitir información sensible sobre Internet, como al autenticarnos en un servicio o al utilizar una pasarela de pago en la que propocionamos los datos de nuestra tarjeta de crédito.

Pero su uso no tiene porqué parar ahí, hay muchos servicios que se pueden utilizar completamente bajo HTTPS, algo a tener en cuenta con los cambios que ha experimentado los tipos de uso de Internet en los últimos tiempos.

Hemos pasado de utilizar una conexión punto a punto con nuestro provedor, utilizando cable en una máquina fija en nuestro escritorio en casa, a conectarnos de otras formas:

  • Con movilidad: con nuestro portátil en cualquier parte y sin cables.
  • En redes públicas: sin cifrado, por ejemplo en una cafetería.
  • En redes compartidas: tenemos cifrado, pero compartimos el medio con otros usuarios que no conocemos y en los que no tenemos porqué confiar.

En la gran mayoría de los casos, las operaciones más sensibles están cubiertas por el proveedor del servicio (pero no en todos los casos, por ejemplo: Tumblr nos permite hacer login sin SSL), pero el resto de nuestra navegación quedará desprotegida.

Eso puede implicar que terceros obtengan información que podemos pensar que es irrelevante, pero que puede ser importante, como contraseñas gestionadas de forma insegura (¿usamos la misma contraseña de Tumblr en otra parte?) o datos de nuestra navegación.

Una solución podría ser que los navegadores no asumieran HTTP sino HTTPS por defecto, pero eso sería un error, ya que los proveedores ofrecen el modo seguro como una excepción, y es bastante probable que acabáramos teniendo problemas de navegación.

Otra solución de compromiso sería usar HTTPS en todos aquellos servicios que lo soporten, aunque implique ser disciplinados, buscar información sobre cada servicio y hacer pruebas :(.

En esta segunda estrategia contamos con una extensión para Firefox de la mano de la Electronic Frontier Foundation que nos puede facilitar las cosas: HTTPS Everywhere.

Se trata de una extensión bastante sencilla que nos dirigirá de forma transparente a la versión HTTPS de un buen número de servicios (aunque no demasiados, lamentablemente), empleando una serie de reglas que permiten corregir esos casos en los que la navegación segura no es 100% funcional en un sitio web, y sin que nuestra seguridad se vea afectada.

Trabajaremos normalmente, pero cuando intentemos visitar un enlace en la Wikipedia (por ejemplo, es uno de los sitios soportados), nuestro navegador nos redirigirá a la versión segura de forma automática.

Hablar en el 2011 de privacidad parece algo pasado de moda, cuando cualquiera da sus datos personales alegremente a la empresa de turno con la excusa de las redes sociales, pero eso no quiere decir que hayan intenciones obligatoriamente malvadas (discutible :P). De lo que si podemos estar seguros es de que si alguien está capturando tráfico en la red inalámbrica de una cafetería, no será para nada positivo ;).

Anotación por Juan J. Martínez, clasificada en: internet, security.

Los comentarios están cerrados: los comentarios se cierran automáticamente una vez pasados 30 días. Si quieres comentar algo acerca de la anotación, puedes hacerlo por e-mail.

Algunas anotaciones relacionadas: