Web Analytics
Conecta con nosotros

Noticias

Firefox bloqueará descargas inseguras en páginas web HTTPS

Publicado el
HTTPS

De manera lenta, pero continua, HTTPS se ha ido imponiendo en los últimos años a la hora de navegar por la Web mundial. Este Protocolo seguro de transferencia de hipertexto (la versión segura del original HTTP) utiliza cifrado SSL/TLS y mejora enormemente la seguridad y también la privacidad, evitando el espionaje mientras los datos están en tránsito entre clientes y servidores.

Todos los navegadores soportan HTTPS y fomentan su uso. La decisión de Google de marcar las páginas anteriores HTTP como «no seguras» fue un punto y aparte en su grado de adopción. Teniendo en cuenta el dominio de Chrome en la navegación mundial, y en general, la posición de Google en Internet, el paso de cualquier web a HTTPS fue obligado tanto por motivos de seguridad como de posicionamiento en buscadores. Hoy su extensión es masiva.

Sin embargo, no todo el contenido de las páginas HTTPS es seguro. Técnicamente hablando, HTTPS solo garantiza que la conexión a la página está asegurada mediante cifrado, pero no sus recursos, el contenido incluido en la página o los enlaces accesibles desde la misma.

El peligro es aún mayor cuando se trata de contenido descargado que no proviene de la misma página HTTPS. Denominado como «descargas de contenido mixto», conlleva el riesgo de que las páginas web HTTPS creen una conexión no segura a un recurso HTTP anulando los beneficios de esa página web segura. Los navegadores web actuales normalmente advierten a los usuarios sobre la visita a páginas web que no son HTTPS, pero no sobre la descarga desde conexiones no seguras.

Por ello, a partir del próximo mes, Mozilla seguirá los pasos de Google y hará que Firefox bloquee las descargas en páginas HTTPS que provengan de contenido HTTP no seguro. Google comenzó a realizar cambios en Chrome el pasado año y Mozilla seguirá su ejemplo. 

HTTPS

La función ya está disponible en las versiones de desarrollo de Firefox y se puede habilitar también en versiones estables activando la función experimental dom.block_download_insecure en about:config. 

Será en Firefox 92, con liberación prevista el 7 de septiembre, cuando la característica se implementará de manera general para todos los usuarios, donde el navegador bloqueará y advertirá a los usuarios cuando intenten descargar contenido desde una página HTTP cuando estén en una página HTTPS. El bloqueo no será total y los usuarios aún podrán optar por realizar la descarga bajo su propio riesgo.

1 comentario
  • Benito Camelas

    Desde luego en estos tiempos que con let’s encrypt puedes tener una web con https gratis, tiene tela que todavía haya webs sin cifrar, o peor aún que estén cifradas parcialmente, como si les costara mucho en rendimiento el ofrecer toda la web por https, para mí un sitio web que solo cifra parte de su contenido me parece una chapuzada y me hace desconfiar mucho del sitio, así como preguntarme si realmente han pagado a quién implementó la web, no diré dominios… pero me lo tengo encontrado en varias tiendas online que a priori son grandes y «serias».

    Si vas a ahorrar en cifrado https, ya puestos ahorra en contraseñas o ni te molestes en guardarlas haseadas, puestos a hacer las cosas mal hazlas mal a lo grande…

Lo más leído