HTTPS » MuyComputer
[ HTTPS ]
Google contra HTTP: Chrome 56 comenzará a marcar sitios como inseguros

Google contra HTTP: Chrome 56 comenzará a marcar sitios como inseguros

Chrome 56 comenzará a marcar sitios web HTTP como inseguros cuando sea publicado en enero de 2017. El objetivo es avanzar hacia una red más segura donde todas las páginas implementen el protocolo HTTPS, la versión segura de HTTP que utiliza cifrado basado en SSL/TLS para garantizarEstaba anunciado desde hace un par de años pero ayer Google puso fecha al comienzo de un plan que terminará etiquetando todos los sitios web HTTP como inseguros.Actualmente, el navegador de Google marca las conexiones HTTP con un indicador neutro. Esto no refleja la verdadera falta de seguridad para las conexiones HTTP porque cuando se carga una página web a través de HTTP, otra persona en la red puede ver o modificar el sitio antes de que llegue al usuario.Una parte sustancial del tráfico de Internet ha hecho la transición a HTTPS y su uso está aumentando constantemente. Más de la mitad de las páginas abiertas con el Chrome de escritorio cargan a través de HTTPS. Además, desde que Google publicó el último informe de HTTPS en febrero, 12 portales del top-100 mundial de tráfico han cambiado de forma predeterminada de HTTP a HTTPS.Google explica que las advertencias actuales sobre la potencial inseguridad de HTTP no son percibidas por el usuario y de ahí un paso fundamental: su etiquetado directo como páginas inseguras. El gigante de Internet comenzará gradualmente pero bajo criterios cada vez más estrictos. Chrome 56 marcará como inseguras páginas HTTP que requieran contraseñas o información de tarjetas de crédito, dado su carácter especialmente sensible. Con el tiempo, todas las HTTP se etiquetarán como inseguras, cambiando el indicador de seguridad al triángulo rojo que utiliza Chrome para HTTPS rotos:Google asegura que "implementar HTTPS es más fácil y más barato que nunca y permite aprovechar el mejor rendimiento que ofrece la red y potentes nuevas características que son demasiado sensibles para HTTP".Google no es el único de los grandes de Internet contra HTTP. Mozilla ya envió un mensaje a la comunidad de desarrolladores web para que migrasen sus sitios web a HTTPS. La fundación pretende poner una fecha límite después de la cual las nuevas características solo estarán disponibles en sitios HTTPS.Vía | Blog de seguridad de Google
3 comentarios34 shares
09/09/2016Juan Ranchal
Reclaman la patente de HTTPS y empiezan las demandas

Reclaman la patente de HTTPS y empiezan las demandas

El mundo de las patentes nunca deja de sorprendernos, y menos desde el nacimiento de lo que se conoce como "trolls de patentes", que no son otra cosa que empresas o individuos oportunistas que buscan hacer caja demandando a otros por usar patentes que supuestamente les pertenecen.Eso precisamente es lo que ha ocurrido con el protocolo de comunicación segura HTTPS, ya que una empresa conocida como CryptoPeak Solutions, afincada en Texas, Estados Unidos, ha presentado sesenta y seis demandas en las que asegura que tiene la patente de dicho protocolo y que por tanto se han estado vulnerando sus derechos, ya que la misma habría sido utilizada a gran escala sin la licencia correspondiente.Entre las compañías que han sido demandadas se encuentran gigantes de la talla de Netflix, Yahoo, Pinterest, Sony, AT&T, Groupon, Etsy, Petco, Costco, Home Depot, Target, Expedia y Barnes & Noble, ¿pero tiene realmente una base sólida?Pues lo cierto es que sí, tiene base suficiente para llevarlos a juicio y hasta podría ganar, ya que la patente sobre la que se apoyan fue otorgada en 2001 y se refiere a un sistema de cifrado que genera dos contraseñas y que es similar a lo que se lleva a cabo en conexiones web cifradas.En este punto no podemos descartar nada, pero si la jugada le sale mínimamente bien está claro que CryptoPeak Solutions podría conseguir mucho dinero, y encima sin ningún tipo de coste, ya que como es lógico solicita que lo costes procesales corran a cargo de los demandados.Más información: Softpedia.
9 comentarios147 shares
02/12/2015Isidro Ros
Guía para hacer compras online con seguridad

Guía para hacer compras online con seguridad

Hoy publicamos un sencillo tutorial que puede ayudar al usuario a mejorar su seguridad y su privacidad cuando compra por Internet. Seguir estos pasos no ayuda a asegurar de forma absoluta la privacidad y la seguridad, pero si pueden mejorar esos aspectos. Además son muy sencillos de seguir, ya que el usuario solo tiene que fijarse en unos detalles muy concretos. Asegurarse de que el sitio web use HTTPS Es un detalle muy importante a tener en cuenta. Si la tienda online que estamos visitando no utiliza HTTPS, significa que las conexiones con el servidor no está cifradas, dejando las operaciones que se están realizando expuestas para quien quiera verlas. Algunas tiendas online no usan HTTPS en un principio, como Amazon, pudiendo ver su uso cuando se accede al carrito de la compra o al realizar el proceso de pago.El tema de HTTPS puede parecer poco importante, sin embargo los desarrolladores de los navegadores llevan tiempo intentando forzar su adopción. Aquí Mozilla juega un papel importante a través de su navegador, Firefox, con la intención de marcar como inseguro cualquier sitio web que no use HTTPS a la hora de pedir una contraseña. Utilizar la navegación privada para pagar El tema del HTTPS viene sobre todo para proteger la seguridad del usuario, mientras que la utilización de la navegación privada viene sobre todo proteger la privacidad.Una costumbre que tengo siempre que compro online o utilizo mi tarjeta de crédito es la de utilizar la navegación privada en lugar de la navegación estándar. Activar la navegación privada en un navegador es muy sencillo, solo hay que dirigirse al menú principal y como mucho habrá que recorrer un submenú para acceder a él. Cierto es que cada navegador nombra esta característica de una forma diferente, así que las publicaremos para que el usuario tenga claro qué debe seleccionar:Mozilla Firefox → Nueva ventana privada. Google Chrome → Nueva ventana de incógnito. Internet Explorer/Microsoft Edge → Exploración de InPrivate (puede hallarse en el menú Seguridad). Opera Chromium → Nueva ventana privada¿Cómo se ven los navegadores tras iniciar la navegación privada? En la siguiente galería se puede ver cómo luce cada uno de los navegadores populares justo después de iniciar la navegación privada. Iniciar esta opción siempre mostrará una nueva ventana en esos navegadores web.[gallery link="file" ids="120249,120252,120248,120250,120251,120253"] ¿Qué hace la navegación privada? La navegación privada impide que se quede guardado todo lo que navegue el usuario a través de este modo, al menos que fuerce el guardado. Las sesiones de usuario iniciadas en la navegación privada no se guardarán, tampoco las cookies, y la caché del navegador no recordará nada relacionado con los formularios que va rellenando el usuario, ya sea para registrarse en algún sitio web, iniciar sesión o bien proceder a un pago.La navegación privada hace que los datos de la tarjeta de crédito o la cuenta de PayPal no queden guardadas bajo ningún concepto en el navegador, ya que no es buena idea que el navegador ande recordando la tarjeta de crédito, eso es algo que solo debe de estar en la propia tarjeta de crédito y en el cerebro del usuario si se lo tiene memorizado, pero en ningún lugar más. De hecho en 2013 Google registró una patente con la cual pretendía activar de forma automática la navegación privada cuando el usuario procediese a introducir un dato sensible a través de Chrome.Si el ordenador es compartido, el uso de la navegación privada puede ser un factor crítico para ciertas tareas. Desde MuyComputer recordamos que activando la navegación privada no se está navegando de forma anónima por Internet. Para eso hay que recurrir a algún servicio de VPN o a Tor Browser Bundle.Para cerrar este apartado, recordamos que no estamos diciendo que haya que usar la navegación privada para todo, sino solo en caso de realizar pagos y otras operaciones donde el usuario tiene que utilizar datos muy sensibles. No tiene mucho sentido usar la navegación privada para usar Disqus en este sitio web, o en los foros y redes sociales que el usuario visita habitualmente. Tener el navegador web siempre actualizado Sí, suena la cantinela de siempre, pero tener el navegador actualizado es un factor crítico para garantizar la seguridad y la privacidad del usuario, ya que las actualizaciones suministran parches que arreglan agujeros y otras carencias en esos aspectos, además de posibles mejoras adicionales.Las actualizaciones de Internet Explorer y Microsoft Edge llegan a través de Windows Update, por lo que tendrá que asegurarse de tenerlo activo (salvo si usa Windows XP, el cual ya no tiene soporte) si quiere actualizarlos. Google Chrome, Mozilla Firefox y Opera se actualizan de forma automática y silenciosa, por lo que solo hay que tener el ordenador conectado a Internet e ir utilizando dichos navegadores para tenerlos al día.
1 comentario352 shares
26/10/2015Eduardo Medina
La NSA puede interceptar tráfico HTTPS y VPN

La NSA puede interceptar tráfico HTTPS y VPN

Un informe presentado por 14 investigadores durante la Conferencia de Seguridad en Computación y Comunicaciones, celebrada en Denver el pasado 14 de octubre, ha puesto de manifiesto como la NSA puede interceptar la mayoría del tráfico HTTPS y VPN aprovechando un fallo claro.Dicha vulnerabilidad se encuentra en la implementación del protocolo criptográfico Diffie-Hellman, utilizado para cifrar el contenido del tráfico de Internet, y si bien es cierto que no estamos ante un descubrimiento nuevo en esta ocasión los investigadores aportan nueva información que consigue aclarar y respaldar su teoría.La idea es simple, a pesar de que el algoritmo Diffie-Hellman es fuerte y seguro presenta una serie de vulnerabilidades que se encuentran sobre todo en función de la manera en la que el mismo se implementa, ya que en sí mismo opera bajo el cifrado en base a un número primo extremadamente largo acordado previamente entre servidor y cliente, lo que redunda en algo casi imposible de crackear en tiempo real.Sin embargo esa seguridad se ve afectada como dijimos por la implementación, y es que en la misma se suele caer en una reutilización excesiva de ciertos números primos, lo que supone un problema claro que afecta negativamente al sistema de cifrado, ya que los atacantes pueden explotar ciertas bases con los números más utilizados para romperlo de forma rápida y simple.¿Es tan grave? Pues eso parece, ya que según los investigadores si la NSA consigue romper un número primo utilizado en este cifrado de 1.024 bits tendría acceso a las dos terceras partes de todas las conexiones VPN, mientras que si consigue romper un segundo número podría espiar el 20% de todo el tráfico HTTPS procedente del top un millón de webs más populares del mundo.No hay duda, es un pastel muy suculento y accesible con una inversión razonable en relación al beneficio que aporta, así que la teoría tiene sentido.Más información: Softpedia.
16 comentarios1067 shares
18/10/2015Isidro Ros
Wikimedia salta a HTTPS en todos sus sitios web

Wikimedia salta a HTTPS en todos sus sitios web

La seguridad en Internet es importante es una necesidad y a la vez un deber para las empresas que ofrecen contenidos online, especialmente evidente si hablamos de páginas que facilitan el acceso a cultura y conocimiento, un hecho que ha llevado finalmente a Wikimedia a adoptar HTTPS en todos sus sitios web.Tal y como han confirmado a través de su web oficial empezarán desde ya a utilizar este conocido protocolo de cifrado en las comunicaciones de todos sus sitios web, unido a HTTP Strict Transport Security (HSTS) como medida de seguridad adicional para frenar aquellos intentos de romper HTTPS e interceptar las comunicaciones.Desde hace cuatro años los usuarios de Wikimedia ya podían acceder a sus sitios con HTTPS de forma manual a través de HTTPS Everywhere. El trabajo para conseguir una migración plena comenzó entonces y ha finalizado con éxito, consiguiendo un nivel de optimización adecuado y protegiendo lo que importan, a los usuarios de los sitios de Wikimedia y la fuente de libre conocimiento que estos representan.Actualmente Wikipedia y sus proyectos hermanos cuentan con unos 500 millones de usuarios, un dato que nos permite hacernos una idea de la importancia que tiene. De ello son conscientes en Wikimedia, tanto que siempre se han esforzado no sólo por cuidar la seguridad sino también por manenterse libres de publicidad y de influencias externas.Más información: Wikimedia Blog.
2 comentarios305 shares
13/06/2015Isidro Ros
Mozilla busca forzar la adopción de HTTPS

Mozilla busca forzar la adopción de HTTPS

Mozilla busca vías sobre cómo dejar obsoleto el viejo HTTP, y que solo su versión segura, HTTPS, tenga funcionalidad completa. Con el fin de alcanzar esa meta, presentará sus ideas a la W3C WebAppSec Working Group.Mozilla está intentando enviar un mensaje a la comunidad de desarrolladores web para que migren sus sitios web a HTTPS. La fundación pretende poner una fecha límite después de la cual las nuevas características solo estarán disponibles en sitios HTTPS, con la intención de ir eliminando gradualmente HTTP. Esto se haría a través de las nuevas tecnologías de renderizado CSS y efectos en los sitios web usando canvas de HTML5, que no serían accesibles desde HTTP, pero si desde HTTPS.El jefe de seguridad de Mozilla, Richard Barnes, espera que el no permitir el uso de futuras características de CSS y HTML en HTTP provocaría la rotura de los sitios web, forzando a los desarrolladores a usar HTTPS para que sus sitios web puedan seguir existiendo.Mozilla reivindica su apuesta en la seguridad, como la petición de permisos de forma persistente cuando una web no segura intenta acceder a periféricos como la webcam o el micrófono, o sus propuestas para limitar el alcance de cookies no seguras.El pasado mes se tuvo que corregir de forma urgente un error de seguridad en Firefox provocado por el “cifrado oportunista”. Por otro lado Mozilla no es la única que quiere forzar el uso de HTTPS, Google también está dando pasos hacia esa dirección.Fuente | ZDNet
6 comentarios373 shares
01/05/2015Eduardo Medina
¿Marcará Google Chrome los sitios sin cifrado como inseguros?

¿Marcará Google Chrome los sitios sin cifrado como inseguros?

Los ingenieros de seguridad de Google Chrome han propuesto marcar como inseguro cualquier sitio web cuyo tráfico no esté cifrado, siendo una iniciativa que empezó a principios de este mes.En caso de llevarse a cabo la propuesta, la barra de direcciones del navegador de Google puede que reciba algunos cambios en su comportamiento, mostrando actualmente un candado a la izquierda de la URL cuando un sitio web tiene cifrado SSL o TLS, mientras que los sitios sin cifrar no muestran ningún signo visual. El objetivo del Proyecto Chromium, que se encarga de construir la base tecnológica de Google Chrome, es la de dar un giro de 180 grados a la experiencia de usuario, pero a través de un cambio gradual. Algunos ingenieros han argumentado que los sitios web sin cifrar son potencialmente inseguros, así que se tendría que dar una información más explícita al usuario sobre los riesgos que puede estar corriendo, de hecho uno de ellos ha comentado que en “la única situación en la que los navegadores web garantizan el no avisar es cuando no hay posibilidad de seguridad”, refiriéndose a los sitios web que aun usan HTTP en lugar de HTTPS.Sin embargo Google no ha explicado de forma clara qué criterio va a seguir para considerar un sitio web HTTP como inseguro, así que sugirió a los desarrolladores de navegadores web hacerlo poco a poco, empezando a marcar como “dudosos” aquellos sitios que no estén cifrados, para luego considerarlos más tarde como “no seguros”.Todo esto forma parte de la intención de Google en imponer el HTTPS como estándar en Internet, cifrando la red de redes por completo. De hecho el pasado mes de agosto anunció que premiaría con un mejor posicionamiento a aquellos sitios que usasen HTTPS.Fuente | PCWorld
8 comentarios283 shares
23/12/2014Eduardo Medina
Cifrado total HTTPS para correos Gmail

Cifrado total HTTPS para correos Gmail

Google aplicará cifrado automático y completo HTTPS para la totalidad de los correos electrónicos Gmail y en todo el recorrido de los mensajes.Una importante medida "que se convirtió en prioritaria después de las revelaciones del pasado verano", indica Google, nombrando sin citarla a las actividades de la Agencia de Seguridad Nacional estadounidense NSA y el espionaje masivo y sin control.Aunque Gmail soportaba conexiones HTTPS desde su creación y ya se ofrecía por defecto desde 2010, a partir de ahora se extiende a la totalidad de los mensajes, sin importar el dispositivo utilizado (ordenador, tablet, smartphone...) o el tipo de red, incluyendo redes privadas o Wi-Fi públicas.El cifrado total HTTPS implementado incluye no solo el trayecto desde el equipo emisor a los servidores y el posterior envío al receptor, sino el recorrido dentro de los Centros de Datos de Google.Además de dotar de más seguridad a su servicio de correo web, Google también pretende ganar imagen de marca con esta estrategia, desvinculándose del proyecto PRISM (un escándalo aún mayor que el propio del espionaje) por el cual la NSA se habría estado conectando desde hace años a los servidores centrales de las grandes tecnológicas mundiales para llevar a cabo sus actividades.Algo negado por todas en cuanto a participación voluntaria, lo que no quiere decir que no ocurriera. El mensaje de Google es claro y positivo además del aumento de seguridad que supone HTTPS al utilizar un canal cifrado con SSL/TLS.
1 comentario294 shares
21/03/2014Juan Ranchal
Nokia secuestra las comunicaciones cifradas pero dice que no espía

Nokia secuestra las comunicaciones cifradas pero dice que no espía

Nokia ha tenido que reconocer la denuncia de un investigador de seguridad que habla de interceptación y descifrado de comunicaciones y datos móviles, incluso en conexiones seguras HTTPS que pasan por sus servidores.Solo le faltaba a Nokia que le acusaran de espiar las comunicaciones de sus usuarios... Seguramente no es el caso, pero oportunidad tiene, ya que desde la compañía se ha reconocido la denuncia de un investigador de seguridad que asegura que, Nokia está usando técnicas Man In The Middle en terminales móviles con el navegador Xpress Browser, 'secuestrando' las comunicaciones incluso las consideradas seguras mediante SSL/HTTPS.El asunto ha caído muy mal en Internet a pesar que Nokia ha asegurado que, "los servidores proxy no almacenan el contenido de las páginas web visitadas por los usuarios" y que la motivación para utilizar esta 'técnica' no es en ningún caso para espiar a sus usuarios sino para aumentar la velocidad de navegación. Algo similar que ya utilizan otros navegadores como el de RIM en las BlackBerry (aunque está perfectamente claro en las condiciones de uso) o por navegadores como Opera Mini aunque se puede anular o personalizar.En cualquier caso, el uso de un proxie intermedio permitiría a Nokia espiar cualquier tipo de navegación privada y de cualquier dato que pase por sus redes, incluso los considerados cifrados (seguros) que deberían ir directamente al servidor de destino."Ya sea HTTP o HTTPS el sitio navegado a través del teléfono en cuestión, Nokia tiene la información completa sin cifrar (en formato texto plano) a su disposición", asegura el investigador, en una denuncia que ya puede tratar con cuidado la compañía finlandesa ya que, sobre el papel, se trata de un ataque muy grave a la privacidad del usuario.Quizá por ello y aunque insiste que no espía esos datos, Nokia asegura que va a "revisar la información proporcionada en el cliente móvil en caso de que esto se pueda mejorar". O lo que es lo mismo: cambiará un sistema que va a dar que hablar ya que va a ser investigado por el regulador europeo como se está rumoreando.
2 comentarios59 shares
12/01/2013Juan Ranchal
La mayoría de webs HTTPS, 90%, son vulnerables

La mayoría de webs HTTPS, 90%, son vulnerables

Un estudio realizado por TIM (Trustworthy Internet Movement) ha revelado que nada menos que el 90 por ciento de 200.000 sitios webs con seguridad HTTPS habilitada, son vulnerables a ataques SSL.Bajo el proyecto SSL Pulse, TIM utiliza tecnología de escaneo automatizado desarrollado por la firma de seguridad Qualys para analizar la fuerza de las implementaciones HTTPS en los 200.000 sitios web más visitados del mundo de la lista analítica Alexa.SSL Pulse comprueba qué protocolos son compatibles con los sitios web habilitados con transferencia segura de datos de Hypertext HTTPS (SSL 2.0, SSL 3.0, TLS 1.0, TLS 1.1, etc), la longitud de clave que se utiliza para las comunicaciones (512 bits, 1024 bits, 2048 bits, etc) y la fuerza del cifrado (256 bits, 128 bits o menos).Las conclusiones son bastante desalentadoras como muestra los resultados del informe. Los principales son:Únicamente un 10 por ciento de sitios web HTTPS pueden ser considerados seguros. Un 75 por ciento de ellos (148.000) son vulnerables a ataques por fuerza bruta. Un tercio de ellos todavía utiliza el protocolo Secure Sockets Layer (SSL) 2.0 considerado totalmente inseguro. Un 40 por ciento de sitios utilizan cifrado considerado no-seguro Únicamente un 8 por ciento de sitios tienen certificado de validación extendido. Son contados los sitios HTTPS que utilizan TLS 1.1 y 1.2, los protocolos más avanzados en comunicaciones seguras en Internet.Así las cosas, TIM ha establecido un grupo de trabajo de expertos en seguridad, que va a revisar este informe y desarrollar propuestas de mejora a todos los niveles de SSL. Entre sus integrantes se encuentran Michael Barrett, responsable de seguridad de PayPal; Taher Elgamal, uno de los creadores del protocolo SSL; Adam Langley, ingeniero de Google responsable de la seguridad de Chrome o Ryan Hurst, CTO de GlobalSign.
1 comentario67 shares
30/04/2012Jesús Maturana
Gmail y Google Docs aún más seguros

Gmail y Google Docs aún más seguros

Google acaba de demostrar su preocupación por los datos de sus usuarios lanzando un nuevo sistema de seguridad, Forward secrecyse, que llega como una medida de seguridad adicional para aguantar ataques informáticos. El sistema ha sido implementado en Google Docs y en Gmail mejorando el cifrado HTTPS.Las conexiones HTTPS permiten un acceso a la información de manera segura gracias la obligación de conexiones cifradas. Pero, ¿y si en el futuro hackers consiguen descifrar o crackear este sistema?. Ahí entra Forward Secrecy, sistema  basado en la utilización de distintas claves privadas para cifrar cada conexión de los usuarios a sus servicios.Google ha explicado con un ejemplo su nuevo sistema de seguridad: "Ahora mismo, los hackers podrían hacerse con un correo electrónico cifrado, protegido, al que ahora no podrían acceder por sus mecanismos de seguridad. Sin embargo, en el futuro, posiblemente cuenten con una nueva herramienta para vulnerar su seguridad y así poder conseguir información para vulnerar la seguridad de más correos. Con Forward Secrecy esto ya no sucedería porque el cifrado es múltiple y va cambiando con el tiempo." Google ya ha implementado Forward Secrecyse en Gmail y Google Docs, que por su naturaleza pueden ser más propensos al interés de los hackers, pero acabarán extendiéndolo Sin embargo, la compañía ha confirmado que espera que esta tecnología se extienda entre sus servicios y que se popularice como ha sucedido con el sistema HTTPS.Para que Forward Secrecyse funcione, Google ha utilizado una extensión de OpenSSL, que ya ha publicado para que se extienda su utilización. La compañía también ha avisado de que su nuevo sistema, por el momento, sólo se puede usar con FireFox y Chrome, y en algunas versiones de Internet Explorer.
2 comentarios14 shares
24/11/2011Jesús Maturana
[ ]