¿Siempre que veo el candado en mi navegador estoy protegido al 100%? ¿Dejo rastro en mis operaciones cuando uso HTTPS en un pc público? ¿Cuando me ofrecen utilizar HTTPS como una opción, debería usarlo? Todo lo que siempre quisimos saber de HTTPS, el famoso candado del navegador y no nos atrevimos a preguntar.
A quien le interese la parte técnica de todo esto, hace poco leí un pdf muy interesante que profundiza en un problema de los que comenta este artículo: Un certificado es válido (aparece el candadito) con que lo firme una de las CA cuya clave pública está en el navegador, sea o no sea la CA "oficial" del dominio en concreto.
Aquí el pdf en cuestión: http://files.cloudprivacy.net/ssl-mitm.pdf
Todo ordenador conectado es inseguro a mayor o menos nivel, como navegación web normal de un usuario normal el protocolo más seguro es https pero aunque el servidor de esa página sea super seguro no puede evitar que un usuario con pocas luces lo utilice en un ordenador público que a parte de poder llegar a tener hasta keyloggers,virus,troyanos y demás índole. La mayor seguridad un usuario con sentido común
El problema es lo que entendemos por candado. El candado asegura que la transmisión será cifrada y que con mucha probabilidad, será imposible de leer por un tercero. Además asegura que el segundo en cuestión posee un certificado válido (nota: aunque hay que tener configurado también lo que se considera 'válido'), pero no asegura que ese segundo sea quien tú crees que es. Es decir, puedes mandarle información por un canal cifrado y confidencial a un tío que ha pagado un certificado totalmente válido pero que se hace pasar por tu banco.
Por eso tal y como dice #9 el sentido común debe estar al loro.
#7 Mira, te voy a responder con un matiz extensible al resto de casos:
- keyloggers: si el Sistema Operativo no permite el acceso a las teclas pulsadas por una aplicación fuera de foco, o incluso que los propios "campos de texto" estén controlados por el S.O. (como ya pasa algunos del ámbito de la investigación) los problemas desaparecen y eso de "no hay seguridad posible" empieza a diluirse.
#5
En el propio artículo dicen que se aprovechan de que el MD5 tiene colisiones. Fuerza bruta y arreando, no es por el SSL per se.
Luego también notar las cifras magufas de la potencia de la PS3. Cualquier tarjeta gráfica se la ventila, hablamos de "number crunching".
Respecto al meneo, creo que deja de plano que las conexiones seguras a través de Internet son más difíciles de atacar que cualquier transacción normal, aún estando mal implementadas requiere más pasos que una simple pasada de banda magnética.
#6 Lo se era por hacer la coña... el problema estaba en MD5 de ahi que los CAs cambiaran a SHA-1 y arreando... aun asi esos tios deberian tener un monumento.
Tambien el https da miedo en manos de segun quien lo dejes... dando una falsa sensacion de seguridad... como el uso chapucero de muchos bancos online donde te piden user pass en http para luego trabajar sobre https... no me jodas
Con un poco de maña generamos un certificado válido con una key valida de verisign, por ejemplo, haciendonos pasar por quien se quiera, yo lo probé con una operador móvil, luego te pillas un dominio en plan operadoraofertablas, y con el candadito que sale en navegador ya puedes forrarte, cosas del SSL y la falta de conocimiento
#14 mas que con un poco de maña es haciendote un certificado en una CA valida por tu navegador poco mas... que generar un certificado no firmado por una CA tardas 0 y con coste 0 de hecho en todos mis servers tengo ssl sin pagar y si claro que al entrar por 1ª vez me dice... no es seguroooooo y yo digo que si hombre firefox amigo mio que soy yo mismo quien lo firma y yo confio en mi mismo
Cuando usamos un proxy, la comunicación pasa por él en claro, no? Es decir, usando https, podemos cifrar entre navegador y proxy y luego, entre proxy y servidor final, pero dentro del proxy lo tiene todo en abierto. ¿Esto es así?
Habría que tenerlo en cuenta en muchos sitios donde nos dan un proxy como salida a internet.
Los proxy utilizan un mecanismo de redirección (CONNECT) para las páginas HTTPS, no cachean nada del contenido de la comunicación porque no pueden acceder a ellas.
Y si lo hacen, saldría que el certificado de la comunicación no corresponde a la página web que emite los datos, porque el proxy no tiene la clave privada de la otra parte.
Aunque si el proxy pertenece a un estado o a alguien con acceso a la cadena de confianza puede emitir un certificado que simule ser el de destino y joderte de todas todas.
Vamos, resumiendo, NO los proxys no tienen acceso a la comunicación; pero pueden tenerlo bajo determinadas condiciones.
Comentarios
Uhm... Pero lo del candado no es para que no te roben el navegador???
#2 si, pero no te olvides de amarrar la rueda de delante al cuadro
Interesante artículo.
A quien le interese la parte técnica de todo esto, hace poco leí un pdf muy interesante que profundiza en un problema de los que comenta este artículo: Un certificado es válido (aparece el candadito) con que lo firme una de las CA cuya clave pública está en el navegador, sea o no sea la CA "oficial" del dominio en concreto.
Aquí el pdf en cuestión: http://files.cloudprivacy.net/ssl-mitm.pdf
A mi me hace gracia que en Facebook se pueda ser "https"
Todo ordenador conectado es inseguro a mayor o menos nivel, como navegación web normal de un usuario normal el protocolo más seguro es https pero aunque el servidor de esa página sea super seguro no puede evitar que un usuario con pocas luces lo utilice en un ordenador público que a parte de poder llegar a tener hasta keyloggers,virus,troyanos y demás índole. La mayor seguridad un usuario con sentido común
#7 Volvemos a lo de siempre: Seguridad Por Defecto (SbD). ... La seguridad ha de ser impuesta, evitará problemas.
El sentido común no viene instalado por defecto
#7 #9 ... pibkac o pebkac segun quieras is o exists
El problema es lo que entendemos por candado. El candado asegura que la transmisión será cifrada y que con mucha probabilidad, será imposible de leer por un tercero. Además asegura que el segundo en cuestión posee un certificado válido (nota: aunque hay que tener configurado también lo que se considera 'válido'), pero no asegura que ese segundo sea quien tú crees que es. Es decir, puedes mandarle información por un canal cifrado y confidencial a un tío que ha pagado un certificado totalmente válido pero que se hace pasar por tu banco.
Por eso tal y como dice #9 el sentido común debe estar al loro.
Una prueba seria de cómo te la pueden liar, por si alguien se quiere asustar:
#9 El problema es que el usuario percibe que la seguridad es inversamente proporcional a la comodidad, y así les van las cosas.
#7 Mira, te voy a responder con un matiz extensible al resto de casos:
- keyloggers: si el Sistema Operativo no permite el acceso a las teclas pulsadas por una aplicación fuera de foco, o incluso que los propios "campos de texto" estén controlados por el S.O. (como ya pasa algunos del ámbito de la investigación) los problemas desaparecen y eso de "no hay seguridad posible" empieza a diluirse.
A lo que el artículo se refiere es a que los navegadores lo pueden hacer "inseguro". Con lo cual, es un problema de los navegadores y no de HTTPS.
(modifico mi comentario por un respetuoso silencio)
http://hackaday.com/2008/12/30/25c3-hackers-completely-break-ssl-using-200-ps3s/
Editado... mejor asi directamente
#5
En el propio artículo dicen que se aprovechan de que el MD5 tiene colisiones. Fuerza bruta y arreando, no es por el SSL per se.
Luego también notar las cifras magufas de la potencia de la PS3. Cualquier tarjeta gráfica se la ventila, hablamos de "number crunching".
Respecto al meneo, creo que deja de plano que las conexiones seguras a través de Internet son más difíciles de atacar que cualquier transacción normal, aún estando mal implementadas requiere más pasos que una simple pasada de banda magnética.
#6 Lo se era por hacer la coña... el problema estaba en MD5 de ahi que los CAs cambiaran a SHA-1 y arreando... aun asi esos tios deberian tener un monumento.
Tambien el https da miedo en manos de segun quien lo dejes... dando una falsa sensacion de seguridad... como el uso chapucero de muchos bancos online donde te piden user pass en http para luego trabajar sobre https... no me jodas
Con un poco de maña generamos un certificado válido con una key valida de verisign, por ejemplo, haciendonos pasar por quien se quiera, yo lo probé con una operador móvil, luego te pillas un dominio en plan operadoraofertablas, y con el candadito que sale en navegador ya puedes forrarte, cosas del SSL y la falta de conocimiento
#14 mas que con un poco de maña es haciendote un certificado en una CA valida por tu navegador poco mas... que generar un certificado no firmado por una CA tardas 0 y con coste 0 de hecho en todos mis servers tengo ssl sin pagar y si claro que al entrar por 1ª vez me dice... no es seguroooooo y yo digo que si hombre firefox amigo mio que soy yo mismo quien lo firma y yo confio en mi mismo
la verdad el HTTPS no sirve de mucho, da muchos problemas
Cuando usamos un proxy, la comunicación pasa por él en claro, no? Es decir, usando https, podemos cifrar entre navegador y proxy y luego, entre proxy y servidor final, pero dentro del proxy lo tiene todo en abierto. ¿Esto es así?
Habría que tenerlo en cuenta en muchos sitios donde nos dan un proxy como salida a internet.
#17 Nope.
Los proxy utilizan un mecanismo de redirección (CONNECT) para las páginas HTTPS, no cachean nada del contenido de la comunicación porque no pueden acceder a ellas.
Y si lo hacen, saldría que el certificado de la comunicación no corresponde a la página web que emite los datos, porque el proxy no tiene la clave privada de la otra parte.
Aunque si el proxy pertenece a un estado o a alguien con acceso a la cadena de confianza puede emitir un certificado que simule ser el de destino y joderte de todas todas.
Vamos, resumiendo, NO los proxys no tienen acceso a la comunicación; pero pueden tenerlo bajo determinadas condiciones.