Menéame: comentarios [1235063]

#21 Mitos del HTTPS y la navegación segura

RevolucionDigital — Tue, 19 Apr 2011 21:06:06 +0000

la verdad el HTTPS no sirve de mucho, da muchos problemas

» autor: RevolucionDigital

#20 Mitos del HTTPS y la navegación segura

ochoceros — Tue, 19 Apr 2011 18:54:37 +0000

Una prueba seria de cómo te la pueden liar, por si alguien se quiere asustar: www.youtube.com/watch?v=OEnAyN01sPg

#9 El problema es que el usuario percibe que la seguridad es inversamente proporcional a la comodidad, y así les van las cosas.

» autor: ochoceros

#19 Mitos del HTTPS y la navegación segura

--51458-- — Tue, 19 Apr 2011 17:53:12 +0000

#17 Nope.

Los proxy utilizan un mecanismo de redirección (CONNECT) para las páginas HTTPS, no cachean nada del contenido de la comunicación porque no pueden acceder a ellas.

Y si lo hacen, saldría que el certificado de la comunicación no corresponde a la página web que emite los datos, porque el proxy no tiene la clave privada de la otra parte.

Aunque si el proxy pertenece a un estado o a alguien con acceso a la cadena de confianza puede emitir un certificado que simule ser el de destino y joderte de todas todas.

Vamos, resumiendo, NO los proxys no tienen acceso a la comunicación; pero pueden tenerlo bajo determinadas condiciones.

» autor: --51458--

#18 Mitos del HTTPS y la navegación segura

redewa — Tue, 19 Apr 2011 16:36:35 +0000

#7 Mira, te voy a responder con un matiz extensible al resto de casos:
- keyloggers: si el Sistema Operativo no permite el acceso a las teclas pulsadas por una aplicación fuera de foco, o incluso que los propios "campos de texto" estén controlados por el S.O. (como ya pasa algunos del ámbito de la investigación) los problemas desaparecen y eso de "no hay seguridad posible" empieza a diluirse.

» autor: redewa

#17 Mitos del HTTPS y la navegación segura

otrofox13NOSOYNAZI — Tue, 19 Apr 2011 14:33:31 +0000

Cuando usamos un proxy, la comunicación pasa por él en claro, no? Es decir, usando https, podemos cifrar entre navegador y proxy y luego, entre proxy y servidor final, pero dentro del proxy lo tiene todo en abierto. ¿Esto es así?
Habría que tenerlo en cuenta en muchos sitios donde nos dan un proxy como salida a internet.

» autor: otrofox13NOSOYNAZI

#16 Mitos del HTTPS y la navegación segura

kata11 — Tue, 19 Apr 2011 14:30:12 +0000

A mi me hace gracia que en Facebook se pueda ser "https"

» autor: kata11

#15 Mitos del HTTPS y la navegación segura

SergioZgz — Tue, 19 Apr 2011 14:14:41 +0000

#14 mas que con un poco de maña es haciendote un certificado en una CA valida por tu navegador poco mas... que generar un certificado no firmado por una CA tardas 0 y con coste 0 de hecho en todos mis servers tengo ssl sin pagar y si claro que al entrar por 1ª vez me dice... no es seguroooooo y yo digo que si hombre firefox amigo mio que soy yo mismo quien lo firma y yo confio en mi mismo

» autor: SergioZgz

#14 Mitos del HTTPS y la navegación segura

--234063-- — Tue, 19 Apr 2011 14:10:29 +0000

Con un poco de maña generamos un certificado válido con una key valida de verisign, por ejemplo, haciendonos pasar por quien se quiera, yo lo probé con una operador móvil, luego te pillas un dominio en plan operadoraofertablas, y con el candadito que sale en navegador ya puedes forrarte, cosas del SSL y la falta de conocimiento

» autor: --234063--

#13 Mitos del HTTPS y la navegación segura

ttl — Tue, 19 Apr 2011 14:06:23 +0000

A quien le interese la parte técnica de todo esto, hace poco leí un pdf muy interesante que profundiza en un problema de los que comenta este artículo: Un certificado es válido (aparece el candadito) con que lo firme una de las CA cuya clave pública está en el navegador, sea o no sea la CA "oficial" del dominio en concreto.
Aquí el pdf en cuestión: files.cloudprivacy.net/ssl-mitm.pdf

» autor: ttl

#12 Mitos del HTTPS y la navegación segura

--234330-- — Tue, 19 Apr 2011 14:03:44 +0000

El problema es lo que entendemos por candado. El candado asegura que la transmisión será cifrada y que con mucha probabilidad, será imposible de leer por un tercero. Además asegura que el segundo en cuestión posee un certificado válido (nota: aunque hay que tener configurado también lo que se considera 'válido'), pero no asegura que ese segundo sea quien tú crees que es. Es decir, puedes mandarle información por un canal cifrado y confidencial a un tío que ha pagado un certificado totalmente válido pero que se hace pasar por tu banco.

Por eso tal y como dice #9 el sentido común debe estar al loro.

» autor: --234330--

#11 Mitos del HTTPS y la navegación segura

--82961-- — Tue, 19 Apr 2011 14:02:43 +0000

A lo que el artículo se refiere es a que los navegadores lo pueden hacer "inseguro". Con lo cual, es un problema de los navegadores y no de HTTPS.

» autor: --82961--

#10 Mitos del HTTPS y la navegación segura

SergioZgz — Tue, 19 Apr 2011 13:56:19 +0000

#7 #9 ... pibkac o pebkac segun quieras is o exists

» autor: SergioZgz

#9 Mitos del HTTPS y la navegación segura

angelitoMagno — Tue, 19 Apr 2011 13:53:13 +0000

#7 Volvemos a lo de siempre: Seguridad Por Defecto (SbD). ... La seguridad ha de ser impuesta, evitará problemas.

El sentido común no viene instalado por defecto

» autor: angelitoMagno

#8 Mitos del HTTPS y la navegación segura

SergioZgz — Tue, 19 Apr 2011 13:51:48 +0000

#6 Lo se era por hacer la coña... el problema estaba en MD5 de ahi que los CAs cambiaran a SHA-1 y arreando... aun asi esos tios deberian tener un monumento.

Tambien el https da miedo en manos de segun quien lo dejes... dando una falsa sensacion de seguridad... como el uso chapucero de muchos bancos online donde te piden user pass en http para luego trabajar sobre https... no me jodas

» autor: SergioZgz

#7 Mitos del HTTPS y la navegación segura

erbeni — Tue, 19 Apr 2011 13:48:48 +0000

Todo ordenador conectado es inseguro a mayor o menos nivel, como navegación web normal de un usuario normal el protocolo más seguro es https pero aunque el servidor de esa página sea super seguro no puede evitar que un usuario con pocas luces lo utilice en un ordenador público que a parte de poder llegar a tener hasta keyloggers,virus,troyanos y demás índole. La mayor seguridad un usuario con sentido común

» autor: erbeni

#6 Mitos del HTTPS y la navegación segura

--199013-- — Tue, 19 Apr 2011 13:48:09 +0000

#5
En el propio artículo dicen que se aprovechan de que el MD5 tiene colisiones. Fuerza bruta y arreando, no es por el SSL per se.

Luego también notar las cifras magufas de la potencia de la PS3. Cualquier tarjeta gráfica se la ventila, hablamos de "number crunching".

Respecto al meneo, creo que deja de plano que las conexiones seguras a través de Internet son más difíciles de atacar que cualquier transacción normal, aún estando mal implementadas requiere más pasos que una simple pasada de banda magnética.

» autor: --199013--

#5 Mitos del HTTPS y la navegación segura

SergioZgz — Tue, 19 Apr 2011 13:38:19 +0000

hackaday.com/2008/12/30/25c3-hackers-completely-break-ssl-using-200-ps

Editado... mejor asi directamente

» autor: SergioZgz

#4 Mitos del HTTPS y la navegación segura

--234330-- — Tue, 19 Apr 2011 11:28:20 +0000

(modifico mi comentario por un respetuoso silencio)

» autor: --234330--

#3 Mitos del HTTPS y la navegación segura

--234330-- — Tue, 19 Apr 2011 10:36:30 +0000

#2 si, pero no te olvides de amarrar la rueda de delante al cuadro

» autor: --234330--

#2 Mitos del HTTPS y la navegación segura

--168902-- — Tue, 19 Apr 2011 10:31:53 +0000

Uhm... Pero lo del candado no es para que no te roben el navegador???

» autor: --168902--

#1 Mitos del HTTPS y la navegación segura

--139155-- — Tue, 19 Apr 2011 10:12:22 +0000

Interesante artículo.

» autor: --139155--