Existe un pequeño problema cuando navegamos por Internet: es perfectamente posible que hayamos acabado por activa y por pasiva en una página web hackeada. Esta web podría estar robando nuestros datos o comprometer nuestra seguridad sin que lo sepamos, y por eso los desarrolladores de los principales navegadores se están poniendo manos a la obra, como es el caso de Mozilla Firefox. Ahora, el navegador nos avisará cuando visitemos una web que tenga una brecha de seguridad o que en su defecto esté o haya sido hackeada.
Comentarios
No hagáis caso si os sale el aviso con la web de RENFE.
#6 Claro pero de lo que se trata es de que te muestra si en los 12 últimos meses ha sido hackeada y cuántas veces, y tú tomas las medidas oportunas. Si ves que sufrió 30 hackeos en 12 meses, te vas de ahí corriendo.
Si es la primera vez que la hackean y lo acaban de hacer, pues sí, hasta que aparece en la lista te la cuelan.
#7 Dejar al usuario la decisión de continuar haciendo su propia evalución sobre cuan segura es la web... tiene pinta de que va a funcionar fetén.
#35 es lo que se hace desde siempre. Cuando, p ej, un certificado no es reconocido, se avisa y el usuario decide. El certificado puede ser maligno o perfectamente legitimo solo que autofirmado. Menuda se liaria si no dejasen decidir al usuario, le lloverian palos por todas partes al navegador.
#37 Si, cuando cuando falla el certificado te deja seguir pero no facilmente. Te sale una pantalla en rojo que dice que NO sigas, y requiere varios clicks para seguir. El usuario inexperto entiende claramente que no debe hacerlo.
#38 La pantalla en rojo depende del navegador, pero lo dicho, te deja elegir y eso de que lo entiende perfectamente, díselo al de más arriba que se salta todos esos avisos.
Pues con esto igual, te avisará pero te dejará seguir, y realmente no es igual de grave un certificado inválido ahora mismo que un aviso de que la página fue hackeada hace medio año pero ahora está bien.
Elegir te dejan elegir en todo: Cuando te salta el antivirus, por defecto bloquea pero puedes dejar pasar al virus. Cuando se va a ejecutar un programa por defecto no se ejecuta pero te deja aceptar para ejecutarlo. Cuando abres un documento con macros te avisa pero puedes darle a ejecutarlas. Cuando entras en una web con malware, te sale el aviso pero te deja continuar.
Al final la decisión es del usuario y es lo correcto.
A continuación vienen la catástrofe de la privacidad porque el naviegador "informa" de las webs que estás visitando.
#14 Exacto. Prefiero protegerme yo solito.
#11 #14 #18 No recopilan nada, no hay ninguna catástrofe de seguridad, se comparará en local del mismo modo que lo hacen cuando te avisan de que una web no es segura por ser sospechosa de phishing o malware.
#19 "¿No será otra herramienta para saber que webs visitas? "
Si lo hacen en local, no.
#17 ¿Cómo tienes tú puesto firefox para que te salgan tantos avisos? porque no sale ninguno en la seguridad social, ni en hacienda ni en ninguna parte que yo sepa ¿tendrás a lo mejor mal los certificados raíz? o simplemente no tienes los de la FNMT.
#21 ¿Cómo sabes que se hace en local? ¿Se descarga una lista de dominios cada X tiempo y lo compara en local? Pues va a ser que no, hacen una consulta a la API que ya comenté en #19
https://blog.mozilla.org/security/2018/06/25/scanning-breached-accounts-k-anonymity/
https://nakedsecurity.sophos.com/es/2018/06/26/mozilla-tests-new-firefox-privacy-monitor-tool/
#22 Porque es lo que hacen con su protección contra páginas de malware:
https://support.mozilla.org/es/kb/C%C3%B3mo-protegerse-Phishing-Malware-con-esta-herramienta-Firefox#w_lcahmo-funciona-la-protecciahn-contra-el-malware-y-el-phishing-en-firefox
Que cada 30 minutos se baja la lista a tu ordenador.
Lo que tú pones trata sobre comprobar cuentas de usuario/correo, lo que es "un poco" difícil hacer en local cuando la lista cuenta con 5 mil millones de registros, pero la lista de páginas hackeadas, que es de lo que trata la noticia, no es tan larga y es perfectamente factible hacerlo en local.
#23 Supongo que has comentado sin leerte antes las noticias que puse en #22. Un resumen.
"Sin embargo, la integración con los usuarios de Firefox viene con nuevas demandas, preservando la privacidad, por lo que la otra mitad del anuncio de Firefox se tomó con la forma en que los dos asegurarán esto cuando las personas ejecuten búsquedas de Privacy Monitor.
Esto se hará a través de la implementación de Cloudflare de un principio matemático llamado k -Anonymity , que ya es parte de la forma en que HIBP funciona como una forma de garantizar el rendimiento, pero también para proteger su API del abuso de los ciberdelincuentes.
El truco es tratar de enviar una dirección de correo electrónico sin que el servicio sepa con certeza de qué se trata. Suena complicado pero hay una manera. Dijo Cloudflare en un blog reciente :
El problema clave en la comprobación de contraseñas contra la antigua API de Contraseñas Pwned radica en cómo se verifican las contraseñas; con los usuarios que efectivamente deben enviar hashes de contraseñas sin sal para identificar si se infringe la contraseña.
SHA-1 hash de la dirección de correo electrónico podría enviarse en una forma segura y salada, pero eso aumentaría las demandas de cómputo y los tiempos de respuesta lentos.
En Cloudfrare's k -Anonymity, solo los primeros seis caracteres del hash de la dirección de correo electrónico se envían a HIBP en nombre de Firefox. La base de datos genera una lista de todos los hashes que conoce que comienzan con estos caracteres, y los devuelve en un único "cubo" al cliente que los compara con un hash local; si encuentra una coincidencia, se ha filtrado esa dirección de correo electrónico. ."
No gracias.
#24 Estás mezclando.
Lo que tú dices es el servicio de mozilla para comprobar si tu cuenta de correo ha sido hackeada, aquí: https://monitor.firefox.com/
Lo que dice la noticia es que firefox te avisará de si la web que estás visitando ha sido hackeada, y de serlo, te mostrará un botón para si quieres comprobar tu cuenta en firefox monitor.
#11 #21 Y omicrono me dejara leer sin acpetar cukis! Guay!!
cada vez hay menos diferencias entre una web hackeada y otra sin hackeo añadido.
Qué bueno!, aunque del dicho al hecho, hay un trecho.
Parece que lo que han integrado es esto https://haveibeenpwned.com
No se que pensar de ello. Por un lado el titular de la noticia es un poco erróneo, realmente no te avisa si una web "está hackeada", te avisa si HA SIDO crackeada y por tanto comprometido tus datos, lo que hagas en el presente cuando visites la web da absolutamente igual, lo importante será cambiar la contraseña de ese servicio (si es que tienes cuenta) y en los servicios que han hackeado en los últimos años y yo tenía cuenta me han enviado un correo avisándome del problema para que cambiase la contraseña. ¿No será otra herramienta para saber que webs visitas? Llevo un tiempo pensando que ha debido haber cambios en las altas esferas de Mozilla, se dirige hacia un lugar que no parece el paraíso de la libertad. Que Firefox fuera eliminado de Fdroid por integrar GCM ya debería ponerlos en aviso, además de incluir servicios de Leanplum.
Hace un par de meses abandoné definitivamente Firefox, toda mi puñetera vida usándolo y antes Netscape, pero últimanete desde hace un tiempo a esta parte no me gusta ni un pelo los movimientos que he visto y con la estocada de cargarse XUL para mi tristemente ha muerto como navegador, están perdiendo usuarios a chorrón. Cuando salió Chrome los usuarios "normales" que usaban FF se fueron a Chrome, los que quedabamos en FF lo usabamos principalmente por su personalización, si le quitas la gran ventaja que tenía sobre los demás... pasa lo que está pasando, fuga de usuarios. Yo me he pasado a Vivaldi y estoy encantado, aún sin ser Open Source tiene una comunidad del estilo, muy activa donde todos podemos participar y dar sugerencias que son tomadas en cuenta.
#19 Tu contraseña en meneame ha sido interceptada.
Indica tu anterior y nueva contraseña a@dechado
para continuar como usuario no suplantdo.
Y asi de facil...
seguro que los hackers no haran nada en la web para saltarse esto sssseeeguuro...
#3 Segurísimo, como que no pueden hacer nada. Una vez se sabe que la web está hackeada, firefox comprobará qué dirección estás visitando y si esta aparece en su lista de páginas hackeadas, y si aparece, te avisa. Contra eso ¿qué pueden hacer los hackers? nada.
#5 si es lista negra de url si pero... desde que la página esta hackeada hasta que este en la lista negra de firefox... te la cuelan..
#5 y si hackean la lista de facebook?
Menéame luce como si estuviera hackeada siempre.
Por fin podremos ver porno sin que nos pidan un rescate de parte del CNP (¿o me hago la picha un lío?)
#1 Te lo ha dicho un amigo que pasa eso?
#15 Pues claro, yo solo visito Menéame y la web de la conferencia episcopal
Yo siempre tiro pa'lante con los avisos de certificado inválido, esto no será impedimento
Y si el que avisa es el hackeador ?
Esto no es lo que hace Chrome ya hace rato?
#26 Ya he añadido las excepciones que he necesitado, claro. O utilizo otro navegador.
Pero bueno, a lo que voy, siendo un profano en el tema, un mero usuario, es que supongo que hay varios tipos de certificaciones, o qué se yo, y que según que navegador utilices estás entrando en el infierno o en un sitio más o menos normal.
Firefox se pasa el día avisando de los certificados inválidos de páginas como las de la Seguridad Social (y otras institucionales), en las que tienes que entrar sí o también. Así que al final estas cosas no sabes si es verdad o es una chorrada, o qué.
#17
A) Puedes añadir excepciones permanentes
B) Es culpa de esas instituciones
Y de paso, recopilaremos todas tus visitas web sin agobiar a los paranoicos.
Pues vale. Otra opcion a deshabilitar hasta que salga el Firemnium (mas libre y sin seguimiento por defecto)
O no...
Espero que se pueda desactivar... porque seguro será más una molestia más que una ayuda... como siempre...
Eso ya esta funcionando desde hace algun tiempo, espero que la notica ahora, implique lo que han mejorado.
En el post dice, como nos va a notificar alertas, pero eso de que se basará en una lista, la cual se actualiza cada tantas semanas es un potencial problema para los webmasters, pues esa lista referida puede dejarte “penalizado” buen tiempo después de que tu como webmaster ya hayas solventado el problema.
Me huele a una nueva forma más para censurar contenido bajo excusas, mandando a los usuarios mensajes DE MIEDO para que no entren a tal o cual sitio web.
#28 La lista se actualiza cada media hora, así que muy poco tiempo te va a penalizar, pero es que realmente lo que van a hacer, según la noticia, es decirte "el 23 de marzo este sitio ha sido hackeado" aunque estemos ya a diciembre, o "en los últimos 12 meses hackearon esta web tres veces" así que para el webmaster no importa mucho la frecuencia conque se actualice la lista. Sí importa para el usuario, para que reciba a tiempo el último hackeo.
A ver, que esto ya funciona desde hace tiempo con las webs sospechosas de tener malware.
#29 tu en 3 lineas lo has explicado mucho mejor que todo ese post.
Gracias