EDICIóN GENERAL
344 meneos
808 clics
Uno de cada tres ministerios tiene una página web que "no es segura"

Uno de cada tres ministerios tiene una página web que "no es segura"

Hay cinco ministerios que no tienen su página web cifrada, con un certificado de seguridad que proteja la conexión y la información que circula en el sitio. Tampoco tienen una página web segura el Congreso y el Senado "Si la administración nos advierte permanentemente de que tenemos que tener cuidado con las páginas sin certificado, ella tendría que ser la primera en cumplir y dar ejemplo" La administración no está obligada por ley a instalar un certi

| etiquetas: ministerios , página web , no , segura , españa
#5 MPR *
La mayoría de esas páginas nos han costado millones y son de vergüenza ajena.

Bastante tienen los becarios con pelearse para conseguir que medio funcione como para preocuparse con la seguridad, la adaptabilidad, el rendimiento o el SEO
#5 Touche.

Pobres chavales; veintipocos, recien salidos de un FP y desarrollando webs para el gobierno.
#34 ¿Qué FP ni qué niño muerto? La mayoría habrán hecho un cursillo express y a programar como si fueran expertos, total la administración no se va a quejar por ninguna chapuza.
#37 jajajajajajaja

En primicia; imagen del jefe del proyecto.  media
#5 Triste pero cierto, si las del gobierno funcionan como es debido, que será de los mas de 10.000 ayuntamientos que tienen sus propias webs. manda webs.
% de Empresas supuestamente expertas que están detrás de estás chapuzas informáticas?

Todos sabemos los nombres de los que siempre ganan pliegos, hay que denunciar la mala praxis o no conseguiremos revertirlo nunca.

Estás empresas y el modelo son un cáncer para la informática del estado.

Mientras no nos tomemos en serio que las IT y las constantes demandas se informatización son y serán cada vez mayores, una de las mayores fuentes de corrupción actual seguirán haciendo mierdas a precios desorbitados constantemente.

Porque cuanto más grande sea la mierda realizada, más cara es de mantener.
Es una puta verguenza sin disculpa posible. E invirtuendo una millonada en las web
Las web de las administraciones son una vergüenza: advertencias de seguridad de navegadores, sistemas de administración digital que solo funcionan si tienes internet explorer o Firefox sin actualizar desde el año 2015, aplicaciones súper poco intuitivas...
En general las webs de las administraciones son una puta chapuza y una basura. Yo me tengo que pelear con varias a diario para automatizar ciertas gestiones y, por ejemplo, el javascript que tienen las webs de la seguridad social es DEMENCIAL. Es una puta locura. Se nota que ha sido hecho por un montón de gente diferente y cada uno ha hecho lo que le ha dado la gana. Código que no sirve, código duplicado, código espagueti, chapuzas a cascoporro. A esa gente parece que le han enseñado a…   » ver todo el comentario
#11 Tendrías que echare un ojo al e-Reg, el sistema de registro de documentos de la Comunidad de Madrid. Parece que cogieron a dos o tres pringados voluntariosos que hicieron lo que pudieron. El sistema de control de versiones consiste en añadir nombre y fecha a los comentarios del código, te pongo algunos literalmente:

<!-- Carlos 29-01-03 **INICIO* funcion Javascipt para quitar DIV al cargar la pagina -->

<!-- Juan Cambio de orden -->

Se satura siempre en horas punta, la interfaz es demencial, pop-ups por doquier, funciona en según qué versiones del Internet Explorer, a veces se corrompen documentos...
#70 Sí, cierto, es una constante en estos casos, el mismo modus operandi, el mismo estilo chapucero. Echan kilos y kilos de becarios con una pala la hoguera del proyecto y luego ese es el resultado.
Uno de cada tres, ni que hubiera cien ministerios.
#15 Es completamente absurdo tener que depender de la FNMT para validar el certificado de una página web.
#19 #17 Todas las entidades certificadoras requieren que sus claves públicas estén instaladas en el sistema operativo (si el navegador usa el almacen de certificados de windows: explorer, chrome,edge) o en el almacén de certificados del navegador (Firefox).
Si la mayoría de veces no necesitáis hacer esta operación es porque los certificados se han instalado de origen, pero la mayoría de entidades certificadoras gubernamentales como la FNMT se tienen que instalar expresamente.
#27 lo dicho, el usuario medio no sabe como hacer eso, asi que lo estan haciendo mal.
#19 O mucho me engaño o los certificados principales de la FNMT hace tiempo que vienen preinstalados en Firefox, Chrome y Edge.

#17 Es completamente normal y recomendable que se dependa de la FNMT, un organismo del estado español y no depender de ninguna manera de emisores extranjeros. Así como también sería recomendable que todo software de las administraciones fuese de código abierto y no depender de empresas extranjeras pero al menos hagámoslo bien con los certificados.

#29 Podríamos empezar por decir que eso fue reportado hace 12 años y fue corregido hace 3 años.
#33 el certificado del catastro esta firmado por la fnmt y a dia de hoy, con chrome 78, mi navegador no se fia de ella. cualquier accion manual que yo tenga que hacer para corregirlo debe estar al nivel de mi madre.
#35 Acabo de entrar con Edge (Chrome usa los mismos certificados ) y sin ningún problema he usado mis certificados de la FNMT para acceder a "Mi Catastro -> Inmuebles" .

No obstante, el catastro utiliza un certificado subordinado de la FNMT, yo dije el certificado principal. Si quieres, creo que es este el que debes instalar: www.sede.fnmt.gob.es/documents/10445900/10526749/AC_Administracion_Pub
#35 Algo habrás hecho, porque la raíz de la FNMT viene incluida tanto en Windows (por lo tanto en Edge y Chrome) como en Firefox ni se sabe ya los años.
#42 hay vida mas alla de windows como para generalizar y culpar al usuario, no crees?
#45 Claro que hay vida más allá de Windows (yo mismo en casa uso elementary OS desde ya hace al menos 7 años). Pero uno tiene que ser consciente de que si no utiliza los estandares de facto le toca mirar como se ponen las cosas en marcha. Y hablamos de algo extremadamente sencillo. En Linux o Mac tan sencillo como instalar un paquete. En otras plataformas descargar la raíz y añadirla al almacén correspondiente...

Por otra parte el usuario "promedio" (al que ni le van ni le vienen estas cosas) utiliza Windows, y lo sabes perfectamente.
#46 lo dicho, si mi madre no sabe hacerlo, lo estan haciendo mal.
#47 Tu madre no tiene que hacer nada. Va a la tienda y dice "dame un ordenador muchacho". Y el ordenador que le dan trae un sistema operativo que integra los certificados en cuestión. Fin de la historia.
#48 depende cual compre.
#47 A expensas de que los de la FNMT sí que tienen un poco de circo montado con sus certificados, no puedes comprarte un ordenador y pretender usarlo sin tener un mínimo de formación. Si vas a usar un certificado en un ordenador, se entiende que ese ordenador no es un juguete así que debes tomarte al menos diez minutos en aprender cómo instalar por tu cuenta un certificado raíz. Podría ser menos engorroso pero tampoco es tan complicado.

Luego nos extraña que haya gente que descargan malware y se lo instalan tan panchos pensando que es un aviso de correos, como ya ocurrió, que incluso tuvieron que superar un captcha para instalar el malware.
#50 la administracion no puede pretender empujarnos a internet en estas condiciones.
#56 ¿qué condiciones? El certificado principal de la FNMT viene preinstalado en cualquier navegador. Si en algún caso particular necesitas un certificado subordinado que no viene preinstalado, instalarlo es trivial.

Si aún me dijeras sacarte un certificado personal, pues vale, pero lo otro no tiene tanta complicación.

La noticia del meneo ni siquiera habla de este tema sino de otros problemas.
#58
> Si en algún caso particular necesitas un certificado subordinado que no viene preinstalado, instalarlo es trivial.

Toda negociación TLS necesita incluir toda la CA chain, salvo el root CA que es opcional ya que se puede obtener a partir del issuer. No hay discusión posible, lo dicen varios RFC y en el caso de versiones recientes de TLS si no se incluye es un fatal, todo lo demás son chapuzas.
#61 ¿Y eso que tiene que ver conque para entrar en el catastro solo tenga que clicar en el link, agregar el certificado y a correr?
#63> ¿Y eso que tiene que ver conque para entrar en el catastro solo tenga que clicar en el link, agregar el certificado y a correr?
Pues que meter una CA intermedia no es algo que le puedas pedir a un usuario normal y corriente y que además es incorrecto de acuerdo al RFC de TLS 1.2: tools.ietf.org/html/rfc5246#section-7.2.2

Era así también en veriones previas pero no los tengo en favoritos y paso de andar buscando.

Sobre el #62 directamente me da pereza, te lo he explicado varias veces. Si quieres entenderlo aquí está el RFC de turno, te lees la sección 5 y si lo entiendes bien y sino no te dediques a mantener una CA profesionalmente ni aunque sea interna. tools.ietf.org/html/rfc3647#section-5
#64 ¿Ah no? ¿y puedes pedirle que meta una CA raíz? ambas cosas consisten básicamente en clicar, descargar, instalar. Una cosa es que sea incorrecto y otra que sea difícil de hacer. Poner 1234 de contraseña es un error pero es lo más sencillo que puede haber.

Sobre lo otro, esto ya salió en menéame, ya lo leí, no has dicho nada.
#64 Por cierto, el certificado de la FNMT viene preinstalado como certificado de confianza en Firefox, Chrome, Edge y otros. Los tres navegadores más usados, de dos de las más grandes multinacionales tecnológicas y la fundación Mozilla, que repudiaron a symantec por insegura, todos incluyen el certificado como de confianza pero tú dices que la FNMT no es de fiar. ¿me estás diciendo que todos ellos nos están vendiendo al incluir un certificado no confiable en sus navegadores?
#58 si te respondo siento que me repito. esta todo dicho en comentarios anteriores, no viene preinstalado en todos los navegadores. de venir, no habria los errores que hay.
#66 Siendo estrictos no conozco todos los navegadores pero sí viene preinstalado en las últimas versiones de Chrome, Internet Explorer, Edge y cualquiera que use los certificados de Windows, así como las últimas versiones de Firefox, tanto en windows como en las distribuciones más populares de linux como Mint, Ubuntu y derivados, yo diría que eso es casi como venir en todos los navegadores.

Si a ti no te ocurre igual, tendrías que mirar el por qué porque eso es así. Descarga p ej. una imagen de Ubuntu o Mint y recién estrenada comprueba como ya viene con el certificado raíz de la FNMT.
#33 Ya se que fue arreglado hace tres años, has leido el bug? Te parece razonable o serio esta forma de trabajar? Yo no me fío de una organización que haya trabajado así. Sencillamente esa gente no es confiable.

La CA es de 2008, es la misma que la del bug y en el bug me demuestran que ni son serios ni saben lo que hacen:
$ curl -s www.sede.fnmt.gob.es/documents/10445900/10526749/AC_Raiz_FNMT-RCM_SHA2 | openssl x509 -inform der -noout -text | egrep -i 'before|after'
Not Before:…   » ver todo el comentario
#57 Que fnmt.es no exponga https no afecta a la seguridad del certificado, este depende de fnmt.gob.es
Que la CA sea de 2008, la misma que del bug, es irrelevante ¿en qué le afecta el bug? El bug era "Add Spanish FNMT root certificate" se añadió, se cerró el bug ¿qué problema ves tú?

¿hacía falta pegar todo eso? podrías haberlo explicado por tu cuenta.
#59
> Que la CA sea de 2008, la misma que del bug, es irrelevante ¿en qué le afecta el bug?
Has leido el bug? La CA se considera segura porque es de confianza. Tu ves a esa gente trabajar y te parece mínimamente confiable? Tu confias en una CA que no tiene su propia web expuesta por HTTPS? Te parece que esta gente sepa lo que está haciendo?

> El bug era "Add Spanish FNMT root certificate" se añadió, se cerró el bug ¿qué problema ves tú?
Pero te has leido el bug? De…   » ver todo el comentario
#60 Sí, me he leído el bug y repito la pregunta porque si la misma gente chapucera sacase un certificado en 2018 ¿ese sí te parecería válido? Dame tu versión a ver si nos entendemos.

Los certificados no se gestionan por fnmt.es sino por httpS://www.sede.fnmt.gob.es/es/inicio a ver si va a ser gente distinta la una y la otra. No sé, yo lo dejo caer.

"te parece normal que pasen por bugzilla los links al certificado y al CRL por HTTP"

¿te crees que solo ha habido esa…   » ver todo el comentario
#17 Lo que es completamente absurdo es hablar en ese tono de cosas que uno no sabe como funcionan...
#40 Que es precisamente lo que estás haciendo tu al asumir que no se como funcionan.
#41 Pues se agradecería una argumentación porque a mi también me parece absurdo tu comentario. Si sabes de qué hablas, se agradecería que explicases el por qué piensas eso.
#49 Encantado.

Mi comentario dice exactamente: "Es completamente absurdo tener que depender de la FNMT para validar el certificado de una página web."

Destaco el "de una página web" porque es muy relevante en este caso. Un portal web de un ministerio, en la grandisima mayoría de las ocasiones, va a accederse a través de un navegador por un usuario normal y corriente.

Por lo tanto, es absurdo que dicha página web, o por lo menos su puerta de entrada y las páginas…   » ver todo el comentario
#51 No has explicado los motivos, tan solo dices que no debería ser así, dices que es absurdo que requiera que te tengas que instalar aparte otro certificado pero no explicas el por qué.

De todos modos tú no decías que el problema fuese tener que instalarlo aparte, sea de la FNMT o de Perico, tú decías que el problema es que "Es completamente absurdo tener que depender de la FNMT para validar el certificado de una página web. " Es decir, el problema es que sea de la FNMT aunque ya…   » ver todo el comentario
#52 De todos modos tú no decías que el problema fuese tener que instalarlo aparte, sea de la FNMT o de Perico, tú decías que el problema es que "Es completamente absurdo tener que depender de la FNMT para validar el certificado de una página web. " Es decir, el problema es que sea de la FNMT aunque ya venga preinstalado.

Es cierto que mi comentario da lugar a poder interpretarse de esa manera fuera del contexto del hilo, pero no es lo que quería transmitir. Si el certificado…   » ver todo el comentario
#53 Sí, el certificado principal sí viene preinstalado y funciona sin problemas. De los otros ya no estoy tan seguro, porque hay varios.

Los certificados de la FNMT son una fiesta. Para empezar, si quieres solicitar un certificado personal tienes que usar una versión de Firefox inferior a la 69 o Internet Explorer. Pero es igual, aquí hablamos de los certificados raíz. Pues bien, es que no solo hay uno, tienes el principal y los otros:…   » ver todo el comentario
#15 sin acritud, no te lo tomes mal, pero dime, tus padres las han instalado? no me vale que se las hayas instalado tu, no todo el mundo tiene un hijo ingeniero.

si para abrir una puerta tienes que ser cerrajero, lo estas haciendo mal.
Bueno ya sabemos quienes han desarrollado la mayoria de esas paginas I.D.A asi que no me extraña nada que sean un peoooo...
Ka0 #3 Ka0 *
Si no son seguras incumplen la RGPD, que la cierren ya.
#23 ¿La dirección física de una embajada a la que le tengo que enviar documentos por correo te parece poco sensible?

¿Como puedo asegurarme que el contenido de esta página es auténtico?
www.exteriores.gob.es/Consulados/LONDRES/es/Consulado/Paginas/Localiza

No estamos hablando de un blog estático de fotos de gatos, estamos hablando de una web estática con información importante.

Y es que aunque estuviesemos hablando de un blog estático de fotos de gatos, en 2019 no hay ninguna puta excusa para no utilizar TLS, que es gratis joder.
Viendo las leyes que hacen con todo lo relacionado con Internet y las Nuevas Tecnologías, tampoco me extraña...

Salu2
Me importa una mierda no pensaba visitarlas de todas formas. Si luego se van inventando curriculums. :troll:
#15 Podíamos empezar por debatir si la FNMT es una CA confiable.
bugzilla.mozilla.org/show_bug.cgi?id=435736
#29 Bueno, esa es la opinión de Mozilla, aunque en Ubuntu hay un fix-release que lo incorpora y En Windows viene en el almacén de certificados:

gallery.technet.microsoft.com/Trusted-Root-Program-86901ff5
#29 ¿Puedes desarrollar un poco tu comentario?
Por no decir que para generar un certificado electrónico en la web de la FNMT hay que deshabilitar todas las protecciones del navegador.
#28 ¡Pero si usar https es gratis!
Como decía Joaquín Reyes en un monólogo:
- ¿Cómo desea los sillones cómodos o incómodos?
- ¿Cuánto cuestan?
- Igual
- Pues incómodos mismo
Joder que lo diga la cadenaser.

Bueno han aprendido rapido xD
Si supieses cómo funciona el cifrado de clave pública no hubieses dicho la tontería que has dicho. No estoy asumiendo nada: lo sé a ciencia cierta, igual que si dices que dos más dos son cinco sabría que no sabes matematicas. No es opinable. Decir "es completamente absurdo tener que depender de la FNMT para validar el certificado de una página web" y no saber de lo que se está hablando son todo uno, no caben matices.

--- No respondo por debajo de esta línea ---
la contradiccion es que tengan paginas seguras pero con un certificado no validable
#1 Si el certificado no es validable no son seguras
#7 y por eso te sale el aviso y tienes que aceptarlo a mano. despues de pagar lo que han pagado por la web, es una chapuza.
#8 #1 ¿Ya tenéis las claves públicas de la FNMT instaladas?
Qué tontería de artículo. Es normal y habitual que una web se presente por http y luego cuando se vaya a hacer alguna transacción o intercambio de datos sensibles transite a https.

Otra cosa es que el certificado sea válido, este actualizado, etc...
#21 Es normal y habitual que una web se presente por http y luego cuando se vaya a hacer alguna transacción o intercambio de datos sensibles transite a https.

Es una chapuza como un piano completamente innecesaria en el 99% de los casos (dudo que el sobrecoste computacional de cifrar la web sea un problema en 2019).

Y como apunto en #20, es inseguro, ya que esas webs tienen formularios y instrucciones para tramites por correo y no puede uno validar si la página es un fake.
#22 Dame una explicación técnica de por qué es una chapuza que una web, cuando no hay implicación alguna de datos sensibles, vaya por http. No repares en tecnicismos si quieres.
#23 Una conexión http permite un ataque de man-in-the-middle, lo cual no sucede con https.
Ponle por ejemplo un punto wifi público que ha sido atacado, y un fulano que se conecta a la web del ministerio por ese wifi. Al ir el tráfico con esa web en claro, el atacante puede meter en las páginas servidas lo que le dé la gana. Puede meter por ejemplo un formulario, que en el original no existe, pidiendo ciertos datos o ciertos documentos que pueden llegar a ser críticos. El fulano no tiene…   » ver todo el comentario
#26 Claro, por eso decía que si no vas a mandar información secreta, no hace falta https.
#28 pero es que si no va por http desde un principio ya tienes el riesgo metido. Tú dices que solo pase a https cuando se solicita info sensible... ¿Y si un atacante modifica la parte no sensible para solicitar en ella esa información sensible? ¿Si hace que al pulsar en un enlace que te llevaría a https te lleve a una réplica sobre http y captura tus datos? Para que una web sea segura toda la navegación desde el principio debería ir por https.

Creo que #26 también lo ha explicado muy bien
#72 ¿Si hace que al pulsar en un enlace que te llevaría a https te lleve a una réplica sobre http

No, en cualquier caso donde vayas a enviar algo deberíamos exigir https. Una práctica interesante podría ser que los navegadores para poder solicitar datos al usuario (páginas que contengan inputs por ejemplo), sólo se acepte https.
#21 eso ya no es habitual. Hoy todas las webs deberían ir ya con https, aunque sean un simple blog. Hoy nos conectamos mucho desde sitios públicos. móviles y redes wifi. así que no es muy lógico que la información vaya sin cifrar de ninguna forma como en los años 90.

Que haya gente que sea tan cutre que lo sigue haciendo así, no lo justifica.
#21 No es otra cosa . Si no se puede garantizar la validez del certificado, no es segura
¿No es segura en qué sentido?

Porque, el hecho de que no sea https no implica que no sea segura si no hay nada secreto que asegurar. ¿Que alguien podría suplantarla? Sí... ¿Y qué?
#14 no es la web de administración de router donde accedes solo por local. Hoy por hoy toda aplicación web debería ser https.
#14 ¿Que alguien podría suplantarla? Sí... ¿Y qué?
Nada. Tu vas a la página del Ministerio de Asuntos Exteriores, buscas la embajada de Londres y te bajas los tramites para hacer algo por correo ordinario.

www.exteriores.gob.es/Consulados/LONDRES/es/Consulado/Paginas/Localiza

Resulta que si alguien la ha suplantado y te ha colocado una dirección que no es la de la embajada, le estás enviando documentos importantes a vete tu a saber quien.
comentarios cerrados

menéame