14 de febrero de 2011

Como navegar por https

Hoy en día la seguridad informática se ha visto bastante comprometida debido a aplicaciones como firesheep que permiten esnifear el tráfico en nuestra red y obtener conversaciones y contraseñas de páginas web como facebook y tuenti.

Sin embargo, muchas páginas web como Facebook hay contraatacado usando el protocolo https, la versión segura del protocolo http normal.

Navegar mediante https significa encriptar nuestros datos, y navegar de una forma mucho más segura.

Seguir leyendo 'Como navegar por https'



Puesta en escena

A lo contrario que el oh tan conocido! protocolo http, https encripta todo el tráfico entre el cliente y servidor, haciendo casi imposibles ataques man in the middle o esnifeo del tráfico.

Facebook fue una de las primeras páginas web en implementar navegación por http segura en sus conexiones, contraatacando a firesheep y de paso, siguiendo el modelo de entidades bancarias, tiendas en línea, y cualquier tipo de servicio que requiera el envío de datos personales o contraseñas.


Por fortuna, los bancos online y facebook no son los únicos en implementar https en sus conexiones, ótras como youtube, twitter, wikipedia y el famoso google también permiten la conexión a sus páginas web de forma segura.

He encontrado un muy buen plugin (probablemente, el más importante que he usado hoy en día) para poder navegar  por casi cualquier página web (siempre y cuando ésta tenga habilitado https) de forma segura de forma automática.


Puesta en marcha

Https Everywhere es un plugin para Firefox que fuerza el uso de conexiones por SSL si la página web tiene ésta opción.

Ojo, no todas las páginas web estarán encriptadas, solamente aquellas en las que cifrado SSL.

Recordar, antes de nada, que éste plugin parecido para google Chrome.

De forma automática, las siguientes páginas tienen navegación segura:


  • Google
  • Wikipedia
  • Twitter
  • Facebook
  • Dropbox
  • Tor
  • ....

Sin embargo, el plugin tiene la opción de añadir más paginas web en https, a continuación explicaré como lograrlo.

Descarga de HTTPS Everywhere


Añadiendo páginas

Por defecto, la ruta en Linux donde se guardarán todos los archivos de configuración de éste plugin se encuentra en:

.mozilla/firefox/sm1vdt9e.default/extensions/https-everywhere@eff.org/chrome/content/rules


Para añadir una página web, simplemente creamos un nuevo archivo con extensión .xml que contendrá el siguente contenido, sustituyendo PAGINA por el nombre de la página web y DOM por el dominio (.com, .es..).


<ruleset name="PAGINA">
  <target host=www.PAGINA.DOM />
  <target host="PAGINA.DOM" />

  <rule from="^http://(www\.)?PAGINA\.DOM/" to="https://PAGINA.DOM/"/>
</ruleset>



En el caso de dropbox, quedaría como:


<ruleset name="Dropbox">
  <target host="www.dropbox.com" />
  <target host="dropbox.com" />

  <rule from="^http://(www\.)?dropbox\.com/" to="https://dropbox.com/"/>
</ruleset>



Esto debería funcionar cuando una página web cuyo enlace en http sea http://www.ejemplo.com se convierta en https://ejemplo.com. Si el dominio se cambiara por completo, echa un vistazo a la guía oficial de éste plugin para ver como se crea el archivo .xml.


Conclusión

Https Everywhere, una muy buena opción para convertir casi cualquier pagina web http en https, y navegar mediante https de forma automática.

Un incremente de seguridad importante, que deberían adquirir los navegadores por defecto.

14 de Febrero de 2011
Visto en: Dragonjar

5 comentarios:

  1. Mmmm... no se hasta que punto los ataques mitm no son exitosos contra conexiones SSL, ataques mitm trabjan sobre la capa de enlace mientras que ssl en la capa de transporte, por lo que captación de datos es posible.

    Hace mucho estuve haciendo pruebas para un trabajo de un curso que hice con mitm en mi red local es posible tomar datos enviados por SSL, pruebalo con hotmail (que es ssl) y te devuelve el pass sin problemas

    ResponderEliminar
  2. Monzi, me temo que @Nach0 tiene razón: si te metes entre el router y tu víctima eres tú quien decide qué hacer con la información que este transmite ;)

    ResponderEliminar
  3. Siempre se consigue, de una forma u otra tomar los datos, pero por lo mínimo que podemos hacer es hacerlo más difícil :-)

    ResponderEliminar
  4. Estuve viendo este tema mucho tiempo, y la única forma de saber que tu info viaja segura es usando un tunel ssh.

    Yo lo que hago si me siento algo perseguido, es conectarme a mi servidor mediante ssh, hacer un tunel por algun puerto local, abrir los sockets y utilizar mi conexión de internet de mi casa para navegar estando en el equipo ajeno.

    ResponderEliminar
  5. te adoro, me salvaste un monton :D

    ResponderEliminar