Artículo de mierda. Ataques de phising desde un subdominio? www.ejemplo.com es lo mismo que unapollacomounaolla.ejemplo.com

#1 Es que dan a entender que un subdominio es menos de fiar que un dominio cuando es imposible crear un subdominio si no tienes la administración de la zona.

Lo que habría que enseñar a todo el mundo, empezando por los institutos, es que las URL se leen de derecha a izquierda y lo único fiable es el TLD y el nombre del dominio.

#2 No es tan raro que distintos subdominios estén en manos de diversas personas / departamentos / etc.

Yo no entiendo como la gente sigue usando esa mierda. A día de hoy, Chrome es muchísimo más intrusivo que el Explorer 5 o 6 de su época.

Por ejemplo, si tengo una web de contenido estático, sin cookies, sólo mi blog personal y lo sirvo con http, ¿Por qué es inseguro? ¿Que problema hay?

#3 Los subdominios si los pueden administrar diferentes equipos pero nadie que no tenga el control de la zona puede crearlos.
El propietario del dominio no puede eludir la responsabilidad de sus subdominios.

#5 me parece que tú estás pensando en dominios pequeños que gestiona una persona a mano.

Saber en qué subdominio estás dentro de un dominio grande es importante

Pues el Youtube para móviles con cada actualización va a peor.

#6 Hombre, yo entiendo que una gran corporación tenga muchos subdominios pero lo que está claro es que hay un administrador que los ha dado de alta en la zona, por supuesto que alguien puede salirte rana en tu organización pero tú eres el responsable.

Si yo entro en caixabank.juanker.rus está claro que no voy a poderle reclamar nada a nadie pero si entro en juanker.caixabank.es ahí si que puedo reclamar al propietario del dominio.

#4 si ni tu ni tus visitantes son un objetivo, entonces probablemente nada.

Pero si tu o tus visitantes sois de interés para un hacker, podría ponerse en medio de una comunicación http y hacerse pasar por tu web para que el visitante viera lo que él quiera.

Este es un ataque habitual en las wifis abiertas. (pero no es la única forma de hacerlo, ojo).

Un pardillo se conecta a la wifi del hacker por que está abierta, escribe www.webdecosmonauta.es y la wifi del hacker le enseña para www.webdelcosmonauta.es (esto es lo que pondrá en la url) una página que pone lo que el quiera e incluye los virus que él considere.

Sin embargo, si tu página es https, aunque puede intentarlo igual, cuando tu navegador recibe los datos el certificado no se corresponde y chrome te saca un aviso que dice algo así como "el certificado no es válido, la pagina podría no ser segura. Quieres continuar?" y un botón gordo que pone "¡Sacame de aqui!".

Al que deberías dar si alguna vez ves ese mensaje.

En móviles hay virus que cuando los tienes en el movil al entrar en una web http te añaden un pop-up que si le pinchas te descargan cosas o realizan acciones "con tu consentimiento" . Este ataque no lo pueden hacer en https sin que el navegador te avise de que está recibiendo datos que no se corresponden con el certificado.

#6 Ahora que pienso, lo mismo te refieres a esas empresas que vendían subdominios, como geocities etc.

En ese caso si que habría que mirarlo bien.

#4 Porque alguien puede hacer un man in the middle y atacar a tus visitantes, como #9 explica.

#9 ¿Entonces el problema desaparece simplemente si no usas WiFis desconocidas?

Yo creo que el interés de gooogle por el https (es decir, por cifrar las comunicaciones) no es para protegernos, sino para que no sepamos qué envía y recibe su navegador. Así nos puede espiar mejor.

Cuánto te quiero, firefox.

#13 no, si quiero saber lo que envía el navegador, lo tengo bastante fácil, aunque haga uso de https. Siempre puedo utilizar algo como fiddler para romper el cifrado local (y ese no es el único modo)

#13 muy interesante punto de vista. No lo había pensado, pero tiene toda la lógica.

Al igual que tú, recomiendo a todo el mundo utilizar Firefox o, en su defecto, cualquier navegador libre. A los que les guste Chrome tienen Chromium y sus mods.

#2 subdominiophishing.windows.net

claro que se puede e incluso de dominios aparentemente legítimos como "windows.net"

#6 creo que lo que quiere decir es que si delegado un subdominio, tubes que hacelo como responsable del dominio. Esto es, la delegación está en la descripción del dominio. Culaquier subdominio será pues autoritativo en tanto en cuando la delegación este hecha en el servidor de nombres del dominio. Así que, como propietario es responsable.

#15 Firefox o si os molan navegadores basados en QTWebKit2, Falkon.

A Falkon le metes el User Agent de Chrome y cualquier web optimizada para este (Maps, GMail, Youtube)... vuelan.

#13 Aunque la noticia va de que han desactivado una funcionalidad chorra para hacer mas transparente todo...

HTTPS cifra la info enviada pero si le das a f12 en tu navegador puedes ver que datos estan enviando en cada peticion por lo que podria demostrarse que estan enviado informacion determinada.
Beneficia al cliente y perjudica a los posibles atacantes, incluyendo los cables submarinos de Google, a empresas como Google que tienen servicios como AppEngine o a proveedores de internet como puede ser Google.
Si Google quiere espiarte no tiene que hacer mas que buscar los datos que has cedido bajo sus terminos al usar sus servicios, no necesitan robar informacion arriesgandose a una multa.

#9 Todo el mundo sabe que cuando sale un cartel de esos hay que darle a "dale palante que no tengo ni puta idea de lo que pone ahí"

#13 pensándolo bien tiene razón #14.

#14 gracias por la aportación.

#16 eso lo puedes hacer hackeando un servidor DNS, pero no puedes dar de alta un subdominio sin el consentimiento del propietario del dominio padre; y si hackeas el servidor DNS, entonces puedes falsificar directamente el dominio padre (o el dominio que quieras).

Que www es prescindible hoy en día, que se lo digan a dgt.es

Bueno, aunque hay muchas otras cosas mal hechas en ese portal

#18 por supuesto. Lo importante es que sea libre para que el código malicioso sea de alguna forma auditable.

#13 Si Google quiere enviar cosas cifradas desde su navegador no necesita para nada que el resto del mundo utilice https, simplemente tienen que utilizarlo ellos, no veo que tiene que ver una cosa con la otra.

La iniciativa de hacer desaparecer http es global de la industria, no exclusivamente de Google, y hace años que están en ello, incluida Mozilla con su Firefox: blog.mozilla.org/security/2015/04/30/deprecating-non-secure-http/

#16 no creo que MS tenga libre Windows.net.

No se pueden crear subdominios sin tener la administración de la zona.

#26 pues crees mal porque es una herramientas para desarrolladores y está plagado de subdominios maliciosos.

#4 Lol. Crees que la gente va a dejar de usar Chrome por eso?

#7 En que sentido? A mi me va de lujo

#25 Totalmente de acuerdo, y una iniciativa que comparto. La unica cosa que ha retrasado este proceso es que el uso de certificados no firmados por una CA se marca como inseguro en los navegadores, mientras HTTP no incluia el aviso. Una mala idea porque HTTPS con certificados no firmados por una CA sigue siendo mas seguro que HTTP.

Por suerte, multiples empresas y organizaciones, incluyendo Mozilla, pero muchas mas, tienen el proyecto de Let´s Encrypt, para ofrecer certificados de confianza gratis para quien lo quiera. Yo he dejado de usar una CA personal que tenia que andar desplegando en mis maquinas y lo he cambiado por uno de estos.

#9 Correcto. Pero no es mi web la insegura, sino la red que usa el cliente. Y tampoco es insegura del todo, durante muchos años todas las webs han funcionado así.

#27 Según el Whois parece que es de Microsoft. Pues ya hay que ser inútil para permitir barra libre de subdominios sobre uno que lleva tu marca de bandera.

#31 en realidad no.

Un atacante podría usar la misma tecnica para hacerse pasar por ti una vez hayas introducido tu login y password para acceder al backend (sin necesidad deconocerlos) . Y el servidor al ser http no se daria cuenta de que hay un acceso malicioso y otro legitimo.

Podría destrozar la web o cargar virus o lo que fuera. Con https eso np puede ocurrir.

Pero dejando esto de lado, que probablemente no ocurra si tu no eres un objetivo...

Cuando hablamos de webs seguras hablamos de seguridad en la navegación para el usuario. Tu argumento de "Pero no es mi web la insegura, sino la red que usa el cliente." en realidad aplica a todo: login, passwords, pagos con tarjetas...

Todo se podría hacer http de forma segura si las redes y los dispositivos fueran seguros.

Por eso hablamos de webs seguras para la navegación y tu blog http no lo sería.