Este envío tiene varios votos negativos.
Asegúrate antes de menear
Google ha cumplido su objetivo con Chrome: ha eliminado la posibilidad de activar WWW y HTTPs por defecto en la barra de direcciones.
|
etiquetas: google , chrome , www , https , internet , navegador
Lo que habría que enseñar a todo el mundo, empezando por los institutos, es que las URL se leen de derecha a izquierda y lo único fiable es el TLD y el nombre del dominio.
Por ejemplo, si tengo una web de contenido estático, sin cookies, sólo mi blog personal y lo sirvo con http, ¿Por qué es inseguro? ¿Que problema hay?
El propietario del dominio no puede eludir la responsabilidad de sus subdominios.
Saber en qué subdominio estás dentro de un dominio grande es importante
Si yo entro en caixabank.juanker.rus está claro que no voy a poderle reclamar nada a nadie pero si entro en juanker.caixabank.es ahí si que puedo reclamar al propietario del dominio.
Pero si tu o tus visitantes sois de interés para un hacker, podría ponerse en medio de una comunicación http y hacerse pasar por tu web para que el visitante viera lo que él quiera.
Este es un ataque habitual en las wifis abiertas. (pero no es la única forma de hacerlo, ojo).
Un pardillo se conecta a la wifi del hacker por que está abierta, escribe www.webdecosmonauta.es y la wifi del hacker le enseña para www.webdelcosmonauta.es (esto es lo que pondrá en la url) una página que pone lo que el quiera e incluye los virus que él considere.
Sin embargo, si tu página es https, aunque puede intentarlo igual, cuando tu navegador recibe los datos el certificado no se corresponde y chrome te saca un aviso que dice algo así como "el certificado no es válido, la pagina podría no ser segura. Quieres continuar?" y un botón gordo que pone "¡Sacame de aqui!".
Al que deberías dar si alguna vez ves ese mensaje.
En móviles hay virus que cuando los tienes en el movil al entrar en una web http te añaden un pop-up que si le pinchas te descargan cosas o realizan acciones "con tu consentimiento" . Este ataque no lo pueden hacer en https sin que el navegador te avise de que está recibiendo datos que no se corresponden con el certificado.
En ese caso si que habría que mirarlo bien.
Cuánto te quiero, firefox.
Al igual que tú, recomiendo a todo el mundo utilizar Firefox o, en su defecto, cualquier navegador libre. A los que les guste Chrome tienen Chromium y sus mods.
claro que se puede e incluso de dominios aparentemente legítimos como "windows.net"
A Falkon le metes el User Agent de Chrome y cualquier web optimizada para este (Maps, GMail, Youtube)... vuelan.
HTTPS cifra la info enviada pero si le das a f12 en tu navegador puedes ver que datos estan enviando en cada peticion por lo que podria demostrarse que estan enviado informacion determinada.
Beneficia al cliente y perjudica a los posibles atacantes, incluyendo los cables submarinos de Google, a empresas como Google que tienen servicios como AppEngine o a proveedores de internet como puede ser Google.
Si Google quiere espiarte no tiene que hacer mas que buscar los datos que has cedido bajo sus terminos al usar sus servicios, no necesitan robar informacion arriesgandose a una multa.
#14 gracias por la aportación.
Bueno, aunque hay muchas otras cosas mal hechas en ese portal
La iniciativa de hacer desaparecer http es global de la industria, no exclusivamente de Google, y hace años que están en ello, incluida Mozilla con su Firefox: blog.mozilla.org/security/2015/04/30/deprecating-non-secure-http/
No se pueden crear subdominios sin tener la administración de la zona.
Por suerte, multiples empresas y organizaciones, incluyendo Mozilla, pero muchas mas, tienen el proyecto de Let´s Encrypt, para ofrecer certificados de confianza gratis para quien lo quiera. Yo he dejado de usar una CA personal que tenia que andar desplegando en mis maquinas y lo he cambiado por uno de estos.
Un atacante podría usar la misma tecnica para hacerse pasar por ti una vez hayas introducido tu login y password para acceder al backend (sin necesidad deconocerlos) . Y el servidor al ser http no se daria cuenta de que hay un acceso malicioso y otro legitimo.
Podría destrozar la web o cargar virus o lo que fuera. Con https eso np puede ocurrir.
Pero dejando esto de lado, que probablemente no ocurra si tu no eres un objetivo...
Cuando hablamos de webs seguras hablamos de seguridad en la navegación para el usuario. Tu argumento de "Pero no es mi web la insegura, sino la red que usa el cliente." en realidad aplica a todo: login, passwords, pagos con tarjetas...
Todo se podría hacer http de forma segura si las redes y los dispositivos fueran seguros.
Por eso hablamos de webs seguras para la navegación y tu blog http no lo sería.