A principios de año, Emily Schechter, responsable de seguridad de Chrome en Google, anunció en una entrada de blog que, a partir de la versión 68 de Chrome, el popular navegador marcará todos los sitios
|
etiquetas: web , cifrado , españa , periódico , emily schechter
Esto evita también por ejemplo (es solo un ejemplo eh, pero hay mil) que una extensión maliciosa del navegador pueda llevarte a "su propio google.com" porque el certificado no validará y el sitio usa HSTS.
En un periódico online como del que se habla aquí lo mismo, un ataque de robo de identidad del sitio podría hacernos pensar que estamos entrando en una web de confianza cuando no, y a partir de ahí usar esa confianza para hacer descargar algo malicioso al usuario, colarle alguna noticia falsa , yo que se, cualquier cosa.
Con respecto a la integridad, hay ataques en donde se intercepta el tráfico y se modifica tipo MitM, si tu te conectas el pais, alguien intercepta la petición o la respuesta y te mete un payload con lo que le de la gana, por ejemplo un javascript con alguna extensión maliciosa (si a alguien le interesa puede mirar por ejemplo beefproject.com/ ) pues estas muy jodido, porque con un poco de habilidad pueden usar esa pestaña de navegador para prácticamente cualquier cosa.
En fin, que no es solo el cifrado, son muchas más cosas, hoy en día TODO debería estar cifrado, hasheado y autenticado, no hay excusa de rendimiento que valga.
De hecho siendo como es algo de interés general el propio Estado debería ofrecer servicios de generación de certificados para sitios web. Pero náááááá, esto tiene que salir de los de abajo como ya ha ocurrido con el DNIe.
Sobre la importancia de cifrar contenido no confidencial, de nuevo: hace unos años no había evidencias tan claras de espionaje masivo, por lo que este tema no estaba en la agenda de empresas como Google.
Sólo queda una versión para el exterminio de las páginas http
Que te van a espiar cuando entras en elmundo? En todo caso querran recopilar telemetria para meterte publicidad, saber en que noticias entras, en que periodico entras, para saber lo que te interesa y google analitics y el boton de facebook que se encargan de eso funcionan sin problemas con https.
Ya están balanceando el Ftp con la telemetría otra vez. Anda que...
Esto evita también por ejemplo (es solo un ejemplo eh, pero hay mil) que una extensión maliciosa del navegador pueda llevarte a "su propio google.com" porque el certificado no validará y el sitio usa HSTS.
En un periódico online como del que se habla aquí lo mismo, un ataque de robo de identidad del sitio podría hacernos pensar que estamos entrando en una web de confianza cuando no, y a partir de ahí usar esa confianza para hacer descargar algo malicioso al usuario, colarle alguna noticia falsa , yo que se, cualquier cosa.
Con respecto a la integridad, hay ataques en donde se intercepta el tráfico y se modifica tipo MitM, si tu te conectas el pais, alguien intercepta la petición o la respuesta y te mete un payload con lo que le de la gana, por ejemplo un javascript con alguna extensión maliciosa (si a alguien le interesa puede mirar por ejemplo beefproject.com/ ) pues estas muy jodido, porque con un poco de habilidad pueden usar esa pestaña de navegador para prácticamente cualquier cosa.
En fin, que no es solo el cifrado, son muchas más cosas, hoy en día TODO debería estar cifrado, hasheado y autenticado, no hay excusa de rendimiento que valga.
Por cierto, y ya como fin (espero) al tema.
El problema del rendimiento tiene soluciones facilísimas:
- Soltar pasta y aumentar proceso/memoria en los servidores, que hoy en día no es nada caro
- Usar servicios escalables en la nube, o montar una nube híbrida para los momentos de carga máxima.
- Usar un CDN que haga el offload de SSL, como cloudflare o si no te fias..
- Usar un proxy inverso propio que solo haga el offload de SSL
Vamos como decía antes, no hay excusa, si la hay es que no se sabe lo que se tiene entre manos.
El coste del cifrado solo tienesentido en páginas webs "caseras".
Por cierto, elpais.es sí que está cifrado pero la noticia dice que no.
La de máquinas que levantará marca.com cuando suceda un evento relevante, y más ahora que todos los sistemas escalan automáticamente, hace que el coste de encriptado sea despreciable para el negocio.
Ha sido desidia, sin más.
Pero el espectáculo de los cuñados explicajndose es como una reserva africana en los documentales.
To sum it up, let me quote Ilya Grigorik: "TLS has exactly one performance problem: it is not used widely enough. Everything else can be optimized."
Por cierto sobre eso hice un minicurso en udacity hace muy poco, hecho por google y esta explicado de manera muy simple, con ejemplos muy sencillitos y tal : eu.udacity.com/course/client-server-communication--ud897
Igual a alguno le interesa
- En el futuro los "Cuñados" llamarán al resto "cuñados" (Un Cuñado, 2018) -
Por ejemplo, las páginas de mi sitio web que aquel año no usaba https solían cargar en 0.5 segundos. Hoy en día usa https y con el mismo coste de servidor cargan en menos de 0.3 según alexa (adjunto imagen)
Y q pasa con las caches? No se cachea nada?
#28 Cada comentario se me van ocurriendo más cosas A ver, resumo las que ya se han dicho y las nuevas, cosas que te pierdes hoy en día si no usas HTTPS:
- No cifras, aunque a algunos os importa un.. pero en fin , derivado de eso:
- Eres vulnerable al espionaje masivo, del ISP, del tio del bar al que te conectas y de quien le de la gana
- Cualquier proxy puede recopilar estadísticas no solo de los sitios que visitas, si no del contenido concreto que te interesa
- No puedes verificar Identidad (Ataques de envenenamiento DNS, robo de identidad, secuestro de servidores, MitM, etc)
- No puedes comprobar la integridad (Los ataques de arriba básicamente pero con inyección de payloads)
- No puedes usar HTTP/2
- No puedes hacer PWAs, que con la cantidad de móviles que acceden a una web hoy en día es un suicidio, porque no puedes controlar cómo carga la app en determinadas condiciones, por ejemplo cuando no hay cobertura, o como se controla la caché, o si se puede añadir como app, etc
Entre el rastreo de motores de búsqueda y los usuarios, mi web tiene aproximadamente 3 solicitudes por segundo (Ten en cuenta que Alexa solo te muestra la velocidad de la web si superas los 20.000 usuarios al día). Hay picos que puede llegar a 20 solicitudes por segundo. Pago por un servidor dedicado menos de 30€ al mes y rara vez supera el 20% de ocupación de la CPU estando todo - Bases de Datos (usa dos instancias), Servidor de Aplicaciones y Proxy nginx - en la misma máquina.
Y por cierto, a Google le interesa el https por esta razón. Sin https , los proveedores se pueden dedicar a recopilar datos de navegación con fines comerciales, y eso para Google es competencia. A ver si os creéis que lo fomentan porque os quieren mucho.
Otro tema es usar https en webs donde el usuario tiene un comportamiento más interactivo, pero en un periódico, el usuario es bastante pasivo. Simplemente es receptor de información.
Noticia errónea
con sitios cifrados por HTTPS, se puede saber que estas conectandote a 'El Pais' (cosa que ya de por si es bastante mala), pero no pueden saber que URL exacta estas accediendo.
con HTTP plano, practicamente te estas bajando los pantalones mientras cantas 'esta sera su casa, para lo que quiera y mas...'
Una empresa, claro, una web que haces algo más chorra... Pues no me compensa el tiempo de "investigación"
certbot.eff.org/lets-encrypt/ubuntuxenial-apache
ejemplo
Pero como no vi más entendí que para otros sistemas, o para gente que lo hiciera por sí misma, podría ser un engorro.
Salu2
soy experto en criptografia y no podrá haberlo explicado mejor, me quito el sombrero, imagino que tu también en la industria (ingeniero de algún tipo)
#13
aprovecho lo que comentas para agregar algo mas de información al asunto.
La computación cuántica podría usar el algoritmo de shor para factorizar enteros muy rápido, tan rápido, que se vuelve viable factorizar la cantidad de números necesarios para atacar ECDSA, RSA, etc.
Sin embargo, esto tiene algunas consideraciones:
- La computación cuántica está lejos de poder ejecutar el algoritmo de shor a la escala necesaria para atacar ECDSA y similares. Si bien teoricamente se podría, aun no hemos llegado ahí, y faltan años para que eso pase (incluso si suponemos que la computación cuántica va a vivir un desarrollo exponencial).
- Aunque mañana se pudiese ejecutar el algoritmo de shor a la escala necesaria para romper ECDSA o RSA, tu comunicación de hoy hubiese sido mucho mas segura que sin cifrar. Basicamente por que si bien podrán mañana encontrar el número primo necesario para leer todo lo que te envío y recibistes de meneame, como mínimo sabes con seguridad que hoy, meneame.net es quien dice ser, que nadie lo ha suplantado en la comunicación
- Cuando la computación cuántica avance lo suficiente para amenazar a ECDSA en el corto plazo, cambiaremos los certificados y empezaremos a usar algoritmos resistentes a la computación cuántica, como merkle signatures o rainbow signatures, o cualquier otra cosa que exista en ese momento
Es decir, hoy la computación cuántica no puede atacar ECDSA y faltan años para que pueda hacerlo, antes de que pueda hacerlo ya habremos cambiado de algoritmo y cuando lo consiga y rompa ECDSA, entonces podrá leer los mensajes cifrados de aquel momento, si es que ha guardado toda la conversación hasta la fecha, pero eso no le permite viajar al pasado e impersonar al servidor en la comunicación que tuvo contigo
Salu2