martes, 9 de diciembre de 2008

https no significa sitio seguro

Es un error muy común creer que por el mero hecho de que en la barra de direcciones del navegador aparezca un "https://" o "el candadito" como dicen algunos usuarios los datos introducidos están protegidos, es un sitio seguro y uno no tiene que preocuparse de nada más.

Esta creencia además se sustenta con informaciones tan imprecisas como la aparecida en el CyberPais.

SITIOS SEGUROS
Otra de las cosas más fáciles de controlar es que la página donde estemos comprando sea segura. Si la dirección web (URL) comienza con HTTPS en vez de HTTP significa que es una conexión segura (S de seguridad), con tecnología SSL, que permite que la información confidencial que introducimos sea enviada al destino de forma segura.

Deberíamos tener claro que https es un protocolo seguro de transferencia de hipertexto, lo que significa que en el mejor de los casos nuestra información viajará por un canal seguro desde nuestro ordenador al servidor de destino. Digo en el mejor de los casos porque ya se están detectando casos de phising sobre protocolos https.
Supongamos que nuestros datos han "viajado" de una forma segura hasta su destino y veamos algunas situaciones que se pueden dar y que hacen que el sitio no sea seguro:

Como he dicho, https asegura el canal. ¿Qué ocurre cuando los datos llegan a su destino y estos se almacenan en una base de datos vulnerable o los datos no se almacenan cifrados de una manera correcta?.
En el caso de las entidades bancarias, es típico que cuando los datos una vez han llegado al servidor del sitio web, estos se propagan a otros ordenadores de la entidad bancaria. ¿Qué ocurre si las conexiones entre estos ordenadores no son seguras?.
¿Qué ocurre si lo que está detrás del https no es trigo limpio?. Por ejemplo, creo una tienda online en la que vendo iPods a 20 euros -un chollo-, me hago autoridad certificadora, creo mi propio certificado digital -total nadie los lee ni se asegura de la fiabilidad de la autoridad certificadora-, implemento el https en el servidor y a esperar números de tarjetas de crédito.
Estas son algunas de las situaciones que pueden pasar, de modo que mejor no dar por sentado que "https" significa seguridad. De momento quedémonos, como mucho, con la última línea de la información de El País: "permite que la información confidencial que introducimos sea enviada al destino de forma segura".

Fuente: http://www.webintenta.com

No hay comentarios: