Https background

Cada vez que navegamos a una página web (como arturogoga.com), seguramente habrán notado el http delante. Esto viene de Hypertext Trasfer Protocol, y es un protocolo de redes utilizado como base para la Web. En pocas palabras, cada página web que visitan, utiliza este protocolo (y como HTTP, existen otros, como FTP, o File Transfer Protocol, SSH, telnet, IMAP, y muchos otros).

La “S” de HTTPS viene de “Secure” o seguro, y combina este protocolo con el SSL/TLS. Pero qué hace el HTTPS? En lugar de enviar el tráfico de manera tradicional, lo que HTTPS hace es añadir una capa de seguridad y privacidad, al encriptar la comunicación e identificación hacia un servidor web.

En pocas palabras, si visitan una página como ésta, HTTP basta. Pero para webs de bancos, nuestro correo, redes sociales, donde estamos utilizando servicios de la Web que requieren el uso de nuestra identidad, HTTPS es la alternativa que deberían utilizar.

De hecho, si van a la página de sus respectivos bancos y tratan de ingresar sus datos, es casi seguro que éste esté usando https para la comunicación entre nuestra PC y sus servidores.

Screen Shot 2011 08 09 at 12 13 54 PM

El problema? Que hoy en día, no sólo los bancos contienen información valiosa

Recuerdan a FireSheep? Se trata de una aplicación que se aprovecha de la falta de una conexión segura en Facebook y Twitter. Al monitorear el tráfico entre un punto de acceso WiFi abierto y una PC (cuando, por ejemplo, se conectan a Internet con la conexión de Starbucks), FireSheep podía capturar los datos que flotaban en la conexión, interviniendo y robando la información disponible.

En pocas palabras, FireSheep se aprovechaba de la poca seguridad que ofrecen algunas redes sociales. En la mayoría de los casos, al no usar HTTPS, los servicios como redes sociales sólo encriptan cada vez que ponemos nuestro nombre de usuario y contraseña y nada más. Es decir, todo lo que sucede después, puede quedar a vista de todos. Y esto es precisamente lo que Firesheep hace.

El problema es que muchas de las páginas no implementan el HTTPS por defecto, dejando el trabajo en manos de los usuarios. Pero hoy, veremos un par de extensiones para Chrome y Facebook, que automatizarán todo el proceso.

 

 

 

Cómo activar HTTPS?

Screen Shot 2011 08 09 at 12 24 28 PM

  • Firefox – HTTPS Everywhere: Ya lo hemos mencionado en el pasado, y sigue siendo la mejor opción para el navegador de Mozilla. HTTPS Everywhere busca en cada servicio el protocolo HTTPS y, de encontrarlo, obligará a la página a utilizarlo. En pocas palabras, automatiza el proceso, para así no tener que hacerlo manualmente. Este plugin funciona ya con múltiples websites, como Google, Twitter, Facebook, Wikipedia, y alrededor de 1000 websites más.
  • Chrome – KB SSL Enforcer: Al igual que HTTPS Everywhere, KB SSL Enforcer también obliga a páginas que ofrezcan soporte de encriptación vía HTTPS a utilizarlo. La detección es automática, y si bien no funciona de manera tan completa como HTTPS Everywhere, es la mejor opción que tenemos actualmente
  • Utilizar un VPN – La última opción, es utilizar un VPN. Pueden probar uno como TunnelBear, gratuito, que mencionamos hace poco. Lo que el VPN hace, es actuar como intermediario entre nuestra PC y las páginas que visitamos, encriptandolo todo. De esta manera, resulta imposible para aplicaciones como FireSheep, el ver lo que está ocurriendo. Si suelen conectarse regularmente a puntos de acceso abiertos, es sumamente recomendable hacer uso de un VPN, pues no sólo funcionará con páginas que utilicen el protocolo HTTPS, sino que lo hará con todas.

 

  • Latinska

    hablando de VPNs , habra alguna manera o apps para poder usar en Androids ejem: usar Spotify o Pandora o Hulu en mi Motorola Atrix 4G y la otra pregunta que caja de streaming media (Apple Tv, Roku, Boxee TV etc) me recomiendas y que tambien pueda usar Pandora Hulu etc, Gracias

  • Thank you very much for your post. I’m really interested in your blog and I will be following you in the future. Bye

  • francisco

    muchas gracias por toda la informacion

  • Ivan

    muy interesante el articulo , acabo de ingresar a la universidad y en el campus no permiten conectarnos por https , puedo navegar normalmente por algunas paginas borrando la letra s, pero por ejm facebook no me permite conectarme ( ya que me pone automaticamente la letra s )