lunes, 10 de noviembre de 2014

5.1.2.1 HTTP Seguro

S-HTTP (Secure HTTP) es un proceso de transacciones HTTP (HyperText Transfer Protocol; en castellano, Protocolo de Transferencia de Hipertexto) que se basa en el perfeccionamiento del protocolo HTTP creado en 1994 por EIT (Enterprise Integration Technologies). Este proceso hace posible establecer una conexión segura para transacciones de comercio electrónico mediante mensajes cifrados, y garantizar a los clientes la confidencialidad de los números de tarjetas bancarias y su información personal. La compañía Terisa Systems desarrolló una de las implementaciones de SHTTP para incluir una conexión segura entre los servidores y los clientes Web.

Como Funciona

A diferencia de SSL (Secure Socket Layer) que funciona transportando capas, SHTTP garantiza la seguridad del mensaje mediante el protocolo HTTP, que marca individualmente los documentos HTML con certificados. En tanto que SSL es independiente de la aplicación utilizada y puede cifrar todo tipo de comunicación, SHTTP está íntimamente relacionado con el protocolo HTTP y cifra mensajes de forma individual.

Los mensajes SHTTP se basan en tres componentes:
  • El mensaje HTTP
  • Las preferencias criptográficas del remitente
  • Las preferencias del destinatario
Así, para descifrar un mensaje SHTTP, el destinatario analiza los encabezados del mensaje para determinar el tipo de método que se utilizó para cifrar el mensaje. Luego, basándose en sus preferencias criptográficas presentes y pasadas, y en las preferencias criptográficas pasadas del remitente, el destinatario puede descifrar el mensaje.

Características

El sistema HTTPS utiliza un cifrado basado en SSL/TLS para crear un canal cifrado (cuyo nivel de cifrado depende del servidor remoto y del navegador utilizado por el cliente) más apropiado para el tráfico de información sensible que el protocolo HTTP. De este modo se consigue que la información sensible (usuario y claves de paso normalmente) no pueda ser usada por un atacante que haya conseguido interceptar la transferencia de datos de la conexión, ya que lo único que obtendrá será un flujo de datos cifrados que le resultará imposible de descifrar.

El puerto estándar para este protocolo es el 2485.

Navega más seguro con el protocolo https

Seguramente habrás visto miles de veces en la barra de direcciones de vuestro navegador la palabra "http" justo al inicio de la dirección web que estáis visitando. Eso es un protocolo de transferencia de hipertexto, pero con la proliferación de servicios y páginas con acceso mediante contraseña, HTTP se ha quedado anticuado y es potencialmente inseguro.

Los inicios de sesión


A continuación te explicaremos cómo configurar tuss principales cuentas para habilitar el cifrado de HTTPS, pero primero de todo, un consejo fundamental: las páginas de registro y de inicio de sesión son el principal foco de peligro, y por defecto, cargarán con el protocolo HTTP. Prueba de añadir una "s" al final, manualmente. Tan simple como esto. Si quieres estar tranquilo, accede a tus datos personales sólo desde páginas HTTPS:



Los sitios confirman que son seguros con información verificada, que puedes revisar pinchando en el botón que aparecerá en tu barra de navegación.


Si no pueden ser verificados y, por tanto, son inseguros, nuestro navegador nos advertirá con un mensaje de este estilo:
Tenlo en cuenta especialmente en sitios en los que debemos introducir datos personales privados, como páginas de compra electrónica, tal y como lo explicamos en nuestro artículo sobre estafas en la red.

¿Cómo afecta a mi seguridad el contenido no seguro?
¿Qué es el contenido no seguro?

Cuando visitas una página que utiliza HTTP, tu conexión no está protegida contra escuchas ni ataques intermediario. La mayoría de los sitios web utilizan HTTP porque no conllevan tráfico de información sensible y no necesitan ser seguras. Cuando visitas una página que utiliza HTTPS (candado gris o candado verde en la barra de direcciones), como la de tu banco, la conexión está autenticada y encriptada y, por lo tanto, a salvo de escuchas y ataques intermediario.

Sin embargo, si la página HTTPS que estás visitando incluye contenido HTTP, la parte HTTP puede ser leída o modificada por los atacantes, incluso aunque la página principal utilice HTTPS. Cuando una página HTTPS tiene contenido HTTP, llamamos a ese contenido "no seguro". La página que estás visitando solo está parcialmente encriptada y aunque parece que es segura, en realidad no lo es.


El bloqueo de contenido no seguro bloquea el contenido HTTP potencialmente peligroso de las páginas HTTPS.

¿Qué opciones tengo?

La mayoría de los sitios web continuarán funcionando normalmente sin que tengas que hacer nada.

Si necesitas permitir que se muestre el contenido mixto, puedes hacerlo fácilmente:

Haz clic en el icono del escudo  Mixed Content Shield en la barra de direcciones y escoge Desactivar protección en esta página en el menú desplegable.

El icono en la barra de direcciones cambiará a un símbolo de advertencia naranja  para recordarte que se está mostrando contenido no seguro.

Para deshacer la acción anterior (volver a bloquear el contenido mixto), vuelve a visitar esa página en una pestaña nueva.

El icono es un globo gris a pesar de que el bloqueo está activado

Solo se bloquea la parte potenciamente dañina del contenido HTTP, por lo tanto en algunos sitios puede existir todavía contenido HTTP. En tal caso, la conexión entre Firefox y el sitio web todavía está cifrada parcialmente y no debería considerarse segura en contra de escuchas no autorizadas, por ello el ícono del globo gris.

En el siguiente vídeo podremos obtener más información acerca del tema, ya que se habla más afondo del  funcionamiento de estos estándares/protocolos de seguridad.

No hay comentarios:

Publicar un comentario