El 75% de los sitios web son inseguros
antoniovlAcabo de leer en barrapunto.com una nota que me pareció interesante, la cual comento por aquí a pesar que es un off-topic del tema de Java. Como el título lo menciona, las 3/4 partes de los sitios web que utilizan SSL son considerados inseguros por www.trustworthyinternet.org.
Un certificado SSL para web server se basa en tecnología de Secure Sockets Layer (SSL): Es una llave pública y privada generada mediante el algoritmo criptográfico de llave pública RSA, la cual permite al navegador enviar datos al servidor web de forma segura (todos pueden ver el mensaje pero solamente el servidor puede interpretarlo). El servidor web entrega la llave pública al navegador cuando éste visita la página, y la llave privada se guarda celosamente por el servidor. El navegador encripta la información que desea enviar al servidor (por ejemplo un formulario que enviará por método POST) y para ello solo le basta tener la llave pública del servidor. Por otro lado, para que el servidor pueda interpretar el mensaje, necesita tanto de la llave pública como la llave privada. La relación entre la llave privada y la llave pública es sencilla: Son números primos relativos. El mensaje encriptado es una manipulación matemática, de tal forma que para desencriptarlo es necesario factorizar el producto de los binomios (p - 1)(q - 1) y la fortaleza del algoritmo reside en que dado que p y q son números muy grandes, tomará mucho tiempo (cientos o miles de años) conseguir la factorización. Al que esté interesado les recomiendo esta lectura, en donde se se describe cómo unos investigadores pudieron romper el algoritmo RSA mediante un esfuerzo colaborativo.
La llave pública del servidor se firma digitalmente por una Autoridad Certificadora (Certification Authority) como Verisign, Thawte, etc. La firma digital de la CA no viene gratis, es necesario enviar cierta documentación requerida (comprobantes de domicilio, identidad, pruebas de propiedad del dominio de internet, entre otras) y una vez que la CA está satisfecha de que quién solicita el certificado SSL para web server es realmente quien dice ser, firma digitalmente la llave pública del servidor y es lo que finalmente conocemos como certificado SSL. La firma digital de la CA es lo que nos da la certeza de que el sitio web es auténtico, y no se trata de un pillo que adquirió un dominio de Internet con el nombre "coca-cola" y pretende vender refrescos en línea de manera ilegal.
Desde que se introdujo la tecnología SSL para servidores web se han venido presentando fallas, las cuales se han ido arreglando hasta el punto en que ya es considerado seguro. El problema que se menciona en los artículos es que una gran cantidad de sitios web todavía cuenta con todos los problemas que ya han sido erradicados, y básicamente es a causa de una mala configuración del servidor web. Si alguien aquí tiene a su cargo algún portal asegurado con SSL no le vendría mal verificar que no se encuentren los problemas mencionados en el artíclulo.
- La nota original en barrapunto.com está aquí.
- La la interpretación de las gráficas de trustworthyinternet.com está aquí.
Reader Comments (4)
Sin acritud, en español se dice "cifrar", no "encriptar", que debe ser un falso amigo derivado de "to encrypt"
Aunque la palabra "encriptar" no está reconocida por la RAE, es curioso que su uso tan extendido en el argot informático, sí se reconozca en otros diccionarios:
encriptar v. tr.
En informática, convertir un texto normal en un texto codificado de forma que las personas que no conozcan el código sean incapaces de leerlo: se encriptan datos confidenciales para enviarlos por Internet, o números de tarjetas de crédito.
Diccionario Manual de la Lengua Española Vox. © 2007 Larousse Editorial, S.L.
encriptar
tr. inform. Ocultar datos mediante una clave.
Diccionario Enciclopédico Vox 1. © 2009 Larousse Editorial, S.L.
Lo que demuestra que la RAE no reconoce (todavía) la amplia extensión de su uso, como para incluirla en el diccionario.
En cualquier caso, es seguro que en un medio de debate e información técnicos, como es éste, la palabra encriptar se entiende a la perfección, diga la RAE lo que diga.
Todo ello sin acritud, por supuesto.
A mi me parece, sinceramente, que el espectacular 75% de marras se lo han sacado del forro para llamar la atención, así sin más. Por que si alguien se lee la descripción de como se hace un ataque BEAST y me tengo que creer que lo han comprobado en unos 200.000 sitios ja, ja y ja. Y no, con una herramienta automática ese tipo de ataque no se comprueba.
Una cosa es que realmente sea cierto que las cosas se deberían hacer mejor y mantenerse actualizado en el tema de seguridad es importante y poca gente lo hace (vaya, así que no solo es problema de Java y de los tontos usuarios), pero sacarse números así de la chistera para llamar la atención me parece efectista, por decirlo fínamente.
Punto y aparte de lo acertado de las cifras, yo me he dado cuenta que la seguridad de un sitio web por SSL no es bien entendida por los desarrolladores y a veces ni por los administradores. Si vale la pena dar mas difusión al tema.