Adecuada implementación SSL, clave para seguridad de un site


El 80% de las páginas web no han implementado SSL correctamente, por lo que podrían estar enviando información sensible sin ningún tipo de seguridad.





Una configuración incorrecta de SSL (Secure Sockets Layer), el protocolo que proporciona comunicaciones seguras en Internet, está haciendo que las empresas estén transmitiendo información sensible sin ningún tipo de seguridad.

Investigadores de seguridad están hablando sobre fallos de en el sistema Secure Sockets Layer y el hecho de que una gran parte de Internet sea vulnerable a los ataques. En la conferencia de seguridad Black Hat que se celebró la semana pasada ya hubo varias conferencias que hacía relación a este asunto.

Basado en PKI (public key infraestructure), el protocolo SSL es un estándar de facto en internet para mantener las comunicaciones seguras, pero menos de una quinta parte de las páginas web han desplegado correctamente el protocolo, según un estudio publicado por Qualys. De unos 250.000 sites con SSL activado, sólo 51.000 fueron correctamente redirigidos a SSL para la autenticación. Es decir que un 80% de los sites podían redirigir a SSL o no, lo que les hacía vulnerables a ataques man-in-the-middle de Firesheep y otras herramientas.

Existen una serie de fallos de configuración, incluido el uso de cookies inseguras y la mezcla del tráfico inseguro con tráfico seguro en la misma página. Las páginas web que utilizan SSL tienen que redirigir a SSL inmediatamente, en lugar de cifrar sólo una parte de la página, explican en eWeek.

Cuando el usuario ve un candado en el navegador web o alguna otra forma de notificación visual que el site SSL ha desplegado, esperan que sus credenciales estén protegidas, pero es estudio asegura que la mayoría de las organizaciones son conscientes de no estar utilizando SSL en la autenticación a pesar de desplegar el protocolo de seguridad.

El problema, asegura Qualys, es incluso peor en el segmento de la telefonía móvil, porque no hay un elemento visual como el del candando y por tanto no se ve si el tráfico está pasando sobre HTTP o HTTPS.

Fuente:
por Rosalía Arroyo
http://www.itespresso.es/



Otras noticias de interés:

Fallo en Windows por nombres excesivamente largos
Una vulnerabilidad aparentemente ya corregida, ha sido reportada en Windows e Internet Explorer, y se produce por un desbordamiento de búfer al utilizarse nombres largos en archivos compartidos....
Once boletines de seguridad para Mozilla Firefox
La Fundación Mozilla ha publicado once boletines de seguridad para solucionar diversas vulnerabilidades en Mozilla Firefox que podrían ser aprovechadas por un atacante remoto para manipular o revelar información sensible, saltarse restricciones de...
Nueva versión del explorador MSN para finales de año
Para finales de año Microsoft extrenara la nueva versión del navegador MSN Explorer. Se trata de MSN 8.0 que incluirá, entre otras, mejoras en las funcionalidades dirigidas al control por parte de los padres de las actividades en Internet de sus ...
Asumimos que el software libre beneficia a todos de igual forma. Pero, ¿es esto así?
-- El software libre tiene el potencial de cambiar la forma en que las mujeres se vinculan a las TIC, haciendo posible un mayor control sobre las herramientas que éstas usan. Como usuarias, las mujeres tendrán la libertad frente a las tarifas exces...
El fundador de MySQL asegura que la mayoría de los desarrolladores apuesta por un fork
Michael Widenius, fundador y desarrollador original de MySQL, comenta que la mayoría de los desarrolladores pricipales del proyecto MySQL están dejando Sun o lo harán a partir de la adquisición de Oracle. ...
Alerta en Internet: Los europarlamentarios aprueban las enmiendas-torpedo contra Internet
Las enmiendas-torpedo dirigidas a crear una Internet Soviética que hicieron saltar todas las alarmas en la blogosfera fueron aprobadas anoche a las 19:00, prácticamente por unanimidad por todos los europarlamentarios (exceptuando a dos de ellos), i...
El poderoso cifrado nazi, reventado hoy con un portátil
Joachim Schueth (a.k.a. DL2KCD), un radioaficionado de Bonn (Alemania), acaba de superar el reto iniciado ayer, consistente en tratar de descifrar mensajes cifrados por una Lorenz SZ42 y emitidos por radio desde Paderborn (Alemania)....
GNU+Linux es más rápido que OS X y Windows XP en computación estadística
Según el testeo de Jasjeet Sekhon, GNU+Linux es más rápido que Mac OS X y Windows XP en computación estadística. Se utilizó el software R Project (http://www.r-project.org/) corriendo sobre una computadora MacBook Pro con CPU Intel Core Duo de ...
La virtualización será la tecnología estratégica número uno en 2009, según Gartner
Gartner posiciona la virtualización como la tecnología estratégica número uno para el próximo año, no sólo por su “obvia” capacidad para virtualizar servidores sino por su habilidad creciente para virtualizar todo en un data center....
Con una botnet se pueden ganar miles de dólares
José Nazario es una especie de cazafantasmas: investiga y persigue a las siempre cambiantes redes de ordenadores zombie que se esconden en la inmensidad del ciberespacio. Se infiltra en ellas, localiza a los delincuentes que las controlan y ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • adecuada
  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • clave
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • implementacion
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • site
  • ssl
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra