https: Esa falsa sensación de seguridad


Actualmente la web se utiliza para presentar información de empresas, productos y como plataforma para transacciones de negocios y luego tenemos la denominada web social con todos sus peligros ya conocidos.

Muchas de las reglas básicas de seguridad a la hora de realizar operaciones en Internet, recomiendan que la página web que estemos visitando, empiece por https. Hace tiempo que esta afirmación ya dejo de ser cierta.

HTTPS, es un protocolo que utiliza SSL para transportar los mensajes HTTP, todo entre la comunicación cliente y servidor va cifrado por ello que las viejas técnicas de sniffing ya no nos sirven para estos casos. A medida que avanza el tiempo, la tecnología evoluciona y consecuentemente las amenazas de seguridad tambien. Es por ello, que existen proyectos para explicar y clasificar las diferentes amenazas a la seguridad de los sitios web.

Una de las amenazas descrita en el proyecto de webappsec, es XSS, si bien ya tiene bastantes años, son innumerables los sitios que actualmente son vulnerables a ella, quizá sin percatarse de las posibles consecuencias o ignorándolas arriesgadamente. Existen sitios como xssed que las recopilan diariamente. Pero lo que ha ocurrido recientemente en Italia, tendría que activarnos un resorte de alerta y concienciación.

Phising, XSS, botnets, debilidad inherente al ser humano (parte cliente donde los datos aún están en claro), son ya muchas las amenazas y debilidades lo que hace que simplemente porque una página tenga https:// ya podamos confiar en ella. No ignoremos los peligros que existen a pesar de ello.
Como en aquella famosa canción original de Cole Porter, "Use your mentality,
wake up to reality." Tenemos que adaptarnos a los tiempos actuales con todo lo que ello conlleva, pero al menos que no nos cojan desprevenidos.

Fuente: http://blog.s21sec.com/2008/01/https-esa-f...-seguridad.html