Inicio > Informática > La importancia del login seguro (SSL-TLS)

La importancia del login seguro (SSL-TLS)


La seguridad informática es un tema apasionante y complejo, a la vez que descuidado en demasiadas ocasiones. A este respecto, algo que me preocupa en las aplicaciones web que utilizo / desarrollo es el envío de usuarios y contraseñas en texto plano a través de la red. Es una práctica bastante común, que puede comprometer fácilmente la seguridad de nuestro sistema.

 

SSL o TSL nos permite cifrar la conexión con el servidor de forma que todo el intercambio de datos vaya cifrado. Es la opción más segura porque protege todo el flujo de datos. No obstante, el tema que a mí me preocupa es simplemente la transmisión en plano del par usuario / contraseña; suficiente en las aplicaciones en las que la información que se transmite no es altamente confidencial. Por tanto, en estas ocasiones, se puede utilizar ssl únicamente para dicha operación, dejando el resto de la sesión libre de cifrado, y así no cargar al cliente ni al servidor innecesariamente. Es por ejemplo el caso de Facebook, que únicamente cifra dicho envío (aunque también permite el uso completo de la aplicación sobre ssl). Gmail, sin embargo, utiliza por defecto ssl desde que accedes al formulario de login.

Me suena haber visto algún día de pasada un complemento para Firefox que te advertía de los logins que utilizan ssl y los que no, a modo de protección contra este issue. El caso es que con la salida de Firefox 4.0, y aprovechando un rato de tiempo libre que he tenido esta tarde, me he puesto a buscar dicho complemento, pero lo único que he encontrado han sido complementos que fuerzan el uso de ssl cuando está disponible (por ejemplo, forzarían facebook siempre sobre ssl). Lo más parecido a lo que buscaba que he encontrado, ha sido Secure or Not, que te permite identificar con un simple click de ratón los enlaces y formularios seguros (usan ssl) de la página en la que te encuentres. Desde luego, lo recomiendo 100%. Quizás otra tarde que tenga tiempo me dedique a desarrollar un complemento para firefox que haga lo que yo deseo…

Como anécdota, cabe decir que se ha refrescado mi interés por el tema, dado que actualmente me encuentro trabajando en un centro de eduación que utiliza Moodle como plataforma de enseñanza y, como era de esperar, no utilizan ssl en los logins. Pero este problema de seguridad se ve aún más agravado con el hecho de que existe una red wifi abierta, sin ningún tipo de protección, que permite a cualquiera que se siente en un banco en la puerta del centro obtener de manera gratuita cientos de contraseñas. Lo más triste de todo es que advertí a la dirección sobre este problema hace meses, y no lo han solucionado. Y peor aún, mi alumnos ya conocen este fallo, pues hemos visto ssl en clase y han sido lo bastante inteligentes como para atar cabos…

Categorías:Informática Etiquetas: ,
  1. roma
    marzo 24, 2011 a las 7:58 pm

    Hola, soy un estudiante y agradezco la informacion que nos has proporcionado, porque estoy realizando una pagina web en la que pensaba integrar inicio de sesion en gmail.

    Me gustaria preguntarte si conoces manuales que expliquen este tipo de fallo y como solucionarlo.

    Gracias

  2. marzo 25, 2011 a las 7:32 pm

    Para integrar el login de gmail puedes utilizar OAuth (http://code.google.com/intl/es-ES/apis/accounts/docs/OAuth.html), pero no es de eso de lo que hablo aquí.

    Para utilizar SSL, lo debes configurar en tu servidor web. En el manual de apache puedes encontrar toda la información: http://httpd.apache.org/docs/2.0/ssl/ssl_faq.html

  3. SSL
    agosto 29, 2011 a las 10:38 pm

    A mí también me apasiona este tema, y leí hace poco en un lugar que hicieron un experimento por una ciudad española donde se montaba un hombre con una computadora y al cabo de una hora de recorrido en un autobús normal se señaló que había una gran cantidad de bancos y empresas que no tenían seguridad en sus sistemas.
    Desde luego es un tema grave porque por una parte Internet ayuda a la economía y por otra se está poniendo en peligro y a una escala incomparable con lo que pasaba antes si por ejemplo se robaba un banco.

  1. No trackbacks yet.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s