¿Cuál es el ímpetu para que los sitios principales sean exclusivos de HTTPS ahora?

Navega tus respuestas
31

Me he dado cuenta de que hay una buena cantidad de sitios (Google, Twitter, Wikipedia ) que están publicando todas las páginas de HTTPS .

Puedo entender, dado que todos están preocupados por la privacidad ahora, pero ¿ha habido algún tipo de mejor práctica / ímpetu para este cambio?

Quizás es una de esas cosas que es más fácil de usar, ¿porque obtienes ciertas garantías listas para usar?

Se me ha explicado que podría deberse a problemas de privacidad que se enfatizaron cuando el Firesheep Firefox plugin se lanzó en Toorcon 12 , pero eso fue hace dos años, y me parece recordar que los sitios más importantes hicieron el cambio a HTTPS exclusivo más recientemente.

    
pregunta casperOne 25.09.2012 - 14:22
fuente

4 respuestas

23

HTTPS es la solución más fácil para una gran cantidad de problemas de seguridad:

  • Todas las formas de ataque Man In The Middle son completamente imprácticas con una conexión HTTPS (necesitarías romper SSL o piratear una autoridad de certificación). Esto incluye proteger a sus usuarios mientras están en wifi público.
  • Si alguna página no es segura, y un usuario hace clic en un enlace de "inicio de sesión" (que presumiblemente es HTTPS), un atacante podría reemplazarlo con un enlace a una versión insegura que robe contraseñas. La única forma segura de hacerlo es servir todo el sitio a través de HTTPS o asegurarse de que los usuarios presten atención a la barra de URL. Solo una de esas dos opciones es posible.
  • Dado que todas sus páginas son seguras, no necesita pensar qué páginas son seguras y cuáles no lo son (el usuario hace clic en iniciar sesión - > redirigir a la versión HTTPS - > el usuario inicia sesión - > redirigir de nuevo a HTTP - el usuario > va a su perfil - > redirige a HTTPS ...).
  • Los navegadores modernos proporcionan advertencias de contenido mixto si una página HTTPS contiene contenido inseguro (estilos, scripts) , imágenes, etc.). La mayoría de los navegadores tratan este tipo de páginas como si no estuvieran seguras en absoluto (mostrando el cuadro de URL rojo de miedo). La forma más sencilla de asegurarte de que nunca te encuentres con este problema es simplemente servir todo tu contenido a través de HTTPS.
  • Si solo es HTTPS, puede habilitar Seguridad de transporte HTTP estricta para reducir aún más la vulnerabilidad a los ataques MITM ( una vez que un usuario ha visitado su sitio una vez, su navegador siempre elegirá la versión HTTPS, incluso si se dirige a una URL http:// ).

Honestamente, no sé por qué alguien no habilita HTTPS. Es completamente trivial y puede ser gratis .

    
respondido por el Brendan Long 25.09.2012 - 19:18
fuente
12

"Ataques" son mala prensa. Con un sitio HTTP, un atacante malintencionado podría alterar los datos en tránsito, haciendo que su nombre o logotipo aparezca en lugar de la página deseada. Eso no es crítico de ninguna manera para un sitio que alberga solo información pública (por ejemplo, Wikipedia), pero aún así se ve mal. Con HTTPS, hay cierto nivel de "protección visible": el atacante no podrá colocar su firma en el sitio original; en su lugar, tendrá que montar una versión alternativa con un certificado falso, en cuyo punto el navegador mostrará una advertencia. Se trata de hacer que dichos ataques sean "obvios" para el público en general.

Otra razón, menos racional pero probablemente más común, es la siguiente "lógica" que se encuentra en la mente de muchos gerentes: " La seguridad es BUENA, protege contra BAD PEOPLE y EVILDOERS y TERRORISTAS. HTTPS es seguridad , así que vamos a rociar HTTPS en todos los lugares que podamos. "Esto es defectuoso en algunas formas, pero esto no impide que las personas piensen de esa manera.

Y hay moda, por supuesto. Si Google usa HTTPS en todas partes, sería un marketing suicida, y posiblemente mal gusto , no hacer lo mismo.

    
respondido por el Thomas Pornin 25.09.2012 - 14:35
fuente
5

Además de la privacidad, vale la pena señalar que actualmente SPDY requiere HTTPS para negociar el soporte.

Si bien hay muchas otras formas en que esto podría haberse implementado mientras se mantiene la compatibilidad con versiones anteriores con HTTP / 1.1, solo puedo suponer que estaba causando problemas para muchos proxies. Parece que es probable que HTTP / 2.0 sigan el mismo camino.

HTTPS socava el modelo de almacenamiento en caché distribuido de HTTP que tiene un gran impacto en el rendimiento, por lo que para la mayoría de nosotros, eso significa confiar en CDN de terceros, lo que anula el objetivo de tener una comunicación segura de punto a punto en el primer lugar.

(la única vez que tuve un buzón arraigado fue a través de una vulnerabilidad en openSSL hace unos 10 años, así que quizás tengo una perspectiva bastante distorsionada sobre SSL;)

No me malinterpretes: no creo que haya una solución de seguridad de nivel de protocolo mejor que SSL / TLS, pero no es suficiente por sí sola; Todavía hay muchas brechas para reforzar (cookies, XSS, DNS)

    
respondido por el symcbean 25.09.2012 - 15:30
fuente
2

Estoy de acuerdo con todo lo anterior, pero debo agregar que el cambio a https fue para casi todos, excepto para Google, una respuesta al Firesheep Plugin para Firefox. Esto le permitió secuestrar fácilmente una sesión de usuarios que estaba en la misma red que usted, escribir correos electrónicos desde ellos, publicar en Facebook y Twitter, etc. ahora con https habilitados, no se puede hacer.

Menciono Google como su inicio de sesión de Gmail no era vulnerable a esto. Se han movido a https para 'proteger la privacidad del usuario'. Personalmente no estoy 100% seguro de esto.

    
respondido por el Webxopt 26.09.2012 - 23:51
fuente

Lea otras preguntas en las etiquetas

¿Es Clickjacking una vulnerabilidad de seguridad real? ¿Puedo usar una clave privada como clave pública y viceversa?