¿Qué hacer cuando una conexión a un sitio web del gobierno para enviar datos de identificación personal no está cifrada?

Navega tus respuestas
2

Necesito solicitar un nuevo pasaporte, pero el sitio web oficial de mi gobierno para enviar solicitudes que contienen datos de identificación personal no utiliza HTTPS - enlace

Normalmente, si un sitio web es inseguro y no necesito para usarlo, simplemente no lo usaré o encontraré una alternativa segura. Sin embargo, en este caso, estoy perdido: necesito solicitar un nuevo pasaporte y no tengo una alternativa porque es el único sitio web del gobierno. El formulario contiene extremadamente sensible y amp; Información privada, casi toda mi historia de vida, y sería una gran pérdida si se filtrara.

¿Cómo se aborda una situación de este tipo desde una perspectiva de seguridad? ¿La única opción es solicitar a mi gobierno que actualice sus prácticas de seguridad?

P.S. Enviar una solicitud en papel no es una opción, ya que la información debe enviarse a la India de alguna manera y el contratista de procesamiento simplemente volverá a subir los datos utilizando el mismo sitio web inseguro. Es decir, si no han rechazado una solicitud en papel en primer lugar.

    
pregunta jkq 27.03.2016 - 19:04
fuente

2 respuestas

7

Simplemente use la versión https de este sitio que puede hacer simplemente reemplazando http:// en la URL con https:// . Funciona y el sitio también tiene un certificado válido. Y no sé cómo llegó a este sitio, pero si busco en Google 'Solicitud de pasaporte NRI en línea', en realidad obtengo el sitio https como primer resultado.

    
respondido por el Steffen Ullrich 27.03.2016 - 19:59
fuente
2

Bueno, los resultados de SSLLabs son extremadamente interesantes:

  • TLS 1.2 es la única versión segura compatible, que es excelente
  • Se admite el conjunto de cifrado TLS_RSA_WITH_AES_256_GCM_SHA384, lo cual es excelente
  • Se admite una suite de cifrado RC4, lo que es horrible

Mi consejo sería comenzar con Firefox, agregar la extensión HTTPS Everywhere , y una vez que esté instalado, marque " Bloquear todas las solicitudes HTTP "opción.

Esto hará el mejor trabajo para evitar que ocurran solicitudes HTTP normales de las que tengo conocimiento; Es posible que algunas partes del sitio no funcionen, por lo que es posible que necesite una sesión de navegador separada (en un navegador diferente) en el sitio HTTP para consultar sus instrucciones. También es posible que partes críticas del sitio requieran HTTP, como servidores que sirven javascript, pero no lo sabrá hasta que lo intente.

Para obtener el nivel más alto de seguridad disponible, en Firefox vaya a about: config, filtre en "ssl3", y desactive todo excepto el cifrado GCM.

RC4 ya debería estar deshabilitado, por lo que eso ayuda, al menos.

    
respondido por el Anti-weakpasswords 28.03.2016 - 01:13
fuente

Lea otras preguntas en las etiquetas

¿Cuál es la seguridad del código aleatorio para autenticar productos? Evite el acceso de terceros al sistema