¿Es la falta de https razón suficiente para abortar el envío del formulario?

Navega tus respuestas
1

Preámbulo: Estoy asombrado acerca de la calidad de las preguntas y las respuestas en https / SSL en este sitio. Mi humilde pregunta a continuación palidece en comparación.

Tanto en los sitios web profesionales como en los de aficionados, he encontrado el siguiente fenómeno al intentar contactar, es decir, escribir al propietario del sitio web:

En lugar de proporcionar una dirección de correo electrónico [email protected] , se ofrecerá un formulario. Por lo general, este formulario requiere enviar al menos dos campos: su dirección de correo electrónico y su mensaje. - Personalmente, prefiero el correo electrónico simple, ya que se siente más seguro. Si el formulario en sí se presenta y se presenta en https , podría estar más dispuesto a enviar datos (verdaderos, no falsos).

Ahora me he topado con un portal de carreras utilizado por varias compañías que se enfrenta al solicitante con un formulario en * .aspx y el estándar http (no https ). El primero ya me hace sentir incómodo, ya que (¿de forma incorrecta?) Percibo que * .aspx es un lenguaje de Microsoft antiguo / obsoleto. Sin embargo, este último es el último factor de ruptura de confianza para mí (falta de https ).

Este formulario les pide a los solicitantes que envíen datos personales y que carguen su CV como * .pdf.

Mi evaluación del portal de carreras profesionales: no tiene malas intenciones pero no está a la altura de la seguridad de Internet y (protección de) la privacidad de los datos.

Mi pregunta:

  • ¿Es la falta de https razón suficiente para abortar el envío del formulario?

Corolario:

  • ¿Consideraría que los datos privados enviados a través de dicho formulario son efectivamente "públicos"? Solo porque alguien (con mala intención) pudo haber interceptado el envío del formulario sin cifrar, ¿esto ya significa que alguien realmente ha ?
pregunta nutty about natty 11.06.2014 - 09:39
fuente

2 respuestas

3

Un primer comentario es que el correo electrónico es no seguro de todos modos. Tal vez "se siente" más seguro, pero en realidad no lo es. Hoy en día, muchos sistemas de retransmisión de correo intentarán, de manera oportunista, activar algunos SSL cuando el correo salte de un servidor a otro. Sin embargo, si no se establece dicho SSL, los mismos servidores se degradarán automáticamente al modo no SSL y enviarán el correo electrónico como texto simple; una consecuencia es que la intención de un atacante de espiar los correos electrónicos a medida que fluyen no les resultará demasiado difícil de hacer: solo se trata de enviar el paquete falso correcto en el punto correcto para hacer que el SSL falle, y obligar a las máquinas a retroceder. al modo no SSL.

Además, cuando los servidores intercambian correos electrónicos, generalmente almacenan una copia local en un medio físico. Eso es parte del protocolo SMTP . En días anteriores, la confiabilidad de los correos electrónicos se tomó en serio, por lo que el protocolo obliga a un servidor receptor a reconocer la recepción de un correo electrónico hasta que lo haya enviado a un medio físico que resistiría una escasez de energía (en términos de programación, esto significa que el correo electrónico se escribió en un archivo y se realizó una llamada a fsync() para garantizar que los datos no se almacenan simplemente en caché en la memoria RAM).

El resultado final es que un correo electrónico que contiene "datos personales":

  • puede ser interceptado y espiado por atacantes laboriosos (se rumorea que las agencias de inteligencia lo hacen de manera regular, lo que tiene sentido porque para eso se les paga, pero lo más probable es que lo hagan al hacer tratos con el correo). propietarios de sistemas de retransmisión, es decir, ISP);
  • dejará rastros en muchos sistemas que no conoce, listos para ser revelados por la malicia o la incompetencia de las personas que trabajan en organizaciones de la red que desconoce;

a partir del cual llegamos a la conclusión de que enviar dichos detalles a través de HTTP simple puede ser una mejor opción a largo plazo. Al menos, el tráfico HTTP pasa a través de los enrutadores que no tienen una razón legítima para almacenar los paquetes en los discos duros, y de hecho los enrutadores honestos no se dedicarán a tales fugas.

Ahora, un punto más importante es que HTTP, HTTPS, correo electrónico ... son solo para datos en tránsito . Si teme por la privacidad de sus datos personales, entonces su mayor preocupación no debería ser esa operación de transferencia. El problema real es que, por definición, está enviando su CV a una agencia de contratación que no conoce. No puede estar seguro de que lo mantendrán en un lugar seguro y lo cuidarán. En realidad, dado el nivel promedio de conciencia de seguridad, es una apuesta bastante segura que su CV se colocará en algún servidor hackeable, se copiará en múltiples lugares, se intercambiará por correos electrónicos y, por lo tanto, se copiará en múltiples buzones de correo de muchas personas, y probablemente se imprima dos o más. Tres veces con copias que terminan en contenedores de basura totalmente no protegidos.

En ese sentido, la falta de HTTPS no es una buena razón para abortar el proceso de envío, porque HTTPS no mejoraría notablemente la imagen general de todos modos.

Una estrategia más práctica es considerar que los "datos personales" que ingresa en su CV no son, de hecho, datos privados. Estos serán compartidos con varios (muchos) posibles empleadores de todos modos; un secreto que se comparte con muchas personas ya no es un secreto. Solo acéptalo; revise su CV y lo que ingresa en el formulario bajo la base de que no será privado. En cualquier caso, las personas que realmente quieren saber su nombre, fecha de nacimiento y lista de diplomas ya los conocen (por ejemplo, no tiene sentido que oculte mi fecha de nacimiento, ya que aparece en al menos dos lugares en el < a href="http://www.journal-officiel.gouv.fr/"> Journal Officiel , el lugar de publicación oficial para publicar leyes y decretos en Francia). Además, 500 millones de personas revelan mucho más sobre sus vidas en Facebook, y esto (para mi consternación darwiniana) no ha demostrado ser absolutamente perjudicial para su bienestar.

Lo mejor que puede esperar lograr es evitar que sus datos personales sean recopilados automáticamente por rastreadores web sin sentido. Para eso, el correo electrónico, HTTP y HTTPS son lo suficientemente buenos e irrelevantes.

    
respondido por el Tom Leek 11.06.2014 - 14:33
fuente
0

Cuando compara el envío de su CV a través de este formulario con el envío por correo postal (supongo que esta sería la alternativa), todavía confío en el formulario más que en el correo electrónico.

En mi humilde opinión, tiene razón al pensar que un formulario de este tipo sin https es una mala práctica y si la empresa a la que desea enviarle su CV está en el negocio de la seguridad, retiraría mi solicitud.

Con respecto a su pregunta si sus datos se harían "públicos" al enviarlos, diría que no. Usted lo está enviando a la compañía, no lo está publicando. Es responsabilidad de la compañía mantener sus documentos fuera del público.

Solo mi humilde opinión ...

    
respondido por el rdmueller 11.06.2014 - 09:57
fuente

Lea otras preguntas en las etiquetas

malware - ¿Cómo escuchar y cerrar puertos maliciosos? ¿Es Addlashes + htmlentities suficientemente seguro?