¿Podemos eliminar XP de la compatibilidad con HTTPS? Si no, cuando [cerrado]

Navega tus respuestas
8

El soporte para XP fue eliminado por MS el 8 de abril de 2014, hace casi dos años, pero todavía hay muchas personas que utilizan XP para navegar por Internet.

Además, todavía hay muchos sitios como Google o Facebook que ofrecen SSLv3 y cosas similares para soportar XP. Sin embargo, si elimináramos XP tendríamos una seguridad mucho mejor. Podríamos utilizar:

  • ECC
  • Certificados SHA2 (bueno, sí, XPSP3 solucionó el problema, pero muchos usuarios de XP aún tienen SP2)
  • TLSv1.2
  • AES
  • HSTS
  • HPKP
  • SNI, probablemente uno de los aspectos más importantes del alojamiento HTTPS compartido.

Tenemos una situación bastante similar con Android más antiguo (< 4.0), pero a diferencia de XP, tenemos números reales de androides activos en Internet de Google y su número es solo del 3.2%, donde casi podemos ignorarlos.

Y el punto más importante es que todos los que realmente quieran estar en este sistema antiguo pueden usar Firefox, que ofrece todas las funciones de seguridad agradables, y aún tiene XP y la mayoría de las versiones antiguas de Android (Froyo es una excepción).

Entonces vamos al punto:

A la luz de todo eso, ¿ya es "seguro" abandonar el soporte de XP (y el antiguo Android junto con él) de los sitios HTTPS para brindar mayor seguridad? Especialmente viendo que los proveedores de navegadores marcarán aún más vulnerabilidades día tras día. ¿Debemos esperar, y si es así, hasta cuándo?

    
pregunta My1 18.01.2016 - 12:01
fuente

3 respuestas

11

Depende completamente de sitios específicos. Sospecho que muchos sitios con audiencias conocidas ya han comenzado a eliminar el soporte para soluciones específicas de XP: los sitios dedicados al software OSX, por ejemplo, probablemente obtienen un XP insignificante con el tráfico. Es posible que hayan decidido que preferirían tener una mejor seguridad que preocuparse por los pocos usuarios que usan XP.

Por otro lado, los sitios como Facebook probablemente aún ven muchos usuarios de XP, especialmente de países donde la actualización de computadoras es prohibitivamente costosa. Eliminar todo el soporte perdería instantáneamente a esos usuarios, lo que Facebook podría no considerar valioso.

Sin embargo, esencialmente se trata de una decisión de negocios, en lugar de una decisión de seguridad. Si su empresa considera que vale la pena apoyar a estos usuarios, seguirá haciéndolo. Si no, puede dejar de lado el soporte.

Para su propio sitio, es completamente seguro eliminar las características de compatibilidad de XP. Podría perder algunos usuarios, pero no hay nada que lo detenga.

    
respondido por el Matthew 18.01.2016 - 12:10
fuente
5

La única forma de decidir si está dispuesto a perder a los usuarios con XP en su sitio, es averiguar cuántos de ellos hay.

Comienza a recopilar estadísticas sobre eso. Entonces tienes algo que decidir.

Si decide aumentar la seguridad y eliminar la compatibilidad con XP, en función de esos números, también puede mostrar grandes pancartas de información con guías sobre cómo instalar otro navegador para las personas que todavía usan XP en su sitio antes de cortarlas.

    
respondido por el Josef 18.01.2016 - 14:21
fuente
2

Como han dicho otros, comience por medir las estadísticas, cuanto más relevantes mejor. Por relevante me refiero a "representante para sus usuarios", por lo que consideraría el análisis basado en js un poco más relevante que las estadísticas de registro del servidor web si su sitio está destinado a ser utilizado por humanos y al revés si tiene algunas API web que fomente gente para usar.

Luego tome esas estadísticas y tenga una discusión con sus superiores si los usuarios afectados valen la pena retener las correcciones de seguridad. Si tienes competidores, mira lo que hicieron. Si al final consideran que estos usuarios son demasiado relevantes para eliminarlos, intente impulsar una campaña para que esos usuarios se actualicen (detectando sus parámetros de TLS negociados por el usuario o negociados y mostrando alguna advertencia).

Tenga en cuenta que es básicamente imposible detectar el agente de usuario antes del protocolo de enlace TLS (ya que si su navegador no puede negociar una sesión TLS mostrará un error del lado del cliente, no alcanzarán su aplicación), por lo tanto, todas estas medidas deben realizarse antes de implementar los cambios en su oyente TLS.

    
respondido por el rpetre 18.01.2016 - 19:46
fuente

Lea otras preguntas en las etiquetas

Encriptación de servidor a servidor: rotación de claves en el aire. ¿Puede mejorar la seguridad? Implementación de Air-gap para uso en computadoras personales