[hm] [OT] Democratización de los certificados ssl

blingesagger blingesagger en gmail.com
Lun Mayo 24 20:07:55 CEST 2010


Pablo Martin wrote:
> On 24/05/10 12:50, blingesagger wrote:
>> Pablo Martin wrote:
>>
>>> pueda hacernos creer que es el router local envenenando las tablas arp,
>>> o podría ser un atacante "global" (que controle la red externa). En la
>>> mayor parte de los casos, si el servicio se come el login por http (como
>>> gmail), ni siquiera nos daremos cuenta de que hemos sido victimas de un
>>> ataque.
>> Gmail? No se muy bien a que te refieres con que "se come el login por
>> http". Yo me imagino más bien que los que nos podemos comer un login
>> por http somos los usuarios si no nos cercioramos de que nuestro
>> navegador nos indica correctamente que navegamos por una página
>> segura. ¿Quieres decir que gmail acepta logins por http? A mi no me lo
>> parece.
> 
> 
> cierto... lo he comprobado y en gmail si q te obliga a entrar al
> formulario por https, por lo que se evita este peligro (ya es cuestión
> de q te fijes en que la página está por https), aún así te la pueden
> liar pero más complicado y es más difícil de evitar.  de todas formas,
> otros servicios si que hacen solo el login por https por lo q no te
> darías cuenta (p, ej. facebook, pero muchos frameworks permiten este
> tipo de formularios http que postean a https).
> 
> de todas formas con nuestros experimentos se podía hacer con gmail,
> aunque no se si habrá cambiado algo ahora o simplemente se puede hacer
> redirigiendo el tráfico https al puerto 80 y ale (cuestión de fijarse en
> el candadito en este caso). también supuestamente para evitar el primer
> problema hay una opción en el firefox para q te avise si vas a postear
> algo por un canal inseguro, el tema es que es imposible vivir con esa
> opción (he probado a activarla y tienes mensajitos de esos cada dos por
> tres, de hecho supongo que viene activada por defecto pero todo el mundo
> la desactiva -con razón :P-).
> 

Jaja, desdeluego que con razón. xD

Pocos sitios en internet he visto con ssl en todo el sitio.

La gran mayoría de blogs y páginas donde puedes registrarte no usan ssl. 
Supongo que debido a sus precios y burocracias.

Espero que con esto de la horizontalización o democratización de los 
certificados, podamos establecer conexiones seguras con mucha más 
tranquilidad y mucho más habitualmente.

Pero ¿para qué necesito que mi página web esté certificada por alguien?

Mejor que en todo caso ése certificado lo dé de forma gratuita un anillo 
de confianza, y no una empresa desconocida que además me quiera cobrar 
por ello.

> besitos!!

Saludetes.

> 
>  p.
> _______________________________________________
> HackMeeting mailing list
> HackMeeting en listas.sindominio.net
> https://listas.sindominio.net/mailman/listinfo/hackmeeting



Más información sobre la lista de distribución HackMeeting