martes, 9 de octubre de 2012

Aprobado el protocolo HSTS - Cuando el HTTPS no es suficiente

La web se esta haciendo cada día mas insegura, provocando incertidumbre entre los usuarios al emplear las redes sociales o checar sus correos electrónicos por que esto puede suponer riesgo de identidad con todo lo que esto conlleva.

El protocolo HTTPS vino a dar cierta seguridad a miles de sitios usados por miles de personas en todo el mundo pero por desgracia los hackers siguen refinando sus ataques haciendo que nadie se sienta seguro de lo que comparte o usa en la red.

Ahora la IETF (Internet Engineering Task Force) aprueba de manera absoluta un nuevo protocolo que se espera se convierta de estándar de todos llamado HSTS (HTTP Strict Transport Security protocol).

¿Que diferencia hay con lo que ya tenemos?, HSTS esta diseñado para que los sitios web tengan la certeza de que se están realizando únicamente conexiones seguras con ellos, para después informar a los navegadores que deben emplear una conexión segura.


Esto funciona porque el servidor responde con un encabezado de estricta seguridad de transporte que a su vez indica al explorador que debe conectar con él mediante el protocolo HTTPS y no sólo para esa conexión, sino para los subdominios también. Ahora el navegador empleará únicamente conexiones HTTPS con ese servidor.

Todo esto se hace con el fin de olvidar la vieja y actual practica que tienes muchos sitios donde se utilizan conexiones HTTP o redirecciones para llevar a los usuarios a páginas seguras, recabando previamente datos sensibles (como nombre de usuario y contraseña) antes de entrar en el modo de conexión segura HTTPS.


HSTS reduce la posibilidad de que un atacante pueda intervenir las conexiones y recopilar datos que pueden intercambiarse durante una sesión que comenzó siendo insegura (HTTP).

No hay comentarios.:

Publicar un comentario

Dejanos saber tu opinión...

Related Posts Plugin for WordPress, Blogger...