Transformación digital | Noticias | 10 ABR 2015

Expertos en seguridad dan la bienvenida a la maniobra de cifrado de Firefox

Expertos en seguridad han dado la bienvenida al paso de Mozilla de añadir el "cifrado oportunista" en su navegador web Firefox, ofreciendo cifrado no autenticado sobre TLS para datos que de otra forma estarían al aire.
Firefox-teclado-chula
Maria Korolov, CSO (US)

Según Patrick McManus, un desarrollador en red en Mozilla, esto ayuda a proteger contra el espionaje pasivo, y también ofrece alguna protección de integridad a los datos. No obstante, no protege contra ataques activos de intermediación, así que recomienda la utilización del cifrado completo mediante https para todo el que pueda hacerlo.

 

“Pero si se tiene una gran cantidad de contenido antiguo que no se puede migrar todavía a HTTPS, debido normalmente a interacciones con terceras partes, el cifrado oportunista es una mejora sobre la alternativa de tener el texto al aire”, ha escrito sobre la nueva prestación.

 

Además, ha añadido que hay varios casos en que el navegador volverá al tráfico regular, no cifrado, tales como si los clientes no utilizan los protocolos adecuados, o si el puerto de cifrado oportunista no está disponible.

 

Alguna protección es mejor que ninguna, ha agregado Richard Blech, CEO de Irvine. “Firefox ha dado algunos pasos en la dirección correcta”, añadió. “Forzar a la gente a utilizar HTTP es importante”.

 

El nuevo estándar quita casi todas las barreras al cifrado del tráfico web, ha dicho Terence Spies, CTO de HP Security Voltage. “No puede resistir a los atacantes que puedan alterar activamente el tráfico, pero mantiene los datos privados a los atacantes que estén registrando de forma pasiva el contenido de las conexiones de la red”, ha afirmado. “Si los administradores de los sitios pueden activar el cifrado con una configuración simple, nos lleva hacia una internet donde los datos estén cifrados por defecto. No soluciona todos los problemas de seguridad, pero eleva el nivel de seguridad por defecto de sin protección a privacidad protegida”.

 

No obstante, el cifrado no está activado automáticamente, ha advertido Tod Beardsley, director de ingeniería de Rapid7 LLC de Boston. “El servidor web debe estar configurado para soportar la especificación de Servicios Alternativos, lo que significa que debe haber una actuación por parte de todos los operadores de las web para que funcione”, sostiene.

 

“La idea es que, si los suministradores de contenidos pueden ofrecer su contenido cifrado, y permiten al navegador saber dónde se encuentra, los usuarios no tendrán que hacer nada especial para disfrutar de un nivel mínimo de cifrado”, ha afirmado.

 

Beardsley ha señalado que hay un plugin del navegador, denominado HTTPS Everywhere, que ayuda en este proceso y que ha sido promocionado por el grupo de privacidad Electronic Frontier Foundation en los últimos cuatro años. “Este ha visto cierto éxito entre personas que ya estaban preocupadas por la privacidad”, ha comentado. “Idealmente, si el cifrado oportunista despega, libra a los usuarios de la problemática de la implantación”.

 

El Grupo de Trabajo de Ingeniería de Internet fue el primero en proponer el cifrado oportunista como parte de la especificación HTTP 2.0 a finales de 2013.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información