domingo 02 de febrero, 2014

HTTPSEverywhere, a la Chilena

Muchos de los problemas de seguridad que nos aquejan en la red están fuera de nuestro control. En mi [último artículo](https://eldiabloenlosdetalles.net/2014/01/22/la-seguridad-de-los-sitios-financieros-y-publicos-en-chile/), mostré como varias instituciones del sector público y la banca en Chile tienen sitios webs cuya seguridad o implementación es deficiente.

Una de esas malas prácticas es no ofrecer el sitio web servido por HTTPS por defecto, o, como discutía en el artículo mencionado más arriba, incluir un formulario de identificación que envía los datos con una conexión segura pero inserto en una página que no lo es. Esto última es una práctica particularmente irresponsable por parte de, por ejemplo, el [Servicio de Impuestos Internos](http://www.sii.cl), [NIC.cl](http://www.nic.cl «NIC Chile, somos el punto CL – NIC Chile») o bancos como el [Santander](http://www.santander.cl/ «Personas – Banco Santander Chile»), que se esperaría deberían tener un profundo interés en educar a sus usuarios a utilizar buenas prácticas de seguridad. Y una de las más básicas es enseñarle a sus usuarios es que deben esperar encontrar una pista visual estándar de que la conexión (o el formulario de identificación) es segura. En el caso de Wikipedia, por ejemplo, la presencia del candado en la barra de dirección de Firefox indica una conexión encriptada:

Visual

En vez, nos encontramos con esto:

Screenshot 2014 02 02 15 05 41

o:

Screenshot 2014 02 02 15 07 55

Donde la única pista visual de la seguridad de la conexión es el candado o llave en el formulario de identificación. De más está decir que la presencia de ese elemento visual no significa nada: un ataque malicioso podría interceptar la conexión de un usuario a una página que se podría ver exactamente igual a la del Sanyander. La página verdadera del Banco Santander transmite la información del formulario vía una conexión segura, pero un usuario no tiene una forma fácil de verificar esto

Afortunadamente, existe una solución relativamente fácil para resolver esto por parte de los usuarios de estos sitios: utilizar [HTTPSEverywhere](https://www.eff.org/https-everywhere «HTTPS Everywhere | Electronic Frontier Foundation»), una extensión para Firefox (con una versión beta para Chrome y Ópera) que permite utilizar por defecto la versión segura de un sitio web. Es decir, si el usuario intenta visitar http://www.santander.cl, esta extensión automáticamente dirige la conexión a https://www.santander.cl.

Agregar nuevos sitios (o *reglas*, en la nomenclatura utilizada por sus desarrolladores) no es tan fácil como podría ser, pero acá va una breve guía (copiada y pegada de [aquí](https://github.com/moffat/HTTPSEverywhereUserRules «moffat/HTTPSEverywhereUserRules · GitHub»)):

1. Instalar [HTTPS Everywhere](https://www.eff.org/https-everywhere).

2. Crear una *regla*, que es un archivo .xml bastante simple. La siguiente es la que escribí para el Banco Santander:

3. Las reglas escritas por el usuario deben ser copiadas al directorio HTTPSEverywhereUserRules, que se encuentra en el directorio del perfil del usuario de Firefox:

* Linux: ~/.mozilla/firefox/
* OS X:
* ~/Library/Application Support/Firefox/Profiles/
* ~/Library/Mozilla/Firefox/Profiles/
* Windows: %APPDATA%\Mozilla\Firefox\Profiles

Una vez reiniciado Firefox, la visita al sitio del Banco Santander resulta en:

Screenshot 2014 02 02 15 27 27

y que muestra que la conexión, finalmente, es segura ((Pero revela otro pecadillo: El sitio *seguro* del Banco Santander incluye contenido que no está servido por HTTPS. Afortunadamente, Firefox bloquea por defecto este contenido, asegurando una conexión de mayor seguridad)).

Es de esperar que estas instituciones (te estoy mirando a ti, SII) comiencen a tomarse más en serio tanto la seguridad como la educación de sus usuarios. Por lo pronto, he publicado en GitHub [algunas reglas](https://github.com/moffat/HTTPSEverywhereUserRules «moffat/HTTPSEverywhereUserRules · GitHub») para algunos sitios de interés en Chile. ¿Disfrute?

~

1 Comentario »

  1. muy buen post no sabia que no ofrecian sitio web servido por HTTPS

    Juanita Arcos — 15 de octubre de 2014 @ 5:19 am

Los contenidos de este blog están publicados bajo una licencia Creative Commons Atribución-Compartir-Igual. (c) 2005-2024 El Diablo en los Detalles | Usando WordPress y una versión modificada de Barecity.