Varias veces me ha pasado la semana pasada de encontrarme con el siguiente mensaje shockeante en mi navegador:
Como buen paranóico que soy, lo primero que pensé es:
- Me metí en un Rogue Access Point
- Me hicieron Man-In-The-Middle con un certificado falso
- Estuve navegando durante 10 minutos hasta darme cuenta del error, asi que existe una gran posibilidad de que alguien haya visto mis actividades
- FUUUUUUU (para los que no estén familiarizados con el MEME, vean aquí)
Desesperado, me puse a analizar la MAC del gateway contra la MAC de mi Access Point (al cual tengo acceso físico y pude ver su MAC directamente desde el aparato). Todo concordaba. Entonces pensé "ok, hicieron su tarea y se fueron". Entonces me puse a revisar logs de conexión y demás, y todo daba indicios de que jamás me conecté a otro hotspot que no fuera mi propia red Wireless. Me senté a analizar QUE pudo haber pasado.... Sin respuesta.
Hasta que se me ocurrió revisar el error del navegador en detalle:
Resulta ser que dentro de mi sensación de seguridad obtenida al navegar por la red social a través de HTTPS, existen ciertos componentes inseguros que se escapan por el costado. Esta actividad es de esperarse, ya que los webmasters organizan el site para que el material sin valor personal (como ADs, imagenes genéricas del sitio, etc) se transmitan en texto plano para reducir el overhead causado en el servidor por realizar un canal seguro.
Como ya estaba con las manos en la masa, decidí analizar que contenido se transmitía en texto plano. Así que revisé el código fuente del sitio, y grande fue mi sorpresa cuando me encontré con lo siguiente:
Enlaces externos a Facebook que se transmitían hacia el usuario en texto plano. POR QUÉ? No es necesario!!
Entiendo que el usuario igualmente termine navegando por texto plano en los links externos (ya que no todos los sitios proveen servicios de HTTPS), pero al menos dentro de la navegación en Facebook podrían mantenerse encriptados.
Entiendo que el usuario igualmente termine navegando por texto plano en los links externos (ya que no todos los sitios proveen servicios de HTTPS), pero al menos dentro de la navegación en Facebook podrían mantenerse encriptados.
Así es como Debería ser:
Facebook debería obtener el contenido inseguro del servidor original e incrustarlo dentro de su canal SSL.
Sin embargo, esto es lo que está sucediendo:
El usuario está siendo engañado, al creer que todo su contenido se transmite de manera segura. Sin embargo, Facebook para evitar consumo de recursos en sus servidores, permite un agujero de seguridad importantísimo.
Así que les recomiendo que tengan cuidado con la información que manejan por Facebook, aunque vean HTTPS en el título. Y cuando vean un mensaje de error en su navegador, léanlo en detalle.
Así que les recomiendo que tengan cuidado con la información que manejan por Facebook, aunque vean HTTPS en el título. Y cuando vean un mensaje de error en su navegador, léanlo en detalle.
Fuente: Matias Katz
0 comentarios:
Publicar un comentario