Sesiones seguras: es gratis
Ya
saben lo que dicen, siempre podrás servir de algo, aunque sea de mal
ejemplo. Así que sintiéndolo mucho, vuelvo con las redes sociales, esta
vez para hablar sobre las sesiones.
Las sesiones que genera una aplicación web se han de cuidar tanto como se cuida un formulario de autenticación, ya que de una forma u otra una implantación débil de sus medidas de seguridad puede acabar en el robo de una identidad.
Por este motivo una sesión que almacena el registro necesario para autenticarnos en cada una de las peticiones solo ha de ser transmitida por un canal seguro. Evitando que sea escuchada en nuestra red y reproducida por un tercero.
Facebook, el gigante internacional deja a elección del usuario si desea utilizar una conexión segura mediante https o por el contrario accede usando el protocolo en claro. Algo así como Google con Gmail, solo que NO hay una opción para que recuerde nuestra selección anterior.
Esto se puede solucionar (o más bien parchear), ya lo hemos comentado hace tiempo.
Más triste es el caso de Tuenti, nuestro amigo nacional, que desgraciadamente solo funciona bajo http. En el fondo tampoco importa demasiado, los datos que contiene esta red no son de carácter personal (je!).
Retomando Facebook y su canal seguro, es curioso observar que pese han tenido en cuenta el uso de cifrado para la transmisión de datos, se les "ha olvidado" activarle el atributo seguro.
Este valor que se establece en el momento que se crea la cookie de forma bastante sencilla, puede protegernos ante ataques tipo Surf Jacking, con los mediante la inyección de tráfico http se puede obtener la sesión.
Para comprobar esta vulnerabilidad, existe una extensión de Firefox llamada Surf Jacking Security Inspector que facilita la tarea y que mostrara un circulito en caso de que se detecte su inseguridad.
Otra opción es utilizar el propio gestor de cookies de Firefox, donde se muestra si se tiene o no este parámetro activado.
Para el caso de Gmail...
Autor: Alejandro Ramos
Fuente: Security By Default
Las sesiones que genera una aplicación web se han de cuidar tanto como se cuida un formulario de autenticación, ya que de una forma u otra una implantación débil de sus medidas de seguridad puede acabar en el robo de una identidad.
Por este motivo una sesión que almacena el registro necesario para autenticarnos en cada una de las peticiones solo ha de ser transmitida por un canal seguro. Evitando que sea escuchada en nuestra red y reproducida por un tercero.
Facebook, el gigante internacional deja a elección del usuario si desea utilizar una conexión segura mediante https o por el contrario accede usando el protocolo en claro. Algo así como Google con Gmail, solo que NO hay una opción para que recuerde nuestra selección anterior.
Esto se puede solucionar (o más bien parchear), ya lo hemos comentado hace tiempo.
Más triste es el caso de Tuenti, nuestro amigo nacional, que desgraciadamente solo funciona bajo http. En el fondo tampoco importa demasiado, los datos que contiene esta red no son de carácter personal (je!).
Retomando Facebook y su canal seguro, es curioso observar que pese han tenido en cuenta el uso de cifrado para la transmisión de datos, se les "ha olvidado" activarle el atributo seguro.
Este valor que se establece en el momento que se crea la cookie de forma bastante sencilla, puede protegernos ante ataques tipo Surf Jacking, con los mediante la inyección de tráfico http se puede obtener la sesión.
Para comprobar esta vulnerabilidad, existe una extensión de Firefox llamada Surf Jacking Security Inspector que facilita la tarea y que mostrara un circulito en caso de que se detecte su inseguridad.
Otra opción es utilizar el propio gestor de cookies de Firefox, donde se muestra si se tiene o no este parámetro activado.
Para el caso de Gmail...
Autor: Alejandro Ramos
Fuente: Security By Default
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!