Blogger sin SSL
Soy usuario de Gmail y además, de Blogger (como tantos), pues bien, un día como otro cualquiera, accedo a gmail y me autentico, hasta ahí todo perfecto. Posteriormente entro en mis blogs (funsecurity.net, tecnomind.org) y claro, soy usuario de google y blogger es de google, pero las cookies son para el dominio google.com, por lo tanto, procedo a entrar mediante en enlace que se encuentra en la esquina superior derecha "Acceder". Automáticamente, se transfieren las sesiones de google.com a blogger.com y ya eres usuario autenticado en blogger. Muy bien, ¿verdad?, pero claro, tenemos un problema, si estamos en una red corporativa/pública, corremos el riesgo que nuestras conexiones sean esnifadas y se hagan con nuestras galletas(cookie/session hijacking), ya que las conexiones de blogger.com no van cifradas.
¿Recuerdan firesheep?, desarrollar un plugin para robar en redes públicas sesiones de bloggeros resulta trivial. En este caso no hay extensión para navegadores ni modo de forzar conexiones SSL, ya que google no lo tiene implementado, o lo hacen o estamos vendidos! Google debería de estar más concienciado con la seguridad de sus usuarios bloggeros. De que nos vale cifrar nuestras búsquedas si luego nuestros blogs están expuestos?!?!
Contenido completo en fuente original Security by Default
¿Recuerdan firesheep?, desarrollar un plugin para robar en redes públicas sesiones de bloggeros resulta trivial. En este caso no hay extensión para navegadores ni modo de forzar conexiones SSL, ya que google no lo tiene implementado, o lo hacen o estamos vendidos! Google debería de estar más concienciado con la seguridad de sus usuarios bloggeros. De que nos vale cifrar nuestras búsquedas si luego nuestros blogs están expuestos?!?!
Contenido completo en fuente original Security by Default
Wow, no estaba al tanto de esto. Y como me protejo ?
ResponderBorrar