Como ya muchos sabréis, HTTP es el protocolo clásico para servir páginas web (que son principalmente contenido HTML) en Internet. El problema de HTTP es que no permite saber si efectivamente quien sirve la web es quien dice ser, y que la información viaja sin cifrar entre el navegador y el servidor. Esto es un problema, ya que permite a un atacante situado entre el navegador y el servidor espiar y modificar el tráfico, entre otros escenarios.
Hace un par de años Google anunció que en enero de 2017 iba a empezar a marcar como no seguros los sitios HTTP que manejase contraseñas e información de tarjetas de crédito. Este fue el primer paso dado por Google hacia un objetivo final: marcar todas las páginas HTTP como no seguras. Las estadísticas que dieron en febrero de este año avalan esta decisión: más de dos tercios del tráfico que pasa por las versiones de Android y Windows está protegido, así como más de tres cuartos del de Chrome OS y Mac. También afirman que 81 de los 100 sitios en el top 100 usan HTTPS por defecto.
Para los usuarios, esto no tiene más que ventajas, pero ¿qué pasa con los responsables de las webs? Ya sabemos que la seguridad no suele ser cómoda y que una medida de seguridad es una configuración más, pero hoy en día hay miles de tutoriales para ello, y muchos servicios de creación de páginas web incluyen la opción de activarlo con un solo click. Y si no cuentas con el apoyo de una plataforma, al menos te queda el consuelo de que con iniciativas como Let's Encrypt te sale gratis.
Google ha comenzado, pero enseguida lo seguirán Mozilla y Microsoft.
Fuente: Hispasec
No comments:
Post a Comment
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!