Una adecuada implementación SSL, clave para la seguridad de un site
El 80% de las páginas web no han implementado SSL correctamente, por lo que podrían estar enviando información sensible sin ningún tipo de seguridad.
Una configuración incorrecta de SSL (Secure Sockets Layer), el protocolo que proporciona comunicaciones seguras en Internet, está haciendo que las empresas estén transmitiendo información sensible sin ningún tipo de seguridad.
Investigadores de seguridad están hablando sobre fallos de en el sistema Secure Sockets Layer y el hecho de que una gran parte de Internet sea vulnerable a los ataques. En la conferencia de seguridad Black Hat que se celebró la semana pasada ya hubo varias conferencias que hacía relación a este asunto.
Basado en PKI (public key infraestructure), el protocolo SSL es un estándar de facto en internet para mantener las comunicaciones seguras, pero menos de una quinta parte de las páginas web han desplegado correctamente el protocolo, según un estudio publicado por Qualys. De unos 250.000 sites con SSL activado, sólo 51.000 fueron correctamente redirigidos a SSL para la autenticación. Es decir que un 80% de los sites podían redirigir a SSL o no, lo que les hacía vulnerables a ataques man-in-the-middle de Firesheep y otras herramientas.
Existen una serie de fallos de configuración, incluido el uso de cookies inseguras y la mezcla del tráfico inseguro con tráfico seguro en la misma página. Las páginas web que utilizan SSL tienen que redirigir a SSL inmediatamente, en lugar de cifrar sólo una parte de la página, explican en eWeek.
Cuando el usuario ve un candado en el navegador web o alguna otra forma de notificación visual que el site SSL ha desplegado, esperan que sus credenciales estén protegidas, pero es estudio asegura que la mayoría de las organizaciones son conscientes de no estar utilizando SSL en la autenticación a pesar de desplegar el protocolo de seguridad.
El problema, asegura Qualys, es incluso peor en el segmento de la telefonía móvil, porque no hay un elemento visual como el del candando y por tanto no se ve si el tráfico está pasando sobre HTTP o HTTPS.