jueves, 26 de agosto de 2010

Complemento de Firefox para cifrar tus datos mientras navegas

Con el objetivo de facilitar a los usuarios la navegación segura a través de la web, la EFF ha desarrollado un plugin para Firefox que permite utilizar SSL para aquellos sitios web que implementen dicho protocolo.

A raíz de la implementación de SSL por parte de google en sus búsquedas surge Https Everywhere como una extensión para Firefox desarrollada por la Electronic Frontier Foundation en colaboración con Tor Project que permite navegar por la web haciendo uso de SSL .

SSL (Secure Sockets Layer) es un protocolo que ofrece servicios de autenticación y confidencialidad de la información mediante el uso de criptografía. SSL junto al protocolo HTTP (hypertext transfer protocol) forma HTTPS (hypertext transfer protocol secure) cuya misión es crear un canal seguro de forma que toda la información que se transmita entre el navegador y un sitio web vaya cifrada e impida a terceros ser leída o modificada.

En el protocolo SSL generalmente, es el servidor web el que necesita ser autenticado por parte del cliente mediante un despliegue de claves públicas, aunque en ciertos entornos se requiere una autenticación bidireccional, siendo necesario que los clientes sean autenticados también por parte del servidor.

De forma genérica, cuando un navegador desea establecer una conexión SSL con un sitio web, se siguen los siguientes pasos:

1. El usuario escribe en su navegador la URL del servicio web seguro con el que quiere conectar. Ej: https://www.inteco.es/
2. El servidor web envía su certificado firmado por una autoridad de confianza al cliente.
3. El cliente valida dicho certificado para comprobar si realmente se corresponde con el dominio del sitio web que dice ser. En caso de tratarse de un certificado no válido el navegador alertaría al usuario de un posible fraude por parte de dicha página.
4. Tras el intercambio de un conjunto de claves, la comunicación del navegador con el sitio web se cifra hasta que finaliza la sesión.


Muchos sitios web sólo implementan SSL de forma automática cuando necesitan autenticar y conseguir las credenciales de un usuario, o bien cuando se envía información a través de formularios, pero mantienen el resto de la sesión con HTTP. Esto implica que los datos viajan en claro y si son interceptando pueden ser leídos por terceros.

Aquí es donde entra en juego Https everywhere permitiendo establecer una conexión SSL durante toda la sesión que se tenga con el servicio web sin necesidad de especificar el protocolo https en el cuadro de navegación del navegador.

Para instalar HTTPS Everywhere simplemente es necesario instalar el plugin desde su sitio web y especificar los servicios en los que se quiere usar HTTPS. Tras reiniciar el navegador, siempre que se acceda a dichos servicios automáticamente se establecerá una comunicación HTTPS en vez de HTTP


Además, ofrece la opción de añadir nuevos servicios a los ya existentes mediante ficheros XML y el uso de expresiones regulares siempre y cuando el sitio web tenga soporte SSL. A continuación se muestra ejemplo que permite forzar la conexión HTTPS para el sitio web de la Wikipedia:


Una vez establecidas las reglas, se copiarían los ficheros en el directorio HTTPSEverywhereUserRules/ dentro del perfil de Firefox y se reiniciaría el navegador. Se puede hacer uso de la consola de errores de Firefox para comprobar si las nuevas reglas están generando algún tipo de error.

Es importante destacar que, tal y como se observa en el ejemplo anterior, no siempre coincide la URL HTTP con la URL HTTPS por lo que requiere conocer en que ruta se encuentra el soporte SSL.

Actualmente la herramienta se encuentra en fase beta pero ya viene integrado con algunos de los sitios web que más se utilizan a diario: Google, Facebook, Twitter, Paypal, etc. Según palabras de sus creadores refuerza las precauciones que se deben tener en la red, pero no proporciona protección total contra ataques y técnicas de hacking.

Https Everywhere junto a herramientas como Tor resultan de mucha utilidad para cualquier navegante preocupado por la privacidad de sus datos.

No hay comentarios: