Jueves, Octubre 01, 2020

Google añade HSTS a sus servicios; haciendo HTTPS más seguro

Google-hsts.jpg

Los navegadores web seguros utilizan HTTPS, que consiste en transferir la información a través del protocolo HTTP, pero cifrada con un protocolo de seguridad como TLS o SSL. Con esto se consigue que los usuarios estén protegidos cuando envían sus credenciales a una web, y los datos se mantengan seguros cuando se transfieren por la red.

El problema de HTTPS es que, como todo método de seguridad en informática, no es perfecto y presenta algunos fallos de seguridad. HSTS (siglas para HTTP Strict Transport Security), protege las conexiones SSL ante diversos ataques, principalmente dos: los ataques man-in-the-middle, en los que alguien en nuestra red puede acceder a la información que transferimos al navegador, y los ataques de suplantación de identidad mediante robo de cookies, a través del cual se pueden robar sesiones iniciadas en determinados servicios web, ya que lo que hacen las cookies es almacenar la sesión del usuario en esa web.

https.jpg

HSTS evita que se revierta una conexión segura HTTPS a una HTTP, e intenta que casi todas las conexiones sean redirigidas a conexiones HTTPS. HSTS fue lanzado en 2012, y los navegadores más utilizados en la actualidad son compatibles con él, tales como Chrome o Firefox. Lo único que tienen que hacer las webs es añadir la compatibilidad en sus servicios. Esto ha sido lo que ha hecho Google con todos los servicios que están alojados en dominio de Google.com, tanto a nivel de interfaz como de API, después de meses de pruebas.

No tan extendido a pesar de su sencillez

A pesar de llevar 4 años disponible, sólo el 5% de las páginas web HTTPS utilizan HSTS, según demostró un estudio en marzo de este año. Para implementar HSTS en una página, el proceso es tan sencillo como añadir una línea de código a la configuración del servidor de la web.

Strict-Transport-Security: max-age=31536000;

Esta línea hace que el servidor obligue a los navegadores web a acceder a su contenido sólo a través de conexiones HTTPS. Con esta función, aunque el usuario escriba http, éste es redirigido automáticamente a HTTPS.

A pesar de ser tan sencillo, Google ha estado unos cuantos meses probando su funcionamiento para evitar fallos o problemas de seguridad una vez éste estuviera implantado, debido a que tiene muchos servicios, y algunos utilizan código heredado que podían generar incompatibilidades. Muchas webs que implementan HSTS no lo hacen correctamente, de tal manera que la conexión segura no se realiza, o tiene algún error de configuración.

 

Fuente: Softpedia | adslzone

Compártelo. ¡Gracias!

 

Grupo Digital de Ayuda! Tu portal de informacion e ayuda.

¿Quién está en línea?

Hay 87 invitados y ningún miembro en línea

Contador de Visitas

12838903
Hoy Hoy 37
Ayer Ayer 708
Esta semana Esta semana 2212
Este mes Este mes 37
Total de Visitas Total de Visitas 12838903

Día con más
visitantes

06-12-2020 : 1136

Gracias por su visita