Sobre https

Iniciado por NaSaRiD15, 3 Enero 2012, 18:09 PM

0 Miembros y 1 Visitante están viendo este tema.

NaSaRiD15

Buenas, tengo la siguiente duda respecto a https, cual es el motivo por el cual no todas las paginas lo tienen habilitado?, es decir cual seria la desventaja de utilizarlo?
Hay que tomarse un tiempo para comprender que solamente sos lo que sos, de ahi a todo lo que tu quieras ser, eso ya depende de vos...

Caster

CREO, que http es el puerto 80 y https es otro puerto ( no se cual) y es más seguro https por que los datos viajan codificados.

Creo que es algo así, pero no estoy muy seguro.
De todas formas, googleando un poco lo encontrarás.

Saludos

NaSaRiD15

Si definitivamente usan otro puerto, https usa el 443 y sino estoy mal cifra los paquetes con un metodo que se llama SSL aunque de esto ultimo no estoy muy seguro, simplemente mi duda era el porque de no usarlo en todas las paginas, si es que consume mas recursos del servidor, o cual es la otra razon por la cual no se utiliza tanto.
Hay que tomarse un tiempo para comprender que solamente sos lo que sos, de ahi a todo lo que tu quieras ser, eso ya depende de vos...

Caster

Algunos por no son páginas seguras...y ya lo hacen adrede, y no otras pues...ni ****idea  :xD :xD

Saludos

Aberroncho

Si queréis saber un poco más sobre SSL en el foro de Criptografía tenéis este estupendo post de Unravel

En cuanto al número de puerto para el HTTP y el HTTPS no os comais mucho la cabeza: son configurables en el servidor. El 80 es el puerto por defecto para HTTP pero nada te impide configurar un servidor para comunicarse con HTTP por el puerto 8080 por ejemplo.

Y volviendo a la razón por la que no todas las páginas se transmienten en HTTPS, una de las razones es el sobre esfuerzo que le supone al cliente y al servidor el cifrar y descifrar los datos. El HTTPS transmite los datos cifrado y eso requiere una carga extra de comunicaciones al inicio para establecer las claves de la sesión, y una sobre carga de trabajo para cifrar y descifrar las comunicaciones entre cliente-servidor. Esa sobre carga repercute en tiempo. ¿Por qué cifrar algo que no es confidencial como por ejemplo la web de un periódico?.
"La ignorancia es la noche de la mente, pero una noche sin Luna ni estrellas."
(Confucio)

CloudswX

Buenas.

Cita de: NaSaRiD15 en  3 Enero 2012, 18:18 PM
sino estoy mal cifra los paquetes con un metodo que se llama SSL

En esto tienes toda la razon y basicamente es la unica diferencia existente, detras del cifrado SSL te encontraras con una web comun y corriente. A continuacion te dejo un muy buen articulo con los mitos del HTTPS.

Las páginas bajo HTTPS no se almacenan en la caché del ordenador.

Es común asociar HTTPS a información sensible, son siempre las páginas más delicadas y en las que más capas de seguridad se aplica las que contienen datos confidenciales, como datos de carácter personal,  o bancarios.

En teoría todo lo que se transmita por HTTPS y sea sensible el propio servidor debería identificar que no se cacheé, de esta forma se optimizaría las peticiones al igual que ocurre con HTTP.

Imaginemos que me conecto a un banco y este no especifica que la información no ha de cachearse localmente, si visito este banco desde un ordenador público, otro usuario podría consultar la cache del navegador y conocer mis movimientos u otros datos confidenciales. Esto es considerado una vulnerabilidad, pero aún hay miles de webs en las que se produce esta problemática

Está por lo tanto en manos del navegador definir qué hacer con el contenido pedido bajo HTTPS. Internet Explorer, salvo lo indique el servidor, por defecto usará la caché, aunque tiene una opción para deshabilitarlo y que nunca almacena datos


Si hay HTTPS puedo mandar cualquier cosa en las Cookies o en la petición (URL)

Todos los datos confidenciales deben ser enviados utilizando el método POST, ya que si existe información confidencial en la propia URL, está quedará almacenada en múltiples sitios, como el historial del navegador, los registros del proxy, o los registros del propio servidor donde llegan las peticiones, como ocurre con HTTP.

Hace falta un certificado SSL para cada dirección IP, domonio o subdominio.


Existen muchas opciones y alternativas que permiten versatilidad con los certificados SSL y su instalación y configuración.

Un único certificado SSL que soporte wildcards, podrá ser instalado en todos los subdominios que queramos.

Server Name Indication extiende el protocolo de SSL y TLS permitiendo que el "CN" sea solicitado en la negociación TLS, dejando al servidor presentar el certificado correcto en base a la consulta que reciba.

Mediante Unified Communications Certificate (UCC), es posible incluir varios dominios distintos en un único certificado. En caso de que compartamos IP con otras aplicaciones y otros clientes.

HTTPS es muy lento.


Sobre este mito hay aún debates abiertos. Uno de ellos es el que mantiene Adam Langley de ImperioViolet con el fabricante de aceleradores SSL F5. El primero ofrece argumentos  por lo que la negociación SSL hoy por hoy se puede asumir económicamente. F5 (entre otras cosas, vendedor de aceleradores SSL) responde con unas tablas de pruebas y explicando que las pruebas de Adam son con certificados 1024-bit y no con los 2048-bit. Finalmente Adam opina que las pruebas de F5 no son reales, ya que están hechas con portátiles y no con servidores.

Me puedo fiar de la web si hay un candado en mi navegador.

El candado que se muestra en el navegador solo indica que el certificado SSL es válido, no que la entidad que dice estar detrás es la auténtica. Generalmente informa que la los datos serán transmitidos de forma cifrada. Pero insisto nuevamente: no garantiza la autenticidad de la compañía en la que está alojado.

Yo puedo crear un certificado SSL válido para "paipal.com" y hacerme pasar por Paypal, y el navegador mostraría el candado correctamente. Yago escribió sobre esto y lo demostró en un magnifico artículo: Fraude online con firma digital y SSL. Comprobar que la dirección y el dominio son correctos, es tarea que ha de hacer el usuario manualmente.


Saludos por alla.

PD. Fuente: http://www.securitybydefault.com


«Dios no juega a los dados, usa /dev/random.»
twitter: @cloudswx

Zinico

Tambien esta el motivo de que contratar un hosting con HTTPS habilitado es mas caro jeje

NaSaRiD15

Excelente, muchas gracias a todos! ;)
Hay que tomarse un tiempo para comprender que solamente sos lo que sos, de ahi a todo lo que tu quieras ser, eso ya depende de vos...

x3r0x

SSL significa Secure Sockets Layer, que cifra la informacion del website. Gmail por ejemplo utiliza este tipo de encriptacion por lo cual es mas seguro que el proveedor hotmail. Https se "supone" es mas seguro pero como todos aquí sabemos.. Cualquier cosa se puede hackear. Talves no ahorita pero en un tiempo puede haber alguien que descubra como. Gracias.
"Lo supremo en el arte de la guerra es someter al enemigo sin darle batalla." Sun Tzu

Aberroncho

Hotmail también utiliza HTTPS
"La ignorancia es la noche de la mente, pero una noche sin Luna ni estrellas."
(Confucio)