SSL (Secure Socket Layer) se encuentra en la pila OSI entre los niveles de TCP/IP y de los protocolos HTTP, FTP, SMTP, etc. Proporciona sus servicios de seguridad cifrando los datos intercambiados entre el servidor y el cliente con un algoritmo de cifrado simétrico.
SSL se ejecuta en una capa entre los protocolos de aplicación como
HTTP, SMTP, NNTP y sobre el protocolo de transporte TCP, que forma parte
de la familia de protocolos TCP/IP. Aunque pueda proporcionar seguridad
a cualquier protocolo que use conexiones de confianza (tal como TCP),
se usa en la mayoría de los casos junto a HTTP para formar HTTPS. HTTPS es usado para asegurar páginas World Wide Web para aplicaciones de comercio electrónico, utilizando certificados de clave pública para verificar la identidad de los extremos.
Lo anterior es simplemente algo de información técnica, para mostrar la importancia que tiene actualmente este protocolo en la Web. Gracias a SSL existe HTTPS y gracias a HTTPS es que “tenemos conexiones seguras” y podemos mandar datos por la red sin el peligro de que sean capturados, sitios Web como Gmail, Hotmail, Facebook, Twitter, Amazon, eBay, Paypal entre muchos otros se encuentran (encontraban) a salvo gracias a HTTPS.
Thai Duong y Juliano Rizzo son los responsables de haber vencido las resistencias del protocolo SSL/TLS demostrando en primer lugar cómo podían superar la seguridad de PayPal.
Rizzo y Duong mostrarán BEAST (Browser Exploit Against SSL/TLS) en la conferencia ekoparty esta semana en Argentina. ”Describiremos una aplicación atacante que permite a un adversario de manera eficiente descifrar y obtener los tokens de autenticación y cookies de peticiones HTTPS. Nuestro exploit viola una vulnerabilidad presente en la implementación de SSL/TLS de los principales navegadores weben el momento de la escritura”.
Lo anterior es simplemente algo de información técnica, para mostrar la importancia que tiene actualmente este protocolo en la Web. Gracias a SSL existe HTTPS y gracias a HTTPS es que “tenemos conexiones seguras” y podemos mandar datos por la red sin el peligro de que sean capturados, sitios Web como Gmail, Hotmail, Facebook, Twitter, Amazon, eBay, Paypal entre muchos otros se encuentran (encontraban) a salvo gracias a HTTPS.
Thai Duong y Juliano Rizzo son los responsables de haber vencido las resistencias del protocolo SSL/TLS demostrando en primer lugar cómo podían superar la seguridad de PayPal.
Rizzo y Duong mostrarán BEAST (Browser Exploit Against SSL/TLS) en la conferencia ekoparty esta semana en Argentina. ”Describiremos una aplicación atacante que permite a un adversario de manera eficiente descifrar y obtener los tokens de autenticación y cookies de peticiones HTTPS. Nuestro exploit viola una vulnerabilidad presente en la implementación de SSL/TLS de los principales navegadores weben el momento de la escritura”.
De este modo el secreto de los datos que intercambiamos en Internet los
usuarios con los proveedores que nos facilita correo electrónico, acceso
a redes sociales o transacciones comerciales queda en entredicho. Al
parecer el problema tiene que ver con SSL/TLS (Transport Layer Security) que permite este acceso no autorizado a los datos protegidos.
El problema se complica porque TLS 1.1 y 1.2 no son compatibles con ningún navegador actualmente y los sitios web no quieren actualizar desde 1.0 para no perder a sus visitantes.
El problema se complica porque TLS 1.1 y 1.2 no son compatibles con ningún navegador actualmente y los sitios web no quieren actualizar desde 1.0 para no perder a sus visitantes.
0 comentarios:
Publicar un comentario