Sinologic

Etiqueta: apache

  • Cifrado SSL 3.0 ya no es seguro. Cómo mejorar la seguridad de tu web

    Seguridad-SSL-800x529Prácticamente cualquier lector de Sinologic sabe (o debe saber) lo que es SSL y TLS, al menos sabrá que son algoritmos de cifrado que mantienen «segura» la comunicación entre dos sistemas: un cliente y un servidor, un navegador y una web, un datáfono y un banco, …  Pero acaba de darse a conocer algo que ha movido los cimientos de la seguridad, y es que el algoritmo SSL v.3.0 (el algoritmo utilizado por el 90% de las páginas) ha sido roto y por lo tanto, existen mecanismos para descifrar en tiempo real una comunicación cifrada con este sistema.

    Google acaba de anunciar que el sistema de cifrado SSL v.3.0 tiene más agujeros que un queso suizo y que no debería ser utilizado nunca más. Esto implica a las páginas webs «seguras» https que incluyen en la URL su candado de colores.  Si quieres saber en qué consiste el bug, se explica en muchas páginas:

     

    ¿Qué significa esto?

    Que si te conectas a la página web de tu banco, compruebas que tiene el famoso «candado» en el navegador, e introduces tus datos de acceso, si te logueas en Paypal para realizar un pago, alguien podría tener algún sniffer que guarde esta información y la utilice cuando menos lo esperes.

    ¿Cómo funciona?

    Dicho de un modo comprensible… los servidores web y los navegadores incorporan diversos algoritmos de cifrado, SSL v.3, SSL v.2, TLS 1.0, TLS 1.1, TLS, 1.2… y cuando un navegador se conecta a un servidor web «seguro» se negocia el algoritmo de cifrado que se va a utilizar. Generalmente, empiezan por el más nuevo y si ambos no soportan el mismo sistema de cifrado, van bajando la versión hasta dar con algún algoritmo que tengan en común.
    Hoy día, los servidores web seguros ya no incluyen algoritmos antiguos como SSL v.2 ni TLS 1.0, pero sí incluyen SSL v.3.0 y TLS 1.1 y TLS 1.2.
    Hoy día, el algoritmo SSL v.3.0 ha sido roto y por lo tanto, cualquier comunicación navegador – servidor web que utilice dicho algoritmo es vulnerable y puede ser objeto de espionaje y robo de información.

    ¿Cómo se soluciona?

    Por un lado, hay que entender que para que no nos «espíen» tenemos que configurar nuestro navegador para indicar que no queremos utilizar el cifrado SSL v.3.0, de esa manera, en la negociación de algoritmos, nuestro navegador buscará otro sistema común que nos permita mantener una comunicación cifrada y que funcione. Por otro lado, también debemos configurar nuestros servidores Web o servicios para que no utilicen el algoritmo SSL v.3.0 y de esa manera, evitar que espíen a usuarios cuyos navegadores permitan utilizarlo.

    Vamos a ver algunas maneras sencillas de solucionarlo.

    (más…)

  • Asterisk cumple 9 años

    9º cumpleaños de Asterisk
    9º cumpleaños de Asterisk

    A diario me encuentro con todo tipo de usuarios, algunos que acaban de empezar y otros que llevan tiempo trabajando con Asterisk algunos alucinan con el potencial que tiene esta aplicación y otros, un poco más críticos, sacan a relucir algunas carencias o defectos que tiene, pero todos coinciden en algo, no hay una aplicación como Asterisk, y aunque hay algunas que la imitan, realmente Asterisk ha representado una revolución en las comunicaciones tanto tradicionales como a través de Internet.

    A través de varios blogs, me entero que Asterisk cumple 9 años, puede que parezca mucho, pero para una aplicación tan completa y útil como esta, 9 años no es más que el comienzo. En algún que otro comentario leía una analogía bastante curiosa: «Asterisk es a la VoIP como Apache a la web«, quizá no tenga mucho sentido esta analogía, pero nos deja ver la importancia que tiene esta aplicación en un mundo que crece sin parar día a día pese a todas las inclemencias, crisis, intereses, competencia, etc… y que no se deja amedrentar por los grandes y pesados si no que a los 9 años es capaz de enfrentarse a pesos pesados como Siemens, Ericsson, Panasonic, Nortel, Avaya, Cisco y los va derrotando uno a uno, poco a poco (el tiempo y la experiencia que ya estamos viviendo me dan la razón –ejemplo 1-, –ejemplo 2-) y uno se da cuenta que el software libre no es una alternativa, el software libre es la mejor opción, y Asterisk gana adeptos gracias a hechos reales y al boca a boca y no gracias a la publicidad pagada en una serie norteamericana retransmitida en horario Prime Time, el avance de Asterisk es real y cada pasito que da es un pequeño empujón en un difícil pulso entre muchos brazos fuertes y expertos, pero lo mejor es que Asterisk poco a poco continúa ganando terreno.

    Asterisk cumple 9 años y aún le falta por crecer, la tecnología es así, siempre está creciendo, y al igual que Apache que se ha convertido en el servidor web líder en Internet, Asterisk está haciendo lo propio con los nuevos sistemas de comunicaciones tradicionales y VoIP.

    Como se suele decir: Felicidades!, que cumplas muchos más (y nosotros lo veamos). 🙂