Sinologic

Etiqueta: navegadores

  • Cifrado SSL 3.0 ya no es seguro. Cómo mejorar la seguridad de tu web

    Seguridad-SSL-800x529Prácticamente cualquier lector de Sinologic sabe (o debe saber) lo que es SSL y TLS, al menos sabrá que son algoritmos de cifrado que mantienen «segura» la comunicación entre dos sistemas: un cliente y un servidor, un navegador y una web, un datáfono y un banco, …  Pero acaba de darse a conocer algo que ha movido los cimientos de la seguridad, y es que el algoritmo SSL v.3.0 (el algoritmo utilizado por el 90% de las páginas) ha sido roto y por lo tanto, existen mecanismos para descifrar en tiempo real una comunicación cifrada con este sistema.

    Google acaba de anunciar que el sistema de cifrado SSL v.3.0 tiene más agujeros que un queso suizo y que no debería ser utilizado nunca más. Esto implica a las páginas webs «seguras» https que incluyen en la URL su candado de colores.  Si quieres saber en qué consiste el bug, se explica en muchas páginas:

     

    ¿Qué significa esto?

    Que si te conectas a la página web de tu banco, compruebas que tiene el famoso «candado» en el navegador, e introduces tus datos de acceso, si te logueas en Paypal para realizar un pago, alguien podría tener algún sniffer que guarde esta información y la utilice cuando menos lo esperes.

    ¿Cómo funciona?

    Dicho de un modo comprensible… los servidores web y los navegadores incorporan diversos algoritmos de cifrado, SSL v.3, SSL v.2, TLS 1.0, TLS 1.1, TLS, 1.2… y cuando un navegador se conecta a un servidor web «seguro» se negocia el algoritmo de cifrado que se va a utilizar. Generalmente, empiezan por el más nuevo y si ambos no soportan el mismo sistema de cifrado, van bajando la versión hasta dar con algún algoritmo que tengan en común.
    Hoy día, los servidores web seguros ya no incluyen algoritmos antiguos como SSL v.2 ni TLS 1.0, pero sí incluyen SSL v.3.0 y TLS 1.1 y TLS 1.2.
    Hoy día, el algoritmo SSL v.3.0 ha sido roto y por lo tanto, cualquier comunicación navegador – servidor web que utilice dicho algoritmo es vulnerable y puede ser objeto de espionaje y robo de información.

    ¿Cómo se soluciona?

    Por un lado, hay que entender que para que no nos «espíen» tenemos que configurar nuestro navegador para indicar que no queremos utilizar el cifrado SSL v.3.0, de esa manera, en la negociación de algoritmos, nuestro navegador buscará otro sistema común que nos permita mantener una comunicación cifrada y que funcione. Por otro lado, también debemos configurar nuestros servidores Web o servicios para que no utilicen el algoritmo SSL v.3.0 y de esa manera, evitar que espíen a usuarios cuyos navegadores permitan utilizarlo.

    Vamos a ver algunas maneras sencillas de solucionarlo.

    (más…)

  • Nuevo Firefox viene con videollamadas y compartición de archivos

    firefox-web

    Según el blog de Mozilla, el nuevo Firefox 23 ya viene con soporte de WebRTC, una de las últimas revoluciones en comunicaciones y que dará mucho que hablar, pero esto no sería posible si los navegadores no incluyeran su correspondiente soporte. ¿La ventaja? que hoy día los principales navegadores están incluyendo soporte para este nuevo sistema que está avanzando a una velocidad inimaginable.

    webRTC-firefox

    No solo se está trabajando para que el nuevo Firefox soporte WebRTC, si no también para incluir nuevas características como WebGL, Emscripten y asm.js, herramientas que nos permiten ver hacia donde se dirige el nuevo concepto de navegador, una especia de ‘subsistema operativo’ multiplataforma, donde correr aplicaciones locales y remotas con forma de web y donde el diseño y la velocidad son tan importantes como el ancho de banda utilizado y la capacidad de respuesta.

    (más…)

  • Los navegadores web permitirán VoIP nativamente

    Ya hemos visto algunos servicios que permiten conectar la web a servicios de VoIP para permitir llamadas de forma nativa, no obstante, el tipo de tecnología que se intenta unificar (web-voip) son bastante diferentes entre sí y esto complica su integración de una forma fácil y cómoda para el usuario. Hasta ahora, conocíamos algunos softphones webs que hacían uso de ActiveX (unicamente funcionan en Internet Explorer) o bien Java (lo que obliga a tener la máquina virtual instalada) de forma que el usuario necesita cumplir con unos requisitos previos que no siempre se garantizan cuando el visitante de una web puede ser cualquiera.

    El tema de los softphones web es algo muy interesante y es que cada vez son más las empresas que quieren atraer a clientes potenciales mediante su web y una forma muy práctica de hacerlo es hablando directamente con él mediante VoIP pero esto es, o incompatible con todo, o bastante caro, por lo que al final, el usuario que quiere implementar un click2call termina utilizando el «botón Skype» o a «phono.com» por lo que está obligado a depender de un servicio que ofrece una empresa externa. Pero esto está muy próximo a acabar y es que el próximo objetivo de los desarrolladores de navegadores está orientado a implementar nativamente el soporte para VoIP (tanto audio como vídeo).

    Para aquellos que no estén familiarizados con el mundo de la web, comentaré que todas las páginas webs utilizan un lenguaje llamado HTML donde se definen si el texto va en negrita, subrayado, el color, y muchas otras cosas. Este «lenguaje» ha ido evolucionando con el tiempo, de forma que actualmente la mayoría de los navegadores utilizan la versión 4 (HTML4) y algunas características de la versión 5 (HTML5) de forma experimental. Esta versión HTML5 es la que permite visualizar vídeos en la web mediante la etiqueta <video>.

    Pues poco a poco, el HTML se está modificando para adaptar las nuevas tecnologías a la web y que tanto los desarrolladores web como programadores de servicios puedan utilizar la web como un aliado y no como «algo a lo que integrar» de forma que puedan ser implementado en los navegadores y los usuarios puedan utilizar dichos servicios sin necesidad de ningún tipo de plugin.

    (más…)