elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Trabajando con las ramas de git (tercera parte)


+  Foro de elhacker.net
|-+  Foros Generales
| |-+  Dudas Generales (Moderador: engel lex)
| | |-+  Sobre https
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: Sobre https  (Leído 7,387 veces)
NaSaRiD15


Desconectado Desconectado

Mensajes: 348


PEÑAROL


Ver Perfil
Sobre https
« en: 3 Enero 2012, 18:09 pm »

Buenas, tengo la siguiente duda respecto a https, cual es el motivo por el cual no todas las paginas lo tienen habilitado?, es decir cual seria la desventaja de utilizarlo?


En línea

Hay que tomarse un tiempo para comprender que solamente sos lo que sos, de ahi a todo lo que tu quieras ser, eso ya depende de vos...
Caster


Desconectado Desconectado

Mensajes: 786


Ver Perfil WWW
Re: Sobre https
« Respuesta #1 en: 3 Enero 2012, 18:15 pm »

CREO, que http es el puerto 80 y https es otro puerto ( no se cual) y es más seguro https por que los datos viajan codificados.

Creo que es algo así, pero no estoy muy seguro.
De todas formas, googleando un poco lo encontrarás.

Saludos


En línea

NaSaRiD15


Desconectado Desconectado

Mensajes: 348


PEÑAROL


Ver Perfil
Re: Sobre https
« Respuesta #2 en: 3 Enero 2012, 18:18 pm »

Si definitivamente usan otro puerto, https usa el 443 y sino estoy mal cifra los paquetes con un metodo que se llama SSL aunque de esto ultimo no estoy muy seguro, simplemente mi duda era el porque de no usarlo en todas las paginas, si es que consume mas recursos del servidor, o cual es la otra razon por la cual no se utiliza tanto.
En línea

Hay que tomarse un tiempo para comprender que solamente sos lo que sos, de ahi a todo lo que tu quieras ser, eso ya depende de vos...
Caster


Desconectado Desconectado

Mensajes: 786


Ver Perfil WWW
Re: Sobre https
« Respuesta #3 en: 3 Enero 2012, 18:18 pm »

Algunos por no son páginas seguras...y ya lo hacen adrede, y no otras pues...ni ****idea  :xD :xD

Saludos
En línea

Aberroncho
Colaborador
***
Desconectado Desconectado

Mensajes: 1.738


Daría todo lo que sé por la mitad de lo que ignoro


Ver Perfil
Re: Sobre https
« Respuesta #4 en: 3 Enero 2012, 23:07 pm »

Si queréis saber un poco más sobre SSL en el foro de Criptografía tenéis este estupendo post de Unravel

En cuanto al número de puerto para el HTTP y el HTTPS no os comais mucho la cabeza: son configurables en el servidor. El 80 es el puerto por defecto para HTTP pero nada te impide configurar un servidor para comunicarse con HTTP por el puerto 8080 por ejemplo.

Y volviendo a la razón por la que no todas las páginas se transmienten en HTTPS, una de las razones es el sobre esfuerzo que le supone al cliente y al servidor el cifrar y descifrar los datos. El HTTPS transmite los datos cifrado y eso requiere una carga extra de comunicaciones al inicio para establecer las claves de la sesión, y una sobre carga de trabajo para cifrar y descifrar las comunicaciones entre cliente-servidor. Esa sobre carga repercute en tiempo. ¿Por qué cifrar algo que no es confidencial como por ejemplo la web de un periódico?.
En línea

"La ignorancia es la noche de la mente, pero una noche sin Luna ni estrellas."
(Confucio)
CloudswX


Desconectado Desconectado

Mensajes: 806


"La física es el sistema operativo del Universo"


Ver Perfil
Re: Sobre https
« Respuesta #5 en: 3 Enero 2012, 23:21 pm »

Buenas.

sino estoy mal cifra los paquetes con un metodo que se llama SSL

En esto tienes toda la razon y basicamente es la unica diferencia existente, detras del cifrado SSL te encontraras con una web comun y corriente. A continuacion te dejo un muy buen articulo con los mitos del HTTPS.

Las páginas bajo HTTPS no se almacenan en la caché del ordenador.

Es común asociar HTTPS a información sensible, son siempre las páginas más delicadas y en las que más capas de seguridad se aplica las que contienen datos confidenciales, como datos de carácter personal,  o bancarios.

En teoría todo lo que se transmita por HTTPS y sea sensible el propio servidor debería identificar que no se cacheé, de esta forma se optimizaría las peticiones al igual que ocurre con HTTP.

Imaginemos que me conecto a un banco y este no especifica que la información no ha de cachearse localmente, si visito este banco desde un ordenador público, otro usuario podría consultar la cache del navegador y conocer mis movimientos u otros datos confidenciales. Esto es considerado una vulnerabilidad, pero aún hay miles de webs en las que se produce esta problemática

Está por lo tanto en manos del navegador definir qué hacer con el contenido pedido bajo HTTPS. Internet Explorer, salvo lo indique el servidor, por defecto usará la caché, aunque tiene una opción para deshabilitarlo y que nunca almacena datos


Si hay HTTPS puedo mandar cualquier cosa en las Cookies o en la petición (URL)

Todos los datos confidenciales deben ser enviados utilizando el método POST, ya que si existe información confidencial en la propia URL, está quedará almacenada en múltiples sitios, como el historial del navegador, los registros del proxy, o los registros del propio servidor donde llegan las peticiones, como ocurre con HTTP.

Hace falta un certificado SSL para cada dirección IP, domonio o subdominio.


Existen muchas opciones y alternativas que permiten versatilidad con los certificados SSL y su instalación y configuración.

Un único certificado SSL que soporte wildcards, podrá ser instalado en todos los subdominios que queramos.

Server Name Indication extiende el protocolo de SSL y TLS permitiendo que el "CN" sea solicitado en la negociación TLS, dejando al servidor presentar el certificado correcto en base a la consulta que reciba.

Mediante Unified Communications Certificate (UCC), es posible incluir varios dominios distintos en un único certificado. En caso de que compartamos IP con otras aplicaciones y otros clientes.

HTTPS es muy lento.


Sobre este mito hay aún debates abiertos. Uno de ellos es el que mantiene Adam Langley de ImperioViolet con el fabricante de aceleradores SSL F5. El primero ofrece argumentos  por lo que la negociación SSL hoy por hoy se puede asumir económicamente. F5 (entre otras cosas, vendedor de aceleradores SSL) responde con unas tablas de pruebas y explicando que las pruebas de Adam son con certificados 1024-bit y no con los 2048-bit. Finalmente Adam opina que las pruebas de F5 no son reales, ya que están hechas con portátiles y no con servidores.

Me puedo fiar de la web si hay un candado en mi navegador.

El candado que se muestra en el navegador solo indica que el certificado SSL es válido, no que la entidad que dice estar detrás es la auténtica. Generalmente informa que la los datos serán transmitidos de forma cifrada. Pero insisto nuevamente: no garantiza la autenticidad de la compañía en la que está alojado.

Yo puedo crear un certificado SSL válido para "paipal.com" y hacerme pasar por Paypal, y el navegador mostraría el candado correctamente. Yago escribió sobre esto y lo demostró en un magnifico artículo: Fraude online con firma digital y SSL. Comprobar que la dirección y el dominio son correctos, es tarea que ha de hacer el usuario manualmente.


Saludos por alla.

PD. Fuente: http://www.securitybydefault.com
En línea



 «Dios no juega a los dados, usa /dev/random.»
twitter: @cloudswx
Zinico

Desconectado Desconectado

Mensajes: 12


Scriptitoso


Ver Perfil WWW
Re: Sobre https
« Respuesta #6 en: 3 Enero 2012, 23:29 pm »

Tambien esta el motivo de que contratar un hosting con HTTPS habilitado es mas caro jeje
En línea

NaSaRiD15


Desconectado Desconectado

Mensajes: 348


PEÑAROL


Ver Perfil
Re: Sobre https
« Respuesta #7 en: 4 Enero 2012, 03:48 am »

Excelente, muchas gracias a todos! ;)
En línea

Hay que tomarse un tiempo para comprender que solamente sos lo que sos, de ahi a todo lo que tu quieras ser, eso ya depende de vos...
x3r0x

Desconectado Desconectado

Mensajes: 36


VENI,VIDI,VICI.


Ver Perfil
Re: Sobre https
« Respuesta #8 en: 7 Enero 2012, 17:49 pm »

SSL significa Secure Sockets Layer, que cifra la informacion del website. Gmail por ejemplo utiliza este tipo de encriptacion por lo cual es mas seguro que el proveedor hotmail. Https se "supone" es mas seguro pero como todos aquí sabemos.. Cualquier cosa se puede hackear. Talves no ahorita pero en un tiempo puede haber alguien que descubra como. Gracias.
En línea

"Lo supremo en el arte de la guerra es someter al enemigo sin darle batalla." Sun Tzu
Aberroncho
Colaborador
***
Desconectado Desconectado

Mensajes: 1.738


Daría todo lo que sé por la mitad de lo que ignoro


Ver Perfil
Re: Sobre https
« Respuesta #9 en: 7 Enero 2012, 20:24 pm »

Hotmail también utiliza HTTPS
En línea

"La ignorancia es la noche de la mente, pero una noche sin Luna ni estrellas."
(Confucio)
Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
HTTPS
Noticias
wolfbcn 0 2,228 Último mensaje 29 Abril 2011, 02:53 am
por wolfbcn
Sobre https
Seguridad
ccrunch 3 2,488 Último mensaje 14 Abril 2013, 00:18 am
por ccrunch
Consulta sobre HTTPS y JWT
Seguridad
zonahurbana 2 3,367 Último mensaje 18 Agosto 2016, 05:40 am
por zonahurbana
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines