juanma1980 escribió:Muy buenas. Como comenta alexdf es por el certificado de seguridad.
El caso es que este año los que dirigen el cotarro de internet han decidido que todo sitio que tenga usuarios debe usar https (que es un protocolo de comunicaciones más seguro que http). Al no tener nosotros la página en un dominio "https" sino ser uno "http" los navegadores modernos se quejan diciendo que el sitio puede no ser seguro.
En verdad, y dando mi opinión de no experto en el tema más que de oídas, es un intento de saca cuartos más. En sitios que almacenan datos digamos "importantes" es perfectamente comprensible que se usen dominios https amén de otras medidas de seguridad pero en un foro, en una página de un club de amigos... es un extra de trabajo el migrarlo todo y además un posible gasto extra (en función del hosting) ya que no todos lo ofrecen gratis a los clientes existentes.
En nuestro caso aruba si que nos posibilita el pasar a https pero es un poco de faena, tampoco mucha, y desde hace un tiempo y hasta dentro de unos meses estoy super liado en el curro.
Así pues aunque puede "asustar" leer ese letrero (no dan puntada sin hilo, es una forma de forzar al paso a https) realmente no es más que un aviso escrito con muy mala folla. A fin de cuentas las empresas que emiten esos certificados de algo tienen que vivir, pobrecicos señores de symantec, verisign, etc, etc.. que de buenos que son habría que ascenderlos a los altares en caso de que sobre la pila de billetes que se sustentan no lleguen a ellos.
p.d. evidentemente a nadie le mola que le roben nada, pero el https en nuestro caso no marca diferencia ninguna. ¿Os imagináis que un grupo de jaquers maléficos robara nuestro dominio y en vez de hacer login en el foro lo hicierais en una página falsa que emula ser el foro y desde la que robarían vuestro usuario y contraseña? Pues eso es lo único que aporta https, que dificulta el que un grupo de jaqueres maléficos "robe" un dominio. Hay cien mil métodos más sencillos y efectivos para robarnos las cuentas de usuario... pero bueno, habrá que pasar a https tarde o temprano porque lo que ahora "sugieren" mañana lo obligarán.
A ver, un tocho, sin acritud. Si el admin considera que debe borrarse, sin polemicas concedo el permiso sin ofenderme de que se borre mi comentario y seguimos la charla por mensaje privado!
Siento diferir, pero aqui unas observaciones:
-HTTPS no es para almacenar cifrado, sino para que los datos vayan cifrados.
-Si no se ofrece seguridad, debe advertirse a los usuarios de que en caso de no conectar desde una ubicacion segura, sus credenciales pueden ser comprometidas al capturarse mediante sniffers de red. Imagina que al usuario le agarran el username y el password (quedaros con esto).
-Además, hackean el server y acceden a los datos del foro... o que mediante ataques de tipo MiTM (hombre en medio) le roban el password de acceso al administrador, acceden a la BBDD del foro, sacan los correos de los usuarios, y mediante prueba y error descubren que el password que utiliza el usuario
pepito@hotmail.com en el foro, es el mismo que en hotmail.
Posibilidades hay muchas, no es una moda, es hacia donde va la ciberseguridad: dar servicios seguros. Y algunas vece se ha de cumplir la ley. Y más si se encuentra uno en España o Europa (aunque desconozco como esten las cosas ultimamente, desde la bochornosa y absurda ley de cookies ya decidí dejar de seguir ciertas cosas).
Ha de cumplir la pagina con la LOPD?
http://www.bonillaware.com/web-internet ... cion-datosY la legislación española dice, entre otras cosas, que DA IGUAL si tu web ofrece cojoservicios SaaS de cloud computing por un pastizal o es un simple un blog: si recoges datos personales de tus usuarios o clientes, estás obligado a cumplir la LOPD o Ley Orgánica de Protección de Datos.
Supongo que ahora mismo estarás rascándote la cabeza como un mandril perplejo y preguntándote si tú recoges y usas datos personales. No te preocupes, Toribio, ya te ayudo yo: algunos jueces consideran el correo electrónico como un dato personal. Así que, algo tan inocente como una página de lanzamiento o una fantabulosa lista de correo, DEBEN cumplir la LOPD.
Imagina que para inscribirme en el foro, tengo que dar mis datos personales. Y como comentan arriba, algunos jueces consideran el correo un dato personal. Pero el foro no me ofrece medidas de que se recojan los datos de forma segura, y luego aparecen los correos de los usuarios por ahí...
No meto más polemica:
https://zinetik.com/recogida-de-datos-personales-ssl/Ahora es cuando llegan muchos admins, yo incluido,y digo: PEROOO QUE CARAJO!!!!!!!??!???! si mi web es para unos amiguetes!!!! Es por ello que muchos foros lo que hacen es tener una sección publica limitada sin polemicas, y el resto de los foros cerrados. Es un ejemplo, pero imaginad que me pongo a insultar a un compañero del foro, diciendo que es un renegado de mierda por irse con Vespino cuando los machos de verdad vamos en la Derby Variant. Y que ademas, me pongo a decir que la vespino es una cagada de moto con diseños robados mediante espionaje industrial a los de Derby ... y usuario y marca decidieran actuar contra mi (algun abogado en la sala que identifique los dos delitos?). Al admin del foro le van a pedir toooodos mis datos (usuario, correo, direcciones IP desde donde me conecto). Si, es un jaleo... vaya, si yo solo venia a hablar de HTTPS!
Mi recomendación tecnica, es que se ponga un certificado aunque sea baratuno o autogenerado. Yo en mis servers con Linux (en unos VPS) así los tengo. La única bronca es que el navegador va a pegar un bote diciendo que el certificado NO esta reconodido por no haber sido emitido por una CA de confianza (esto es, Symantec, Comodo, Verisign, etc y etc). Yo acepto el certificado y listo. Si llegan a hackear el servidor y modificar los certificados, o intentan capturar trafico y modificarlo, el navegador me va a advertir. Yo si aruba provee de un certificado, no me preocupaba demasiado y recomendaba a los usuarios para loguearse en el foro irse hacia HTTPS.
Saludos!
P.S Bonus
https://haveibeenpwned.com/ <--Yo la he usado, y te dicen en cuantos sitios tu correo y password (en texto claro o cifrado) ha sido hackeado. Pero para ver donde y los passwords debes pagar. Yo pagué una vez y comprobé que realmente habian hackeado los 3 foros donde estaba inscrito...
