Conexión al foro "no segura" (¿?)

Foro dedicado para notificar los fallos del foro, sugerencias sobre mejoras, o quejas.
Avatar de Usuario
Darix
Enhorabuena más de 1000
Enhorabuena más de 1000
Mensajes: 1458
Registrado: Mié Ago 15, 2012 5:57 pm

Conexión al foro "no segura" (¿?)

Mensajepor Darix » Lun Abr 17, 2017 11:02 pm

Buenas noches, tengo una duda. Desde hace unas semanas cuando quiero acceder al foro me sale ésto (ver imagen adjunta).

Pensaba que tenía problemas en el ordenador, algún virus o troyano o algo en plan intrusión o espía (no entiendo de informática ¿vale? ya lo he dicho :) ). Pero después de pruebas, verificaciones con el PC e incluso el router, consultas, etc., parece que mi ordenador está bien. Me han dicho que es la página web la que no está protegida o algo así.

¿Alguien sabe por qué sale lo que pone en la imagen? ¿Es problema de mi conexión a internet (en otras páginas web no me sale) o es problema de la página web donde se aloja el foro?

Muchas gracias.
No tiene los permisos requeridos para ver los archivos adjuntos a este mensaje.
Avatar de Usuario
alexdf
Llevo la carretera en la sangre
Llevo la carretera en la sangre
Mensajes: 154
Registrado: Lun May 11, 2015 3:34 am

Re: Conexión al foro "no segura" (¿?)

Mensajepor alexdf » Mar Abr 18, 2017 3:08 am

Es por el certificado SSL, aunque el administrador de la web y el foro podrá dar mas claridad.
El certificado está emitido para *.aruba.it , sin embargo el navegador intenta validar que el certificado se corresponde con el dominio maraudercustom.com

Cosas del hosting, que supongo que por defecto, como hacen algunos, si no tienes certificado SSL, al menos te ofrecen meter todo el tráfico HTTPS bajo el suyo (que peor es nada) :)

Saludos
Avatar de Usuario
Darix
Enhorabuena más de 1000
Enhorabuena más de 1000
Mensajes: 1458
Registrado: Mié Ago 15, 2012 5:57 pm

Re: Conexión al foro "no segura" (¿?)

Mensajepor Darix » Lun Abr 24, 2017 8:08 pm

Muchas gracias, alexdf.
Avatar de Usuario
juanma1980
Enhorabuena más de 1000
Enhorabuena más de 1000
Mensajes: 3707
Registrado: Mié Mar 31, 2010 4:54 pm

Re: Conexión al foro "no segura" (¿?)

Mensajepor juanma1980 » Mié May 03, 2017 7:16 pm

Muy buenas. Como comenta alexdf es por el certificado de seguridad.
El caso es que este año los que dirigen el cotarro de internet han decidido que todo sitio que tenga usuarios debe usar https (que es un protocolo de comunicaciones más seguro que http). Al no tener nosotros la página en un dominio "https" sino ser uno "http" los navegadores modernos se quejan diciendo que el sitio puede no ser seguro.

En verdad, y dando mi opinión de no experto en el tema más que de oídas, es un intento de saca cuartos más. En sitios que almacenan datos digamos "importantes" es perfectamente comprensible que se usen dominios https amén de otras medidas de seguridad pero en un foro, en una página de un club de amigos... es un extra de trabajo el migrarlo todo y además un posible gasto extra (en función del hosting) ya que no todos lo ofrecen gratis a los clientes existentes.

En nuestro caso aruba si que nos posibilita el pasar a https pero es un poco de faena, tampoco mucha, y desde hace un tiempo y hasta dentro de unos meses estoy super liado en el curro.

Así pues aunque puede "asustar" leer ese letrero (no dan puntada sin hilo, es una forma de forzar al paso a https) realmente no es más que un aviso escrito con muy mala folla. A fin de cuentas las empresas que emiten esos certificados de algo tienen que vivir, pobrecicos señores de symantec, verisign, etc, etc.. que de buenos que son habría que ascenderlos a los altares en caso de que sobre la pila de billetes que se sustentan no lleguen a ellos.

p.d. evidentemente a nadie le mola que le roben nada, pero el https en nuestro caso no marca diferencia ninguna. ¿Os imagináis que un grupo de jaquers maléficos robara nuestro dominio y en vez de hacer login en el foro lo hicierais en una página falsa que emula ser el foro y desde la que robarían vuestro usuario y contraseña? Pues eso es lo único que aporta https, que dificulta el que un grupo de jaqueres maléficos "robe" un dominio. Hay cien mil métodos más sencillos y efectivos para robarnos las cuentas de usuario... pero bueno, habrá que pasar a https tarde o temprano porque lo que ahora "sugieren" mañana lo obligarán.
Avatar de Usuario
alexdf
Llevo la carretera en la sangre
Llevo la carretera en la sangre
Mensajes: 154
Registrado: Lun May 11, 2015 3:34 am

Re: Conexión al foro "no segura" (¿?)

Mensajepor alexdf » Mié May 03, 2017 9:20 pm

juanma1980 escribió:Muy buenas. Como comenta alexdf es por el certificado de seguridad.
El caso es que este año los que dirigen el cotarro de internet han decidido que todo sitio que tenga usuarios debe usar https (que es un protocolo de comunicaciones más seguro que http). Al no tener nosotros la página en un dominio "https" sino ser uno "http" los navegadores modernos se quejan diciendo que el sitio puede no ser seguro.

En verdad, y dando mi opinión de no experto en el tema más que de oídas, es un intento de saca cuartos más. En sitios que almacenan datos digamos "importantes" es perfectamente comprensible que se usen dominios https amén de otras medidas de seguridad pero en un foro, en una página de un club de amigos... es un extra de trabajo el migrarlo todo y además un posible gasto extra (en función del hosting) ya que no todos lo ofrecen gratis a los clientes existentes.

En nuestro caso aruba si que nos posibilita el pasar a https pero es un poco de faena, tampoco mucha, y desde hace un tiempo y hasta dentro de unos meses estoy super liado en el curro.

Así pues aunque puede "asustar" leer ese letrero (no dan puntada sin hilo, es una forma de forzar al paso a https) realmente no es más que un aviso escrito con muy mala folla. A fin de cuentas las empresas que emiten esos certificados de algo tienen que vivir, pobrecicos señores de symantec, verisign, etc, etc.. que de buenos que son habría que ascenderlos a los altares en caso de que sobre la pila de billetes que se sustentan no lleguen a ellos.

p.d. evidentemente a nadie le mola que le roben nada, pero el https en nuestro caso no marca diferencia ninguna. ¿Os imagináis que un grupo de jaquers maléficos robara nuestro dominio y en vez de hacer login en el foro lo hicierais en una página falsa que emula ser el foro y desde la que robarían vuestro usuario y contraseña? Pues eso es lo único que aporta https, que dificulta el que un grupo de jaqueres maléficos "robe" un dominio. Hay cien mil métodos más sencillos y efectivos para robarnos las cuentas de usuario... pero bueno, habrá que pasar a https tarde o temprano porque lo que ahora "sugieren" mañana lo obligarán.


A ver, un tocho, sin acritud. Si el admin considera que debe borrarse, sin polemicas concedo el permiso sin ofenderme de que se borre mi comentario y seguimos la charla por mensaje privado! :)

Siento diferir, pero aqui unas observaciones:
-HTTPS no es para almacenar cifrado, sino para que los datos vayan cifrados.
-Si no se ofrece seguridad, debe advertirse a los usuarios de que en caso de no conectar desde una ubicacion segura, sus credenciales pueden ser comprometidas al capturarse mediante sniffers de red. Imagina que al usuario le agarran el username y el password (quedaros con esto).
-Además, hackean el server y acceden a los datos del foro... o que mediante ataques de tipo MiTM (hombre en medio) le roban el password de acceso al administrador, acceden a la BBDD del foro, sacan los correos de los usuarios, y mediante prueba y error descubren que el password que utiliza el usuario pepito@hotmail.com en el foro, es el mismo que en hotmail.


Posibilidades hay muchas, no es una moda, es hacia donde va la ciberseguridad: dar servicios seguros. Y algunas vece se ha de cumplir la ley. Y más si se encuentra uno en España o Europa (aunque desconozco como esten las cosas ultimamente, desde la bochornosa y absurda ley de cookies ya decidí dejar de seguir ciertas cosas).

Ha de cumplir la pagina con la LOPD?
http://www.bonillaware.com/web-internet ... cion-datos
Y la legislación española dice, entre otras cosas, que DA IGUAL si tu web ofrece cojoservicios SaaS de cloud computing por un pastizal o es un simple un blog: si recoges datos personales de tus usuarios o clientes, estás obligado a cumplir la LOPD o Ley Orgánica de Protección de Datos.
Supongo que ahora mismo estarás rascándote la cabeza como un mandril perplejo y preguntándote si tú recoges y usas datos personales. No te preocupes, Toribio, ya te ayudo yo: algunos jueces consideran el correo electrónico como un dato personal. Así que, algo tan inocente como una página de lanzamiento o una fantabulosa lista de correo, DEBEN cumplir la LOPD.


Imagina que para inscribirme en el foro, tengo que dar mis datos personales. Y como comentan arriba, algunos jueces consideran el correo un dato personal. Pero el foro no me ofrece medidas de que se recojan los datos de forma segura, y luego aparecen los correos de los usuarios por ahí...
No meto más polemica:
https://zinetik.com/recogida-de-datos-personales-ssl/

Ahora es cuando llegan muchos admins, yo incluido,y digo: PEROOO QUE CARAJO!!!!!!!??!???! si mi web es para unos amiguetes!!!! Es por ello que muchos foros lo que hacen es tener una sección publica limitada sin polemicas, y el resto de los foros cerrados. Es un ejemplo, pero imaginad que me pongo a insultar a un compañero del foro, diciendo que es un renegado de mierda por irse con Vespino cuando los machos de verdad vamos en la Derby Variant. Y que ademas, me pongo a decir que la vespino es una cagada de moto con diseños robados mediante espionaje industrial a los de Derby ... y usuario y marca decidieran actuar contra mi (algun abogado en la sala que identifique los dos delitos?). Al admin del foro le van a pedir toooodos mis datos (usuario, correo, direcciones IP desde donde me conecto). Si, es un jaleo... vaya, si yo solo venia a hablar de HTTPS!

Mi recomendación tecnica, es que se ponga un certificado aunque sea baratuno o autogenerado. Yo en mis servers con Linux (en unos VPS) así los tengo. La única bronca es que el navegador va a pegar un bote diciendo que el certificado NO esta reconodido por no haber sido emitido por una CA de confianza (esto es, Symantec, Comodo, Verisign, etc y etc). Yo acepto el certificado y listo. Si llegan a hackear el servidor y modificar los certificados, o intentan capturar trafico y modificarlo, el navegador me va a advertir. Yo si aruba provee de un certificado, no me preocupaba demasiado y recomendaba a los usuarios para loguearse en el foro irse hacia HTTPS.

Saludos!


P.S Bonus https://haveibeenpwned.com/ <--Yo la he usado, y te dicen en cuantos sitios tu correo y password (en texto claro o cifrado) ha sido hackeado. Pero para ver donde y los passwords debes pagar. Yo pagué una vez y comprobé que realmente habian hackeado los 3 foros donde estaba inscrito...
Avatar de Usuario
juanma1980
Enhorabuena más de 1000
Enhorabuena más de 1000
Mensajes: 3707
Registrado: Mié Mar 31, 2010 4:54 pm

Re: Conexión al foro "no segura" (¿?)

Mensajepor juanma1980 » Jue May 04, 2017 8:32 am

No hombre, no hay nada que borrar. Aunque entiendo que esto puede aburrir a muchos usuarios siempre es enriquecedor un poco de debate.
Por matizar mis palabras:
- Al hablar de almacenamiento me refiero a los datos que almacenamos nosotros, no a que https almacene nada. Es un protocolo de comunicaciones y se que no tiene nada que ver con el almacenamiento.
- Si hackean el server poco tiene que ver https ya que https no va de eso, como comentas.
- Un ataque mitm puede hacerse perfectamente sobre un sitio https, si tengo los conocimientos para hacer un "dns poison" falsificar un certificado válido no es mucho más complejo (ahí tenemos los "coliision attacks", solo necesito una máquina lo bastante potente para no estar 50 días procesando xD) o directamente pillar un certificado válido falseando los datos ya que aunque no debería ser así el control que ahí sobre su emisión es... digamos que no siempre es el que debería.

Mi punto es que "forzar" a que todo sitio use https no mejora sustancialmente la seguridad. Nos proteje contra ciertos ataques muy básicos y fácilmente reemplazables por otros ataques igual de básicos (si alguien me mete un sniffer en mi red significa que tiene acceso a mi máquina o router, por lo que le es igual de sencillo de meter un dns poison y pillar todos los usuarios/contraseñas que quiera) pero no es ninguna panacea; en cuestiones "internetiles" la verdadera seguridad pasa por ser un poco paranoico con los datos. Por ejemplo: usar una cuenta de correo para asuntos "oficiales" (por ejemplo el banco) y otras cuentas de correo para temas no-oficiales (foros, listas de correo, registro en páginas...etc...), cambiar las contraseñas habitualmente y usar contraseñas fuertes, mentir más que hablar con todos los datos personales, a facebook le importa 100 cojones si yo vivo en Alcántara de Júcar o en Ciempozuelos, etc... Si una página me pide datos personales no voy a facilitárselos (a no ser que sea algo "oficial"), de la misma forma que no se los daría a un tendero que me los preguntase para venderme una lavadora... sencillamente no le importan.

Después podemos dejar a un lado el dogma de que las empresas encargadas de emitir los certificados son "lo más de lo mejor" ya que pasan cosas como los certificados falseados que expedió Symantec (y los han trincado mínimo dos veces haciendo eso que yo sepa, y ahí siguen como entidad oficial de emisión de certificados) o los certificados emitidos sin ningún tipo de control sobre la identidad del demandante más allá del envio de un correo electŕónico a una cuenta del dominio (manda huevos).

Si yo quisiera obtener contraseñas y usuarios del foro haría lo que cualquier "jaquer maléfico": enviar un correo haciéndome pasar por la administración pidiendo al usuario sus datos o lanzando ataques de fuerza bruta contra los usuarios más antiguos (y por tanto con mayor probabilidad de estar menos concienciados de la seguridad informática y por tanto con mayor posibilidad de usar contraseñas endebles)

p.d. La LOPD no obliga a usar https, solo establece que no pueden guardarse datos personales "en plano", y no están guardados "en plano".

p.p.d. Y que nadie se asuste, lo que estamos comentando puede sonar muy alarmante pero son solo supuestos. Esto es como hablar de los frenos traseros de tambor o de disco, evidentemente es mejor disco pero eso no quiere decir que el tambor no frene o que haya que ir corriendo al concesionario a por una moto nueva.

Volver a “Sugerencias, Quejas y Pruebas”

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 1 invitado