Reddit cambia por completo a HTTPS. ¿Qué debemos esperar?

por Bitdefender Security Specialists, para 29 November 2016

A partir de junio de Reddit cifrará todas las comunicaciones de su sitio, siguiendo el ejemplo de Google, Apple, Wikipedia, Netflix y otros

Según un  post de Reddit. "En este momento nos encontramos preparados para hacer cumplir que todo el mundo use una conexión segura con Reddit. Por favor, asegúrese de que todas las secuencias de comandos puedan desempeñar todas sus funciones a través de HTTPS antes del 29 de junio. En esa fecha comenzaremos redirigir todo el tráfico web a través de HTTPS y el HTTP ya no estará disponible”.

 

La Casa Blanca también anunció una medida para migrar a conexiones HTTPS a fin de "eliminar determinaciones subjetivas incompatibles entre agencias con respecto a qué contenido o actividad de navegación es sensible en la naturaleza, y crear un estándar de privacidad más fuertes para todo el gobierno", según dijo el Director de Información Tony Scott en un memorando.  Para finales del año 2016, todas las agencias federales y departamentos deberán migrar sus sitios y servicios web de acceso público exclusivamente a HTTPS.

 

Porque los sitios necesitan HTTPS

Las conexiones HTTP sin cifrar pueden exponer datos confidenciales de los usuarios a ser interceptados durante su tránsito desde la computadora a los servidores. Pese a que un determinado sitio se encuentre protegido contra ataques de la red; las contraseñas, números de tarjetas de crédito y otro tipo de información de identificación valiosa todavía pueden ser interceptadas por medio de ataques man-in-the-middle si se transmiten en texto simple.

Los beneficios de HTTPS han sido recomendados durante años. He aquí un resumen rápido.
 

HTTPS garantiza la integridad y autenticidad de las conexiones. Esto significa que los usuarios pueden confiar en que están hablando con el verdadero servidor de aplicaciones y que sus comunicaciones permanecerán inalteradas.

La información del usuario se mantiene oculta a miradas indiscretas. Sólo su navegador y servidor pueden descifrar el tráfico. Los fisgones no pueden entender el contenido de las comunicaciones entre los ambos. De esta manera, la privacidad del usuario se mantiene intacta en contra de ISP y seguimiento del gobierno.

 

En cuanto a las amenazas, los usuarios están a salvo de los ataques de sniffing. En la mayoría de los casos estos ataques se producen a través de redes inalámbricas no codificadas que se encuentran en cafés, bibliotecas y aeropuertos. Los usuarios también están protegidos de los ataques tipo spoofing, ya que el cifrado se realiza mediante una clave generada de forma única entre ambos equipos, evitando que el Spoofer pueda "ver" cómo las dos máquinas se están comunicando.

Ataques de sustitución de identidad.  Cuando se conecta a redes Wi-Fi que no son seguras, los usuarios pueden ser víctimas de atacantes que buscan robar las cookies de autenticación devueltas por servicios como Gmail luego de que hayan ingresado en sus credenciales de inicio de sesión. Bogdan Botezatu, Analista Senior de E-Amenazas dice::

 

A la luz de los escándalos de espionaje que han estallado en los últimos dos años, vemos una gran cantidad de servicios que mudan  su contenido público a HTTPS a expensas de potencia de cálculo. La medida, no sólo se detiene agencias de recolección de información confidencial de usuarios, sino que también asegura que el contenido del usuario no haya sido alterado de ninguna manera.

Incluso si no hay motivo aparente para que un sitio migre a HTTPS y puede ser un proceso que consuma muchos recursos con impacto en el rendimiento del sitio, el costo que puede tener la pérdida de datos bien vale la pena. Y si usted tiene un sitio, recuerde; es mejor prevenir que curar.

Bitdefender Security Specialists

Bitdefender Labs