|
SEGURIDAD EN EL WEB |
||||||||||||||||
|
Son varios los problemas que se pueden dar actualmente en la Web. Estos problemas son causados principalmente por el mal uso de una serie de mecanismos que se utilizan a la hora de navegar por la red. Los principales problemas vienen precedidos por las cookies y los applets así como el intercambio de información sin cifrar. A continuación se describirán estos problemas y sus posibles soluciones.
|
||||||||||||||||
|
|
||||||||||||||||
|
Las Cookies Las cookies son un mecanismo que usan los servidores para almacenar o recuperar información en el lado del cliente. Estas cookies son ficheros enviados por los servidores a los clientes después de una visita, y son almacenados en el disco del cliente. Mas tarde, en una nueva visita al mismo servidor, el browser del navegador puede enviar todas las cookies del servidor. Un posible ejemplo de cookies es el siguiente. Supongamos que visitamos una página que nos ofrece la posibilidad de elegir entre varios idiomas. Pues bien, si la primera vez que te conectas eliges un determinado idioma, esta información se almacenará en una cookie. La próxima vez que te quieras conectar a dicho servidor, la información aparecerá en el idioma que seleccionaste la última vez. Estas cookies parecen buenas para prestar un mejor servicio al cliente (y lo son), pero también presentan un serio problema sobre todo de intimidad del cliente ya que el servidor puede tener constancia de todo lo que hace el cliente, que páginas le gusta mas y cuales menos. Esto es un problema, ya que el servidor puede hacer un estudio de las páginas visitadas y así averiguar cuales son nuestros gustos (y así atagiforrarnos de publicidad), ideas políticas y orientación sexual. Además estas cookies, como se almacenan en el cliente, cualquier otro usuario de esa máquina puede acceder a ellas de una forma muy sencilla (ya sea mediante un programa en JavaScript o cualquier otro método) y ver lo que contienen. Por ello conviene almacenarlos cifrados, y también que caduquen al poco tiempo, días o incluso horas. [Subir]
Los Applets Los applets son pequeñas aplicaciones que se ejecutan, normalmente, en el entorno de un navegador web (mediante una máquina virtual java). Estas pequeñas aplicaciones distribuidas suelen ser descargadas desde una máquina de Internet a un navegador remoto, como parte de una página web, pero que realmente es un pequeño programa escrito en Java para dar mayor interactividad a las páginas web. No hace falta pensar mucho en cuáles pueden ser los peligros que presentan estos applets. Simplemente es código que viene de Dios sabe donde y se ejecuta en nuestra máquina. Con eso se dice todo. Para solucionar el problema de la seguridad, los applets son ejecutados en el entorno del navegador web de los usuarios. Estos navegadores se rigen de un Modelo de Seguridad, que establece políticas restrictivas para los applets evitando así que puedan causar daños al sistema en el que son descargados y ejecutados. En general, un applet no puede:
La solución para que un applet pueda realizar una operación no permitida se consigue mediante la firma del applet por una autoridad de certificación de confianza. Los applets firmados deben pedir permiso para realizar acciones restringidas, pero si el usuario las concede, significa que el applet puede usar todos los recursos ofrecidos por la máquina virtual Java. De esta forma, la empresa que nos envíe un applet que realiza una operación no permitida deberá certificar que dicho applet no hará ningún daño a nuestra máquina. Pero el hecho de que nos certifiquen que el applet no hace ningún daño, no quiere decir que no lo pueda hacer; pero dada la legalidad de los certificados, se puede pedir reclamaciones a la empresa. [Subir]
HTTP seguro (S-HTTP) La SSL y el Protocolo de Transferencia de Hipertexto Seguro (Secure Hypertext Transfer Protocol, S-HTTP) tienen diseños y objetivos muy diferentes. La SSL se utiliza para asegurar la conexión entre dos computadoras y es independiente del protocolo. S-HTTP es, esencialmente, una versión de HTTP con seguridad mejorada y está diseñado para enviar mensajes individuales de manera segura, de tal forma que se puede usar de manera conjunta SSL y S-HTTP. La cuestión es que S-HTTP no goza del mismo éxito que SSL. S-HTTP proporciona las siguientes capacidades:
S-HTTP proporciona confidencialidad mediante criptografía de clave pública (RSA), así como de criptografía de clave secreta. La integridad de los datos así como la autenticación lo consigue mediante firma digital. De todas formas podrá obtener más información sobre S-HTTP en el trabajo de la asignatura de Juan Carlos Portero: Protocolo S-HTTP (Sólo accesible desde la EUITT). Una última nota antes de terminar es que se puede diferenciar un sitio que utilice SSL por el URL https://, y un sitio S-HTTP con un URL que comience por shttp:// |
