Visitas: 100  
Tiempo total: 1 días con 3:57:16 hrs  

Recientemente inicie sesión en el sitio web freelancer.com y al estar en la página de bienvenida al usuario me percate de que estaba utilizando https, un sistema que utiliza llaves públicas y privadas para generar una conexión cifrada y segura.

Pero observe que la página de inicio realizaba la validación de usuario y contraseña sin utilizar HTTPS, es decir que a nivel de usuario pude observar una validación con un código dinámico de Javascript, aparentemente.

En la imagen anterior se observa como la URL no está bajo el protocolo HTTPS, el problema que esto conlleva es que si bien las páginas del usuario utilizan esta conexión segura, pero el inicio de sesión no. En un determinado momento su seguridad no serviría pues el usuario y contraseña viajarían por toda la web y estarían a disposición de terceras personas de una manera bastante fácil.

Como se observa, el sitio web aparenta realizar la validación de la información de inicio de manera dinámica, pero si se inspecciona mas a detalle el código fuente, algo que una persona con conocimientos básicos de computación no creo que realizaría (por ejemplo un empleador) se encontraría que el formulario en si redireccióna a otra pagina enviando la información con el método POST usando el protocolo HTTPS, es decir de una manera segura.

Http headers

Http headers es un plugin para Firefox el cual permite ver la información enviada por nuestro navegador en la web:

Una característica de este plugin es que no muestra la información que algún atacante podría encontrar pues muestra únicamente la información en texto plano sin cifrar en el dado caso se esté en una conexión segura.

Esto significa, que se pueden observar fácilmente las contraseñas enviadas pero únicamente en el plugin que se está ejecutado en nuestro navegador:

La imagen anterior muestra el usuario y contraseña utilizado para iniciar sesión.

Funciones dinámicas seguras

Con http headers se pueden observar las peticiones dinamicas que realizan las funciones en su mayoría ajax con jquery o javascript simple. En este caso  se puede confirmar que, Freelancer.com el cual es un sitio web con millones de usuarios y en el cual la posibilidad de encontrar un error de esta magnitud esta fuera de las probabilidades, se puede observar el envió de la información utilizando el método POST de una manera cifrada.

HTTPS es seguro de acuerdo al desarrollador

Aun al tener la información cifrada a través de SSL/TLS, existen brechas de seguridad las cuales consisten en envenenar las computadoras a través de comandos ARP utilizando la técnica de spoofing, esto se logra fácilmente en las condiciones ideales de una red y los dispositivos que la conforman. Con esto se logra a través de por ejemplo switchs simples y baratos hacer que el trafico de una PC pase por el host atacante logrando capturar el trafico y utilizar BREACH (Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext), técnica la cual consiste en observar la longitud de las respuestas HTTPS comprimidas, logrando descifrar texto sin codificar que se encuentre en el flujo HTTPS.

Conclusión

Para un usuario común que debe de iniciar sesión y enviar su usuario y contraseña sin ver en la URL del navegador una conexión segura, será un sitio web inseguro. Pero es necesario obtener más información acerca de cómo en realidad funcionan los sistemas de seguridad que estos sitios web implementan.

Referencias

[http://es.wikipedia.org/wiki/Freelancer.com]
[http://www.xatakaon.com/seguridad-en-redes/breach-aprovecha-una-vulnerabilidad-en-https-para-extraer-datos-valiosos]
[http://es.wikipedia.org/wiki/Hacker]
[https://addons.mozilla.org/es/firefox/addon/live-http-headers/]
[http://www.freelancer.com]