• Tweet

Facebook está promoviendo el uso de HTTPS por defecto y su jefe de seguridad, Joe Sullivan, espera que la función sea lanzada a fin del año.

El año pasado un aficionado de seguridad desarrolló una extensión de Firefox llamada “Firesheep” que permitía fácilmente a usuarios con pocos conocimientos técnicos irrumpir en las cuentas en línea de personas conectadas a redes inalámbricas abiertas.

La extensión utilizaba un ataque de tipo “hombre en medio” llamado secuestro de sesión (sesión hijacking), conocido desde hace más de una década.

Este ataque depende de escuchar el tráfico de la red y extraer las cookies de sesión enviadas por el navegador de la víctima. Estos archivos son usados por los sitios web para recordar a los usuarios ya autentificados y puede utilizarse para obtener acceso a sus cuentas durante el tiempo que permanezcan activas en el sitio.

Después de que Firesheep recibió una cobertura amplia en los medios de comunicación, los grandes servicios en línea comenzaron a ofrecer la opción de usar conexiones cifradas (HTTPS) para todas las sesiones con el fin de prevenir los ataques de robo de cookies.

Facebook comenzó a permitir a los usuarios activar HTTPS persistente para sus cuentas en enero y desde entonces la compañía ha realizado importantes progresos en la implementación de esta funcionalidad.

Sin embargo, por la naturaleza de la plataforma, la cual obtiene contenido de decenas o centenas de miles de sitios externos a través de aplicaciones de terceros, el uso de HTTPS es muy complicado.

Cada vez que un usuario intenta utilizar una aplicación de terceros que no tiene su contenido firmado con un certificado SSL, ésta pide el acceso a través de una conexión HTTP plana, que la hace vulnerable.

Para solucionar este problema, la compañía pidió recientemente a todos los desarrolladores de aplicaciones firmar sus aplicaciones antes del primero de octubre. La semana pasada, en la conferencia de seguridad Hack in the Box 2011 presentada en Amsterdam, se le preguntó a Joe Sullivan cuándo esperaba que el sitio web desplegará HTTPS por defecto para todos sus usuarios.

“Mi esperanza es lograrlo para fin de año, pero depende de muchos factores”, dijo el jefe de seguridad de Facebook. Señaló que lograr HTTPS por defecto es el objetivo de la compañía, pero subrayó que todavía hay muchos detalles técnicos que superar.

Esperemos que estos problemas sean resueltos para el primero de octubre, cuando las aplicaciones de terceros deban soportar HTTPS, y de esta manera la compañía pueda seguir adelante con el plan de llevar conexiones cifradas para todos.