Forzando conexiones SSL
Hace ya tiempo leí en Security By default que era posible utilizar Facebook por SSL. Podéis leer ese POST aquí,
Que, que es el SSL? Veamos que dice la Wikipedia.
SSL proporciona autenticación y privacidad de la información entre extremos sobre Internet mediante el uso de criptografía. Habitualmente, sólo el servidor es autenticado (es decir, se garantiza su identidad) mientras que el cliente se mantiene sin autenticar; la autenticación mutua requiere un despliegue de infraestructura de claves públicas (o PKI) para los clientes. Los protocolos permiten a las aplicaciones cliente-servidor comunicarse de una forma diseñada para prevenir escuchas (eavesdropping), la falsificación de la identidad del remitente (phishing) y alterar la integridad del mensaje.
Lo que pasa es que ese Script no es del todo efectivo.
Primero probaremos la solución que nos daban en Security By default.
Solución que no es del todo fiable
Abrimos Firefox y nos vamos al página donde están publicados todos los complementos.
Complementos de Firefox y buscamos
Greasemonkey
Para los vagos Greasemonkey.
Pinchamos en añadir a Firefox
Y empezamos a descargar el complemento.
Siempre después de instalar un complemento en Firefox hay que reiniciar
Después de haber reiniciado nos saldrá que el complemento se ha instalado correctamente.
Ahora que ya tenemos instalado Greasemonkey, nos vamos a la página para instalar el Script.
En esta página le damos a Install, luego veremos aparece algo así:
Si nos fijamos, ya viene directamente preparado para facebook, con esas URL. Vamos a editar este Script
Como véis hemos ido al icono del monito que hay abajo a la derecha y hemos echo botón derecho. Le damos a Administrar Scripts.
Bueno le hemos dado a añadir y hemos puesto http://*.wordpress.com/*. Esto que haría?
Pues que si en el navegador ponemos seifreed.wordpress.com, directamente nos hace la conexión por https y tambien lo hará en subpáginas o directorios del site.
Ahora añadimos las páginas que sepamos que pueden tener cifrado por SSL pero que por defecto no lo implementan para que se haga la conexión directamente.
Bueno yo he elegido estas, ahora veremos que pasa cuando introducimos por ejenplo facebook.com
Ahora debería directamente hacernos la conexión por HTTPS, pero lo que sucede es esto:
Es decir el Script no acaba de funcionar del todo bien, tuve que probarlo pues unas 7 veces para que ocurriera esto:
Como véis la conexión se realiza por SSL.
Ahora haremos que siempre se cumpla esa condición.
Ahora nos vamos a los addons de Mozilla como antes y buscamos e Instalamos NoScript
Ahora vamos a acceder a el menu de configuración de NoScript
Le hemos de dar a Opciones
Aquí tendremos el apartado de configuració, nos vamos a avanzado tal y como muestra la imágen. Y luego nos vamos a HTTPS.
Aquí pondremos las webs que queramos que se conecten por SSL tal y como comentamos antes con greasemonkey.
Ahora vamos ha hacer la prueba volvemos a poner facebook.com
Y lo que sucede ahora y a la primera es..
Y si, se nos conecta por SSL a la primera.
Pero que pasa si navegamos por una subpágina de facebook.com.
Si, sigue manteniendo la conexión SSL.
Mediante NoScript podemos ver como seguimos manteniendo la conexión por SSL siempre. Y no falla.
NOTA: Este tutorial funciona en páginas que disponen de páginas por HTTPS pero que no lo tienen implementado por defecto.
Saludos
4 Responses to “Forzando conexiones SSL”
Trackbacks / Pingbacks
- - 2009/11/05
Hola tambien esto lo puedes hacer en hi5 aqui en mi blog lo mostre ase 6 menses como aserlo:
http://jbyte-security.blogspot.com/2009/05/como-usar-hi5-por-ssl.html
No había visto lo de forzar SSL con NoScript, Gracias!!
me alegro que te haya gustado