Las cabeceras de seguridad para los sitios web más importantes

Aunque la entrada que yo guardé en su día era otra, en Security Headers on the Top 1,000,000 Websites: March 2014 Report se puede encontrar justamente eso: el resumen de un estudio sober el primer millón de sitios más importantes en la web (según Alexa) y las cabeceras relacionadas con la seguridad que envían desde sus páginas web.

Normalmente estas entradas nos pueden servir para bajar un poco los pies a la tierra sobre lo que realmente se está utilizando en la industria y también para echarle un vistazo a todas las cabeceras en las que deberíamos pensar si somos nosotros los que tenemos que tomar la decisión de cuáles enviar.

Si miramos la serie a lo largo de tiempo también pueden ser útiles para ver cómo van cambiando los usos y costumbres.

Finalmente, me gustan porque permiten ver todo lo que se puede saber en la red, con unas pocas herramientas y ganas de hacer los programitas adecuados.

Veo que también han publicado:
Security Headers on the Top 1,000,000 Websites: November 2013 Report.
Security Headers on the Top 1,000,000 Websites: March 2013 Report.
Security Headers on the Top 1,000,000 Websites (noviembre 2012).

Anuncios

Sobre la difusión de gusanos y otros programas malévolos

En How to 0wn the Internet in Your Spare Time algunas cifras interesantes de difusión de diferentes gusanos y programas maliciosos y cómo algunos se quedan en la red disponibles para infectar a cualquiera que no ande protegido, incluso después de mucho tiempo:

In this paper we have examined the spread of several recent worms that infected hundreds of thousands of hosts within hours. We showed that some of these worms remain endemic on the Internet. We explained that better-engineered worms could spread in minutes or even tens of seconds rather than hours, and could be controlled, modified, and maintained indefinitely, posing an ongoing threat of use in attack on a variety of sites and infrastructures. Thus, worms represent an extremely serious threat to the safety of the Internet. We finished with a discussion of the urgent need for stronger societal institutions and technical measures to control worms, and sketched what these might look like.

Algunos se propagan en minutos o segundos.

Algunas particularidades de C que olvidamos

Estaba terminando de leer un recomendado de Mig 21, concretamente Deep C (and C++) cuando me encuentro en la pila dependientes de publicar otro (que probablemente también encontré gracias a él): [PDF] Finding and Understanding Bugs in C Compilers que trata justamente de eso: el estándar de C es complicado y tiene sus cosillas indefinidas, intedeterminadas y (de vez en cuando) malinterpretadas. Los autores han creado Csmith, que genera programas aleatorios en C acordes con el estándar C99 y les sirve para comprobar que los compiladores (y otras herramientas) efectivamente hacen lo que tienen que hacer.

A mi, en su día cuando lo lei me recordó aquel clásico Reflections on Trusting Trust de Ken Thompson; también me sirvió para desempolvar un poco el C y recordar cosillas (en la línea que sugiere la primera presentación).

Siguiendo en esta línea, en Lo que todo programador de C debería saber sobre el “comportamiento indefinido” (se ve que es un tema que le gusta) podíamos acceder a más información en esta línea:

A Guide to Undefined Behavior in C and C++, Part 1.
A Guide to Undefined Behavior in C and C++, Part 2. Y, finalmente:
A Guide to Undefined Behavior in C and C++, Part 3.

Y, otra serie de 3:

What Every C Programmer Should Know About Undefined Behavior #1/3,
What Every C Programmer Should Know About Undefined Behavior #2/3 y, finalmente:
What Every C Programmer Should Know About Undefined Behavior #3/3.

Definitivamente, buenas lecturas para entretenerse en esta semana en la que, tal vez, tengan algún festivo más que en otras…

Otro estudio sobre claves

No creo que el título sea apropiado, sobre todo teniendo en cuenta que ya nos hemos preguntado si el sistema de usuario/clave es el más adecuado para estas cosas pero me gusta guardar estos datos, que nunca se sabe: Survey Reveals How Stupid People are With Their Passwords.

• 4 in 10 respondents shared passwords with at least one person in the past year.

• Nearly as many people use the same password to log into multiple Web sites, which could expose their information on each of the sites if one of them becomes compromised. (A separate recent study revealed that 75% of people use the same password for Social Networking Sites and their email accounts)

• Almost half of all users never use special characters (e.g. ! ? & #) in their passwords, a simple technique that makes it more difficult for criminals to guess passwords. (Yet not all sites support this option of special characters!)

• 2 in 10 have used a significant date, such as a birth date, or a pet’s name as a password – information that’s often publicly visible on social networks.

Además,

Younger people are especially likely to take online security risks. Webroot found that among 18 to 29 year-olds:

• 12 percent have shared a password in a text message (vs. 4 percent overall)

• 30 percent logged into a site requiring a password over public WiFi (vs. 21 percent overall) (Note: This is typically only dangerous when you logon not using SSL — aka HTTPS in your browser)

• Over half (54 percent) have shared passwords with one or more people in the past year (vs. 41 percent of people overall)

The number of Web sites that require an extra layer of security has proliferated, driving careless habits:

• Three quarters (77 percent) of consumers have five or more accounts with online services that require passwords.

• One-third (35 percent) have 10 or more password-protected accounts. Only 10 percent ensure they never use the same password on different accounts.

• Passwords are forgotten occasionally, often or always by over half of consumers (51 percent).

Despite these disturbing figures, consumers still think they are safe, with 50 percent of people saying they feel their passwords are very or extremely secure. That being said, according to the survey:

• 86 percent do not check for a secure connection when accessing sensitive information when using unfamiliar computers.

• 14 percent never change their banking password.

• And 30 percent remember their passwords by writing them down and hiding them somewhere like a desk drawer.

• 41 percent use the same password for multiple accounts.

• Only 16 percent create passwords with more than 10 characters in length.

• Almost half of Facebook users (47 percent) use their Facebook password on other accounts and 62 percent of Facebook users never change their password.

Un estudio sobre HTTPOnly y Secure Cookie

Por la posibilidad de hacerlos y porque, al final, llevan un trabajo no desdeñable me gustan mucho este tipo de estudios. Por algún motivo lo había dejado aparcado y lo traigo ahora aquí: Study of HTTPOnly and Secure Cookie Flags for the Top 1000 Websites.

Como el título sugiere, se eligen los 1000 sitios más importantes (según alexa, en este caso) y se observa el resultado de alguna característica de seguridad. En este caso los flags HttpOnly y Secure cookie: se trata de hacerse una idea del uso que dan estos sitios a esas características de seguridad.

Unique Domains Responding: 162
Domains responding to https://www.: 141
Domains responding to https://: 88

Total Cookies Gathered: 559
Cookies from https://www.: 373
Cookies from https://: 186

HTTPOnly Flag
Total unique count of cookies using secure flag: 26
Cookies from https://www.: 25
Cookies from https://:11
Note: 10 of the 11 sites from https:// were duplicated within the
https://www. results

SECURE Flag
Total unique count of cookies using secure flag: 15
Cookies from https://www.: 15
Cookies from https://: 0

Session Cookies
Cookies containing the word “session”: 91
Total unique count of these cookies marked HTTPOnly: 12
Total unique count of these cookies marked SECURE: 8
Total unique count of these cookies marked SECURE & HTTPOnly: 1
(https://www.clickbank.com)

HTTPOnly & SECURE
Total number of cookies marked HTTPOnly & SECURE : 7
6 from https://www.paypal.com
1 from https://www.clickbank.com

Raw data can be found at the following link.

La metodología tiene sus debilidades: puede ser que se utilicen estas cosas, pero no en la página que se mira, o algún error temporal, pero da una idea …

Ya hemos comentado otras veces estudios ‘numerológicos’ similares, por ejemplo en Claves y usabilidad o en Contraseñas, usabilidad y uso.

Sobre claves y control de acceso en sitios web

En Contraseñas, usabilidad y uso hablamos del artículo, pero en Economic Considerations of Website Password Policies añaden los enlaces a cuatro entradas de los autores del estudio donde se extienden en algunos aspectos:

Passwords in the wild, part I: the gap between theory and implementation, con comentarios generales sobre las políticas de los sitios y los resultados del artículo.

Passwords in the wild, part II: failures in the market, comentando sobre el tipo de sitios examinados (y sin examinar).

Passwords in the wild, part III: password standards for the Web es la parte que me ha parecido más interesante, porque aporta información sobre los estándares y prácticas más o menos establecidas en la industria. Para releer con cuidado.

Passwords in the wild, part IV: the future donde, como el título indica, especulan sobre el futuro.

Definitivamente, si no habíamos leido el artículo ([PDF] “Where Do Security Policies Come From?), un buen repaso en un formato más accesible.

Actualización 21/I: quede para mi vergüenza el error de arriba. Evidentemente, nos referimos al artículo [PDF] The password thicket: technical and market failures in human authentication on the web. que es sobre lo que comentan los autores.

En internet cada vez es más difícil esconderse

Arvind Narayanan ha estado publicando una serie de entradas a modo de divulgación de una revisión de la literatura existente muy interesantes sobre anonimato y cómo las empresas (y otros) pueden conocernos mejor de lo que nos gustaría, a veces.

En Cookies, Supercookies and Ubercookies: Stealing the Identity of Web Visitors empieza hablando de las viejas cookies, pero termina hablando de los sistemas de ‘desanonimización’ utilizando el historial de navegación (Día Internacional de la Privacidad) para tratar de averiguar quiénes somos.

En Ubercookies Part 2: History Stealing meets the Social Web profundizaba en estas cuestiones, con más detalles y diversas aproximaciones posibles.

En How Google Docs Leaks Your Identity comentaba un fallo de Google Docs ya solucionado (aunque luego lanzaron Buzz para terminar de desanonimizarnos).

En realidad, el mensaje está claro: deberíamos navegar por los sitios ‘sensibles’ (por supuesto, bancos, sitios de compras, …) en un navegador ‘sin historia’ (probablemente con un usuario diferente) para que nadie pueda saber cuál es nuestro banco, ni tratar de sacar partido de la información que nuestro navegador almacena y no nos imaginamos cómo alguien puede usar contra nosotros.

Lo que tardan los fabricantes en arreglar los fallos

En Estudio comparativo: ¿Cuánto tardan los grandes fabricantes de software en arreglar una vulnerabilidad? hablan justamente de eso. No es un estudio definitivo porque se habla de las vulnerabilidades informadas a través de un par de servicios de compra de este tipo de fallos, iDefense Vulnerabity Contributor Program y The Zero Day Initiative lo que deja fuera unas cuantas que no siguen ese camino y que, además, probablemente son públicas (estos sitios utilizan una política de divulgación ‘responsable’) y ejercen más presión sobre los fabricantes.

Por lo demás sólo Novell y Apple parece que resuelven (algo) más del 50% antes de tres meses, que no es mucho decir.