Algunas debilidades de HTTPS

Como ya tiene un tiempo y además es algo especulativo (siempre que hablamos de romper métodos de cifra se trata de resultados que teóricamente nos hacen pensar que algo podría ir mal), viene bien traer aquí Has HTTPS finally been cracked? Five researchers deal SSL/TLS a biggish blow….

Se criticaban los algoritmos de generación de números aleatorios (ya hemos hablado del tema en Números aleatorios y seguridad, por ejemplo):

The problem is that although RC4 is a cryptographic PRNG, it’s not a very
high-quality one.

Y también sobre el ataque:

This result, incidentally, was the basis of the attack that broke WEP, the original encryption protocol used in Wi-Fi networking, and forced its replacement with a newer encryption system called WPA.

Los consejos?

If you can, ditch RC4 from the set of symmetric ciphers your web browser is willing to use, and your web servers to accept.

Go for AES-GCM instead.

Anuncios

Lo que sucede cuando nos conectamos con SLL/TLS

En [PDF] SSL/TLS: What’s Under the Hood un documento con bastante información sobre el tema, y con un nivel de detalle interesante.

Secure Sockets Layer (SSL) and Transport Layer Security (TLS) are both
protocols used for the encryption of network data

Los parámetros y el HTTPS: GET, POST y más

En HTTPS Data Exposure – GET vs POST un resumen rápido de la exposición de los datos que se transmiten mediante el protocolo cifrado https considerando GET, POST, si la conexión va cifrada o no y los diversos participantes en la transmisión y recepción.

Los primeros milisegundos de una conexión HTTPs

Todo el mundo tiene claro que el candadito en una conexión web indica que la cosa es ‘segura’ (aunque nadie suele tener claro mucho más). No creo que la mayoría de esa gente vaya a leerlo pero me gustó mucho el enfoque de The First Few Milliseconds of an HTTPS Connection donde va mostrando paso a paso (o casi) los procesos que van sucediendo cuando se establece una conexión de estas. Desde luego, me lo guardo para futura referencia.