TECNOLOGíA, INTERNET, JUEGOS

Google consigue acabar con WWW en Chrome: ya no se puede activar

#4 si ni tu ni tus visitantes son un objetivo, entonces probablemente nada.

Pero si tu o tus visitantes sois de interés para un hacker, podría ponerse en medio de una comunicación http y hacerse pasar por tu web para que el visitante viera lo que él quiera.

Este es un ataque habitual en las wifis abiertas. (pero no es la única forma de hacerlo, ojo).

Un pardillo se conecta a la wifi del hacker por que está abierta, escribe www.webdecosmonauta.es y la wifi del hacker le enseña para www.webdelcosmonauta.es (esto es lo que pondrá en la url) una página que pone lo que el quiera e incluye los virus que él considere.

Sin embargo, si tu página es https, aunque puede intentarlo igual, cuando tu navegador recibe los datos el certificado no se corresponde y chrome te saca un aviso que dice algo así como "el certificado no es válido, la pagina podría no ser segura. Quieres continuar?" y un botón gordo que pone "¡Sacame de aqui!".

Al que deberías dar si alguna vez ves ese mensaje.

En móviles hay virus que cuando los tienes en el movil al entrar en una web http te añaden un pop-up que si le pinchas te descargan cosas o realizan acciones "con tu consentimiento" . Este ataque no lo pueden hacer en https sin que el navegador te avise de que está recibiendo datos que no se corresponden con el certificado.
#4 Porque alguien puede hacer un man in the middle y atacar a tus visitantes, como #9 explica.
#9 ¿Entonces el problema desaparece simplemente si no usas WiFis desconocidas?
#9 Todo el mundo sabe que cuando sale un cartel de esos hay que darle a "dale palante que no tengo ni puta idea de lo que pone ahí"
#9 Correcto. Pero no es mi web la insegura, sino la red que usa el cliente. Y tampoco es insegura del todo, durante muchos años todas las webs han funcionado así.
#31 en realidad no.

Un atacante podría usar la misma tecnica para hacerse pasar por ti una vez hayas introducido tu login y password para acceder al backend (sin necesidad deconocerlos) . Y el servidor al ser http no se daria cuenta de que hay un acceso malicioso y otro legitimo.

Podría destrozar la web o cargar virus o lo que fuera. Con https eso np puede ocurrir.

Pero dejando esto de lado, que probablemente no ocurra si tu no eres un objetivo...

Cuando hablamos de webs seguras hablamos de seguridad en la navegación para el usuario. Tu argumento de "Pero no es mi web la insegura, sino la red que usa el cliente." en realidad aplica a todo: login, passwords, pagos con tarjetas...

Todo se podría hacer http de forma segura si las redes y los dispositivos fueran seguros.

Por eso hablamos de webs seguras para la navegación y tu blog http no lo sería.

menéame