Gana lo Que Quieras Ya!: Los datos privados y Aplicativo FireFox

lunes, 9 de noviembre de 2015

Los datos privados y Aplicativo FireFox

Que opina usted? Las cookies también pueden saltarse la protección HTTPS para obtener tus datos privados - 25/09/2015 4:42:26

" El Equipo de Respuesta ante Emergencias Informáticas (CERT) norteamericano ha publicado un informe en el que se notifica una vulnerabilidad relacionada con las cookies y presente en prácticamente todos los navegadores modernos que utilizamos hoy en día, desde Chrome hasta Firefox pasando por Safari, Opera o Internet Explorer.
Según el informe, estas podrían ser utilizadas en un ataque para evitar el protocolo seguro HTTPS y acceder a la información de nuestras sesiones privadas. Lo peor de todo es que como hemos dicho ningún navegador actual tiene protección contra este tipo de ataque, por lo que estamos en peligro tanto nosotros como empresas del calibre de Google o Facebook.
Las cookies son un eterno dolor de cabeza por su capacidad para almacenar información en las conexiones no seguras, aunque hasta ahora todos creíamos que estábamos a salvo de ellas gracias a los límites de las conexiones HTTPS. Pero según este informe, el problema fundamental es que las cookies no garantizan la integridad de dominios hermanos o subdominios.
¿Cómo funciona esta vulnerabilidad?

Imaginaos dos páginas x.ejemplo.com y z.ejemplo.com. El servidor de x.ejemplo.com puede establecer una cookie con el atributo ""Dominio"" configurado para ejemplo.com, de manera que esta cookie no sólo podría llegar a sobrescribir la de ejemplo.com, sino hacer que en la petición HTTP se incluya también a z.ejemplo.com.
En el peor de los casos ,z.ejemplo.com no podría distinguir entre la cookie establecida y la suya propia, lo que quiere decir que desde el servidor de x.ejemplo.com se podría aprovechar esta vulnerabilidad para montar un ataque contra el otro servidor.
Siguiendo con nuestro ejemplo, un atacante puede establecer una cookie para ejemplo.com que sobrescriba la existente para la página www.ejemplo.com cuando una víctima esté cargando contenido protegido con HTTPS. De esta manera, el atacante que controla la cookie podría utilizar esta vulnerabilidad para obtener información privada de los usuarios.
El informe concluye sugiriendo que las empresas implementen el HSTS (HTTP Strict Transport Security) a nivel de servidor para evitar la vulnerabilidad, y sugiere que Google, Mozilla, Opera y el resto de desarrolladores actualicen sus navegadores para evitar los subdominios puedan utilizarse por para atacar a los dominios generales generando cookies maliciosas.
Vía | CERT
Imágenes | Surian Soosay y Intel Free Press
En Genbeta | Cómo borrar y controlar las cookies y las cookies Flash en Chrome o Firefox
También te recomendamos
Apple y "goto fail", un fallo de seguridad en SSL/TLS y su posible relación con la NSA
Wikimedia reacciona ante la revelación de XKeyscore y habilitará el uso de HTTPS
¿Trabajas o estudias? La educación online te permite ambas cosas
-
La noticia Las cookies también pueden saltarse la protección HTTPS para obtener tus datos privados fue publicada originalmente en Genbeta por Yúbal FM .
Ver artículo...
" Fuente Artículo

Interesante, Mozilla lanza Firefox Accounts para poder usar Sync y otros servicios cómodamente - 08/02/2014 1:03:14

" Si usáis Mozilla Firefox, muchos conoceréis ya Firefox Sync, una característica del navegador que permite sincronizar nuestros datos entre varios dispositivos. Y si lo conocéis, probablemente sepáis que el modo de añadir nuevos navegadores a tu cuenta es bastante más complicado de lo normal.
Por eso mismo, Mozilla ha decidido lanzar las cuentas de Firefox, que permitirán sincronizar nuestros datos fácilmente. Los datos, eso sí, siguen estando protegidos con tu contraseña y ni siquiera un ataque a los servidores de Mozilla podría poner esos datos al descubierto. Incluso puedes crearte tu propio servidor si no confías en los de Mozilla.
Además de para Firefox Sync, las cuentas de Firefox servirán para entrar en la tienda de aplicaciones y en otros servicios adicionales, incluyendo posibles características futuras del navegador.
Siguiendo la filosofía de Mozilla, el protocolo será abierto y no se almacenarán datos privados del usuario más allá de correo, contraseña y un registro de seguridad (desde dónde se ha conectado y desde qué dispositivos). Prometen que tampoco será obligatorio para usar Firefox.
Desde luego, parece una buena idea y cada vez más necesaria teniendo en cuenta todos los dispositivos en los que usamos un navegador. Si queréis probarla, ya podéis hacerlo en el canal Aurora (inestable) de Firefox, que además incluye por fin la nueva interfaz Australis.
Descarga | Firefox Aurora
Más información | Firefox Accounts
Vía | The Mozilla Blog
-
La noticia Mozilla lanza Firefox Accounts para poder usar Sync y otros servicios cómodamente fue publicada originalmente en Genbeta por Guillermo Julián.

Ver artículo...
" Fuente Artículo

Noticia, No se puede garantizar la seguridad de los coches conectados, según un grupo de expertos - 16/10/2015 10:00:55

Dentro de unos años la conexión entre vehículos y a su vez con una red principal será el futuro del transporte, al menos eso es lo que se atisba viendo la tendencia actual del sector donde el V2I cada vez tiene más protagonismo. Está dando sus primeros pasos y aunque suena prometedor, hay cosas que no terminan de convencer a los expertos. Un estudio reciente de una agencia pública revela que buena parte de la industria ve muchas lagunas a esta idea.

La GAO (la Oficina Gubernamental de Responsabilidad en Estados Unidos) ha elaborado un informe donde ha entrevistado a diferentes portavoces de la industria del automóvil, representantes de organismos públicos relacionados con medios de transporte y a directivos de empresas tecnológicas. El sentir general es negativo y solo unos pocos (menos de la mitad) creen que será posible garantizar la seguridad en las redes V2I.

La seguridad es lo primero, en todos los aspectos

En el futuro algunos imaginan a los vehículos comunicándose entre sí y con las señales de tráfico bajo la promesa de que habrá menos accidentes. Introducir la variable de las telecomunicaciones y una capa de software que permita esa conversación entre dispositivos es fascinante. A todo esto además hay que sumarle el progreso de los coches de conducción autónoma.

V2I está dando sus primeros pasos, en países como Japón ya lleva un tiempo funcionando. El problema es que ya se ha descubierto que los vehículos que usan este tipo de sistemas son vulnerables. Se pueden parchear, sí, pero como en otros sistemas operativos, la amenaza del malware y el hackeo está presente. Si con datos privados ya es una cuestión delicada, imaginad cuando lo que se puede manipular es un vehículo con personas en su interior.

Los expertos encuestados en la GAO son escépticos al respecto y creen que resultará difícil garantizar la seguridad. Para solucionarlo, en Estados Unidos los organismos de transporte quieren tener un rol más activo y ayudar a fijar estándares y protocolos que garanticen que las comunicaciones no se puedan manipular y no haya brechas de seguridad.

A esta situación hay que añadir un conflicto adicional relacionado con la privacidad. ¿Qué ocurre con los datos que se generan en carretera? ¿Se quedan almacenados en servidores del gobierno? ¿Se permitirá a la industria del motor acceder a ellos para analizar métricas? ¿Se permitirá el estudio científico a través de la rama académica para mejorar los sistemas? En Japón, pioneros en V2I, son muy estrictos al respecto y la información es almacenada por el gobierno nipón pero no se comparte con nadie más. De momento, no ha habido nada que lamentar.

Según el estudio de la GAO, Estados Unidos invertirá (a través del departamento de Transporte) 100 millones de dólares en los próximos cinco años para llevar la tecnología V2I a las carreteras. Su objetivo es que para el 2020, el 20% de los tramos estén cubiertos y que para 2040 la cifra suba al 80%. Muchas dudas y cuestiones sin resolver en una tecnología muy prometedora pero que debe ser eficaz y segura.

En el caso de España, todavía no hay planes de este tipo a través de el Ministerio de Fomento. Hay investigaciones académicas (como este estudio entre diferentes empresas y universidades) además de iniciativas privadas, como la de Indra.

También te recomendamos

Conducir un Jaguar va camino de ser lo más parecido a hacerlo en un videojuego

Honda Sensing une un radar y una cámara para proteger de atropellos a los peatones

¿Por qué hay tan pocas mujeres en las carreras técnicas?

-
La noticia No se puede garantizar la seguridad de los coches conectados, según un grupo de expertos fue publicada originalmente en Xataka por Juan Carlos González .