sábado, agosto 19, 2017

Chrome (de Google) marcará muchos blogs como inseguros por no tener HTTPs. Blogger (de Google) no permite usar HTTPs con dominos personalizados. WTF?

Son muchos los blogs que han recibido los correos electrónicos de Google indicando que su blog tiene páginas que van a ser marcadas como inseguras. Remarco esto de "páginas" y no el sitio completo, pues en los correos electrónicos que Google está enviando a los dueños de sitios web en Blogger especifica exactamente qué páginas en concreto son las que van a ser marcadas como inseguras.

Figura 1: Chrome (de Google) marcará muchos blogs como inseguros por no tener HTTPs.
Blogger (de Google) no permite usar HTTPs con dominos personalizados. WTF?

La lista de páginas son aquellas que tengan campos de introducción de datos, es decir, los INPUT tipo TEXT o tipo e-mail, como explican en el ejemplo que acompaña al mensaje de advertencia que se envía. Si te pasa esto en la página principal, entonces será todo el sitio.

Figura 2: Mensaje de advertencia para SeguridadApple.com

Como se puede imaginar uno, la solución es bastante sencilla. La opción 1 es quitar esos campos de entrada de datos, pero claro, eso llevaría a una pérdida de funcionalidad de algunos sitios. Además, tal y como está redactado el texto - al menos en Español - deja claro que es en la web en la que soliciten los datos (no importa si estos campos van en un FORM que tira en el ACTION contra un Backend HTTPs). Si la página muestra los campos de entrada de datos bajo HTTP, entonces saldrá la alerta.

Figura 3: Páginas que serán marcadas como inseguras

Esto tiene todo el sentido del mundo, porque el riesgo es que un campo mostrado bajo HTTP es susceptible a multitud de ataques, incluidos los famosos SSLStrip que presentó hace ya muchos años Moxie Marlinspike. Y en la charla de Owning Bad Guys {and mafia} with JavaScript Botnets, usamos el hooking de FORMs en conexiones HTTP para robar credenciales y datos de formularios. Puedes ver la demo aquí.



Figura 4: Owning bad guys {and mafia} with JavaScript Botnets


Esto nos lleva a la Opción 2, que es poner todo el sitio bajo HTTPs. Esto no es "Rocket Science", y basta con pedir un certificado con el nombre del dominio y aplicarlo para que el listener del sitio web escuche solo por peticiones HTTPs o, al menos, por las dos.

Figura 5: Si tienes un dominio personalizado, te "frunges"

Pero como ya se han quejado otros bloggers, esto no es posible de configurar en Blogger si tienes un dominio personalizado, como por ejemplo, www.elladodelmal.com, así que a partir de la versión de Google Chrome 62 puede ser que pasen cosas raras en muchos blogs.

Dicho esto, me parece una buena iniciativa marcar las páginas inseguras como inseguras, pero Google, ¿no podéis arreglar esto de una forma lógica y coordinada para que los usuarios de Blogger puedan hacerlo bien?

Saludos Malignos! 

3 comentarios:

Unknown dijo...

Saludos Chema, eres grande.
Bueno a Google como que se le paso ese "pequeño" detalle, quizas no fue a proposito, sin embargo hasta los grandes cometen errores absurdos como este.
Como tu lo has dicho, es muy buena su iniciativa pero falto la coordinación en el proceso.

Blog nuevo dijo...

A veces hay mucha descordinación entre los equipos de Google, lanzan cosas o las anuncian sin medir realmente el impacto. Pasó algo similar cuando el HTTPS se anunció como factor positivo del ranking generando una migración masiva de sitios, mientras que muchos de los anuncios de AdSense -fuente de ingresos de esos sitios- no funcionaban bajo HTTPS, después lo arreglaron, pero así hay varios ejemplos más...

Unknown dijo...

Yo creo que es una buena iniciativa, debido a tantas paginas inseguras. Esto caeria bien sobre todo para aquellas paginas que son utilizadas con phishing, o aquellas paginas de entidades publicas como son los bancos y otras instituciones en la cual pide ingreso de datos.
Desde otro punto de vista es una paradoja, ya que las paginas de blogger no cuentan con https
Saludos desde Perú.

Entrada destacada

Tu Latch "Hack Your Innovation Contest": Haz un PoC & Hack por 1.000 €

El pasado Telefónica Innovation Day 2024 lanzamos oficialmente el " Tu Latch Hack Your Innovation Contest " en el que repartimos ...

Entradas populares