Llegamos a ustedes gracias a:



Noticias

Microsoft añade soporte de HSTS a Internet Explorer

Los sitios web ahora podrán indicar al navegador que siempre los visite usando HTTPS.

[25/02/2015] Internet Explorar, comenzando desde Windows 10, permitirá a los usuarios acceder a algunos sitios web usando conexiones cifradas con SSL, si esos sitios web han optado por el nuevo mecanismo de seguridad.

Los usuarios pueden evaluar la nueva característica, conocida como HTTP Strict Transport Security (HSTS) en Internet Explorer sobre el Windows 10 Technical Preview. En el futuro, también se añadirá al navegador Proyecto Spartan, sostuvieron Mike Bell y David Walp, gerentes de programa de Microsoft, en una entrada de blog.

HSTS es un estándar definido por la Internet Engineering Task Force en el RFC6797. Este estándar fue diseñado para evitar ataques stripping SSL, en donde los atacantes que se encuentran en posición de interceptar el tráfico de un usuario pueden hacer downgrade a las conexiones para pasarlas de HTTPS (cifrado HTTP y SSL) a HTTP.

Es fácil llevar a cabo estos ataques: Un atacante tipo 'hombre en el medio' intercepta la consulta de una víctima a un sitio con HTTPS y la bloquea. Luego, continua y establece una conexión HTTPS con el sitio, en nombre de la víctima, y luego realiza la respuesta al usuario usando HTTP.

En este punto el sitio no tiene idea de que algo malo está pasando porque desde su lado solo ve una conexión cifrada de un usuario, quien en realidad es el hacker actuando como proxy. La víctima ya no ve los indicadores HTTPS en la barra de direcciones de su navegador -el ícono de candado- pero como la mayoría de los usuarios no se preocupan de seguir viéndolo, el atacante puede lograr que la respuesta pase y haga el downgrade de la conexión.

HSTS enfrenta los ataques stripping SSL permitiendo a los sitios web que indiquen a los navegadores que siempre deben conectarse con ellos usando HTTPS. Los sitios web pueden expresar esta política a través de un header HTTP de Strict Transport Security que se envía en la respuesta. Una vez que el navegador ve ese header en un sitio web, recordará la preferencia y solo aceptará conexiones HTTPS para el sitio en el futuro.

Internet Explorer es en realidad el último de los navegadores más usados en tener soporte para HSTS, e incluso ahora no se encuentra en todas las versiones. Google Chrome ha tenido soporte para HSTS desde el 2009, Firefox desde el 2010, Opera desde el 2012 y Safari desde el 2013.

Al igual que Chrome y la mayoría de los otros navegadores, IE vendrá precargado con una lista de sitios web populares para la cual la política de HSTS se hará cumplir por defecto. Tales listas son necesarias, ya que incluso con HSTS existe aún una pequeña ventana para los ataques stripping SSL: La primera solicitud del navegador a un sitio web. Para conocer la política HSTS de un sitio a través de un header de respuesta, el navegador primero debe conectarse con ese sitio. Sin embargo, si un atacante ya se encuentra en posición de interceptar el tráfico él podría retirar el header de Strict Transport Security de la respuesta del sitio y el navegador nunca lo sabría.

Internet Explorer usará la misma lista precargada de HSTS que es utilizada en el navegador de código abierto Chromium, indicaron Bell y Walp, añadiendo que los sitios web pueden registrarse para ser incluidos en la lista.

El nuevo mecanismo de seguridad podría impactar sobre la experiencia de usuario en los sitios que han optado por él. En ciertas situaciones, IE permite a los usuarios dejar de lado algunos errores de certificado y abrir un sitio web. Si tales errores ocurren para un sitio con HSTS, los usuarios ya no podrán descartarlos y se rechazará la conexión.

Igualmente, algunos sitios que usan HTTPS podrían cargar contenido de servidores de terceros sobre HTTP. Esto se conoce como contenido mixto y aunque es una práctica desaconsejada desde el punto de vista de la seguridad, es aceptada por los navegadores. Con el HSTS habilitado, el contenido mixto ya no será permitido.

Lucian Constantin, IDG News Service