El abrazo de Mozilla a HTTPS ha llegado a su nivel culminante con la noticia de que los desarrolladores de Firefox deben utilizar un diseño web seguro llamado “contexto seguro” (secure contexts) de inmediato.
Esto no es una sorpresa, ya que Mozilla había dado pasos en esa dirección, pero no deja de ser una señal significativa.
Mozilla anunció:
- Todos los bloques de construcción que están en uso deben adoptar rápidamente el uso de HTTPS y contextos seguros, y seguir nuestro intento de menospreciar el uso del no seguro HTTP.
- Recomendamos encarecidamente a todos los que están relacionados con los estándares de desarrollo que promuevan el uso de los contextos seguros para todas las nuevas funcionalidades.
El punto curioso es que mientras los “contextos seguros” (también llamados “orígenes seguros”) son muy importantes para la seguridad del usuario final, casi nadie, aparte de los círculos de desarrolladores web, ha oído hablar de estos mecanismos o se plantea su importancia.
Esto puede que cambie gracias a la campaña emprendida por Google y otros de migrar las webs de las conexiones no seguras HTTP a las cifradas HTTPS.
Actualmente estas funciones casi ocultas incluyen:
- Geolocalización
- Bluetooth
- HTTP/2
- API de notificaciones web
- Webcam y acceso al micrófono
- El algoritmo de compresión web de Google Brotli.
- El proyecto de Google Accelerated Mobile Pages (AMP)
- Encrypted Media Extensions (EME)
- API de petición de pagos
- Service Workers usados en Segundo plano y para sincronización
Otras tres funciones– API AppCache, movimiento/orientación del dispositivo, y pantalla completa – se unirán pronto.
Todo esto puede funcionar sobre HTTP, por supuesto, pero eso puede conllevar un riesgo de seguridad que un atacante puede explotar para robar credenciales, monitorizar a usuarios e interceptar datos empleando tácticas de ataque como man-in-the-middle
Al darse cuenta que todo esto se estaba convirtiendo en un problema a medida que la web se vovía más compleja, Google lanzó su iniciativa de contextos seguros en 2014, añadiendo gradualmente estas medidas a Chrome. Mozilla se ha apresurado a hacer lo mismo con Firefox.
Desde entonces, la iniciativa se ha convertido en una propuesta al W3C, un nuevo paso en el largo camino para cifrar todo el tráfico entre el usuario y el servidor, incluyendo las consultas de DNS en un futuro.
Mozilla también ha decidido comenzar a usar contextos seguros para funcionalidades ya existentes. El problema es que todo el cambio en las tecnologías web hacia HTTPS no será rápido y sin complicaciones.
Como Mozilla señalaba en 2015:
Eliminar funcionalidades de una web no segura posiblemente acarreará que algunas páginas fallen. Por eso monitorizaremos el grado de impacto y los balancearemos con el beneficio en seguridad.
El predominio de Google puede ser otro factor, aunque dado que los navegadores de Microsoft IE y Edge son los únicos de los principales que todavía no apoyan esta idea, puede que lo convierta en un punto intranscendente.
El obstáculo puede que simplemente sea que el movimiento HTTPS se ha convertido en una gran tarea, empujando firmemente el HTTPS por la puerta principal y una serie de fragmentados contextos seguros por la trasera.
El anuncio de Mozilla nos recuerda que pese a haber iniciado esta transformación, aún nos queda un largo camino por recorrer.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
Dejar un comentario