Conexión cifrada en CV o en EOL

‪

adri-skater8 escribió:Los mp's están cifrados creo.

No lo sé, pero lo dudo

adri-skater8 escribió:Los mp's están cifrados creo.

No.

creo que para SSL se tiene que pagar licencia.

Por el tema certificados y tal

Según tengo entendido los admin pueden leer los MP (aunque solo lo hacen en casos extremos, o eso es lo que ellos dicen ) por lo que no creo que estén cifrados.


Saludos

‪

hilo_los-mods-admins-pueden-leer-nuestros-mps_1400347#p1719528265

El tema del HTTPS lo he pensado alguna vez, pero sinceramente no tengo demasiado idea del tema, pero efectivamente sí es algo que hay que pagar, para que te emitan un certificado. Lo mínimo sería utilizarlo para el login, tal y como hace por ejemplo Google, que te envía a una página HTTPS para poner la contraseña, y luego al servicio HTTP normal.

melado escribió:El tema del HTTPS lo he pensado alguna vez, pero sinceramente no tengo demasiado idea del tema, pero efectivamente sí es algo que hay que pagar, para que te emitan un certificado. Lo mínimo sería utilizarlo para el login, tal y como hace por ejemplo Google, que te envía a una página HTTPS para poner la contraseña, y luego al servicio HTTP normal.

Entonces esto significa que mis correos vuelan por ahí en pelotas?¿?

Es decir, un capturador de paquetes podría ver lo que yo veo?

SwapNewbie escribió:Entonces esto significa que mis correos vuelan por ahí en pelotas?¿?

Si hablas de GMail, hace poco (desde los ataques chinos) que pone el correo en sí con HTTPS por defecto.

SwapNewbie escribió:Es decir, un capturador de paquetes podría ver lo que yo veo?

Eso es exactamente lo que implica que la web que ves tenga un HTTP delante y no un HTTPS. Claro que tendría que ser en una red pública y/o mal configurada (a propósito o no), como una red inalámbrica, etc.

melado escribió:El tema del HTTPS lo he pensado alguna vez, pero sinceramente no tengo demasiado idea del tema, pero efectivamente sí es algo que hay que pagar, para que te emitan un certificado. Lo mínimo sería utilizarlo para el login, tal y como hace por ejemplo Google, que te envía a una página HTTPS para poner la contraseña, y luego al servicio HTTP normal.

Para el login estaría bien pero lo malo que para los mensajes privados a la hora de pasarnos los datos del foro de compra/venta pues no serviría no? Me refiero a que cualquiera podría capturar lo que se ha escrito en el.

Asahy escribió:Para el login estaría bien pero lo malo que para los mensajes privados a la hora de pasarnos los datos del foro de compra/venta pues no serviría no? Me refiero a que cualquiera podría capturar lo que se ha escrito en el.

Hombre, sí, pero lo veo menos peligroso. Las contraseñas suelen ser más jugosas por el tema de que la gente utiliza la misma para todo (si alguien me está leyendo y usa la misma contraseña en EOL que en otro sitio, ¡que la cambie! xD).

Edit: ya que estoy, tu firma se pasa 7 pueblos de alto, recuerda que son 200 píxeles máximo de alto entre imágenes y texto.

melado escribió:Edit: ya que estoy, tu firma se pasa 7 pueblos de alto, recuerda que son 200 píxeles máximo de alto entre imágenes y texto.

Y como se miden 200 pixeles?

La cambio en un momento, que ahora no puedo.

Por unos pixeles no creo que me peguen no? xD

Muy bueno el ejemplo. Ahora ya está, gracias.

Para configurar el cifrado en la web, deberíais poseer un certificado, ya sea emitido por una autoridad certificadora FNMT, CamerFirma, Verisign, Banesto, ACCV etc etc o uno propio autogenerado, para que os hagais una idea, creo que la emision de un certificado por parte de la fnmt cuesta alrededor de 600€ para 5 años pero perfectamente sirve el autogenerado

Esto se configuraría en el apache y ya se estaría en disponibilidad de ofrecer la página vía SSL.

daniel_5 escribió:Para configurar el cifrado en la web, deberíais poseer un certificado, ya sea emitido por una autoridad certificadora FNMT, CamerFirma, Verisign, Banesto, ACCV etc etc o uno propio autogenerado, para que os hagais una idea, creo que la emision de un certificado por parte de la fnmt cuesta alrededor de 600€ para 5 años pero perfectamente sirve el autogenerado

Esto se configuraría en el apache y ya se estaría en disponibilidad de ofrecer la página vía SSL.

Pero si cualquiera pudiera generar el suyo, las páginas piratas de bancos lo harían, no? Para parecer más auténticas!

SwapNewbie escribió:

daniel_5 escribió:Para configurar el cifrado en la web, deberíais poseer un certificado, ya sea emitido por una autoridad certificadora FNMT, CamerFirma, Verisign, Banesto, ACCV etc etc o uno propio autogenerado, para que os hagais una idea, creo que la emision de un certificado por parte de la fnmt cuesta alrededor de 600€ para 5 años pero perfectamente sirve el autogenerado

Esto se configuraría en el apache y ya se estaría en disponibilidad de ofrecer la página vía SSL.

Pero si cualquiera pudiera generar el suyo, las páginas piratas de bancos lo harían, no? Para parecer más auténticas!

Es que pueden hacerlo incluso tu te puedes generar un certificado.

Un certificado "no es mas que un par de claves para cifrar lo que se transmite entre el cliente y el servidor"

Claro, tú puedes generarte los certificados que quieras, y funcionarán, pero los navegadores darán una alerta de que no han podido comprobar que ha sido generado por una autoridad reconocida (como las que ha mencionado daniel_5, por ejemplo), con lo que tampoco es una solución...

melado escribió:Claro, tú puedes generarte los certificados que quieras, y funcionarán, pero los navegadores darán una alerta de que no han podido comprobar que ha sido generado por una autoridad reconocida (como las que ha mencionado daniel_5, por ejemplo), con lo que tampoco es una solución...

No es del todo asi el navegador te pregunta si quieres confiar en el certificado, ya sea autogenerado o emitido por una CA reconocida tipo fnmt, el navegador no mira si el certificado es autogenerado o no simplemente te avisa con que certificado se va a cifrar la conexión.

Obviamente da mas confianza un certificado de la fnmt que uno hecho por uno mismo, pero realmente la seguridad en estos casos es la misma, ya que si unicamente tu tienes la clave privada unicamente tu puedes descrifrar loq ue viaja vía SSL.

El que sea un certificado de una CA reconocida, es para firmar documentos peticiones etc etc que los validadores exigen en muchos casos que sea reconocida o simplemete es que validan el certificado con la FNMT (Servicio de pago) para ver si este es válido

daniel_5 escribió:No es del todo asi...

Hombre, sí, pero a ver quién cuenta luego los hilos que se abrirían en Feedback si saliese algo como esto al entrar:

melado escribió:

daniel_5 escribió:No es del todo asi...

Hombre, sí, pero a ver quién cuenta luego los hilos que se abrirían en Feedback si saliese algo como esto al entrar:

No no si yo no digo que lo pongais yo solo comento como funciona , eso si eso te saldría con cualquier certificado lo pone calramente "your computer"

daniel_5 escribió:

melado escribió:

daniel_5 escribió:No es del todo asi...

Hombre, sí, pero a ver quién cuenta luego los hilos que se abrirían en Feedback si saliese algo como esto al entrar:
[img*]http://www.sslshopper.com/assets/images/chrome-beta-ssl-2.png[/img]

No no si yo no digo que lo pongais yo solo comento como funciona , eso si eso te saldría con cualquier certificado lo pone calramente "your computer"

Por uno que haya sido emitido por una autoridad reconocida (las listadas anteriormente) no sale ese aviso. Sólo con los que no han sido emitido por esas autoridades, que en la mayoría de los casos son los autogenerados.

Si no, me saldría ese aviso cada vez que entro a Gmail, las páginas de mis bancos, etc.

Pero es que esos hay que pagarlos, y esa pelota ya está fuera de mi tejado

Anzel escribió:Por uno que haya sido emitido por una autoridad reconocida (las listadas anteriormente) no sale ese aviso. Sólo con los que no han sido emitido por esas autoridades, que en la mayoría de los casos son los autogenerados.

Si no, me saldría ese aviso cada vez que entro a Gmail, las páginas de mis bancos, etc.

Sale ese aviso la primera vez que entras a la web, despues no vuelve a salir por que lo añades como excepción el navegador no va contra ninguna plataforma de validación.

Eso si hay un caso en el que no sale si tu por ejemplo entras a una web con certificado de la FNMT y tienes como confianza el raiz de la fnmt no sale el aviso, pero por que ya confias en el.

daniel_5 escribió:Sale ese aviso la primera vez que entras a la web, despues no vuelve a salir por que lo añades como excepción el navegador no va contra ninguna plataforma de validación.

melado escribió:Hombre, sí, pero a ver quién cuenta luego los hilos que se abrirían en Feedback si saliese algo como esto al entrar:

NeDark escribió:

daniel_5 escribió:Sale ese aviso la primera vez que entras a la web, despues no vuelve a salir por que lo añades como excepción el navegador no va contra ninguna plataforma de validación.

melado escribió:Hombre, sí, pero a ver quién cuenta luego los hilos que se abrirían en Feedback si saliese algo como esto al entrar:
[img*]http://www.sslshopper.com/assets/images/chrome-beta-ssl-2.png[/img]

Es lo que le dije antes, pero él sigue insistiendo en que siempre salen... Si es que sólo hay que leer la advertencia. Repito, que si el certificado SSL lo ha emitido una entidad reconocida NUNCA se muestra una advertencia.

Anzel escribió:Es lo que le dije antes, pero él sigue insistiendo en que siempre salen... Si es que sólo hay que leer la advertencia. Repito, que si el certificado SSL lo ha emitido una entidad reconocida NUNCA se muestra una advertencia.

Repito, la primera vez si, luego lo metes como excepciones en el navegador y listo, para muestra una web con un certificado de la FNMT, no dejo las URL por que son del curro y no puedo/quiero, pero puedes ver como el cert es emitido por la FNMT





Puedes ver también como dice el navegador que no se confía por que no se confía en el certificado emisor, tu me diras por que no se confía en la FNMT, pues es por dos cosas, por que no está el certificado raiz con el que se ha emitido o por que no se valida contra ninguna plataforma, en este caso es por las dos cosas, nunca vas a validar contra la fnmt por ejemplo

daniel_5 escribió:

Anzel escribió:Es lo que le dije antes, pero él sigue insistiendo en que siempre salen... Si es que sólo hay que leer la advertencia. Repito, que si el certificado SSL lo ha emitido una entidad reconocida NUNCA se muestra una advertencia.

Repito, la primera vez si, luego lo metes como excepciones en el navegador y listo, para muestra una web con un certificado de la FNMT, no dejo las URL por que son del curro y no puedo/quiero, pero puedes ver como el cert es emitido por la FNMT

[img*]http://i40.tinypic.com/123bj1w.jpg[/img]

[img*]http://i39.tinypic.com/35mje2q.jpg[/img]

Puedes ver también como dice el navegador que no se confía por que no se confía en el certificado emisor, tu me diras por que no se confía en la FNMT, pues es por dos cosas, por que no está el certificado raiz con el que se ha emitido o por que no se valida contra ninguna plataforma, en este caso es por las dos cosas, nunca vas a validar contra la fnmt por ejemplo

Firefox no incluye a FNMT como entidad certificadora conocida por defecto.

Quizás si matizo, se entienda mejor:

Anzel escribió:Si el certificado SSL lo ha emitido una entidad reconocida por el navegador NUNCA se muestra una advertencia.

Por ejemplo: nunca he entrado en la página de la CIA, pero como tiene un certificado emitido por una entidad reconocida (por Firefox), nunca me pide que añada la excepción.

https://www.cia.gov/

Nos ha jodido, y que te crees que haces cuando te sale el aviso de la captura de Kia o del mio añades la excepción o si quieres metes el certificado raiz de la FNMT como dije mas arriba y listo, todos los cert emitidos por FNMT pasaran por el aro, o les compras a verisign un certificado.

Que venga por defecto un certificado raiz o una CA de confianza no quiere decir uqe no te salga nunca el aviso quiere decir que ya confias en el, el navegador no valida el certificado ni la CA contra ninguna plataforma lo valida consigo mismo.

No es cuestión de matizar creo, es cuestión de que sea o no reconocida la CA que emite ese certificado venga por defecto en el navegador (En algunos puede venir en otros no eso ya depende), el ejemplo es la fnmt es una entidad reconocida y una autoridad para emitir certificados perfectamente válidos, pero como no viene pues te salta el error, igual pasa con la DGP Banesto, o por ejemplo ACCV.

Yo lo que pretend es que quede claro que el aviso sale siempre a no ser que se confie en la CA esto ya puede venir por defecto o no en un navegador

Aquí el problema es que vosotros y yo si vemos ese tipo de advertencia, sabemos qué significa, sabemos cómo actuar, y sabemos qué consecuencias trae añadirlo como excepción. El usuario medio de EOL no lo sabe, y es lo que hay que tener en cuenta.

melado escribió:Aquí el problema es que vosotros y yo si vemos ese tipo de advertencia, sabemos qué significa, sabemos cómo actuar, y sabemos qué consecuencias trae añadirlo como excepción. El usuario medio de EOL no lo sabe, y es lo que hay que tener en cuenta.

Ya, ya, si yo creoq ue el debate ya no era el ponerlo o no de todas formas yo no lo creo necesario es más cómodo pasar los datos por correo o de otra forma si no te fías de los MP

A parte llevar el foro de CV cifrado consumiría más recursos, que no sé como andarán los servers de EOL de holgados, pero es algo a tener en cuenta.

Poder activar opcionalmente estaría bien, sobretodo para los mas geeks xd En gmail funcionaba así y los mas enterados lo activamos antes xD

Lo de los certificados pues lo de siempre, si lo firma una CA reconocida como verisign no sale advertencia, pero si es autofirmado si. Pero bueno cada día veo mas autofirmados, en mi universidad y otras lo hacen así. Y creo que la de la agencia tributaria tampoco esta reconocida por los navegadores no se.

Pero en eol hay pasta para verisign y para lo que sea

encaputxat escribió:Poder activar opcionalmente estaría bien, sobretodo para los mas geeks xd En gmail funcionaba así y los mas enterados lo activamos antes xD

Lo de los certificados pues lo de siempre, si lo firma una CA reconocida como verisign no sale advertencia, pero si es autofirmado si. Pero bueno cada día veo mas autofirmados, en mi universidad y otras lo hacen así. Y creo que la de la agencia tributaria tampoco esta reconocida por los navegadores no se.

Pero en eol hay pasta para verisign y para lo que sea

Los de las universidades suelen ser de la FNMT, que no está reconocida por los navegadores como organismo oficial, como dices. Se puede añadir, de hecho es recomendable, porque así estás seguro de si es firmado por una autoridad española o es alguien intentando tangarte.