HTTPS para el login

Question

HTTPS para el login

socram8888 09 jul 2011 15:57

lol socram pole

2.591 mensajes
desde may 2007

socram8888 está baneado por "incumplimiento términos y condiciones de uso"

¿Sería posible que el login se realizase de forma cifrada mediante HTTPS para que, si nos conectamos desde un Hotspot o algo nuestras contraseñas no viajen por ahí en texto plano?

18 respuestas

Peklet 09 jul 2011 19:11 **14.707** mensajes desde **oct 2007** · Answer 1 · 2011-07-09T18:11:41+00:00

También necesitas HTTPS para la búsqueda avanzada?

hilo_conexion-cifrada-en-cv-o-en-eol_1417151

Answer 2 · 2011-07-09T18:42:30+00:00

Hay hay un lio entre los MPs y el SSL, asi que por mucho que hubiese buscado por titulo poco habria salido, y si busco en mensajes salen direcciones web del Market de Android

Sobre lo que dice melado que hay que pagar, no es cierto: hace poco recibi un correo de la INTECO donde hablaban del tema, y habian dos paginas donde emitian certificados gratuitos totalmente funcionales y firmados

Si melado dice que lo puede hacer buscaria el correo en cuestion donde salia

Answer 3 · 2011-07-09T23:20:38+00:00

firewire 10 jul 2011 00:20

MegaAdicto!!!

16.948 mensajes
desde abr 2005

Estás obsesionado con la seguridad.

Answer 4 · 2011-07-10T18:27:53+00:00

socram8888 escribió:hace poco recibi un correo de la INTECO donde hablaban del tema, y habian dos paginas donde emitian certificados gratuitos totalmente funcionales y firmados

Yo la unica que me suena de gratis es esta:

http://cert.startcom.org/?lang=es&app=100

Y nunca la he probado...

#203515# 10 jul 2011 20:26 · Answer 5 · 2011-07-10T19:26:35+00:00

firewire escribió:Estás obsesionado con la seguridad.

Din del hilo [qmparto]

Azareus 10 jul 2011 22:22 Justified **2.599** mensajes desde **jul 2004** · Answer 6 · 2011-07-10T21:22:06+00:00

Azareus 10 jul 2011 22:22

Justified

2.599 mensajes
desde jul 2004

¿Quién tendría el mínimo interes en robarte tu socramcuenta?

Answer 7 · 2011-07-10T23:33:02+00:00

Wence-Kun 11 jul 2011 00:33

Diagnosticando...

6.537 mensajes
y 1 foto
desde ene 2009
en Tijuana, MéXico

Página web de Wence-Kun Steam ID: wencekun

Él mismo para probar agujeros de seguridad probablemente Imagen

Answer 8 · 2011-07-11T09:54:14+00:00

firewire escribió:Estás obsesionado con la seguridad.

No es que me roben la cuenta, es que la contraseña la gasto para bastantes más cosas. Y además no veo qué tiene de malo buscar la mayor seguridad posible. ¿Tiene algo malo?

Y sobre robar la cuenta, mira la de manologod2. ¿Quién la querría? Pues no lo sé, pero consiguió tocar las narices

Answer 9 · 2011-07-11T11:38:31+00:00

Carma_vlc 11 jul 2011 12:38 *

cuo

2.367 mensajes
desde ago 2008
en Barcelona

Página web de Carma_vlc Steam ID: carma_vlc

Editado 1 vez. Última: 19/01/2022 - 11:32:59 por Carma_vlc.

*

textp

Answer 10 · 2011-07-11T12:08:20+00:00

No he dicho que gaste la misma contraseña para todo, pero de las ocho (que gasto según la confianza y la importancia del sitio) que tengo tienen que repetirse sí o sí en algún sitio u otro, y si cae la de EOL caerían unos 5 sitios más donde estoy

EDIT: Y claro, a ver luego cómo demuestras que una IP como la que tú estabas conectado ha iniciado sesión con normalidad en tu cuenta y ha empezado a trolear

Answer 11 · 2011-07-11T12:43:02+00:00

socram8888 escribió:
firewire escribió:Estás obsesionado con la seguridad.

No es que me roben la cuenta, es que la contraseña la gasto para bastantes más cosas. Y además no veo qué tiene de malo buscar la mayor seguridad posible. ¿Tiene algo malo?

Y sobre robar la cuenta, mira la de manologod2. ¿Quién la querría? Pues no lo sé, pero consiguió tocar las narices

No he dicho lo contrario, me parece bien la máxima seguridad posible en sitios como este, pero eso no quita que no estés obsesionado con la seguridad.

Answer 12 · 2011-07-11T13:29:20+00:00

firewire escribió:
socram8888 escribió:
firewire escribió:Estás obsesionado con la seguridad.

No es que me roben la cuenta, es que la contraseña la gasto para bastantes más cosas. Y además no veo qué tiene de malo buscar la mayor seguridad posible. ¿Tiene algo malo?

Y sobre robar la cuenta, mira la de manologod2. ¿Quién la querría? Pues no lo sé, pero consiguió tocar las narices

No he dicho lo contrario, me parece bien la máxima seguridad posible en sitios como este, pero eso no quita que no estés obsesionado con la seguridad.

Si lo dices en uno hilo que trata sobre poner HTTPS das a entender que piensas que quiero gastar HTTPS porque soy un obseso de la seguridad

Answer 13 · 2011-07-11T15:26:28+00:00

socram8888 escribió:No es que me roben la cuenta, es que la contraseña la gasto para bastantes más cosas

Ah, entonces hemos encontrado la raíz del problema. Usa una contraseña única y listo.

Y además no veo qué tiene de malo buscar la mayor seguridad posible. ¿Tiene algo malo?

No. Estaría bien, para poder usar EOL en redes públicas sin miedo. La cosa es que como digo en el hilo que citan, no tengo mucha idea del tema, y no está en mis manos hacerlo, así que queda ahí como sugerencia.

De todas formas, ponerlo sólo para el login sería inútil. La cookie se transmitiría luego en texto plano siendo igual de vulnerable. Así que, o se pone para todo, o no se pone para nada.

Y sobre robar la cuenta, mira la de manologod2. ¿Quién la querría? Pues no lo sé, pero consiguió tocar las narices

¿Y crees que usar SSL le hubiese servido de algo?

Answer 14 · 2011-07-11T17:08:59+00:00

melado escribió:Ah, entonces hemos encontrado la raíz del problema. Usa una contraseña única y listo.

No puedo ir gastando una clave única para los más de treinta sitios que frecuento, y otros tantos que tengo cuenta aunque no gaste

melado escribió:No. Estaría bien, para poder usar EOL en redes públicas sin miedo. La cosa es que como digo en el hilo que citan, no tengo mucha idea del tema, y no está en mis manos hacerlo, así que queda ahí como sugerencia.

De todas formas, ponerlo sólo para el login sería inútil. La cookie se transmitiría luego en texto plano siendo igual de vulnerable. Así que, o se pone para todo, o no se pone para nada.

Cierto, pero entonces sería tan fácil como darle a "Cerrar sesión" cuando te desconectes y listo. De la otra forma pueden volver a iniciar sesión donde y cuando les de la gana.

Google, eBay, Yahoo, FurAffinity, etc... gastan este método, y por lo que sé es bastante más seguro

melado escribió:¿Y crees que usar SSL le hubiese servido de algo?

Hombre, gastando SSL hubiese imposibilitado el uso de sniffers y MitM, con lo cual si ese fue el motivo, no habrían podido hacer nada

Answer 15 · 2011-07-11T17:59:03+00:00

socram8888 escribió:No puedo ir gastando una clave única para los más de treinta sitios que frecuento, y otros tantos que tengo cuenta aunque no gaste

Las contraseñas deben ser únicas, aleatorias, y con suficiente entropía. Tener un puñado de contraseñas e ir repitiéndolas en varios sitios es un error del que te arrepentirás tarde o temprano. Hay utilidades para manejar el tema, Lastpass, 1password, keepass...

melado escribió:sería tan fácil como darle a "Cerrar sesión" cuando te desconectes y listo

Tan fácil como poner una contraseña única

melado escribió:Hombre, gastando SSL hubiese imposibilitado el uso de sniffers y MitM, con lo cual si ese fue el motivo, no habrían podido hacer nada

Usar sniffers y hacer un MitM está muy bien en teoría, pero si tu contraseña es "password" en 50 sitios, nadie se va a molestar en montar semejante tinglado para robarte tu cuenta. Lo que quiero decir es que la seguridad es como una cadena en la que 99% de las veces se rompe por culpa del eslabón más débil: el usuario. Si tú utilizas la misma contraseña en 50 sitios, no tiene ningún sentido que sugieras utilizar HTTPS para mejorar la seguridad.

Con esto no quiero decir que sea una mala idea, ojo.

Answer 16 · 2011-07-12T09:43:51+00:00

Por supuesto que hay aplicaciones, pero a ver dónde encuentras una aplicación compatible con Android, Windows, Linux, DSi, Wii, PSP, etc... y en general todos los dispositivos donde pueda conectarme a Internet, que es el problema que tienen estas aplicaciones

En sitios importantes como Gmail, eBay o Paypal gasto contraseñas únicas, pero no puedo ir memorizándome más de 50 contraseñas distintas para cada sitio en el que me conecte

Da igual si gastas dos mil contraseñas una por sitio, si alguien se aburre y se dedica a hacer sniffing en tu red, te puede sacar la contraseña en cuestión de segundos, y más si es un hotspot donde hay aplicaciones como Firesheep que cualquiera puede gastar

Answer 17 · 2011-07-12T11:01:30+00:00

socram8888 escribió:Por supuesto que hay aplicaciones, pero a ver dónde encuentras una aplicación compatible con Android, Windows, Linux, DSi, Wii, PSP, etc... y en general todos los dispositivos donde pueda conectarme a Internet, que es el problema que tienen estas aplicaciones

Keepass tiene versiones para Android, Windows, Linux, iOS, J2ME, Blackberry y PalmOS. LastPass para unos cuantos dispositivos más, aunque ninguno es la Wii o la PSP: no creo que permitan ejecutar una aplicación a la vez que el navegador. SuperGenPass está basado en web y sí sería compatible con cualquier dispositivo con acceso a la web.

Da igual si gastas dos mil contraseñas una por sitio, si alguien se aburre y se dedica a hacer sniffing en tu red, te puede sacar la contraseña en cuestión de segundos

Claro que da igual, pero prefiero que me roben una cuenta a que me roben todas. De todas formas, si estoy en una red pública, yo no me conecto a nada que valore mínimamente.

Answer 18 · 2011-07-12T13:28:58+00:00

melado escribió:La cosa es que como digo en el hilo que citan, no tengo mucha idea del tema, y no está en mis manos hacerlo, así que queda ahí como sugerencia.

Ale socram, a jugar a la pelota.