Mejorar seguridad y privacidad

¿Por que no se implementa para la navegación el protocolo de seguridad SSL? Estaría bien contar con HTTPS....

Esta medida no deberia afectar en nada al uso habitual que hacemos de la comunidad. Solamente aportaria una conexión cifrada y segura entre el server y los usuarios.

Saludos.
No es fácil, y no porque el foro no esté preparado, que supongo sería algo trivial. Tampoco porque el certificado sea caro, que no lo es (los hay hasta gratuitos). El problema es más una limitación técnica de los navegadores y de cómo funciona la web.

Abre cualquier hilo de EOL. Ahora cuenta cuántos elementos (imágenes básicamente) están alojados fuera del dominio elotrolado.net. Docenas. Firmas, gamertags, imágenes en los posts. Eso es lo que se conoce como "contenido externo".

Actualmente en cualquier navegador moderno, si entras en una web HTTPS con contenido externo, el navegador te da una alerta. La alerta depende del navegador: Chrome tacha "https://" en la URL, IE creo que muestra una advertencia, y Firefox creo que bloquea por completo la página, o antes lo hacía. Safari pasaba por completo del tema la última vez que miré.

Una alternativa es lo que hace GitHub: ellos cifran todo el acceso a su página, y sin embargo permiten enlazar a imágenes externas en los comentarios. ¿Cómo lo consiguen? Realojando TODAS las imágenes en un servidor proxy intermedio que ellos controlan. Ahora imagina que EOL tuviese que realojar TODAS las imágenes de TODOS los hilos que contiene. Y que además tuviera que mantenerlas "frescas", porque si no, cosas como gamertags o firmas dinámicas dejarían de funcionar.

Es un tema difícil de hacer bien.
No digo que sea fácil, pero lo que comentas de que no se puede por tener imágenes alojadas fuera del dominio... hablando desde la ignorancia y únicamente como usuario de trackers con foros privados con ssl y https en las que se alojan miles de fotos y enlaces externos no ha habido problema alguno, y no me consta que se hayan matado para implementarlo.
Y como digo no tengo mucha idea pero no me hace gracia como usan esta web como cobaya de seguridad informática por no tener implantado estos sistemas que a día de hoy se podría considerar esenciales. (echa un vistazo a la web del maligno)


Únicamente pretendo aportar una critica constructiva siempre para la mejora.


Saludos y gracias por contestar, soy todo oidos.
La verdad es que mi post lo escribí de memoria, pero ahora mismo lo he comprobado y las cosas han cambiado bastante:
- Chrome muestra un triangulito en el icono de la web.
- Firefox cambia el icono del candado al icono estándar de la bola del mundo.
- Opera sólo informa de que la conexión no es segura si se consulta la información de la conexión.
- IE entra en shock, detiene la carga de la página, y pregunta al usuario de forma bastante incomprensible ("¿Desea ver el contenido de la página web que se entregó de forma segura?") si desea continuar.

Desde luego es más factible de lo que yo pintaba, pero prácticamente estaríamos dejando fuera a todo usuario de IE.
El login seguro sería buena idea para los que se conectan en sitios públicos con sus cuentas. Ya en su día lo comenté no se donde y se rechazó.

PD: A IE que le den [poraki]
coyote escribió:El login seguro sería buena idea para los que se conectan en sitios públicos con sus cuentas. Ya en su día lo comenté no se donde y se rechazó.

PD: A IE que le den [poraki]



Pues no tengo mas que añadir esto: http://www.elladodelmal.com/2013/03/evil-foca-ataque-slaac-4-de-4.html


Salud!
melado escribió:La verdad es que mi post lo escribí de memoria, pero ahora mismo lo he comprobado y las cosas han cambiado bastante:
- Chrome muestra un triangulito en el icono de la web.
- Firefox cambia el icono del candado al icono estándar de la bola del mundo.
- Opera sólo informa de que la conexión no es segura si se consulta la información de la conexión.
- IE entra en shock, detiene la carga de la página, y pregunta al usuario de forma bastante incomprensible ("¿Desea ver el contenido de la página web que se entregó de forma segura?") si desea continuar.

Desde luego es más factible de lo que yo pintaba, pero prácticamente estaríamos dejando fuera a todo usuario de IE.


No debe haber mayor problema con la pregunta de IE. Le dices que sí y la página debería carga con normalidad (si mal no recuerdo te dice algo así como: "La pàgina contiene elementos seguros y otros que no los son ¿desea ver el contenido de bla,bla...")
melado escribió:Desde luego es más factible de lo que yo pintaba, pero prácticamente estaríamos dejando fuera a todo usuario de IE.

En principio sería posible tener http://www.elotrolado.net/ y https://www.elotrolado.net/ funcionando de forma idéntica, pero una de ellas con protocolo de seguridad, ¿no? Los usuarios que les moleste tener que aceptar constantemente o que no quieran añadir la excepción podrían acceder a través de http://www.elotrolado.net/
Es más complejo: si yo ahora pongo un link a cualquier parte del foro sin HTTPS y tú estás con HTTPS, harás clic y perderás la conexión segura y ni te darás cuenta.
9 respuestas