Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
05/11/2012
Firefox força les connexions segures amb dominis seleccionats
Mozilla ha optat per precarregar una llista de dominis en Firefox de manera que l’usuari només podrà connectar-s’hi de forma segura: se l’ajuda així a protegir la seua privacitat i seguretat.
Per a forçar les connexions segures entre el navegador i el servidor, Mozilla utilitza HSTS (HTTP Strict Transport Security), un mecanisme utilitzat pels servidors per a indicar al navegador que ha d’utilitzar una connexió segura. Així ho explica David Keeler, de Mozilla, en un apunt.
Quan un navegador es connecta amb un servidor HSTS per primera vegada, no sap si hauria d’utilitzar una connexió segura perquè mai ha rebut l’orde de connexió segura i, per tant, un atac contra la xarxa impediria que el navegador connectara de forma segura.
Buscant evitar eixe problema, Mozilla ha precarregat en el seu navegador una llista de dominis a la qual Firefox només hauria d’accedir de manera segura per defecte.
Així, quan un usuari es connecte amb un d’estos amfitrions per primera vegada, “el navegador sabrà que ha d’utilitzar una connexió segura”, diu Keeler, i hi afig que si un atac impedix que s’establisca una connexió segura amb el servidor, llavors el navegador no intentaria connectar-se a través d’un protocol insegur, la qual cosa millora la seguretat de l’usuari.
La llista de Firefox és semblant a la de Chrome, que a més de forçar connexions segures a tots els subdominis de google.com, també força connexions HTTPS als sites que ho sol·liciten, com ara paypal.com, cloudsecurityalliance.org o twitter.com.
“HSTS, en combinació amb una llista precarregada de llocs, poden ser una gran ferramenta per a augmentar la seguretat dels usuaris”, assegura Keeler. La característica només es troba present en Firefox Beta.
Mozilla ha estat treballant de valent en la seguretat de Firefox. A més de la connexió segura per defecte, la companyia va decidir que la modalitat Click to Play s’imposara per defecte a partir de Firefox 14 per a protegir els usuaris dels complements desactualitzats o la descàrrega de complements falsos. En Firefox 17 Mozilla va fer un pas avant i va determinar que els connectors antics es bloquejaren en el navegador fins que l’usuari fera clic en un missatge on se li explicava el problema i se l’invitava a actualitzar-lo.