Blog de Elogia

Facebook será 100% HTTPS el 1 de Octubre: también las aplicaciones

Por Ruben-Cougil - El 08 September 2011 - 0 Comment(s)

Facebook será 100% HTTPS el 1 de Octubre: también las aplicaciones

Por Ruben-Cougil - El 08 September 2011 - 0 Comment(s)

FacebookLa cosa se pone seria: A partir del día 1 de Octubre todas las aplicaciones que se encuentran en Facebook deben servir páginas HTTPS a los usuarios que las utilicen. Esto provocará un fuerte quebradero de cabeza para todos los desarrolladores que tengan aplicaciones activas, ya que desde la fecha indicada (en el caso de que no dispongan de un certificado digital) dejarán de funcionar.

Ya en enero de este mismo año, Facebook puso a disposición de los usuarios la posibilidad de habilitar la navegación segura (HTTPS) como respuesta a la aparición del embarazoso plugin para Firefox Firesheep, capaz de interceptar cookies no encriptadas procedentes de algunos websites como Facebook o Twitter, y desde un toolbar incrustado en el propio navegador, poder controlar totalmente las cuentas de los usuarios "cazados". Esta extensión fue creada para demostrar cómo en este tipo de sitios el proceso de login se encripta, pero no las cookies que viajan entre el cliente y el servidor.

Este tipo de navegación encriptada puede ser conmutada a insegura (HTTP) cuando el usuario decide utilizar aplicaciones, ya que la inmensa mayoría se encuentran alojadas en servidores externos y su implementación escapa al control de la red social. Esto quiere decir que si el usuario concede permisos a la aplicación para acceder a cierta información personal, ésta puede ser leída por terceros pues vuelve a viajar desencriptada. El objetivo de Facebook es crear un microcosmos seguro en toda su plataforma para proteger la información de sus usuarios.

El paso adelante en seguridad es evidente. El problema es que los desarrolladores se verán obligados a contratar un Certificado Digital para que su aplicación funcione a través de una conexión segura HTTPS. Estos Certificados Digitales deben estar firmados por una Autoridad de Certificación como VeriSign, GeoTrust o Thawte entre otras, y cuyo coste varía en función de los planes ofertados. Como ejemplo ilustrativo, GeoTrust ofrece un plan "True Business ID" por 199$ al año con precios especiales cuando se desea incluir subdominios.

El protocolo HTTPS utiliza un cifrado basado en SSL/TLS (Secure Socket Layer/Transport Layer Security) para crear un canal seguro que impide que un atacante pueda descifrar los datos que ha capturado durante la transferencia de información entre las partes implicadas. Pero si pensamos en los cientos de aplicaciones en las cuales no existe ningún tipo de transferencia de información "delicada", la capa extra de seguridad y el coste que esto conlleva carece de sentido. Por tanto, es muy probable que muchas aplicaciones que no acarrean un beneficio claro desaparezcan el día 1 de Octubre.

Ruben-Cougil
Publicado el 08 September 2011 por Ruben-Cougil 0
.