SSL sólo para el login

31 views
Skip to first unread message

Julio Martínez

unread,
Dec 2, 2009, 10:48:31 AM12/2/09
to phpbar...@googlegroups.com
Hola,

debatiendo con un cliente, me ha surgido una interesante duda sobre
seguridad: muchas webs (yahoo, google, ebay...) te llevan a una página
https para hacer el login, pero luego vuelven a http, ¿por qué?

Entiendo que pasan a SSL en el form de login para que el password del
usuario vaya encriptado. Pero luego, si uno sigue logeado, el browser está
enviando a cada página una cookie de sesión, sin encriptar. Si un hacker
está haciendo sniffing, tanto el password real como el valor de la cookie
le sirven para falsear el entrar autentificado.

Es como blindar la puerta principal, pero dejar abierta la puerta del
jardín un rato (lo que dura la sesión). ¿No os parece? ¿O estoy obviando
algo?

Saludos,
Julio.

pablof...@gmail.com

unread,
Dec 2, 2009, 10:51:07 AM12/2/09
to phpbar...@googlegroups.com
La cookie no tiene un password, sino una credencial temporal con
acceso a los datos temporales.

Entre los cuales la ip, y algun dato mas.


Si un hacker consiguiera esta cookie solo podria entrar en el caso de
que estuviera en la misma red . Aunque hay que ver, porque no me fije
que valores guarda realmente google o yahoo en las cookies




----------------------------------------
Pablo Morales
blog: http://blog.pablo-morales.com
linkedln: http://www.linkedin.com/pub/9/528/21
skype: pablofmorales
gtalk: pablof...@gmail.com
msn: pfm...@hotmail.com




2009/12/2 Julio Martínez <lio...@liopic.com>:

Julio Martínez

unread,
Dec 2, 2009, 11:08:57 AM12/2/09
to phpbar...@googlegroups.com
Si, obviamente la cookie no tiene un password, pero casi. En algunos casos
se utiliza la ip como extra, pero aun así me parece demasiado sencillo
falsear una autentificación: me voy a cualquier lugar con red
(universidad, empresa, biblioteca), me pongo a capturar paquetes,
guardando los que van a gmail.com... luego inyecto las cookies a mano, y a
ver mails ajenos durante un rato...

Al menos los bancos son más decentes y te mantienen bajo SSL todo el rato.
En fin, llamadme paranoico, pero encuentro esto de pasar a SSL sólo para
el login una acción de propaganda para dar al usuario una falsa sensación
de seguridad.


>
> La cookie no tiene un password, sino una credencial temporal con
> acceso a los datos temporales.
>
> Entre los cuales la ip, y algun dato mas.
>
>
> Si un hacker consiguiera esta cookie solo podria entrar en el caso de
> que estuviera en la misma red . Aunque hay que ver, porque no me fije
> que valores guarda realmente google o yahoo en las cookies
>
>
>
>
> ----------------------------------------
> Pablo Morales
> blog: http://blog.pablo-morales.com
> linkedln: http://www.linkedin.com/pub/9/528/21
> skype: pablofmorales
> gtalk: pablof...@gmail.com
> msn: pfm...@hotmail.com
>
>
>
>
> 2009/12/2 Julio Martínez <lio...@liopic.com>:
>>
>> Hola,
>>
>> debatiendo con un cliente, me ha surgido una interesante duda sobre
>> seguridad: muchas webs (yahoo, google, ebay...) te llevan a una página
>> https para hacer el login, pero luego vuelven a http, ¿por qué?
>>
>> Entiendo que pasan a SSL en el form de login para que el password del
>> usuario vaya encriptado. Pero luego, si uno sigue logeado, el browser
>> está
>> enviando a cada página una cookie de sesión, sin encriptar. Si un
>> hacker
>> está haciendo sniffing, tanto el password real como el valor de la
>> cookie
>> le sirven para falsear el entrar autentificado.
>>
>> Es como blindar la puerta principal, pero dejar abierta la puerta del
>> jardín un rato (lo que dura la sesión). ¿No os parece? ¿O estoy
>> obviando
>> algo?
>>
>> Saludos,
>>    Julio.
>>
>>
>> >
>>
>
> >
>


Sebastian Ayala

unread,
Dec 2, 2009, 11:12:42 AM12/2/09
to phpbar...@googlegroups.com
Creo que haces unos meses hubo un caso donde lograron robar las credenciales por medio de la wifi de gmail, que se solucionaba justamente haciendo el loguin por https y continuar por https, pero claro en la wifi hacer sniffer es demasiado facil como tambien clonar la mac y la ip de otra maquina, supongo que en un caso así, sacarlo de https seria muy riesgoso.


2009/12/2 pablof...@gmail.com <pablof...@gmail.com>

pablof...@gmail.com

unread,
Dec 2, 2009, 11:12:44 AM12/2/09
to phpbar...@googlegroups.com
Lo podes mantener. Tenes la opcion en settings, el problema es que sea
mas lento la navegacion.



----------------------------------------
Pablo Morales
blog: http://blog.pablo-morales.com
linkedln: http://www.linkedin.com/pub/9/528/21
skype: pablofmorales
gtalk: pablof...@gmail.com
msn: pfm...@hotmail.com




2009/12/2 Julio Martínez <lio...@liopic.com>:

Eduardo Peña Ceballos

unread,
Dec 2, 2009, 11:21:17 AM12/2/09
to phpbar...@googlegroups.com
Julio Martínez wrote:
> Al menos los bancos son más decentes y te mantienen bajo SSL todo el rato.
> En fin, llamadme paranoico, pero encuentro esto de pasar a SSL sólo para
> el login una acción de propaganda para dar al usuario una falsa sensación
> de seguridad.
>

Y la opción de pasar los datos a través de un canal SSL y el resto de
las cosas (llámese gráfica y/o vistas en general) por http tradicional ?
Es viable hacer algo de esas características ?

Víctor González

unread,
Dec 2, 2009, 11:32:25 AM12/2/09
to phpbar...@googlegroups.com
En ese caso es cuando empiezan a salir avisos en nuestro querido IE6 de: Usted esta cargando elementos seguros y no seguros... esta seguro?!?!?!?

xD

2009/12/2 Eduardo Peña Ceballos <edo...@gmail.com>

Victor Guardiola

unread,
Dec 2, 2009, 11:40:19 AM12/2/09
to phpbar...@googlegroups.com
A ver vayamos por partes

Da igual como guardes la cookie o lo que guardes si te pueden ver la red o estar en la maquina el https no hace na de na (mirar cualquier programa de man in the middle).

El hecho es que el login si que envias los datos y por eso lo pone por https que es mas dificil que alguien este con un MID, que con un simple sniffer de red local.

Lo de los datos que hay en la cookie, normalmente es un hash de cosas que en el lado servidor probaras que por mucho que te la capturen deberían coincidir esos datos, y aquí viene lo complicado que datos se pillan para que la cookie sea única y no la puedan falsificar y como generar dicho hash (hay infinidad de hashes).

La opción de continuar toda la navegación por https es para mi la mejor, ya no por seguridad del protocolo si no que lo pones más difícil, y cuando seteas una cookie le puedes decir que solo es valida con https, con lo que por mucho que la roben si la semilla del https no es la misma no valdrá.

Saludos y espero haberme explicado

Julio Martínez

unread,
Dec 2, 2009, 11:53:46 AM12/2/09
to phpbar...@googlegroups.com
En resumen, el "SSL sólo en el login" es como un mal menor, pues evita el
robo del password, y a la vez evita la lentitud de la web si todo fuera
SSL. Sin embargo, la parte mala es que luego alguien puede robarte de una
forma un poco más indirecta. Hmmmmm...

Gracias por vuestras respuestas. Aunque no me quedo más tranquilo ;-)

Victor Guardiola

unread,
Dec 2, 2009, 12:18:09 PM12/2/09
to phpbar...@googlegroups.com
Tranquilo no te quedaras nunca, y menos cuando vayas concoiendo mas todos los protocolos de internet :)

Por cierto pq dices que es mas lento? por el tener que encriptar /desencriptar, es inapreciable
2009/12/2 Julio Martínez <lio...@liopic.com>

pablof...@gmail.com

unread,
Dec 2, 2009, 12:34:58 PM12/2/09
to phpbar...@googlegroups.com
No, si es apreciable.

Otro punto en contra es que si usas MS Exchange para gestionar el
correo tenes que apagar el https
----------------------------------------
Pablo Morales
blog: http://blog.pablo-morales.com
linkedln: http://www.linkedin.com/pub/9/528/21
skype: pablofmorales
gtalk: pablof...@gmail.com
msn: pfm...@hotmail.com




2009/12/2 Victor Guardiola <victor.g...@gmail.com>:

Victor Guardiola

unread,
Dec 2, 2009, 12:41:29 PM12/2/09
to phpbar...@googlegroups.com
Pero teniendo Gmail quien quiere utilizar M$ Ex-change :D

pablof...@gmail.com

unread,
Dec 2, 2009, 12:42:10 PM12/2/09
to phpbar...@googlegroups.com
Los que leemos el mail en el celular

Jordi Roura

unread,
Dec 2, 2009, 12:49:08 PM12/2/09
to phpbar...@googlegroups.com
Yo leo el mail en el celular y jamás he trabajado en un entorno con Exchange...

Volviendo al tema, todo depende de las peculiaridades de cada aplicación/entorno/sistema.

Hay quién sólo usa SSL para el formulario de login/alta y para las partes sensibles de la web (carrito de compra, mi perfil etc) y el resto de la navegación se hace fuera pero guardando una cookie con un hash irreproducible.

Todo depende de cuanto estés dispuesto a complicarte la vida.  Y si te quieres lavar las manos del todo, ponlo en BETA ;-)

Salut!

2009/12/2 pablof...@gmail.com <pablof...@gmail.com>

pablof...@gmail.com

unread,
Dec 2, 2009, 12:56:20 PM12/2/09
to phpbar...@googlegroups.com
Para mi celular si hay que haerlo, tiene un cliente de exchange y es
la forma comoda




----------------------------------------
Pablo Morales
blog: http://blog.pablo-morales.com
linkedln: http://www.linkedin.com/pub/9/528/21
skype: pablofmorales
gtalk: pablof...@gmail.com
msn: pfm...@hotmail.com




2009/12/2 Jordi Roura <fintlew...@gmail.com>:

carlos campderrós

unread,
Dec 2, 2009, 5:26:23 PM12/2/09
to phpbar...@googlegroups.com
Hola,

2009/12/2 Victor Guardiola <victor.g...@gmail.com>

Por cierto pq dices que es mas lento? por el tener que encriptar /desencriptar, es inapreciable

Si no recuerdo mal, el tráfico q va por https no se puede cachear (al menos en proxies intermedios, en el navegador del cliente supongo q sí que se podrá cachear).

saludos,
carlos.

--
Si no puedes deslumbrar con tu sabiduría,
desconcierta con tus gilipolleces
Reply all
Reply to author
Forward
0 new messages