Chrome (de Google) marcará muchos blogs como inseguros por no tener HTTPs. Blogger (de Google) no permite usar HTTPs con dominos personalizados. WTF?

Son muchos los blogs que han recibido los correos electrónicos de Google indicando que su blog tiene páginas que van a ser marcadas como inseguras. Remarco esto de “páginas” y no el sitio completo, pues en los correos electrónicos que Google está enviando a los dueños de sitios web en Blogger especifica exactamente qué páginas en concreto son las que van a ser marcadas como inseguras.
Chrome (de Google) marcará muchos blogs como inseguros por no tener HTTPs. Blogger (de Google) no permite usar HTTPs con dominos personalizados. WTF? Privacidad, https, HTTP, Hacking, Google Chrome, Google, Chrome, blogs, Blogger
Figura 1: Chrome (de Google) marcará muchos blogs como inseguros por no tener HTTPs.
Blogger (de Google) no permite usar HTTPs con dominos personalizados. WTF?

La lista de páginas son aquellas que tengan campos de introducción de datos, es decir, los INPUT tipo TEXT o tipo e-mail, como explican en el ejemplo que acompaña al mensaje de advertencia que se envía. Si te pasa esto en la página principal, entonces será todo el sitio.
Chrome (de Google) marcará muchos blogs como inseguros por no tener HTTPs. Blogger (de Google) no permite usar HTTPs con dominos personalizados. WTF? Privacidad, https, HTTP, Hacking, Google Chrome, Google, Chrome, blogs, Blogger
Figura 2: Mensaje de advertencia para SeguridadApple.com
Como se puede imaginar uno, la solución es bastante sencilla. La opción 1 es quitar esos campos de entrada de datos, pero claro, eso llevaría a una pérdida de funcionalidad de algunos sitios. Además, tal y como está redactado el texto – al menos en Español – deja claro que es en la web en la que soliciten los datos (no importa si estos campos van en un FORM que tira en el ACTION contra un Backend HTTPs). Si la página muestra los campos de entrada de datos bajo HTTP, entonces saldrá la alerta.
Chrome (de Google) marcará muchos blogs como inseguros por no tener HTTPs. Blogger (de Google) no permite usar HTTPs con dominos personalizados. WTF? Privacidad, https, HTTP, Hacking, Google Chrome, Google, Chrome, blogs, Blogger
Figura 3: Páginas que serán marcadas como inseguras
Esto tiene todo el sentido del mundo, porque el riesgo es que un campo mostrado bajo HTTP es susceptible a multitud de ataques, incluidos los famosos SSLStrip que presentó hace ya muchos años Moxie Marlinspike. Y en la charla de Owning Bad Guys {and mafia} with JavaScript Botnets, usamos el hooking de FORMs en conexiones HTTP para robar credenciales y datos de formularios. Puedes ver la demo aquí.


Figura 4: Owning bad guys {and mafia} with JavaScript Botnets
Esto nos lleva a la Opción 2, que es poner todo el sitio bajo HTTPs. Esto no es “Rocket Science”, y basta con pedir un certificado con el nombre del dominio y aplicarlo para que el listener del sitio web escuche solo por peticiones HTTPs o, al menos, por las dos.
Chrome (de Google) marcará muchos blogs como inseguros por no tener HTTPs. Blogger (de Google) no permite usar HTTPs con dominos personalizados. WTF? Privacidad, https, HTTP, Hacking, Google Chrome, Google, Chrome, blogs, Blogger
Figura 5: Si tienes un dominio personalizado, te “frunges”
Pero como ya se han quejado otros bloggers, esto no es posible de configurar en Blogger si tienes un dominio personalizado, como por ejemplo, www.elladodelmal.com, así que a partir de la versión de Google Chrome 62 puede ser que pasen cosas raras en muchos blogs.
Dicho esto, me parece una buena iniciativa marcar las páginas inseguras como inseguras, pero Google, ¿no podéis arreglar esto de una forma lógica y coordinada para que los usuarios de Blogger puedan hacerlo bien?
Saludos Malignos!
FUENTE
Por |2017-08-26T17:28:22+00:00agosto 26th, 2017|Hacking|Sin comentarios

Deje su comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.