Apuntes sobre seguridad y privacidad en la web (charla de Tim Bray – GOTO Aarhus)

footprintsHoy estuve en una charla de Tim Bray sobre seguridad y privacidad y no quería dormir sin compartir en una entrada algunos puntos que me parecieron interesantes:

  • Ofrecer nuestros servicios en HTTPS es nuestra responsabilidad como desarrolladores de tecnologías/software.
  • Es increíble la cantidad de páginas que no ofrecen sus servicios en https (prueba cambiando el protocolo manualmente).
  • Usa autenticación de dos factores siempre que sea posible.
  • Podemos ofrecer la autenticación de dos factores para nuestros sitios utilizando google authenticator.
  • Es importante comprender aunque sea de manera básica cómo funciona la criptografía de clave pública y privada.
  • Hay muchas librerías fáciles de usar para criptografía de clave pública y privada.
  • Dejar de utilizar certificados sha-1. Google anunció en semanas recientes que comenzará a promover la transición de sha-1 a algoritmos de hash más seguros (sha-256). Así que en unos meses quizás, las páginas que todavía tengan certificados sha-1 portarán también un signo de interrogación junto al candado de la barra de direcciones del navegador.
  • Una manera de detectar ataques de tipo “man in the middle” es utilizando una técnica llamada certificate pinning.
  • Los gobiernos y algunas empresas quieren tener acceso a nuestra información. No lo hagamos fácil. Tenemos dos armas en contra de eso. La política y las matemáticas.
  • El monitoreo de los datos/actividades es considerado un ataque y se deberá de tomar en cuenta en el diseño de nuevos protocolos (IETF RFC 7258).
  • Para Geeks que quieren más detalles, una lectura interesante puede ser el formato de mensajes OpenPGP (IETF RFC 4880).
  • Uno de los problemas con la criptografía de claves públicas y privadas es que tienes que conocer la clave pública de la otra persona para poder encriptar un mensaje que le envías. Keybase.io es un directorio de claves públicas que soluciona este problema.
  • Para Android, la aplicación OpenKeyChain se puede utilizar para enviar y recibir mensajes encriptados. El uso de estas tecnologías todavía no es tan sencillo, pero se está trabajando en ello.

* La imagen del zorro con la lupa es de Caroline Hadilaksono

Etiquetado , ,

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: