Conexión cifrada para iniciar sesión en espaciolinux.com

Todo comentario para mejorar estos foros, el sitio y su comunidad será bien recibido.

Moderador: Ayax

Responder
Avatar de Usuario
Akronix
Forista Medio
Forista Medio
Mensajes: 198
Registrado: Vie Oct 05, 2012 11:30 pm

Conexión cifrada para iniciar sesión en espaciolinux.com

Mensaje por Akronix » Dom Abr 03, 2016 9:36 am

Hola.

Sería bueno que la conexión a espaciolinux estuviese cifrada. O, al menos, cuando tienes que iniciar sesión en el foro y poner tu usuario y contraseña :oops:
Conocimiento libre para el pensamiento libre.
Linux user: #561589
Linux Distro: X/Ubuntu 14.04
--
Avatar sacado de tux.crystalxp.net, hecho por Wyvern y publicado con licencia CC BY-NC-SA.
Avatar de Usuario
Retsal
Forista Nuevo
Forista Nuevo
Mensajes: 13
Registrado: Mié Mar 30, 2016 10:35 pm
Ubicación: Valencia es_ES

Re: Conexión cifrada para iniciar sesión en espaciolinux.com

Mensaje por Retsal » Dom Abr 03, 2016 2:52 pm

La verdad es que sí.

Ahora mismo viaja en texto plano...

Un saludo!
Windows 10 Home Edition
MetTxin
Forista Medio
Forista Medio
Mensajes: 332
Registrado: Mié Abr 27, 2011 11:32 am

Re: Conexión cifrada para iniciar sesión en espaciolinux.com

Mensaje por MetTxin » Dom Abr 03, 2016 6:24 pm

Quizás mi comentario va a ser más de tipo "café" pero como has sacado el tema aquí, Akronix, pues aquí lo pongo.

Se está instalando una fiebre por los certificados y la navegación en https que no me dice nada bueno. Entiendo que para algunos sitios sea conveniente tener un certificado y una autoridad que lo dé por bueno (en la que hay que confiar sí o sí) pero no creo que sea necesario en la gran mayoría de los sitios y puede ser hasta peligroso, primero porque da una falsa sensación de seguridad que no tiene demasiado sentido en la mayoría de las páginas, y segundo porque se está gestando un negocio de autoridades certificadoras que hará que en poco tiempo quien no sea certificado por ellas (pagando) no podrá tener una simple página web (o un foro de linux) porque la bloquearán los navegadores principales, o mostrarán un aviso al usuario de que esa página puede ser un nido de víboras anónimo. No sé qué manía le han cogido al http cuando es de lo más sano.

Ahora estamos en la época en la que incluso se "regalan" (let's encrypt por ejemplo) y todavía no te arrinconan del todo como a un apestado si muestras un certificado self-signed, pero cuando se haya generalizado su uso habrá que pagar por existir en la red y sin ningún motivo que lo justifique. Y seguiremos teniendo que tener confianza sí o sí en una autoridad que, por cierto, no sé qué ha hecho para merecerlo.

No sé, si un esnifador de redes me roba la contraseña de espaciolinux voy a seguir durmiendo igual de bien. Luego puede pasar por aquí y hacer un tutorial didáctico de tcpdump para aquellos que no sepan hacerlo.

Disculpas por ser lo que decía, un comentario más bien de "El café", así que tampoco me extiendo más, y de todas formas es cosa de los admins hacernos caso o no ;)

saludos!
Avatar de Usuario
Akronix
Forista Medio
Forista Medio
Mensajes: 198
Registrado: Vie Oct 05, 2012 11:30 pm

Re: Conexión cifrada para iniciar sesión en espaciolinux.com

Mensaje por Akronix » Dom Abr 03, 2016 7:13 pm

MetTxin escribió:Quizás mi comentario va a ser más de tipo "café" pero como has sacado el tema aquí, Akronix, pues aquí lo pongo.

Se está instalando una fiebre por los certificados y la navegación en https que no me dice nada bueno. Entiendo que para algunos sitios sea conveniente tener un certificado y una autoridad que lo dé por bueno (en la que hay que confiar sí o sí) pero no creo que sea necesario en la gran mayoría de los sitios y puede ser hasta peligroso, primero porque da una falsa sensación de seguridad que no tiene demasiado sentido en la mayoría de las páginas, y segundo porque se está gestando un negocio de autoridades certificadoras que hará que en poco tiempo quien no sea certificado por ellas (pagando) no podrá tener una simple página web (o un foro de linux) porque la bloquearán los navegadores principales, o mostrarán un aviso al usuario de que esa página puede ser un nido de víboras anónimo. No sé qué manía le han cogido al http cuando es de lo más sano.

Ahora estamos en la época en la que incluso se "regalan" (let's encrypt por ejemplo) y todavía no te arrinconan del todo como a un apestado si muestras un certificado self-signed, pero cuando se haya generalizado su uso habrá que pagar por existir en la red y sin ningún motivo que lo justifique. Y seguiremos teniendo que tener confianza sí o sí en una autoridad que, por cierto, no sé qué ha hecho para merecerlo.

No sé, si un esnifador de redes me roba la contraseña de espaciolinux voy a seguir durmiendo igual de bien. Luego puede pasar por aquí y hacer un tutorial didáctico de tcpdump para aquellos que no sepan hacerlo.

Disculpas por ser lo que decía, un comentario más bien de "El café", así que tampoco me extiendo más, y de todas formas es cosa de los admins hacernos caso o no ;)

saludos!
Hola.

Yo lo enfoco más bien como una medida para proteger la privacidad de los internautas, que es también muy importante.
Por otra parte, lo del usuario y contraseña me parece fundamental porque mucha gente usará ese mismo usuario y contraseña para otros servicios que igual sí son más importantes y están bien protegidos, pero que debido a un desliz en espaciolinux pues alguien los ha podido pillar al vuelo.
Es un poco como el dilema de no encriptar los mails porque total ”No tengo nada que esconder“; pero el hecho de que los más techies generalicemos el uso de conexiones cifradas,hace que para un atacante o alguna entidad con malas intenciones no ataque o espíe al usuario estándar.

Es verdad que hay un puñado de organizaciones que manejan el cotarro de los certificados (con el modelo actual, tampoco podrían ser muchos más), pero hoy en día existiendo let's encrypt no es un requisito el precio ni las complicaciones. Supongo que lo suyo sería crear una alternativa no vertical, algo más parecido a convergence.
Pero igual que puedes hacer esta crítica al tema de los certificados, mismamente la puedes hacer a los proveedores de dominio.
Conocimiento libre para el pensamiento libre.
Linux user: #561589
Linux Distro: X/Ubuntu 14.04
--
Avatar sacado de tux.crystalxp.net, hecho por Wyvern y publicado con licencia CC BY-NC-SA.
MetTxin
Forista Medio
Forista Medio
Mensajes: 332
Registrado: Mié Abr 27, 2011 11:32 am

Re: Conexión cifrada para iniciar sesión en espaciolinux.com

Mensaje por MetTxin » Dom Abr 03, 2016 7:26 pm

Yo lo enfoco más bien como una medida para proteger la privacidad de los internautas, que es también muy importante.
No hay nada que garantice tu privacidad una vez salido de tu ordenador el dato, y menos cuando has dado el dato de forma voluntaria. Lo mejor es no airear aquello que quieras que quede privado. En espaciolinux no creo tener nada que no pueda ser público, o es mínimo.
Por otra parte, lo del usuario y contraseña me parece fundamental porque mucha gente usará ese mismo usuario y contraseña para otros servicios que igual sí son más importantes y están bien protegidos, pero que debido a un desliz en espaciolinux pues alguien los ha podido pillar al vuelo.
Es un error enorme usar contraseñas iguales en varios sitios, sea cual sea el sistema de seguridad del sitio al que van destinadas. Siempre habrá alguno que meta la pata o un bug aprovechable que salte el día menos pensado.
Es un poco como el dilema de no encriptar los mails porque total ”No tengo nada que esconder“; pero el hecho de que los más techies generalicemos el uso de conexiones cifradas,hace que para un atacante o alguna entidad con malas intenciones no ataque o espíe al usuario estándar.
No te aconsejaría confiar demasiado en un mail cifrado, a no ser que controles tú el servidor y sepas quién es el cliente y éste sea de confianza.
Es verdad que hay un puñado de organizaciones que manejan el cotarro de los certificados (con el modelo actual, tampoco podrían ser muchos más), pero hoy en día existiendo let's encrypt no es un requisito el precio ni las complicaciones. Supongo que lo suyo sería crear una alternativa no vertical, algo más parecido a convergence.
No sabemos cuánto tiempo durará let's encrypt como certificador gratuito. ¿El tiempo de crear la necesidad de certificarse sí o sí quizás?

No sé, yo prefiero ir siempre a lo básico y procurar no confiar demasiado en ningún sistema centralizado, pero vamos, tampoco me parece mal que lo hagan otros y lo asuman, tiene que haber de todo!
Responder
  • Similar Topics
    Respuestas
    Vistas
    Último mensaje