Revista Informática

Google Chrome no protege contra webs vulnerables a Heartbleed

Publicado el 30 abril 2014 por José José Molino Ortega @BlogLinceus
Heartbleed es una de las vulnerabilidades más graves de los últimos tiempos. Esta vulnerabilidad afectaba a todos los servidores relativamente modernos que utilizaran las últimas versiones de OpenSSL y que podía permitir que un pirata informático solicitara información “no autorizada” a un servidor obteniendo así claves privadas, contraseñas y todo tipo de información en general. Con el descubrimiento de la vulnerabilidad Heartbleed,Google ha estado trabajando en un módulo de seguridad que detectara páginas web vulnerablespor este fallo de seguridad y que utilizara certificados falsos. Sin embargo, según parece este nuevo módulo de seguridad para Google Chromeno funciona como se esperabay los resultados que se obtienen de este dejan bastante que desear. Según un informe, el navegador de Google, Google Chrome, no detecta el 98% de los certificados digitales potencialmente peligrosos y vulnerables ante Heartbleed.El culpable de que este módulo no funcione correctamente es CRLSet, una lista creada y mantenida por Google en la que se numeran las páginas web maliciosas y vulnerables detectadas y que serán las que se bloqueen por defecto en el navegador web. Expertos de seguridad afirman queesta lista perjudica el rendimiento general de internetdebido a que si se incluyen en ella las páginas web con certificados digitales caducados y afectados por esta vulnerabilidad se producirá una sobrecarga innecesaria en la red. De igual manera, esta lista únicamente lista el 2% de los certificados digitales revocados debido a esta vulnerabilidad, lo que significa que esta nueva medida de protección es totalmente inútil. chrome_espionaje_foto Por el momento habrá que esperar a ver qué ocurre con esta nueva medida de seguridad. Es probable que los desarrolladores cambien el punto de enfoque de esta debido a las críticas que está recibiendo. Es posible que en vez de una lista de sitios web simplemente se genere un robot que se encargue por sí solo, y con permiso de los administradores de los sitios, se encargue automáticamente de esta función. Por el momento debemos prestar especial atención para evitar entrar en una web vulnerable a Heartbleed y comprometer así nuestra seguridad.
Fuente: Redeszone

Volver a la Portada de Logo Paperblog