Mozilla deshabilitó la nueva característica Opportunistic Encryption (OE) en su navegador Firefox a menos de una semana de su liberación debido a una vulnerabilidad al implementar la especificación HTTP Alternative Services.
La falla afecta a la nueva característica, que está diseñada para permitir la conexión segura entre clientes y servidores que no tienen soporte para HTTPS. El OE fue incluido en la versión 37 de Firefox, liberada el 31 de marzo de este año. Esta característica estaba destinada a ser una forma de protección contra el monitoreo pasivo, especialmente aquel usado en los ataques de hombre-en-medio.
El 3 de abril, Mozilla liberó Firefox 37.01, una versión con cambios menores entre los que se encuentra la desactivación de OE debido a una vulnerabilidad relacionada con la verificación de certificados.
De acuerdo al anuncio de Mozilla:
"Si una cabecera Alt-Svc se especifica en la respuesta HTTP/2, la verificación del certificado SSL puede evadirse por el servidor alterno especificado. Como resultado, las alertas sobre certificados SSL inválidos no serán mostradas y un atacante podría suplantar otro sitio realizando un ataque de hombre-en-medio, reemplazando el certificado original con el propio."
En años recientes, las grandes compañías de Internet se han concentrado en cifrar cada vez más sus servicios debido a la constante vigilancia gubernamental. Google, Yahoo y muchos otros han aplicado grandes mejoras en sus prácticas de cifrado, de igual forma los desarrolladores de navegadores están realizando esfuerzos también. El aporte de Mozilla con su OE es un movimiento hacia esa dirección, ayudando a asegurar las conexiones de las organizaciones que por algún motivo no han implementado HTTPS.
De acuerdo a Patrick McManus de Mozilla:
"El Opportunistic Encryption ofrece cifrado sin autenticación sobre TLS para datos que de otra manera serían enviados en texto claro. Esto ofrece confidencialidad contra el espionaje pasivo, además ofrece protección mejorada a la integridad de los datos en comparación con TCP al lidiar con ruido aleatorio en la red."
Fuente:
Threatpost DG
https://threatpost.com/vulnerability-forces-mozilla-to-disable-opportunistic-encryption-in-firefox/112043
https://threatpost.com/vulnerability-forces-mozilla-to-disable-opportunistic-encryption-in-firefox/112043
Todas las soluciones de seguridad con la huella digital las encuentra en: https://sites.google.com/site/inbiosys/
Queremos mejorar cada día más, necesitamos que usted nos regale dos minutos de su precioso tiempo y nos conteste 5 preguntas de la encuesta que le traemos hoy.
Click Aquí para comenzar la encuesta
En INBIOSYS tenemos todas las Soluciones en Seguridad Informática, basada en la Huella Digital
NUESTROS PRODUCTOS
Somos la primera Empresa en el país en "Soluciones de seguridad para préstamos de libros utilizando la huella digital"
Puede seguirnos en Twitter. 
Puede seguirnos en Facebook. 
Visita nuestra página en Facebook
INBIOSYS Biometria
INBIOSYS
Jairo Alonso Gómez Cano
Gerente Comercial
https://sites.google.com/site/inbiosys/
http://inbiosys.wordpress.com/
E-mail: inbiosys@gmail.com
PBX: (57)(4) 583 13 31
Celular: 312 782 60 21
Jairo Alonso Gómez Cano
Gerente Comercial
https://sites.google.com/site/inbiosys/
http://inbiosys.wordpress.com/
E-mail: inbiosys@gmail.com
PBX: (57)(4) 583 13 31
Celular: 312 782 60 21
INBIOSYS
Ingeniería y Sistemas Biométricos
Carrera 81 No. 43 - 72 Oficina 1109
Medellín Colombia
Carrera 81 No. 43 - 72 Oficina 1109
Medellín Colombia
No hay comentarios:
Publicar un comentario