Cuando las personas no comprenden los aspectos específicos de una determinada tecnología, es muy fácil que saquen conclusiones erróneas sobre cómo se relacionan dos tecnologías diferentes; esto en caso de que ellas se relacionen de alguna manera.Un ejemplo de esto es la mala interpretación que recientemente se ha hecho sobre el impacto del cross-site scripting (XSS) sobre los sitios Web protegidos por Certificados Extended Validation (EV) Secure Sockets Layer (SSL). La discusión que se ha dado al interior de la industria acerca de este tema demuestra una falta de comprensión sobre las vulnerabilidades que están destinados a impedir los Certificados EV SSL y las vulnerabilidades que explota el XSS.
Cuando alguien que usa Internet Explorer 7 o la última versión beta de Firefox 3 inicia sesión en un sitio protegido por Certificados EV SSL, el navegador registra el certificado y la barra de direcciones se pone de color verde, al tiempo que suministra información sobre el propietario legítimo de esa web.
Esta "barra de direcciones verde" significa que una compañía de seguridad externa y confiable ha investigado y verificado la propiedad de ese site. De este modo, EV SSL le brinda a la industria un arma importante para proteger a los consumidores cuando ingresan a sitios fraudulentos cuyas identidades son desconocidas.
La amenaza del XSS es resultado de la acción de hackers que se infiltran en las web e introducen un código malicioso que puede ser utilizado para diversas actividades criminales.
Si bien es verdad que un site validado por un certificado EV SSL podría ser comprometido de esa manera, la amenaza del XSS se relaciona con la debilidad existente en las políticas de seguridad del propietario del sitio, como por ejemplo banners publicitarios de terceros mal asegurados. El XSS no está relacionado con un error a la hora de validar efectivamente la propiedad de una web.
Sugerir la existencia de una relación entre los problemas de seguridad online de EV SSL y las amenazas de XSS es como preguntarse por qué los chalecos anti-balas no protegen las piernas de un soldado. No lo hacen, pero nadie enviaría a un soldado a la batalla sin proveerle uno de esos chalecos.
Cuando la organización CA/Browser Forum desarrolló los lineamientos generales de los EV SSL, el objetivo era estandarizar procedimientos altamente confiables para verificar la identidad de los propietarios de sitios. CA/B Forum, una organización voluntaria dentro de la industria compuesta por autoridades de certificación y proveedores de navegadores de internet, buscó fortalecer a los consumidores otorgándoles la capacidad única de decidir si confiaban en que una empresa particular sería segura para sus propios negocios.
Nunca se afirmó que los Certificados EV SSL cerrarían todas las "puertas" de los negocios en línea ni se garantizó que las web serían codificados de forma apropiada para prevenir las vulnerabilidades a la seguridad en línea.
En aquellos sitios que han sufrido el ataque XSS u otras violaciones a la seguridad, la "barra de direcciones verde" muestra de modo inequívoco quién es el responsable de los problemas de seguridad en el site. Y al identificar definitivamente a la empresa que opera el sitio, los visitantes tienen mayores posibilidades de juzgar qué empresas ofrecerán la seguridad online que corresponde y cuáles no.
Por último, los lineamientos generales de los EV incluyen medidas de vigilancia que permiten que las autoridades de certificación puedan rápidamente revocar "certificados emitidos de forma inapropiada o mal utilizados" en sitios falsos o vulnerados.
Tal como sucede con muchas cosas en la vida, no existe una solución mágica para un problema en constante evolución como lo es la seguridad online. Los negocios en internete deben estar alertas para protegerse a sí mismos y a sus clientes del phishing, el XSS y otras amenazas.
Pero los gerentes de TI conscientes y responsables deben ver más allá de la confusión reinante entre paradigmas de seguridad claramente diferentes.
Las comparaciones entre manzanas y naranjas representan un perjuicio para la industria y para los usuarios, entre los cuales existe la cantidad considerable de 100 millones de clientes que pueden ver la “barra verde” EV SSL.
Por el contrario, podemos concentrarnos en proteger a los clientes de manera integral, a través de la operación de sitios que no sean vulnerables a los ataques XSS y que también ofrezcan SSL de última generación para garantizar la tranquilidad de los visitantes.
(*) El autor de la columna (foto) es vicepresidente de Marketing de Productos SSL, de VeriSign.
No hay comentarios. :
Publicar un comentario