Archivo de la categoría: General

Micropíldora 4 – Forzar el uso de HTTPS

Paso de HTTP a HTTPS Prevent SQL Injection. Fuente imagen: Planetainformatico.es

Paso de HTTP a HTTPS. Fuente imagen: Planetainformatico.es

Estamos acostumbrados a que cuando accedemos a una página cifrada con certificados SSL nuestro navegador nos lo muestre en la barra de direcciones con un icono de un candado y cambiando el protocolo HTTP por el HTTPS. El hecho de utilizar este cifrado nos asegura que el tráfico entre el cliente y la web accedida es seguro, pero ¿cómo hacemos que nuestros visitantes de nuestra web pasen de utilizar el protocolo HTTP estándar por el HTTPS?

Suponiendo que tengáis instalado correctamente un certificado SSL en vuestro servidor (consultar con la ayuda de vuestro hosting sino lo sabéis) la solución es tan sencilla como modificar el fichero de configuración .htaccess para que todas las peticiones que lleguen al puerto 80 (el usado por HTTP) se redirijan a la correspondiente URL pero usando el prefijo https://. Así el navegador de nuestros usuarios utilizará el protocolo seguro siempre que se conecte a nuestra web.

Tan sólo buscar el modulo rewrite y añadir las dos instrucciones marcadas en azul: en la primera se indica la condición que debe suceder (un acceso al puerto 80 del servidor) y qué cambio debe realizarse (cambiar la URL para que empiece por https://securizando.com/):

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On

RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://securizando.com/$1 [R,L]
</IfModule>
# END WordPress

Obviamente deberéis cambiar la URL en rojo por la de vuestro blog 😉

Ataque David Hasselhoff

Aunque generalmente una empresa u organización intenta principalmente proteger sus servicios de ataques exteriores nunca hay que dejar de lado la posibilidad de un ataque interno (usuarios malintencionados, errores, etc.). Así los equipos de sistemas aplican políticas de seguridad en el acceso a recursos (navegación a Internet, acceso a carpetas compartidas, instalación de software en los ordenadores, etc.) por lo que es importante concienciar a los usuarios de que es necesario que bloqueen sus equipos cuando se ausenten. De poco sirve limitar el acceso a los datos de nóminas únicamente a los empleados del departamento de recursos humanos si cuando van a tomar un café cualquier persona de la empresa puede sentarse en su ordenador y hacer lo que quiera en su nombre. Aunque se explique a los usuarios la importancia de esta medida de seguridad no suelen tomarlo en serio y éste es el motivo de la aparición del ataque David Hasselhoff.

Se desconoce exactamente por qué el protagonista de esta broma concienciadora es precisamente David pero lo cierto es que se extendió y viralizó por Internet.

El procedimiento es muy sencillo y no requiere de perfil técnico:

  1. La víctima sale del despacho sin bloquear su sesión en el ordenador
  2. El atacante, generalmente el gracioso del departamento, se sienta en su sitio:
Resultado de un ataque David Hasselhoff

Resultado de un ataque David Hasselhoff Fuente imagen: El Lado del Mal

Cuando la víctima vuelve a su puesto se encuentra con un fondo de pantalla perturbador generando situaciones cómicas. Generalmente la aparición de este ataque en un equipo del departamento hace que todo el personal cierre su sesión durante una temporada hasta que la desidia vuelva a aparecer y genere un nueva ataque de David Hasselhoff.