Facebook y Twitter suspenden en seguridad, según Digital Society
Digital Society, think tank especializado en seguridad, otorga bajos niveles de seguridad tanto a Twitter como a Fecebook. Ambos sitios son vulnerables a ataques que pueden dar a los atacantes un control parcial o total sobre las cuentas de los usuarios.
Según Digital Society, el principal problema de Facebook y Twitter es que ninguno de los dos sitios soporta una completa protección Secure Socket Layer (SSL). Ambos crean por defecto sesiones encriptadas con el usuario, pero aunque los log-ins están encriptados, no están autenticados, lo que significa que no puede introducirse información en el navegador para identificar la autenticidad de la identidad de los sitios.
Incluso si se fuerza una sesión segura utilizando “https” en la barra de dirección, los sitios siguen incluyendo enlaces a partes no seguras del sitio y código JavaScript que puede transmitir cookies de autenticación sin SSL.
Las conclusiones de Digital Society se producen al poco del lanzamiento de FireSheep, un add-on para FireFox que permite a los usuarios con conocimientos técnicos limitados secuestrar las cuentas web de otras personas sobre redes Wi-Fi encriptadas. Según Digital Society, un atacante que utilice FireSheep u otro programa de sniffing de paquetes podría, por ejemplo conseguir acceso a cualquier elemento de una cuenta excepto al nombre de usuario y contraseña. Aún sin estos datos podría cambiar los contenidos del legítimo propietario y leer sus mensajes privados.
De los once websites analizados por Digital Society en su último informe, sólo Gmail recibió la máxima puntuación. Microsoft se ha comprometido a trabajar para cubrir las vulnerabilidades de Hotmail y Facebook está trabajando en mejorar la seguridad de su sitio.
Incluso si se fuerza una sesión segura utilizando “https” en la barra de dirección, los sitios siguen incluyendo enlaces a partes no seguras del sitio y código JavaScript que puede transmitir cookies de autenticación sin SSL.
Las conclusiones de Digital Society se producen al poco del lanzamiento de FireSheep, un add-on para FireFox que permite a los usuarios con conocimientos técnicos limitados secuestrar las cuentas web de otras personas sobre redes Wi-Fi encriptadas. Según Digital Society, un atacante que utilice FireSheep u otro programa de sniffing de paquetes podría, por ejemplo conseguir acceso a cualquier elemento de una cuenta excepto al nombre de usuario y contraseña. Aún sin estos datos podría cambiar los contenidos del legítimo propietario y leer sus mensajes privados.
De los once websites analizados por Digital Society en su último informe, sólo Gmail recibió la máxima puntuación. Microsoft se ha comprometido a trabajar para cubrir las vulnerabilidades de Hotmail y Facebook está trabajando en mejorar la seguridad de su sitio.
