La banca on-line se libera de candados

Tras años entrenando a sus clientes para que sólo confíen en los sitios que utilizan SSL, los bancos on-line están mudando sus páginas de acceso a zonas sin cifrar de sus webs.

Aunque los datos son cifrados en cuanto se pulsa el botón "Entrar", American Express y cuatro de los cinco bancos más grandes de Estados Unidos muestran ya sus formularios de acceso en páginas sin SSL.

Las razones para esta estrategia son varias. Por un lado los clientes recuerdan mejor las direcciones de acceso sencillas; por otro, SSL impone un retraso en la carga de páginas que no resulta muy alentador para el cliente...

Sin embargo, años de educación de los consumidores, así como los consejos del Grupo Antiphishing y la Comisión Federal de Comercio (FTC) en el sentido de que se busque siempre el candado dorado, conspiran en contra de este tipo de novedades. Por eso los bancos se ven obligados a informar de que los datos se cifran... aunque sea después.

Tampoco a Microsoft le satisface esta práctica: "Si el formulario de acceso se envía por HTTP, no existe garantía de que no haya sido modificado entre el servidor y el cliente (...) Un chico malo ubicado entre ambos podría redirigir el POST hacia un HTTPS bajo su control", dice Eric Lawrence, de Microsoft, en su blog.

• Banks Shifting Logins to Non-SSL Pages [Netcraft]