Si usas Gmail, ojo con esto
En varias ocasiones hemos hablado sobre cómo hacer para que nuestras sesiones en Gmail transcurran cifradas. Sin embargo eso no evita el uso de cookies no cifradas, lo que bajo determinadas circunstancias puede permitir a un intruso acceder a nuestras cuentas.
El asunto viene de lejos y a él se atribuye algún robo de cuenta (incluso la de algún reputado experto en seguridad), pero ahora (que el ataque ha sido demostrado en Defcon y se anuncia una herramienta para explotarlo) Google ha reaccionado y ha añadido una opción en la configuración de cada cuenta Gmail que permite garantizar el uso permanente y completo de cifrado en https. Sin embargo, me llama la atención que Google, tan proclive en otras ocasiones a adoptar configuraciones por defecto sin contar con el usuario, no haya marcado ésta como opción por defecto. Supongo que se debe a que el cifrado impone una mayor carga a sus servidores.
Por tanto, si utilizas Gmail, te toca a ti hacerlo cuanto antes desde la opción de configuración de tu cuenta, marcando la casilla que señalo en la imagen y pulsando después "Guardar cambios":
Referencias:
- Enabling the HTTPS setting [Google].
- Spied on despite encryption [Heise].
- Gmail Gains Two New Security Features [Security Fix].
- 3068 lecturas
Twitter
No factible en Google Apps
Decir que para todos aquellos que usen Google Apps para gestionar el correo de su dominio, de momento esa opción no está todavía disponible, así que deben extremar las precauciones.
RC4
He puesto la configuracion de tener siempre el https, lo que me llama la atencion es que al activar esta opcion utliza RC4 tanto para el login como para dentro de la cuenta. Ya podrian haber usado aes digo yo.
He mirado lo del rc4 con el mozilla haciendo doble click en el candadito.
Sobre RC4 en RSA
RC4 a pesar de "su mala fama" es un algoritmo de cifrado de flujo bastante válido para el uso que se le da dentro de SSL, otra cosa bien distinta son los usos que se le hayan podido dar en WEP. Piensa, que en SSL la inicialización de RC4 se lleva a cabo durante el proceso de inicialización (handshake). Esto implica que los bits usados para la inicialización del generador pseudoaleatorio de RC4 se llevan a cabo negociando mediante RSA o DH.
Por ello, la inicialización de RC4 en SSL es completamente aleatoria y no predecible. Además, la inicialización de RC4 cambia en cada handshake, es decir, cada vez que reiniciamos la conexión con el servidor, haciendo a todos los efectos que RC4 tenga una robustez de 128 bits ... similar a los que puede ofrecer AES.
Además, y paralelamente, RC4 cuenta con ser mucho más ligero que AES, por lo cual puede haber sido el motivo principal para elegirlo respecto a AES, que además no es soportado por muchas versiones de IE.
Desde hace tiempo
Esta opción ya tiene un tiempecillo por lo menos desde el 25 de Julio.
Aquí donde yo lo leí.
pues...
...no debo ser el único que no se había enterado...
Hay más
La referencia de Heise también es de hoy, porque el ataque ha sido demostrado ayer y el exploit está a punto de salir.
Ya hace un tiempo
Sí, ya hará 2-3 semanas que está disponible esta opción, yo personalmente la activé en cuanto lo supe, aunque al final opté por usar GMail a través de IMAP, o más bien IMAPS (SSL3).
Es "normal" que no lo pongan por defecto, posiblemente no podrían soportar la carga que supone SSL si todos los clientes de GMail lo utilizasen.
Problema con Gmail Notifier
Quiero añadir que si alguien usa Gmail Notifier y activa el cifrado, el programa ya no se conecta a la cuenta de correo.
Creo que el programa ya no se actualiza por parte de Google, no creo que se resuelva el problema.
GMail manager funciona
Yo uso GMail manager (es similar a GMail notifier) y me funciona bien. ;)
Gracias
No lo sabía, ha sido de gran utilidad y ya esta configurada la opción, gracias.