Si usas Gmail, ojo con esto

Enviado por admin el 14. Agosto 2008 - 12:06.

En varias ocasiones hemos hablado sobre cómo hacer para que nuestras sesiones en Gmail transcurran cifradas. Sin embargo eso no evita el uso de cookies no cifradas, lo que bajo determinadas circunstancias puede permitir a un intruso acceder a nuestras cuentas.

El asunto viene de lejos y a él se atribuye algún robo de cuenta (incluso la de algún reputado experto en seguridad), pero ahora (que el ataque ha sido demostrado en Defcon y se anuncia una herramienta para explotarlo) Google ha reaccionado y ha añadido una opción en la configuración de cada cuenta Gmail que permite garantizar el uso permanente y completo de cifrado en https. Sin embargo, me llama la atención que Google, tan proclive en otras ocasiones a adoptar configuraciones por defecto sin contar con el usuario, no haya marcado ésta como opción por defecto. Supongo que se debe a que el cifrado impone una mayor carga a sus servidores.

Por tanto, si utilizas Gmail, te toca a ti hacerlo cuanto antes desde la opción de configuración de tu cuenta, marcando la casilla que señalo en la imagen y pulsando después "Guardar cambios":

 

Referencias:

»

Comentarios

Selecciona arriba tu forma preferida de visualizar
los comentarios y pulsa el botón para guardar tus
preferencias. Éstas sólo se recordarán para tus
próximas visitas si eres usuario registrado.

No factible en Google Apps

Enviado por anónimo el 14. Agosto 2008 - 12:25.

Decir que para todos aquellos que usen Google Apps para gestionar el correo de su dominio, de momento esa opción no está todavía disponible, así que deben extremar las precauciones.

RC4

Enviado por anónimo el 14. Agosto 2008 - 13:24.

He puesto la configuracion de tener siempre el https, lo que me llama la atencion es que al activar esta opcion utliza RC4 tanto para el login como para dentro de la cuenta. Ya podrian haber usado aes digo yo.

He mirado lo del rc4 con el mozilla haciendo doble click en el candadito.

Sobre RC4 en RSA

Enviado por anónimo el 14. Agosto 2008 - 15:30.

RC4 a pesar de "su mala fama" es un algoritmo de cifrado de flujo bastante válido para el uso que se le da dentro de SSL, otra cosa bien distinta son los usos que se le hayan podido dar en WEP. Piensa, que en SSL la inicialización de RC4 se lleva a cabo durante el proceso de inicialización (handshake). Esto implica que los bits usados para la inicialización del generador pseudoaleatorio de RC4 se llevan a cabo negociando mediante RSA o DH.

Por ello, la inicialización de RC4 en SSL es completamente aleatoria y no predecible. Además, la inicialización de RC4 cambia en cada handshake, es decir, cada vez que reiniciamos la conexión con el servidor, haciendo a todos los efectos que RC4 tenga una robustez de 128 bits ... similar a los que puede ofrecer AES.

Además, y paralelamente, RC4 cuenta con ser mucho más ligero que AES, por lo cual puede haber sido el motivo principal para elegirlo respecto a AES, que además no es soportado por muchas versiones de IE.

Desde hace tiempo

Enviado por anónimo el 14. Agosto 2008 - 12:50.

Esta opción ya tiene un tiempecillo por lo menos desde el 25 de Julio.

Aquí donde yo lo leí.

pues...

Enviado por admin el 14. Agosto 2008 - 13:42.

...no debo ser el único que no se había enterado...

Hay más

Enviado por anónimo el 14. Agosto 2008 - 15:26.

La referencia de Heise también es de hoy, porque el ataque ha sido demostrado ayer y el exploit está a punto de salir.

Ya hace un tiempo

Enviado por anónimo el 14. Agosto 2008 - 13:07.

Sí, ya hará 2-3 semanas que está disponible esta opción, yo personalmente la activé en cuanto lo supe, aunque al final opté por usar GMail a través de IMAP, o más bien IMAPS (SSL3).

Es "normal" que no lo pongan por defecto, posiblemente no podrían soportar la carga que supone SSL si todos los clientes de GMail lo utilizasen.

Problema con Gmail Notifier

Enviado por anónimo el 14. Agosto 2008 - 13:17.

Quiero añadir que si alguien usa Gmail Notifier y activa el cifrado, el programa ya no se conecta a la cuenta de correo.

Creo que el programa ya no se actualiza por parte de Google, no creo que se resuelva el problema.

GMail manager funciona

Enviado por anónimo el 14. Agosto 2008 - 14:46.

Yo uso GMail manager (es similar a GMail notifier) y me funciona bien. ;)

Gracias

Enviado por anónimo el 14. Agosto 2008 - 14:09.

No lo sabía, ha sido de gran utilidad y ya esta configurada la opción, gracias.

123siguientefinal

Opinar

Salvo circunstancias especiales LOS COMENTARIOS DE ESTE SITIO SERÁN MODERADOS.

Como norma general, en este sitio NO SE PUBLICARÁN aquellos comentarios que incluyan datos personales, ni direcciones de correo, ni ninguna otra forma de establecer contactos privados o comerciales. Tampoco los que no se ajusten al tema, a la netiqueta, la ortografía o la educación, así como los comentarios ofensivos o claramente publicitarios, los que no aporten nada a la discusión o los que pretendan suplantar a terceras personas.

En cualquier caso los comentarios publicados en este sitio expresan sólo la opinión de su autor, quien será el único responsable -incluso ante la Ley- de los mismos. La publicación de cualquier comentario no supone en absoluto la conformidad del responsable de este sitio con su contenido.

Para poder enviar tus comentarios no necesitas ningún registro, pero has de permitir las cookies del sitio. Sólo si deseas disponer de un alias permanente has de registrarte.

Si no aceptas estas condiciones, por favor, absténte de participar en los debates. Muchas gracias

Kriptópolis, 21 de noviembre de 2008.

  • Etiquetas HTML permitidas: <a> <em> <strong> <ul> <ol> <li> <p> <u> <br><strike> <blockquote> <div>

Más información sobre las opciones de formato...

CAPTCHA
Esta prueba busca evitar la entrada de mensajes basura automatizados. Muchas gracias por tu colaboración.
7 + 0 =
Resuelve esta sencilla operación e introduce el resultado.