Usando CSP para incrementar la seguridad de tu sitio web

Hacía ya algún tiempo venía manejando la idea de implementar CSP en mi blog de WordPress. CSP -o Content Security Policy, por sus siglas en inglés- es un estándar que define un conjunto de orígenes pre-aprobados desde los que un navegador puede cargar recursos cuando visita un sitio web. Ayuda a prevenir ataques de Cross Site Scripting (XSS), data injection, entre otros. Cuando el navegador visita un sitio web tiene que cargar fuentes, hojas de estilo, imágenes, scripts, etc. Por ejemplo, este blog utiliza la fuente Open Sans de Google por lo que cada vez que alguien lo visite su navegador estará haciendo una llamada hacia el dominio fonts.googleapis.com. También utiliza las fotos de perfil de Gravatar, a través de secure.gravatar.com. Y así con el resto de los recursos. Para habilitar CSP, el sitio web debe enviar un encabezado HTTP especial llamado Content-Security-Policy (también conocido como X-Content-Security-Policy). Como alternativa al encabezado HTTP se puede implementar CSP utilizando la etiqueta <meta>. Por ejemplo: Podríamos decir que CSP es una suerte de lista blanca de orígenes y, por ende, una forma de prevenir ataques por inyección de código malicioso. Cada plataforma web tiene su forma de manejar los encabezados HTTP. Para WordPress, por ejemplo, …

Read moreUsando CSP para incrementar la seguridad de tu sitio web

Por qué es importante DMARC en una estrategia de e-mail

DMARC (o Autenticación de mensajes, informes y conformidad basada en dominios, por sus siglas en inglés), es un mecanismo de autenticación de correos electrónicos relativamente joven que permite a los remitentes garantizar a sus destinatarios que los mensajes que han recibido fueron originados por su organización. Fue establecido mediante el RFC7489 y publicado por primera vez en Marzo de 2012. Si bien DMARC depende de los mecanismos SPF y DKIM, existen grandes diferencias entre ellos. Mientras que SPF y DKIM están enfocados en lo que conocemos como “SMTP MAIL-FROM” (también llamado envelope-from o 5321.MailFrom, quien especifica la dirección para devolución de mensajes al remitente), DMARC verifica que el dominio del 5321.MailFrom y el de 5322.From (la dirección de correo que vemos en el campo “DE“) se encuentren alineados. Pongámoslo en un ejemplo: Mail-From: [email protected] De: “Frank” <[email protected]> Para: “Andrew” <[email protected]> Asunto: Vencimiento de nombre de dominio – Acción requerida Si el dominio dominiofalso.com tiene correctamente configurado su registro SPF, el servidor de correo de example.com lo tratará como un mensaje “sano” y pasará la prueba de seguridad. Dado que el cliente de correo de Andrew solo le mostrará la dirección en el campo “From“, Andrew creerá que el mensaje proviene de un origen seguro. Sin embargo, si miempresa.com tuviese configurado el registro _dmarc.miempresa.com con …

Read morePor qué es importante DMARC en una estrategia de e-mail

Google comenzará a penalizar a sitios no compatibles con dispositivos móviles

Photo by Markus Spiske on Unsplash

Los rumores comenzaron a circular hace algunos meses, cuando el gigante de las búsquedas en Internet adaptó su página de resultados identificando a los sitios compatibles con dispositivos móviles con la frase Mobile-friendly: Días atrás Google puso fin al misterio, asegurando que a partir del 21 de abril próximo pondrá en marcha un nuevo algoritmo de búsqueda que planea “penalizar” a los sitios que no sean compatibles con dispositivos móviles. Mediante un artículo publicado en el blog oficial de webmasters, amplían los detalles de esta decisión indicando que el nuevo algoritmo tomará como señal de ranking si el sitio tiene una versión compatible con dispositivos móviles o no.  En caso que si, el sitio tendrá mejor posicionamiento en la página de resultados de búsqueda. Para los administradores de web, sigue vigente la sección Usabilidad móvil que permite identificar los errores detectados por Google en los intentos de rastreo de su motor de búsqueda y la nueva herramienta de verificación de compatibilidad con dispositivos móviles que, en caso de detectar que el sitio no es compatible con estos dispositivos, ofrecerá algunas sugerencias para mejorar su visualización: En el pasado, Google ya había modificado su algoritmo priorizando en los resultados de búsqueda a aquellos sitios que operen bajo protocolo de transferencia seguro (HTTPS). ¡Hasta la …

Read moreGoogle comenzará a penalizar a sitios no compatibles con dispositivos móviles

El impuesto a Netflix o cómo una mala interpretación puede causar estragos

Photo by Markus Spiske on Unsplash

Hoy, como todos los días, me desperté, puse el canal de las noticias en la TV, respondí algunos mails urgentes y seguí adelante mi rutina con Twitter. Entre tweet y tweet encontré uno de la queridísima @roxe__ en el que hacía retweet al periodista Werner Pertot, quien horas atrás compartía un artículo del portal de noticias Tiempo Argentino. ¿Macri le va a cobrar un impuesto a los que tengan Netflix? ¿Es joda, no? http://t.co/2haMRvVzGZ Buen día! — Werner Pertot (@WernerPertot) September 3, 2014 El título era arrasador: “Impuesto porteño a los que consuman películas por la Web“. Y hacía referencia a la resolución número 593 de la AGIP (Agencia Gubernamental de Ingresos Públicos de la Ciudad de Buenos Aires), publicada el día de ayer en el boletín oficial número 4471, en la que se establece una retención del 3% sobre los ingresos brutos generados por la contratación de servicios de suscripción online para acceder a películas, TV y otros tipos de entretenimiento audiovisual (música, juegos, videos, o similares) transmitidos por Internet o televisión por Cable. [gview file=”https://blog.pablofain.com/wp-content/uploads/2014/09/el-impuesto-a-netflix-o-como-una-mala-interpretacion-puede-causar-estragos.pdf”] Sin embargo, Tiempo Argentino malinterpretó la resolución generando bronca en los usuarios de estos servicios. En su artículo afirma “No queda claro por qué el …

Read moreEl impuesto a Netflix o cómo una mala interpretación puede causar estragos

Google finalmente elimina la información de autor de los resultados de búsqueda

Photo by Markus Spiske on Unsplash

Google decidió, a partir del día de hoy, eliminar la información de autor de los resultados de búsqueda. Esto significa que no se visualizará más el nombre del autor de la noticia o el artículo en el resultado de búsqueda, y tampoco estará vinculado a su perfil de Google+. Esta decisión, asegura John Mueller del equipo de herramientas para webmasters de Google, fue tomada basada en los comentarios de los administradores de web y los usuarios. No hemos detectado una reducción de clicks en aquellos resultados en los que eliminamos la información de autor. Tampoco se han incrementado en los que sí la tenían. Pocas semanas atrás Google tomaba la decisión de eliminar la foto del autor de su página de búsqueda, argumentando que esta característica había generado una disminución en los clicks de los resultados de búsqueda que mostraban la imagen. De esta manera Google cierra las puertas a la característica Authorship, que desde los comienzos fue muy bien recibida por la comunidad de administradores de web. La página con las instrucciones para configurar la información de autor fue removida, y en su lugar aparece la leyenda La marca de autoría ya no está disponible con las búsquedas en la web. …

Read moreGoogle finalmente elimina la información de autor de los resultados de búsqueda

Qué es HSTS y cómo implementarlo para incrementar la seguridad de mi sitio

Photo by Markus Spiske on Unsplash

Desde que Google anunciara días atrás que subiría el ranking de búsqueda a los sitios que utilicen HTTPS, múltiples han sido las webs que comenzaron a hacer pruebas con el protocolo de transferencia seguro.

En esta edición vamos a trabajar sobre HSTS, una política o mecanismo de seguridad estandarizado que anuncia a los navegadores cuándo una web (y todos sus enlaces) deben ser accedidos exclusivamente utilizando HTTPS.

HSTS significa, por sus siglas en inglés, HTTP Strict Transport Security y sus detalles están especificados en el RFC 6797. Su principal objetivo es impedir que un atacante convierta una conexión HTTPS en HTTP. El mecanismo instruye al UA (user agent o navegador del usuario) a finalizar la conexión con el servidor de destino si ocurre algún error mientras intenta establecer una comunicación segura (SSL/TLS), incluyendo certificados revocados. Además, todos los enlaces de la página se visualizarán como HTTPS inluso si no fueron creados de esa manera.

 

HSTS envía un mensaje al navegador del usuario que podría ser interpretado como: “¡Hola! Toda nuestra comunicación debe ser encriptada, caso contrario tendrás que mostrar un mensaje de error.”

Read moreQué es HSTS y cómo implementarlo para incrementar la seguridad de mi sitio

Cómo proteger mi sitio de WordPress con SSL

Photo by Markus Spiske on Unsplash

Hace algunos días anunciábamos los cambios que está implementando Google en su motor de búsqueda, relacionados con la idea de “subir” el ranking de los sitios que trabajen bajo un protocolo de navegación seguro (SSL/TLS) en los resultados de búsqueda.

Esto, sumado a los acontecimientos que en los últimos meses han demostrado la necesidad de tomar mayores recaudos a la hora de hablar de seguridad en Internet, nos lleva a evaluar diferentes alternativas para proteger nuestra información. En este post les ayudaré a implementar un certificado de seguridad (SSL/TLS) en un sitio de WordPress self-hosted.

WordPress.com no soporta el uso del HTTPS en dominios personalizados. Sin embargo, sí lo permite en aquellos blogs con dominio finalizado en wordpress.com. Más info aquí.

TLS (Transport Layer Security, por sus siglas en inglés) es uno de los protocolos de cifrado de información comunmente utilizados en Internet para proteger los datos enviados entre dos equipos. Más conocido como “HTTPS” o “HTTP con candado”, TLS y SSL, su antecesor, permiten a los usuarios asegurarse que los datos que intercambian en un sitio web viajan de manera segura y no puedan ser interceptados por usuarios malintencionados.

Hosting y SSL

Read moreCómo proteger mi sitio de WordPress con SSL

Google to rank up HTTPS sites in search results

Photo by Markus Spiske on Unsplash

Versión en español disponible aquí / Spanish version available here

Gary Illyes and Zineb Ait Bahajji, from the Google’s Webmaster Trends Analysis team, published yesterday a post in the company’s security blog announcing that sites that are protected with SSL certificates will be ranked up in search results.

“Security is a top priority for Google”, ensures the announcement in which the company based in California gave more details about this change. With the aim of improve users experience and security, Google has started to test this new ranking model some weeks ago.

TLS, or Transport Layer Security, is a cryptographic protocol designed to provide communication security over the Internet. Also known as “HTTPS” or “secure HTTP”, TLS and its predecessor (SSL) were designed to allow users to exchange data with web-sites safely.

Tests suggest that, so far, only 1% of global queries were affected. Google plans to start rolling this feature accross the web in the next weeks, in order to allow webmasters to switch to HTTPS.

In the coming weeks, the Google team will publish detailed best practices to make TLS adoption easier, and to avoid common mistakes. Here are some basic tips to get started:

Read moreGoogle to rank up HTTPS sites in search results

Google subirá el ranking de los sitios que usen HTTPS

Photo by Markus Spiske on Unsplash

Versión en inglés disponible aquí / English version available here

Gary Illyes y Zineb Ait Bahajji, del equipo de análisis de tendencias de Google, publicó el día de ayer una información en el blog de seguridad de la compañía, donde aseguran que aquellos sitios que no trabajen bajo TLS (Transport Layer Security, por sus siglas en inglés) verán reducido su ranking en los resultados de búsqueda, en comparación con aquellos que utilicen HTTPS.

“La seguridad es una de nuestras principales prioridades”, asegura el comunicado en el que la compañía con sede en California dio más detalles sobre este cambio. Con el objetivo de mejorar la experiencia y la seguridad de los usuarios, Google comenzó semanas atrás a realizar pruebas con el ranking de sus resultados de búsqueda.

TLS, o Transport Layer Security por sus siglas en inglés, es uno de los protocolos de cifrado de información comunmente utilizados en Internet para proteger los datos enviados entre dos equipos. Más conocido como “HTTPS” o “HTTP con candado”, TLS y SSL, su antecesor, permiten a los usuarios asegurarse que los datos que intercambian en un sitio web viajan de manera segura y no puedan ser interceptados por usuarios malintencionados.

Las pruebas indican que, hasta el momento, solo el 1% de las consultas globales se han visto afectadas por este cambio, ya que su aplicación no tiene tanto peso como las reglas de calidad de contenido. Google espera comenzar a darle más prioridad con el correr de las semanas, otorgando a los administradores de web algo de tiempo para afrontar el cambio.

En las próximas semanas el equipo de Google estará publicando más detalles sobre las mejores prácticas para la adopción de mecanismos de seguridad en la web, pero dejan las siguientes recomendaciones para evaluar de manera efectiva el pasaje a TLS:

Read moreGoogle subirá el ranking de los sitios que usen HTTPS

Facebook ahora permite guardar páginas para leer más tarde

Photo by Markus Spiske on Unsplash

“Todos los días la gente encuentra cosas interesantes en Facebook que no tiene tiempo de leer en ese momento” asegura Daniel Giambalvo, Software Engineer de Facebook, en un comunicado de prensa en el que anunció la llegada de esta nueva funcionalidad a la red social.

Facebook está muy cerca de convertirse en una suerte de todo en uno para nuestra vida en línea. Desde hace pocos días permite a sus usuarios generar su propia lista de vínculos para leer más tarde, lugares para visitar, música para escuchar y películas para ver.

facebook-ahora-permite-guardar-paginas-para-leer-mas-tarde_003facebook-ahora-permite-guardar-paginas-para-leer-mas-tarde_004

Read moreFacebook ahora permite guardar páginas para leer más tarde