Ahora, (en 2009) se ha vuelto a poner de moda el asunto de la autenticación centralizada, candidatos no faltan: OpenID (el hippy), Facebook Connect (el cool), Google Friend Connect (el corporativo).Incluso nuestro gurú favorito ha definido como tendencia 2009 la centralización de la identidad online.
Lo que tal vez muy poca gente recuerde es lo sucedido hace exactamente 8 años; era el 2001, yo acababa de llegar a Madrid y estaba pagando la novatada de alquilar un piso en el barrio de chueca sin conocer sus 'pormenores' (tal vez el color rosa del edificio debió haberme hecho sospechar), las maquinas de generar humo .COM estaban en pleno auge y en esos momentos los 40 principales nos envenenaban con la 'música' de Enrique iglesias
La seguridad informática y mas concretamente, la seguridad de las aplicaciones web, no estaba tan documentada como lo está ahora. Por aquella época estaba dando sus primeros pasos un revolucionario servicio de Single-Sign-On llamado 'Microsoft Passport' que pretendía convertirse en el eje de la identidad online. El servicio permitía centralizar con un único par usuario/contraseña el acceso a diversos servicios. Entre otros, acceso a pagos con dinero real (servicio de pagos online) así como diversas tiendas online del estilo al StarBucks o la mismísima eBay, además de los propios servicios de microsoft como Hotmail.
Y fue precisamente ese servicio, Hotmail el causante de un enorme dolor de cabeza para los técnicos de Microsoft. Un experto en seguridad que, para mas señas, pertenecía a la Apache Software Foundation, descubrió un fallo del tipo XSS que permitia robar las credenciales a cualquier usuario de Hotmail (y por ende, de passport) con tan solo enviarle un correo electrónico debidamente formateado.
Es especialmente curioso como los medios que recogieron la noticia se refieren al XSS como un ataque 'muy sofisticado' con muchísima enjundia técnica (nada que ver con los tiempos actuales, donde hasta a los defensores de Internet se les encuentran bugs de esa ralea).
Podéis imaginar la perplejidad de los técnicos de microsoft que para mitigar el incidente decidieron ... ¡ cerrar el servicio de pagos online ! impresionante. ¿Alguien se imagina, en pleno 2009, que de un día para otro cierren un servicio web como PayPal al detectar un bug?
Esperemos que ahora que la idea del Single-Sign-On resurge de entre las cenizas, los actores implicados hayan aprendido de las lecciones del pasado, y sobre todo, que a nadie se le ocurra pensar que un par usuario / contraseña, que además tiene carácter global, es apto para aplicaciones de comercio electrónico.
Los interesantísimos detalles técnicos del bug se pueden consultar aquí
0 comments :
Publicar un comentario