11 mayo 2009

Cómo usar Facebook por SSL

Facebook, esa enorme red social donde podemos re-encontrarnos con amigos de la infancia, añadir a esa chico/a que te gusta, tener enormes listas de amigos que solo están ahí para poder decir muy ufanamente 'si, bueno yo tengo 300 amigos en el facebook' convirtiendo, inadvertidamente, el termino amigo en algo cuasi-peyorativo.

Obviamente también hay grandes iniciativas y grupos de interés social ...

Sea cual sea el uso que le estés dando a Facebook es innegable que mucha de tu privacidad viaja en claro por la red encapsulada en el protocolo HTTP.

Tal vez los mas activistas del lugar recuerden que, tiempo atrás, Gmail no se podía configurar para que viajara cifrado bajo SSL y por ello, un avezado usuario programó un sencillo script en Greasemonkey para forzar que las conexiones fueran bajo SSL. Tiempo después Google añadió esa opción al panel de configuración y que es mas que recomendable tener activada.

Pensando en la posibilidad de programar mi pequeña extensión para hacer eso con Facebook, he localizado un script Greasemonkey que hace justamente eso, meter bajo SSL las sesiones de facebook.

Para poder instalar el script tienes que tener previamente Greasemonkey instalado en tu Firefox, después de eso, dirígete hacia este link y pulsa donde pone 'Install'. Ahora, carga Facebook usando https://www.facebook.com

El script no es 100 % infalible, a veces la pagina inicial no se carga enteramente bajo SSL, yo he comprobado que si te mueves dentro del ecosistema facebook, la conexión termina por ser plenamente cifrada.
Usar FaceBook bajo SSL tiene un handicap que, tal vez, para algunos sea un problema: el chat de FB no funciona cifrado.
No obstante, he encontrado una solucion-parche y es cargar en una pestaña diferente la siguiente URL http://www.facebook.com/presence/popout.php, pero eso si, todo lo que digas o hables queda fuera del ámbito SSL

Y si ya quieres sacar nota en cuanto a preocupación-por-tu-privacidad, securiza tu Firefox con FFhardener.

7 comments :

Jose Andres dijo...

Me parece excelente la iniciativa de seguridad de Facebook cada vez me gusta esta red social. Es mas seria que otras

jrosell dijo...

En gmail tu controlas tus correos, pero en facebook la protección de la información es la que puedan hacer tus "amigos".

Zerial dijo...

@jrosell Opino exactamente lo mismo que tu. La seguridad, al fin y al cabo, pasa por como se protejan los demas. Puedes estar bajo mil certificados ssl y mil metodos de encriptacion, pero si tu amigo le pasa toda tu informacion a otra persona ... pues nada que hacer.

Yo escribi algo respecto a este tipo de cosas, no es por hacer spam ni nada de eso, les dejo el enlace por si lo quieren leer.

http://blog.zerial.org/seguridad/la-importancia-de-la-seguridad-en-la-informacion/

Yago Jesus dijo...

@jrosell estoy al 100 % contigo
@Zerial, estoy al 80 %, independientemente de que existan mas factores no se puede obviar que, el hecho de que tu 'dia a dia' en facebook recorra muchos km de cables / enlaces wireless en texto plano, capturables via un simple tcpdump es algo que merece una cuota de preocupación y que no se puede obviar por el hecho de que existan mas factores. Al final todo esto son 'las capas de la cebolla', tan importante una como otra

Zerial dijo...

@Yago Jesus: Si, tienes razon. Pero a ver, vamos un poco mas allá. Tu sabes la cantidad de gente que usa facebook, gente que no tiene idea de seguridad y que muchas veces lo unico que hace frente a un computador es usar facebook y msn (que son muchos), a mi me ha tocado ver como una persona cuando le sale una alerta de firefox, IE o cualquier explorador, lo primero que hacen es "ACEPTAR", sin ni si quiera leer lo que dice. Si nos basamos en esto ultimo, es facil crear un certificado falso, usando la tecnica MiTM, y que el usuario lo acepte, de esta forma todo el trafico que pase atravez de nosotros pasará encriptado con un certificado falso hecho por nosotros y como esta hecho por nosotros, pues podemos descifrar esa informacion y capturarla.
El hecho de usar SSL ayuda bastante, pero a la gente que es insegura con su informacion y no se maneja en el tema, seguramente no notará el cambio. Para nosotros, gente mas tecnica, que tenemos experiencia nos agrega una capa de seguridad que sin duda nos ayudará bastante.

saludos

Yago Jesus dijo...

@Zerial, claro, si al final es lo que te decía sobre las capas-de-la-cebolla. Usar Facebook por SSL no va a curar el desconocimiento de mi vecino, de 'el tio ese americano que añadi' o de cualquiera de mis contactos. Pero si puede evitar que las cookies de MI sesion viajen alegremente bajo HTTP en un entorno LAN donde cualquiera puede capturarlas.

Martín Aberastegue dijo...

El siguiente script tambien funciona en FF y Opera:
http://userscripts.org/scripts/review/15001

Saludos