Firefox pretende llevar más allá el uso de HTTPS forzando a los desarrolladores a asegurarlo todo

Firefox pretende llevar más allá el uso de HTTPS, una de las principales razones por las que el uso de HTTPS se ha expandido tanto en los últimos años, tiene que ver con las advertencias de seguridad de Chrome. Google ha usado la posición dominante de su navegador para motivar (casi obligar) a los desarrolladores a hacer sus webs más segura usando conexiones cifradas en lugar del simple HTTP.

Ahora es Mozilla quien busca forzar el estándar de seguridad llamado “secure contexts” (contextos seguros), que busca promover prácticas aun más seguras entre los desarrolladores web, llevando más allá el simple uso de HTTPS para asegurar la conexión entre un sitio web y el navegador.

 HTTPS para todo

Actualmente la idea expandida, especialmente entre los usuarios, es que si un sitio está asegurado con HTTPS, ya lo ha hecho todo bien. Esta falla al no incluir muchas de las poderosas y complejas funciones web y APIs que usan esos sitios.

El principio detrás del “secure contexts” de Firefox es muy simple y abarca justamente eso: se debería forzar el uso de HTTPS en todas esas funciones, como la geolocalización, el bluetooth, la API de notificaciones web, el acceso al micrófono y la cámara, el protocolo HTTP/2, Google AMP, etc.

Todas esas cosas pueden funcionar perfectamente bien bajo HTTP, pero representan un riesgo de seguridad para los usuarios. Incluso si la conexión entre el navegador y la web utiliza HTTPS, una de esas funciones no protegidas sigue pudiendo ser abierta en una ventana separada sin que el usuario lo note.

Seguridad más completa para una web más compleja

La web es mucho más compleja actualmente de lo que lo era hace cinco o diez años. Muchísimos sitios y servicios ofrecen mucho más que texto e imágenes.

Las tecnologías web han evolucionado a pasos agigantados y son tan poderosas que actualmente podemos hacer casi cualquier cosa desde la web sin necesidad de instalar apps nativas.

El uso de HTTPS es lo más básico que un desarrollador web debe tener en cuenta actualmente, pero solo proteger la conexión entre el sitio y el navegador y olvidarse de todo lo demás, especialmente si se trata de una web compleja con múltiples funciones.

Secure contexts no es un estándar de Mozilla, es algo que inicio Google en 2014 y que se han convertido en requerimientos de Chrome, Mozilla ahora está haciendo lo mismo con Firefox, exigiendo a los desarrolladores que lo apliquen de forma inmediata.

Además de esto, los planes son dejar de dar soporte a las tecnologías web HTTP tarde o temprano, algo que admiten no será un proceso rápido y sin complicaciones, después de todo, la simple adopción de HTTPS por las webs aún es una batalla que se está librando.

Es complicado dejar de dar soporte a las tecnologías web HTTP porque muchos sitios dejarían de funcionar.

La buena noticia es que tanto Google como Mozilla parecen estar comprometidos con el movimiento HTTPS, el primero tiene una posición sumamente dominante, y que Mozilla se monte en el mismo tren le da otro empujón extra, especialmente ahora que Firefox ha cobrado una segunda vida con Quantum.

 

Publicado en Informatica.

Deja un comentario