Los bancos comienzan a migrar sus páginas de acceso a zonas sin SSL

Agosto 26, 05 by admin

En Netcraft comentan que algunos bancos, tras muchos años en los cuales han mantenido sus portales por completo bajo cifrado SSL (el conocido HTTPS://), están comenzando a migrar las páginas públicas de sus portales (la portada, aviso legal, política de privacidad … y en general todas las páginas que están fuera del panel de control privado de cada usuario) hacia el protocolo de texto plano sin el uso de SSL.

Esta parece que es una política mucho más lógica que la típica situación en la que al escribir la url de nuestro banco automáticamente nos redirige hacia otra página cifrada, la cual los usuarios siempre reconocen por comenzar por https:// y mostrarnos el típico candado de seguridad en el navegador web.

Esta redirección hacia una página cifrada suele tener varios inconvenientes. El primero es que suele ser una url muy larga, y que tiende a confundir a los usuarios, siendo además más dificil de recordar cualquier url. Por otro lado, de cara a los buscadores, puede afectar negativamente al posicionamiento y a la indexación de contenidos, no por estar la página cifrada, sino por la propia redirección que para los buscadores suele ser un tratamiento del flujo de la web un tanto brusco y que suelen penalizar.

Nosotros en la empresa tuvimos una experiencia relacionada con este tema en un portal que estabamos estructurando, ya que al enviarse datos privados, decidimos que cuando el usuario se conectara al portal, éste automáticamente le redirigiera hacia la zona segura. Gran error, en especial porque los buscadores banearon la página. Posteriormente usamos una política mucho más racional, y fue que el usuario sólo estuviera en páginas cifradas cuando enviara datos críticos o circulara por su panel de control. Incluso la página donde se rellenan los datos puede estar sin cifrar, siempre que cuando se envíen los datos se haga a una página que sí está cifrada.

Con esto además conseguimos una mayor agilidad de carga para el usuario, ya que los datos cifrados hacen que la carga sea más lenta por tener una mayor cantidad de datos que transmitir.

Recomendamos pues un uso mucho más racional de las páginas cifradas mediante un estudio para saber dónde es necesario, y dónde no lo es. Y vosotros, ¿aún continuais cifrando todas las páginas del portal?

Date Viernes, 26 Ago 05 at 2:05
Under Opinión
You can follow any responses to this entry through the RSS 2.0 feed .
You can leave a response , or trackback from your own site .

Add your comment

No responses for this post

inseguro Says: 26.08.05 at 6:58

>Incluso la página donde se rellenan los datos puede estar sin cifrar, siempre que cuando se envíen los datos se haga a una página que sí está cifrada.

Me parece que esto seria un tanto peligroso, ya que el usuario no tiene manera de saber si sus datos se enviarán utilizando una conexión segura o no.
inseguro Says: 26.08.05 at 8:14

Desde mi punto de vista es un paso atras en la lucha contra el phising.

Solo va a crear confusion en los usuarios, pues donde antes tenian el candadito y podian comprobar que estaban donde querian estar ahora no van a tener esa referencia.

Y respecto a la penalización en los buscadores… ¿que es mas importante para un banco? ¿que le penalice un buscador? ¿o que le penalicen los usuarios porque no se sienten comodos y seguros?

Tantos años intentando enseñar a los usuarios para que solo confien en paginas seguras tirados por la borda…..
Fernando Ortega Says: 26.08.05 at 9:17

La forma de concienciación contra el Phising no es únicamente mirar que la página web en cuestión esté cifrada, ya que cualquier atacante puede usar un dominio similar al del banco con un certificado perfectamente válido. Incluso muchos usuarios al ver el candado de seguridad en el navegador tienden a confiar plenamente en la página que están viendo, porque realmente desconocen qué quiere decir ese candado. En ese sentido la concienciación debe continuar y que todo el mundo conozca mejor el funcionamiento de estas páginas seguras. En cuanto al tema de los buscares, es meramente anecdótico sin una excesiva importancia. Buena apreciación.

“Incluso la página donde se rellenan los datos puede estar sin cifrar, siempre que cuando se envíen los datos se haga a una página que sí está cifrada.”: en el caso que la página esté sin cifrar y los datos sí se envíen a una página segura, el banco suele indicarlo mediante algún método, como un candado en el formulario de acceso. Sí podría ser viable para la confianza del usuario que la parte pública del portal (donde se muestran la información que todo el mundo puede ver) no esté cifrada, pero que a la hora de enviar datos confidenciales siempre se recurra a una página cifrada. Os pongo como ejemplo la web de American Express:
inseguro Says: 26.08.05 at 12:15

He visto la pagina que dices de American Express…. y no meteria mi login y contraseña ni loco.

Cuando yo utilizo mi cuenta bancaria, ademas de comprobar la URL y el candado, pincho dos veces sobre este para que se abra el certificado y comprobar que estoy donde quiero estar.

Pero en esta no puedo hacerlo. Si pincho el candado que se ve junto al User ID simplemente aparece un desplegable diciendome que todo esta bien. Pero eso no me asegura nada.

Me parece una pagina muy facilmente falsificable, carne de cañon para phising. (Aunque esto es solo una opinion, abria que preguntarles a los piratas informaticos si la ven facil de falsificar)
inseguro Says: 09.02.06 at 15:57

no se si talvez alguien me pueda decir porque una pagina segura se puede ver en una pc y en otra no, si las dos estan conectadas a la misma red y en una misma oficina hay pc que si pueden ver la pagina y otras no, pero en el firefox si se pueden ver