El otro día en el Blog de George Ou en ZDNet apareció este artículo sobre seguridad HTTPS (SSL) en los bancos: «Many Banks failing to use SSL authentication«. En él George hablaba sobre muchos bancos americanos y el problema que suponía para ellos el hecho aparentemente inocente de que su página principal, en la que está también el login a su banca electrónica, no usase SSL. Por suuesto en cuanto metías los datos y dabas a «Entrar» las comunicaciones se encriptaban, pero quizá era ya demasiado tarde. Vale la pena echarle una lectura rápida…

El caso es que el artículo en cuestión levantó mucha polémica (a más de un mal webmaster le tocó las narices) y poco después, hace unos días, sacó otro artículo en respuesta a esas críticas en el que analizaba las declaraciones oficiales al respecto que se hacían en una página de la Marina Estadounidense.

Si bien los conceptos relacionados son básicos a más de uno le vendrá bien echarle un repaso a lo que comenta ya que si el Ejército de los USA tiene algunas convicciones tan erradas acerca de la seguridad, mejor apaga y vámonos.

Primero dicen que, dado que a partir de que envías los datos, la comunicación es segura no hay que preocuparse. Como bien dice George el que afirma esto debería estar en la calle o al menos deberían obligarlo a asistir a alguno de los seminarios de Chema Alonso y el Padre Parada para comprobar lo fácil que es realizar envenenamiento de DNS con herramientas gratuitas como Cain.

Otra de las disculpas alegadas es que «lo hace mucha otra gente». Bueno, sin comentarios.