lunes, 22 de mayo de 2006

Recomendaciones de la AEPD sobre seguridad para internautas

Leo vía el blog de seguridad Gaonasec la publicación por parte de la Agencia Española de Protección de Datos de una guía para internautas sobre seguridad y protección de datos de carácter personal. Me parece que este tipo de iniciativas concienciadoras por parte de la Agencia de Protección de Datos son siempre de agradecer, dado que una de las funciones de este organismo, además de velar por los derechos de los afectados respecto al uso o abuso del tratamiento de datos de carácter personal debe ser informar de los riesgos existentes en materia de seguridad de la información.

Lo que me resulta paradojico como comenta astutamente mi compi Gaona, (por aquello de la coherencia y la cohexión) es ver cómo esta guía ha sido colocada en una máquina fuera del dominio de la propia agencia utilizando el certificado de servidor SSL asociado al dominio www.agpd.es.

Entre las recomendaciones de la AEPD se dice textualmente:

"Verifique que el certificado del sitio web con el que se ha establecido la conexión segura ha sido emitido para la entidad a la que nos conectamos y por una Autoridad de Certificación que nos ofrezca confianza." aunque en esta captura podemos ver como esto no se cumple.


Como usuario, el navegador al llegar al documento me ha avisado de que el certificado de servidor no coincide con la dirección de dominio que en este caso es https://212.170.242.148/upload/Recomendaciones%20Internet%20_16%20mayo_%20v2.pdf.

¿Para qué me sirve la autenticación de servidor si no verifica el dominio? Que el certificado es bueno el navegador no lo pone en duda, puesto que ha sido generada por una Autoridad de Certificación de credito como es Verisign pero que sirva para garantizar la identidad del dominio ya es menos razonable.

Imagino que más que cosa de la Agencia Española de Protección de Datos será cosa del proveedor de hosting que en este caso es Telefonica, pero señores, "un poquito de por favor".

No publiquen un documento con recomendaciones de seguridad y luego se salten algunas de ellas, porque como me han dicho siempre de pequeño "Se educa con el ejemplo". Este ya es el segundo ejemplo de organismos relacionados con la seguridad que dan "mal" ejemplo.

Además, revelar la dirección IP directamente en el dominio como que tampoco es algo muy recomendable por seguridad de la información.

(26/05/2006)-NOTA ACTUALIZADA:
A día 26, la deficiencia aqui comentada ha sido CORREGIDA por parte de la AEPD. Felicidades por detectar y arreglar los errores, porque como bien he dicho, se predica con el ejemplo.

2 comentarios:

Gaona dijo...

Pero fíjate, el navegador avisa con un icono de warning de que el dominio no coincide con el sitio, como última comprobación. Para Internet Explorer, parece más importante que el certificado esté o no caducado, que el hecho de que el certificado no coincida con la máquina, algo mucho más grave, bajo mi punto de vista.

Javier Cao Avellaneda dijo...

Imagino que las comprobaciones son un "AND" lógico pero de cara al usuario SI es verdad que parece fallar el último paso y que sea una comprobación menos importante.

No entiendo para que utilizan un certificado de servidor si no quieren garantizar la autenticación del dominio ya que el cifrado aqui es irrelevante porque se accede a un fichero pdf "público".

En fin, "la seguridad sin objetivos no sirve para nada" pero como aqui siempre se trata de aparentar...

 
;