El uso de contraseñas sigue siendo la opción más utilizada para acceder a los servicios de Internet. Lamentablemente, todos nosotros hemos comprometido la seguridad de nuestras contraseñas más de una vez al introducirlas en formularios que no son seguros.
Por eso, en la versión 46 de la Developer Edition del navegador Firefox se ha empezado a mostrar un aviso cuando el formulario de login no es seguro. En concreto, si una página tiene un campo de formulario de tipo password, se mostrará un aviso de seguridad a menos que esa página se sirva mediante HTTPS. Esta es la diferencia entre la versión 45 y la 46 del navegador:
La nueva versión del navegador muestra una raya roja atravesando el candado de seguridad, lo que indica al usuario que existe un problema de seguridad en esa página.
Si envías el formulario mediante HTTPS pero no sirves la página que contiene ese formulario mediante HTTPS, también se mostrará ese aviso de seguridad. El motivo es que si el formulario de login no se sirve mediante un canal seguro, un atacante puede inyectar código JavaScript para robar la contraseña del usuario.
Por el momento esta funcionalidad sólo está activada en la versión Developer Edition de Firefox, que no es la misma que usan los usuarios normales. De esta manera se da un tiempo a los programadores para que corrijan estos errores antes de activar esta funcionalidad en el navegador Firefox normal.
Esta es una muestra más de la tendencia de los principales navegadores para forzar a los sitios web a tomarse la seguridad más en serio. De seguir así, pronto los sitios web que no utilicen HTTPS serán considerados inseguros, lo que podría generarles grandes pérdidas económicas.
Si quieres asegurar tu sitio, ahora lo tienes más fácil gracias a Let's Encrypt que te permite obtener gratuitamente certificados para tus sitios web.
Recursos adicionales
Sobre el autor
Este artículo fue publicado originalmente por Tanvi Vyas y ha sido traducido con permiso por Javier Eguiluz.