El libre pensamiento para un internet libre
No estas registrado.
- Temas: Activo | Sin respuesta
Anuncio
#1 09-03-2016 00:07:43
- kcdtv
- Administrator
- Registrado: 14-11-2014
- Mensajes: 5,308
HTTPS Only : un script liviano que impide visitar sitios inseguros
HTTPS Only de David Leo
Si tienes clase como George Clooney serás de los que dicen "Https. What else?" con una tasa de café en la mano.
Y adorarás HTTPS Only un script sencillo y elegante de David Leo que rechaza las conexiones inseguras (http "sin s")
Un código libre y gratis de 200 lineas escritas en python y javascript que puedes descargar aquí :
httpsonly-2.1.targz (descarga oficial)
Cómo lo indica su nombre, HTTPS Only solo permite la conexión a los sitios web debidamente protegidos.
Es particularmente útil si debes usar una red abierta ya que el https cifra tus comunicaciones.
Por ejemplo si entras credenciales en un sitio https no podrán ser utilizado por un chico malote que esnifaría el trafico, mientras que si lo haces en un sitio http se los estas regalando (circulan en texto plano)
Es también muy interesante echarle un ojo a este código muy pequeño para ver como Leo ha hecho para interactuar con el navegador y conseguir que no abre las paginas inseguras.
Uso de HTTPS Only
Debemos hacer dos cosas
Lanzar el script en una consola
Configurar el navegador para que pase por una proxy
1) Ejecutar el script
Descargamos el paquete *.zip (ver primer link) o en linea de ordenes
wget https://www.httpsonly.net/httpsonly-2.1.tar.gzDescomprimir el archivo *.zip con clic derecho + descomprimir o en linea de ordenes
dtrx httpsonly-2.1.tar.gz(si no tienes dtrx se instala con un simple sudo apt-get install dtrx 
)
Nos situamos a dentro de la carpeta obtenida tras descomprimir
cd httpsonly-2.1Y ejecutamos el script
python httpsonly.py¡Ya esta! : 
Lo dejamos correr en la consola.
Para parar el programa podemos cerrar la terminal o prensar [CTRL+C]
2) Configurar el navegador
Lo hago con iceweasel (firefox para debian) pero es muy fácil con cualquier navegador.
Debemos habilitar los proxy y usar http://127.0.0.1:5000/proxy.pac (el que sale en la linea "PAC File:" de la consola dónde estamos ejecutando httpsonly )I
3) Navegación segura
Esto es lo que pasa ahora si intentamos visitar una página web insegura
4) la lista blanca
Podemos opcionalmente usar la lista blanca.
Por defecto la lista esta vacía lo que significa que podremos acceder a cualquier sitio que sea (en https)
Si decidimos usarla solo podremos acceder a los sitos puestos en la lista blanca
La lista se llama whitelist.txt y se encuentra en la carpeta txt que encontramos a dentro de la carpeta httpsonly-2.1
Ponemos el dominio con la extensión.
Si ya teníamos httpsonly corriendo debemos parrar lo y volver a ejecutar lo con la lista recién creada, a lo mejor debemos dar le también a "recargar" o "reinciar" en nuestro navegador (o cerramos y volvemos a lanzar)
Con iceweasel fue solo necesario volver a lanzar el script y ya no puedo visitar las paginas que no aparecen en la lista blanca:
Sitio oficial de HTTPS Only : HTTPS only
Visto en Packetstorm : HTTPS Only 2.1
Desconectado
Anuncio
#2 15-03-2016 14:53:56
- kcdtv
- Administrator
- Registrado: 14-11-2014
- Mensajes: 5,308
Re: HTTPS Only : un script liviano que impide visitar sitios inseguros
HTTPS Only 3.1 : ¡Nueva versión Disponible!
David LEO ha librado una nueva versión de su script : la versión 3.1
Descargas (desde el sitio oficial) : httpsonly-3.1.tar.gz
Nueva opción "Switch"
La nueva opción esta pensada para no tener que parrar el script y cambiar la configuración "conexión" en el navegador cada vez que queremos visitar un sitio http.
Dicho de otro modo equivale a deshabilitar el script temporalmente.
¿Cómo funciona?
¡Es muy simple my dear George!
Cuando ejecutamos la nueva versión de HTTPS Only aparece ahora en consola una nueva dirección "switch" con extensión *.arpa
Para permitir el trafico con lo sitios inseguros en http debemos copiar la dirección Switch que sale en consola para pegar la en nuestra barra de navegación.
Cuando la vistamos caemos en esta pagina :
Lo único es bien entender que cuando hacemos "Cancel" deshabilitamos HTTPS Only 3.1 y por lo tanto podremos acceder a sitios inseguros en http
De hecho la pagina se pone en rojo para advertir de que el trafico inseguro no esta bloqueado y que la lista blanca ya no tiene efectos.
Para volver a activar el script solo tenemos que refrescar la pagina y podremos volver a elegir entre "Cancelar" y "Acceptar"
Esta vez hacemos clic en Aceptar y volveremos a estar protegidos por HTTPS Only
Desconectado
#3 25-03-2016 00:15:45
- kcdtv
- Administrator
- Registrado: 14-11-2014
- Mensajes: 5,308
Re: HTTPS Only : un script liviano que impide visitar sitios inseguros
Unas palabras para comentaros que David Leo ha dejado de lado la rama github de httpsonly
El sitio se mantiene y podéis descargar la herramienta con los links puestos en los posts.
saludos 
Desconectado
Anuncio
Temas similares
| Tema | Respuestas | Vistas | Ultimo mensaje |
|---|---|---|---|
| 0 | 34 | Ayer 17:45:31 por kcdtv | |
|
Pegado: |
414 | 40484 | Ayer 14:59:09 por kcdtv |
| 8 | 5890 | Ayer 14:19:11 por kcdtv | |
| 5 | 417 | 20-01-2021 01:19:58 por troh | |
|
Buscando un gestionar de contrasena por Koala
|
2 | 135 | 19-01-2021 17:45:22 por Koala |
Información del usuario
Ultimo usuario registrado: Keko08
Usuarios registrados conectados: 0
Invitados conectados: 16
Estadisticas de los foros
Número total de usuarios registrados: 2,091
Número total de temas: 1,493
Número total de mensajes: 14,589
Atom tema feed - Impulsado por FluxBB
