HTTPS Only : un script liviano que impide visitar sitios inseguros

kcdtv · 09-03-2016 00:07:43

HTTPS Only de David Leo

Si tienes clase como George Clooney serás de los que dicen "Https. What else?" con una tasa de café en la mano.
Y adorarás HTTPS Only un script sencillo y elegante de David Leo que rechaza las conexiones inseguras (http "sin s")
Un código libre y gratis de 200 lineas escritas en python y javascript que puedes descargar aquí :

httpsonly-2.1.targz (descarga oficial)

Cómo lo indica su nombre, HTTPS Only solo permite la conexión a los sitios web debidamente protegidos.
Es particularmente útil si debes usar una red abierta ya que el https cifra tus comunicaciones.
Por ejemplo si entras credenciales en un sitio https no podrán ser utilizado por un chico malote que esnifaría el trafico, mientras que si lo haces en un sitio http se los estas regalando (circulan en texto plano)
Es también muy interesante echarle un ojo a este código muy pequeño para ver como Leo ha hecho para interactuar con el navegador y conseguir que no abre las paginas inseguras.

Uso de HTTPS Only

Debemos hacer dos cosas

Lanzar el script en una consola
Configurar el navegador para que pase por una proxy

1) Ejecutar el script

Descargamos el paquete *.zip (ver primer link) o en linea de ordenes

wget https://www.httpsonly.net/httpsonly-2.1.tar.gz

Descomprimir el archivo *.zip con clic derecho + descomprimir o en linea de ordenes

dtrx httpsonly-2.1.tar.gz

(si no tienes dtrx se instala con un simple sudo apt-get install dtrx wink )
Nos situamos a dentro de la carpeta obtenida tras descomprimir

cd httpsonly-2.1

Y ejecutamos el script

python httpsonly.py

¡Ya esta! :
Lo dejamos correr en la consola.
Para parar el programa podemos cerrar la terminal o prensar [CTRL+C]

2) Configurar el navegador

Lo hago con iceweasel (firefox para debian) pero es muy fácil con cualquier navegador.
Debemos habilitar los proxy y usar http://127.0.0.1:5000/proxy.pac (el que sale en la linea "PAC File:" de la consola dónde estamos ejecutando httpsonly )I

3) Navegación segura

Esto es lo que pasa ahora si intentamos visitar una página web insegura

4) la lista blanca

Podemos opcionalmente usar la lista blanca.
Por defecto la lista esta vacía lo que significa que podremos acceder a cualquier sitio que sea (en https)
Si decidimos usarla solo podremos acceder a los sitos puestos en la lista blanca
La lista se llama whitelist.txt y se encuentra en la carpeta txt que encontramos a dentro de la carpeta httpsonly-2.1

Ponemos el dominio con la extensión.
Si ya teníamos httpsonly corriendo debemos parrar lo y volver a ejecutar lo con la lista recién creada, a lo mejor debemos dar le también a "recargar" o "reinciar" en nuestro navegador (o cerramos y volvemos a lanzar)
Con iceweasel fue solo necesario volver a lanzar el script y ya no puedo visitar las paginas que no aparecen en la lista blanca:

acceder_particion_windows_10_desde_kali_linux_2016_11.jpg

Sitio oficial de HTTPS Only : HTTPS only
Visto en Packetstorm : HTTPS Only 2.1

kcdtv · 15-03-2016 14:53:56

HTTPS Only 3.1 : ¡Nueva versión Disponible!

David LEO ha librado una nueva versión de su script : la versión 3.1

Descargas (desde el sitio oficial) : httpsonly-3.1.tar.gz

Nueva opción "Switch"

La nueva opción esta pensada para no tener que parrar el script y cambiar la configuración "conexión" en el navegador cada vez que queremos visitar un sitio http.
Dicho de otro modo equivale a deshabilitar el script temporalmente.

acceder_particion_windows_10_desde_kali_linux_2016_12.jpg

¿Cómo funciona?
¡Es muy simple my dear George!
Cuando ejecutamos la nueva versión de HTTPS Only aparece ahora en consola una nueva dirección "switch" con extensión *.arpa

acceder_particion_windows_10_desde_kali_linux_2016_13.jpg

Para permitir el trafico con lo sitios inseguros en http debemos copiar la dirección Switch que sale en consola para pegar la en nuestra barra de navegación.
Cuando la vistamos caemos en esta pagina :

acceder_particion_windows_10_desde_kali_linux_2016_14.jpg

Lo único es bien entender que cuando hacemos "Cancel" deshabilitamos HTTPS Only 3.1 y por lo tanto podremos acceder a sitios inseguros en http
De hecho la pagina se pone en rojo para advertir de que el trafico inseguro no esta bloqueado y que la lista blanca ya no tiene efectos.

Para volver a activar el script solo tenemos que refrescar la pagina y podremos volver a elegir entre "Cancelar" y "Acceptar"
Esta vez hacemos clic en Aceptar y volveremos a estar protegidos por HTTPS Only

kcdtv · 25-03-2016 00:15:45

Unas palabras para comentaros que David Leo ha dejado de lado la rama github de httpsonly
El sitio se mantiene y podéis descargar la herramienta con los links puestos en los posts.
saludos smile

Tema	Respuestas	Vistas	Ultimo mensaje
Brecha de seguridad Movistar: Escalar privilegios en Askey RTF3505VW por kcdtv	1	50	Ayer 23:10:27 por wifiyeah
Problemas drivers con "antena" Melon WiFi N519D AC600 Realtek RTL8811 por elEstudiante	19	539	Ayer 18:25:01 por elEstudiante
Modificación del fichero NetworkManager.conf para arreglar airmon-ng por kcdtv	21	8768	01-02-2023 23:46:07 por kcdtv
Científicos logran ver humanos a través de paredes con routers WiFi por kcdtv	0	175	26-01-2023 19:35:15 por kcdtv
Pegado: Pegado:: AWITAS. Ataque a WPS con rogueAP potegido con WPA por javierbu	24	2265	26-01-2023 19:00:06 por Koala

Foro Wifi-libre.com

Anuncio

#1 09-03-2016 00:07:43