Comentarios
La razón de que ESPN no tenga una conexión visiblemente segura parece provenir de la infraestructura de transmisión de datos del sitio web. En este hilo de Reddit, un usuario afirma haber trabajado en el sistema de inicio de sesión de Disney en relación con ESPN. Con el apoyo de los datos que publicaron en Github, el usuario describe cómo ESPN está estructurado para que los subdominios de inicio de sesión envíen sus datos a un sistema de backend https seguro. Así que mientras el sitio principal no muestra la seguridad https, los datos están de hecho siendo transferidos de forma segura.
Aunque esto puede ser una buena noticia para los usuarios de ESPN, sigue siendo una noticia. El sitio principal no muestra la etiqueta de seguridad, y Chrome llega a reetiquetar la URL como no segura cuando se hace clic en el botón de inicio de sesión. Así que aunque los datos son realmente seguros, los usuarios de ESPN no lo sabrán sin investigar.
Al mismo tiempo, una red tan grande tiene sin duda los recursos para hacer la conversión necesaria de manera oportuna, y sería sorprendente que el equipo de ESPN no estuviera ya en las etapas finales de preparación para tal cambio.
Lista de sitios web Http
HTTP (HyperText Transfer Protocol) es un protocolo que rige la comunicación entre los navegadores y los sitios web. Los datos se envían en texto claro a través de HTTP, lo que significa que cualquiera que los intercepte puede leerlos. Cualquier comunicación entre usted y un sitio web HTTP puede ser robada. HTTPS es una versión segura de HTTP. La comunicación entre el sitio web y el navegador está cifrada y no puede ser leída sin la clave de cifrado.
Aquí hay 12 sitios web conocidos que no se molestaron en convertirse a HTTPS. Visitar cualquiera de ellos podría ponerle en peligro. Todas las siguientes capturas de pantalla fueron tomadas entre la medianoche y la 1:30 AM EDT del 25 de julio. No se proporcionan enlaces para mantenerte seguro.
Sitios Http
Como desarrollador, he aprendido que normalmente adquiero una mejor comprensión de las mejores/peores prácticas a través de la experiencia. El área de la seguridad de las aplicaciones web no es realmente un lugar donde mi organización puede permitirse dejar que los desarrolladores aprendan a través de la prueba y el error.
Así que buscando un enfoque práctico para el intercambio de conocimientos de las mejores prácticas en la seguridad de aplicaciones web, estaba pensando que sería útil tener una aplicación de código abierto que fue construida deliberadamente para ser insegura con el fin de ayudar a enseñar a los desarrolladores junior sobre la seguridad de las aplicaciones.
Echa un vistazo a WebGoat. Es una aplicación plagada de vulnerabilidades de la lista OWASP, diseñada como recurso de aprendizaje para los desarrolladores de aplicaciones web. La aplicación es un tutorial que guía a los desarrolladores a través de las vulnerabilidades que contiene, con pruebas para cada lección.
Sitios Http para pruebas
Esta página es un artículo archivado de hace más de 10 años y está severamente desactualizado. Desde su publicación en 2010, las empresas mencionadas a continuación y prácticamente toda la web han trasladado sus formularios de acceso y a menudo sitios web completos a HTTPS.
A menudo utilizamos una conexión a Internet insegura para navegar por la web, por ejemplo, utilizando un punto de acceso Wi-Fi público o si nuestro router está configurado para comunicarse utilizando un protocolo inseguro. Esto nos expone a ataques Man-in-the-middle, con atacantes maliciosos que intentan robar nuestra información de acceso, contraseñas, etc.
Hay una solución fácil para este problema: cuando se envía información sensible, un sitio web debe utilizar siempre un protocolo seguro como HTTPS. De este modo, los atacantes que escuchan la comunicación sólo ven información cifrada que no pueden descifrar. Sabrá que su comunicación es segura cuando la dirección del sitio web empiece por “https:” y su navegador muestre un icono de candado y otras señales de la interfaz de usuario.