Hola amigos de T!
Este es mi primer post... espero que les sea útil la información que encontre acerca del problema que posee el Firefox 3, y me pareció buena idea compartirla con ustedes, a mi me creo bastantes problemas con algunas páginas, como por ejemplpo la del Orkut, pero la info que encontre da como ejemplo la de Google de Argentina... y bueno ahí les va...
Como ustedes sabrán, el software nunca es perfecto, pero a veces los errores no son de código mal escrito, bugs y esas cosas, son de decisiones de diseño. En el caso de Firefox 3, más allá de los clásicos temas de memoria o velocidad y cosas así, el tema de los certificados SSL cambió bastante en la última versión y a mi me sorprendió encontrarme con la pantalla que les voy a mostrar acá:
Así es, entrando a google me manda esta pantalla policial que me dicen que me quieren cagar más o menos, Google.com.ar resulta estar utilizando un certificado de seguridad no válido. La URL a la que intenté entrar es https://google.com.ar
Por alguna razón Google redirecciona bien si escribo www.google.com.ar junto al HTTPS pero si le saco el www. quiere entrar con el certificado de google.com al dominio google.com.ar, obviamente, aunque la diferencia es poca, son distintos.
Firefox detecta esta diferencia y me alerta, pero hay un problema, la forma en que me alerta y la posibilidad de agregar una excepción tan libremente. La idea original es impedir que los sitios de phishing logren tomar mis datos personales con un sitio falso, pero al no ver ni el sitio ni nada y darnos cuenta que la elección es fácil "o agrego la excepción o no veo nada", uno termina agregandola sin mirar en detalle. No es mi caso, pero fíjense como en este caso que linkeo donde la persona víctima de un ataque terminó "liberando" todos los dominios que usaba "por las dudas" para evitar estos carteles.
No es que el mensaje en sí sea un problema, es que algo está fallando, no sólo en los falsos positivos, como mi caso, si no en los verdaderos. Si uno agrega excepciones hasta para los sitios "malos" uno mismo se estaría auto-atacando practicamente.
Pero todo esto no es el único problema, ahí estamos ante una cuestión funcional o de "usabilidad", la segunda cuestión es la política de usar un certificado pago es más seguro que uno propio, obligando a pagarle a una empresa para que esta verifique, según se le ocurra, si sos válido o no, algo que se soluciona con dinero.
SSL se inventó para hacer conexiones seguras mediante un canal encriptado y para verificar quien es quien. Mozilla parece haberse centrado en lo segundo y olvidado lo primero, así que si uno tiene su propio certificado "no es válido" según esta política, aunque si lo sea desde el punto de vista técnico, para Mozilla no es suficiente validez.
Así que nos encontramos con tres problemas, uno el de darle excepción a todo porque Mozilla te detecte problemas y el diseño actual no permita a todos los usuarios reaccionar correctamente (diseño), el segundo el de identificar mal sitios como en el caso de Google (técnico), y el tercero el despreciar certificados porque no esten expedidos por una entidad comercial (conceptual).
Mozilla podrá mejorar esto, ya estan saltando las primeras quejas, esperemos que para la 3.1 esté repensado este tema. Por suerte es Software Libre y se puede aportar bastante más que sólo quejas...
Espero les haya sido útil amigos... espero tambien salir de ser novato
.... pero eso depende de si les gusta o no mi post... estaré cruzando los dedos ... saludos...