Protocolo Http Y Ftp
Páginas: 13 (3106 palabras)
Publicado: 28 de mayo de 2012
Objetivo.
Se pretende comprender de una mejor manera el funcionamiento de los protocolos HTTP así como del protocolo FTP, conocer sus fortalezas y sus debilidades además de algunos ejemplos de aplicaciones que pueden ser de utilidad en un futuro.
Protocolo HTTP
(HyperText Transfer Protocol). Protocolo usado para acceder a la Web (WWW). Se encarga de procesar y dar respuestas a laspeticiones para visualizar una página web.
Además sirve para el envío de información adicional como el envío de formularios con mensajes, etc.
Luego de finalizada la transacción, HTTP no guarda ninguna información sobre la misma, por lo tanto es considerado un protocolo "sin estado". Para guardar la información entre distintas peticiones, los web masters suelen utilizar cookies o pasos de parámetros.El protocolo HTTP generalmente utiliza el puerto 80.
El HTTP está basado en el modelo cliente-servidor, en donde un cliente HTTP (un navegador por ejemplo) abre una conexión y realizar una solicitud al servidor. Este responde a la petición con un recurso (texto, gráficos, etc.) o un mensaje de error, y finalmente se cierra la conexión. Uno de los más famosos mensajes de error HTTP es el 404 Notfound.
Hay una versión de http para la transferencia segura de información llamada HTTPS que puede utilizar cualquier método de cifrado siempre que sea entendido tanto por el servidor como por el cliente.
El protocolo de Transferencia de Hyper-Texto (HTTPS) es la versión segura de http (Hyper Text Transfer Protocol) que todos conocemos y utilizamos habitualmente. La diferencia es que, con HTTPSpodemos desarrollar actividades ecommerce, ya que permite realizar transacciones de forma segura.
En los navegadores comunes, como Firefox o Explorer, cuando estamos empleando un protocolo HTTPS podemos ver el icono de un candado, que aparece en la barra principal de nuestro navegador. Además, en la barra de direcciones podremos ver que “http://” será sustituido por “https://”.
Puntos débiles.
Enredes donde un posible atacante pueda interceptar la conexión es posible el ataque "surf jacking". Consiste en:
Navegador de la víctima abre sesión HTTPS con sitio web.
Navegador de la víctima abre a continuación una página web normal (hace un GET con HTTP).
El atacante observa los paquetes anteriores y falsifica la respuesta de un sitio normal. A la segunda petición (un GET HTTP) el atacantecrea un paquete de respuesta con código 302 que redirija a cualquier URL del banco y se lo manda a la víctima.
El navegador de la víctima al recibir el redirect hace un nuevo GET con la URL que ha introducido el atacante. La clave es que en ese segundo GET se incluyen las cookies de sesión no cifradas de la conexión con el sitio HTTPS (es decir, el banco). Si las cookies tienen informaciónprivilegiada el ataque ha triunfado.
Las soluciones son dos:
Si se desconfía de los desarrolladores web, sea paranoico y cuando abra una sesión HTTPS no reutilice el navegador web para otras cosas (nada de abrir pestañas o nuevas ventanas). Arranque un segundo navegador para navegar por otros sitios.
El desarrollador web debe usar cookies con flag secure activado (un navegador nunca las deberíatransmitir por un protocolo distinto a HTTPS).
El hecho de usar estas cookies es una buena práctica que los desarrolladores deberían usar; pero antes de para sitios como google es muy difícil hacerlo. Al compartir la sesión HTTPS entre múltiples dominios (gmail) es muy difícil usarlas y escalar a millones de usuarios. ¿Será esa la razón por la que existen quejas de gente que ha perdido sus cuentas engmail?
Funcionamiento
• El navegador realiza una solicitud HTTP
• El servidor procesa la solicitud y después envía una respuesta HTTP
En realidad, la comunicación se realiza en más etapas si se considera el procesamiento de la solicitud en el servidor.
Solicitud HTTP
Una solicitud HTTP es un conjunto de líneas que el navegador envía al servidor. Incluye:
• Una línea de solicitud: es una...
Se pretende comprender de una mejor manera el funcionamiento de los protocolos HTTP así como del protocolo FTP, conocer sus fortalezas y sus debilidades además de algunos ejemplos de aplicaciones que pueden ser de utilidad en un futuro.
Protocolo HTTP
(HyperText Transfer Protocol). Protocolo usado para acceder a la Web (WWW). Se encarga de procesar y dar respuestas a laspeticiones para visualizar una página web.
Además sirve para el envío de información adicional como el envío de formularios con mensajes, etc.
Luego de finalizada la transacción, HTTP no guarda ninguna información sobre la misma, por lo tanto es considerado un protocolo "sin estado". Para guardar la información entre distintas peticiones, los web masters suelen utilizar cookies o pasos de parámetros.El protocolo HTTP generalmente utiliza el puerto 80.
El HTTP está basado en el modelo cliente-servidor, en donde un cliente HTTP (un navegador por ejemplo) abre una conexión y realizar una solicitud al servidor. Este responde a la petición con un recurso (texto, gráficos, etc.) o un mensaje de error, y finalmente se cierra la conexión. Uno de los más famosos mensajes de error HTTP es el 404 Notfound.
Hay una versión de http para la transferencia segura de información llamada HTTPS que puede utilizar cualquier método de cifrado siempre que sea entendido tanto por el servidor como por el cliente.
El protocolo de Transferencia de Hyper-Texto (HTTPS) es la versión segura de http (Hyper Text Transfer Protocol) que todos conocemos y utilizamos habitualmente. La diferencia es que, con HTTPSpodemos desarrollar actividades ecommerce, ya que permite realizar transacciones de forma segura.
En los navegadores comunes, como Firefox o Explorer, cuando estamos empleando un protocolo HTTPS podemos ver el icono de un candado, que aparece en la barra principal de nuestro navegador. Además, en la barra de direcciones podremos ver que “http://” será sustituido por “https://”.
Puntos débiles.
Enredes donde un posible atacante pueda interceptar la conexión es posible el ataque "surf jacking". Consiste en:
Navegador de la víctima abre sesión HTTPS con sitio web.
Navegador de la víctima abre a continuación una página web normal (hace un GET con HTTP).
El atacante observa los paquetes anteriores y falsifica la respuesta de un sitio normal. A la segunda petición (un GET HTTP) el atacantecrea un paquete de respuesta con código 302 que redirija a cualquier URL del banco y se lo manda a la víctima.
El navegador de la víctima al recibir el redirect hace un nuevo GET con la URL que ha introducido el atacante. La clave es que en ese segundo GET se incluyen las cookies de sesión no cifradas de la conexión con el sitio HTTPS (es decir, el banco). Si las cookies tienen informaciónprivilegiada el ataque ha triunfado.
Las soluciones son dos:
Si se desconfía de los desarrolladores web, sea paranoico y cuando abra una sesión HTTPS no reutilice el navegador web para otras cosas (nada de abrir pestañas o nuevas ventanas). Arranque un segundo navegador para navegar por otros sitios.
El desarrollador web debe usar cookies con flag secure activado (un navegador nunca las deberíatransmitir por un protocolo distinto a HTTPS).
El hecho de usar estas cookies es una buena práctica que los desarrolladores deberían usar; pero antes de para sitios como google es muy difícil hacerlo. Al compartir la sesión HTTPS entre múltiples dominios (gmail) es muy difícil usarlas y escalar a millones de usuarios. ¿Será esa la razón por la que existen quejas de gente que ha perdido sus cuentas engmail?
Funcionamiento
• El navegador realiza una solicitud HTTP
• El servidor procesa la solicitud y después envía una respuesta HTTP
En realidad, la comunicación se realiza en más etapas si se considera el procesamiento de la solicitud en el servidor.
Solicitud HTTP
Una solicitud HTTP es un conjunto de líneas que el navegador envía al servidor. Incluye:
• Una línea de solicitud: es una...
Leer documento completo
Regístrate para leer el documento completo.