Protocolo HTTPS

pzin · #1 (**permalink**) 18/06/2007, 04:02

Muy buenas.

No sé si estaré en el subforo correcto, pero creo que si.

Quisiera saber si alguien puede darme una idea de cómo usar (recalco, usar, no funcionar :borracho) el protocolo https.
Aparte de tener los certificados (ya sean propios o de empresas que los vendan), tener instalado el Apache con esa opción, etc etc... ¿Cómo se usa?
¿Basta con enviar los formularios a una dirección https y luego volver a http? ¿Solo hay que enviar la información segura del cliente/usuario a través de https?

Muchas gracias y un saludo.

hispaweb · #2 (**permalink**) 18/06/2007, 05:59

El principal problema de ir cambiando de http a https es que el navegador del usuario estara dandole avisos al usuario constantemente:

esta entrando en una web segura
esta saliendo de una web segura
esta entrando....

Respecto al uso....
Una vez configurado el Apache para que atienda el puerto 443, el certificado y el cifrado....

Simplemente tendras otro "DocumentRoot", y lo que cuelgues ahi será visible en https....

pzin · #3 (**permalink**) 18/06/2007, 11:21

Hola hispaweb.

Gracias por responder.

Entiendo que exista un DocumentRoot para cada protocolo (uno para http y otro para https). Preguntaba mas bien, como usarlo.

Es decir, como ya dijiste, estar mareando al usuario con aceptar certificados y salir de páginas seguras no es una buena opción.
Entonces, ¿qué se suele hacer? ¿Todo el proceso en el que se usen datos seguros se envíe por https?
Entiendo, por ejemplo, que en una página de un banco todo debería de ir por https, claro. Pero, por ejemplo, en eBay, no todo tiene que ir por https, solo las compras, ¿no?

Entonces, al momento de hacer una compra (o querer dar seguridad a los datos) ¿se envía por https, o, directamente todo el proceso (ver artículo, identificarse, búsquedas en la página, compras, etc...) se hace mediante https?

No sé si me explico con claridad. Pero, al no entender el uso de este protocolo igual me lío un poco.

Gracias y un saludo.

hispaweb · #4 (**permalink**) 19/06/2007, 04:20

Lo que HTTPS te ofrece es un extra de seguridad, a costa de un extra de "coste", en el sentido de que se consumen mas recursos sirviendo una pagina cifrada que sin cifrar.

Una posibilidad sería tener toda la pagina en http, y para las operaciones mas "delicadas" utilizar https

Por ejemplo...
ver el catalogo, buscar productos, meterlos en el carro, etc.... via HTTP

El formulario de alta, el login, o los datos bancarios, via https

Además, no es mala idea avisar al usuario de lo que va a ocurrir.

Es decir, una vez "lleno" el carro de la compra, cuando el usuario pulsa "formalizar pedido", mandarle a una pagina (sin cifrar) que le avise de que va a entrar en una "zona segura"....
...de la misma forma, una vez formalizada la compra, avisar al usuario de que va volver a la "zona publica" (que no insegura)

pzin · #5 (**permalink**) 19/06/2007, 10:18

Perfecto hispaweb, justo la respuesta a mi pregunta.

Pensé que era así, pero al no estar seguro mejor preguntaba.

Gracias y un saludo.

HookerSP · #6 (**permalink**) 20/06/2007, 07:57

Pues yo no estoy de acuerdo. Yo como comprador quiero que sea https desde el primer momento antes de comenzar a comprar. Es la unica manera de tener la certeza de que el vendedor es quien dice ser y no estan haciendo un secuestro de DNS. Aun asi hay vulnerabilidades al respecto, pero es mucho mas seguro.

Hooker

pzin · #7 (**permalink**) 20/06/2007, 08:42

Hola HookerSP.

Pero los datos de la, en este caso, compra (artículos, cantidad, etc) no son datos que se consideran sensibles, en el sentido de que no tienen porqué ser seguros. Si acaso, a partir de la introducción de datos personales o de tarjetas/cuentas bancarias es cuando esa sensibilidad es mas alta y por lo tanto los datos deben ser seguros, ¿o no? Por lo menos, sin saber mucho del tema, es la idea que tengo yo.

HookerSP · #8 (**permalink**) 21/06/2007, 00:04

Cita:

Iniciado por Bonez

Hola HookerSP.

Pero los datos de la, en este caso, compra (artículos, cantidad, etc) no son datos que se consideran sensibles, en el sentido de que no tienen porqué ser seguros. Si acaso, a partir de la introducción de datos personales o de tarjetas/cuentas bancarias es cuando esa sensibilidad es mas alta y por lo tanto los datos deben ser seguros, ¿o no? Por lo menos, sin saber mucho del tema, es la idea que tengo yo.

Tal vez solo se trate de un matiz, pero yo quiero tener la certeza que el que me está dando precio es quien dice ser. Yo he usado certificados de servidor en sistemas de cotización en tiempo real (bolsa) y no hay motivo para no usarlos desde el inicio del proceso. No se ralentiza nada y si asi fuese, el beneficio que se obtiene a cambio es mayor.

Un saludo
Hooker

tania · #9 (**permalink**) 21/06/2007, 05:12

si se habla de comercio electronico yo soy de la idea que los datos delicados como el proceso de pagamento sea el banco quien se encarge. tipo paypal que cuando uno compra al momento del pagamento salta a la pagina de paypal para despues regresar al sitio.

saludos

pzin · #10 (**permalink**) 21/06/2007, 05:53

En mi caso, no trabajo con bancos (solo para altas, no es contenido pornográfico o algo por el estilo), pero los datos sí deben de ser seguros.

Y si, la idea que yo me proponía era el símil que has hecho con paypal, al momento de usar datos delicados enviarlos por htpps.