[uylug-varios] "HTTPS Inspection" ¿es ético?
Gabriel Menini
gabriel.menini at gmail.com
Mon Apr 30 16:41:27 PDT 2012
Hola, uylug-varios.
Obviamente que este no es sobre "uylug", ni sobre "lug", ni sobre
"línucs" (escribo así "línucs", entre comillas, para no caer en la
tentación de tener que poner sufijos y/o prefijos que puedan dar lugar a
encendidas discusiones que determinen, luego, la pérdida de foco del
hilo que pretendo iniciar). <respiro>. :-P
Definitivamente es sobre "varios" y, también, es sobre "uy" ;-)
En la empresa donde trabajo, el acceso a internet se realiza a través de
un producto de Microsoft que reune una oblea de servicios en un solo
producto (creo): firewall, proxy, filtro de contenidos, y quién sabe
cuánto más.
Parece que se está trabajando en la migración a la nueva evolución del
producto, cuyo rimbombante nombre comercial es "Forefront Threat
Management Gateway (TMG) 2010" <respiro>.
Parece que una de las características a habilitar sería HTTPS Inspection
[1] y (más cortito) aquí [2]
En este enlace leo:
A Word of Caution
Before implementing HTTPS inspection, it is strongly suggested that you
communicate your intentions to your legal and HR departments and obtain
their consent. Inspecting end user’s private encrypted communication can
be a sensitive subject, for obvious reasons. Before a production
roll-out of HTTPS inspection, make certain that your corporate security
and acceptable uses policies have been updated to indicate that
encrypted communication will be inspected. User notification and
exemption of sites deemed sensitive (e.g. banking and medical sites) may
also be necessary.
Traducción del párrafo vía BabelFish: [3].
Ahora, la pregunta: ¿no es acaso un problema ético andar inspeccionando
una transacción HTTPS? Es como si pusieran un keylogger para saber mi
contraseña corporativa, o como si en los baños pusieran camaritas para
ver si orino de pie, sentado, saltando o haciendo el paro de manos...
No sé... el límite es bastante difuso... El "HTTPS Inspection" tira por
la borda la finalidad del HTTPS. Es un ataque de man-in-the-middle,
¿cómo voy a andar accediendo al e-BROU con un certificado emitido y
autofirmado por un producto gestionado por otras personas que no soy yo??
Lamentablemente, no puedo confiar una sesión cifrada a un WinSysAdmin.
Espero que RRHH y Jurídica puedan darse cuenta de esto....
¿Estoy siendo muy paranoico? Creo que otros fabricantes de firewall
también lo implementan...
[1]
<http://www.isaserver.org/tutorials/Configuring-HTTPS-Inspection-Forefront-Threat-Management-Gateway-TMG-2010.html>
[2]
<http://www.microsoftnow.com/2010/06/demystifying-outbound-https-inspection-in-forefront-tmg.html>
[3] <http://tiny.cc/babelfish>
Abrazo,
--
Arle
More information about the Uylug-varios
mailing list