informatica
TRANSCRIPT
¿QUE ES W3C?
World Wide Web consortium
El Consorcio WWW, en inglés: World Wide Web Consortium (W3C), es un consorcio internacional que genera recomendaciones y estándares que aseguran el crecimiento de la World Wide Web a largo plazo.
Este consorcio fue creado en octubre de 1994, y está dirigido por Tim Berners-Lee, el creador original del URL (Uniform Resource Locator, Localizador Uniforme de Recursos), del HTTP (HyperText Transfer Protocol, Protocolo de Transferencia de HiperTexto) y delHTML (Hyper Text Markup Language, Lenguaje de Marcado de HiperTexto), que son las principales tecnologías sobre las que se basa la Web.
Organización de la w3c
El W3C fue creado el 1 de octubre de 1994, por Tim Berners-Lee en el Instituto Tecnológico de Massachusetts (MIT), actual sede central del consorcio.
Uniéndose posteriormente, en abril de 1995, INRIA en Francia, reemplazado por el ERCIM en 2003 como el huésped europeo del consorcio y la Universidad de Keiō (Shonan Fujisawa Campus) en Japón como huésped asiático, en septiembre de 1996. Estos organismos administran el W3C, que está integrado por:
Miembros: a abril de 2010 contaba con 330 miembros.
Equipo (W3C Team): 65 investigadores y expertos de todo el mundo.
Oficinas (W3C Offices): centros regionales establecidos en Alemania y Austria (oficina conjunta), Australia, Benelux (oficina conjunta), China, Corea del Sur, España, Finlandia, Grecia, Hong Kong, Hungría, India, Israel, Italia, Marruecos, Suecia y Reino Unido e Irlanda (oficina conjunta).
La oficina española del W3C, establecida en 2003, está albergada por la Fundación CTIC en el Parque Científico Tecnológico de Gijón (Principado de Asturias).
¿QUE SON LOS DOMINIOS?
Los dominios de Internet son los nombres que permiten identificar a empresas, personas, organizaciones... en Internet. Un dominio permite visitar páginas Web o disponer de cuentas de correo electrónico entre otras funciones. Y es que técnicamente un dominio sirve para localizar una maquina en Internet que es la
que se encarga de gestionar estos servicios. Éstas maquinas se identifican mediante un número, llamado IP, como por ejemplo 217.76.130.185.
Evidentemente un nombre de dominio es mucho más fácil de recordar que una secuencia de números.
Si una empresa, un particular o una organización desean ofrecer cualquier tipo de servicio o información en Internet es prácticamente indispensable contar con un nombre de dominio. Las ventajas son muy numerosas:
En primer lugar se potencia la imagen de marca. No es lo mismo contar con una dirección Web del estilo http://hostinggratuito.com/usuarios/miempresa que con http://www.miempresa.com. Sucede exactamente lo mismo con las direcciones de correo electrónico. Es mucho mejor disponer de cuentas del tipo [email protected] que de una cuenta de correo proporcionada gratuitamente como [email protected].
Por otro lado todos los servicios asociados al dominio, (hosting, correos...) permanecen independientes de la máquina que los presta. Por ejemplo si decide cambiar de proveedor de alojamiento el traspaso se realiza de forma totalmente transparente al exterior manteniendo el mismo nombre de dominio.
Un nombre de dominio es único y exclusivo. Es imposible que existan en Internet y por ende en todo el mundo dos dominios iguales. Solo hay un dominios-internet.com
En definitiva contar con un nombre de dominio a la hora de comenzar cualquier tipo de proyecto en Internet es indispensable.
TIPOS DE DOMINIOS DE INTERNET: GENÉRICO, TERRITORIAL Y 3ER NIVEL
Un dominio es el nombre con el que se conoce a un sitio web. Hay dominios para todo tipo de empresa o circunstancia y es el dominio quien definirá cómo lo encontrarán en Internet.
Los tipos de dominios de internet se dividen en tres grandes grupos, los dominios genéricos o gTLD (geopraphical Top Level Domain), los dominios territoriales ccTLD (country code Top Level Domain) y los dominios de tercer nivel.
Los gTLD son dominios genéricos que no se ajustan al ambiente de un país específico. Los conocemos por ser los más comunes y tienen extensiones .com, org, .net, etcétera. Es decir: www.conversiones.com es un dominio genérico.
Los dominios con extensión .com son aquellas que se utilizan para empresas y organizaciones comerciales de todo el mundo. Aquellos con extensión .org lo utilizan organizaciones e instituciones sin ánimo de lucro y Organizaciones No Gubernamentales (ONG). Mientras que las empresas e instituciones relacionadas con servicios de Internet se definen por tener una extensión en .net.
Los dominios asociados a un país determinado son los ccTLD, quienes se definen por adquirir un sitio con extensión única perteneciente a cada región. Por ejemplo, en México los dominios ccTLD terminan con la extensión .mx, en España este tipo de dominios termina en .es, o en Francia, la extensión es .fr.
Los dominios de tercer nivel son aquellos que tienen la misma finalidad que los dominios gTLD sólo que éstos adquieren también la identidad territorial de las ccTLD. Los dominios gubernamentales o educativos son característicos de este tipo. Sencillamente deben tener una terminación .com.mx, .edu.mx, etcétera.
Sin embargo fuera de estos tres grandes grupos, existen otros tipos de extensiones de dominios, algunos quizá desconocidos y otros más comunes de lo que pensamos. Conversiones te presenta los más utilizados:
Extensión
Descripción del Dominio
.gov Los asignan instituciones de gobierno por país.
.edu Uso exclusivo para universidades, secundarios, primarias e instituciones relacionadas a la educación.
.tv Los usan principalmente empresas de video, cine y televisión.
.mobi Para utilizarse en sitios compatibles con dispositivos móviles.
.info Dominios diseñados principalmente para la difusión de información.
.asia Para compañías, organizaciones e indiciduos localizados en Asia, Australia y el Pácifico.
.biz Se pueden usar para actividades comerciales y de negocios.
.cc Esta extensión puede ser útil para aquellos que pretenden conseguir un dominio global y no tienen posibilidad de conseguir un .com.
.ws Siglas que se identifican con Web Site, se trata de una opción para cualquier tipo de web.
.xxx Para sitios con contenido sexual o pornográfico.
.name Destinado al registro de nombres propios, apodos, etc.
.pro Para uso específico reservado a profesionales de determinadas categorías, agrupados en subdominios. Ejemplo: .med.pro (médicos).
.mil Uso exclusivo para los militares de los Estados Unidos.
.coop Reservado a las cooperativas y para registrarlo hace falta demostrar la existencia de la cooperativa a través del organismo local correspondiente.
.museum El uso de este dominio es exclusivo de los museos.
.travel Para uso por agencias de viajes o destinos turísticos.
También existen los dominios genéricos Multilingües: aquellos dominios .com, .org y .net que llevan eñes, acentos u otros caracteres especiales. Ejemplo: España.com, y recuerda que si deseas o realiza la compra en proveedor de dominios de confianza.
PROTOCOLOS SEGUROS PARA EL WEB
Se discuten SSH, SSL, TSL y HTTPS, los protocolos utilizados en la actualidad para intercambiar información de manera de hacer difícil que esta sea interceptada por terceros. Contar con protocolos seguros es importante tanto por las preocupaciones relacionadas con la privacidad como para permitir el comercio electrónico.
Seguridad en la Web
Dado el gran auge que hoy en día tiene Internet, su uso se ha masificado enormemente. Desde páginas meramente informativas hasta sitios interactivos usando tecnologías nuevas.
Empresas de diversa índole ya usan la Internet para comunicarse y el problema principal que surgió es la confiabilidad en que lo que se está comunicando no sea visto por personas que puedan hacer mal uso de dicha información.
Por ejemplo, las tiendas comerciales ya están dando la posibilidad de realizar compras por la Web, pero el principal talón de Aquiles lo constituye la inseguridad que causa dar un número de tarjeta de crédito para pagar la compra.
O cosas tan simples como cuando uno envía un mail y no querer que nadie lo lea sino el destinatario.
A raíz de todo esto surgieron tecnologías que persiguen mejorar la seguridad de todas estas comunicaciones.
Seguridad en la transmisión
La seguridad de este tipo se basa en el hecho de poder encriptar los mensajes que se envían por a red entre un servidor y un cliente y que solo ellos puedan descifrar los contenidos a partir de una clave común conocida solo por los dos.
Para llevar a cabo esta seguridad se crearon diversos protocolos basados en esta idea:
SSH: Usado exclusivamente en reemplazo de telnet SSL: Usado principalmente en comunicaciones de hipertexto pero con
posibilidad de uso en otros protocolos TSL: Es del mismo estilo del anterior. HTTPS: Usado exclusivamente para comunicaciones de hipertexto
SSH (Secure Shell)
Este protocolo fue diseñado para dar seguridad al acceso a computadores en forma remota.
Cumple la misma función que telnet o rlogin pero además, usando criptografía, logra seguridad con los datos.
A diferencia de telnet u otro servicio similar, SSH utiliza el puerto 22 para la comunicación y la forma de efectuar su trabajo es muy similar al efectuado por SSL.
Para su uso se requiere que por parte del servidor exista un demonio que mantenga continuamente en el puerto 22 el servicio de comunicación segura, el sshd.
El cliente debe ser un software tipo TeraTerm o Putty que permita la hacer pedidos a este puerto 22 de forma cifrada.
La forma en que se entabla una comunicación es en base la misma para todos los protocolos seguros:
El cliente envía una señal al servidor pidiéndole comunicación por el puerto 22.
El servidor acepta la comunicación en el caso de poder mantenerla bajo encriptación mediante un algoritmo definido y le envía la llave pública al cliente para que pueda descifrar los mensajes.
El cliente recibe la llave teniendo la posibilidad de guardar la llave para futuras comunicaciones o destruirla después de la sesión actual.
Se recomienda que si se está en un computador propio, la clave sea guardada, en otro caso, destruirla.
SSL (Secure Socket Layer) y TLS (Transport Layer Secure)
El protocolo SSL fue desarrollado por Netscape para permitir confidencialidad y autenticación en Internet. SSL es una capa por debajo de HTTP y tal como lo indica su nombre esta a nivel de socket por lo que permite ser usado no tan solo para proteger documentos de hipertexto sino también servicios como FTP, SMTP, TELNET entre otros.
La idea que persigue SSL es encriptar la comunicación entre servidor y cliente mediante el uso de llaves y algoritmos de encriptación.
El protocolo TLS está basado en SSL y son similares en el modo de operar.
Es importante señalar que ambos protocolos se ejecutan sobre una capa de transporte definida, pero no determinada. Esto indica que pueden ser utilizados para cualquier tipo de comunicaciones. La capa de transporte más usada es TCP cobre la cual pueden implementar seguridad en HTTP.
Como punto de diferencia se puede mencionar que existen protocolos implementados sobre la capa de red, por ejemplo sobre IP. Tal es el caso de IPSec.
¿De qué están compuestos?
Estos protocolos se componen de dos capas: el Record Protocol y el Handshake Protocol.
El Record Protocol es la capa inmediatamente superior a TCP y proporciona una comunicación segura. Principalmente esta capa toma los mensajes y los codifica con algoritmos de encriptación de llave simétrica como DES, RC4 aplicándole una MAC (Message Authentication Code) para verificar la integridad, logrando así encapsular la seguridad para niveles superiores.
El Handshake protocol es la capa superior a la anterior y es usada para gestionar la conexión inicial.
¿Cómo funcionan?
En resumidas cuentas, después que se solicita una comunicación segura, servidor y el cliente se deben poner de acuerdo en cómo se comunicaran (SSL Handshake) para luego comenzar la comunicación encriptada. Luego de terminada la transacción, SSL termina.
Solicitud de SSL:
Típicamente este proceso ocurre en el momento que un cliente accede a un servidor seguro, identificado con "https://...". Pero como se mencionó, no necesariamente es usado para HTTP. La comunicación se establecerá por un puerto distinto al utilizado por el servicio normalmente. Luego de esta petición, se procede al SSL Handshake.
SSL Handshake:
En este momento, servidor y cliente se ponen de acuerdo en varios parámetros de la comunicación. Se puede dividir el proceso en distintos pasos:
Client Hello: El cliente se presenta. Le pide al servidor que se presente (certifique quien es)y le comunica que algoritmos de encriptación soporta y le envía un número aleatorio para el caso que el servidor no pueda certificar su validez y que aun así se pueda realizar la comunicación segura.
Server Hello: El servidor se presenta. Le responde al cliente con su identificador digital encriptado, su llave pública, el algoritmo que se usará, y otro número aleatorio. El algoritmo usado será el más poderoso que soporte tanto el servidor como el cliente.
Aceptación del cliente: El cliente recibe el identificador digital del servidor, lo desencripta usando la llave pública también recibida y verifica que dicha identificación proviene de una empresa certificadora segura. Luego se procede a realizar verificaciones del certificado (identificador) por medio de fechas, URL del servidor, etc. Finalmente el cliente genera una llave aleatoria usando la llave pública del servidor y el algoritmo seleccionado y se la envía al servidor.
Verificación: Ahora tanto el cliente y el servidor conocen la llave aleatoria (El cliente la generó y el servidor la recibió y desencriptó con su llave
privada). Para asegurar que nada ha cambiado, ambas partes se envían las llaves. Si coinciden, el Handshake concluye y comienza la transacción.
Intercambio de Datos:
Desde este momento los mensajes son encriptados con la llave conocida por el servidor y el cliente y luego son enviados para que en el otro extremo sean desencriptados y leídos.
Terminación de SSL
Cuando el cliente abandona el servidor, se le informa que terminara la sesión segura para luego terminar con SSL.
En el siguiente esquema se muestra todo el proceso del Handshake:
¿Cómo instalar un servidor seguro?
En primer lugar se debe disponer de un servidor que soporte SSL que en la actualidad es muy común en el mercado de los servidores. En caso de adquirir uno nuevo, se puede visitar WebServer Compare para elegirlo.
Luego se debe elegir una empresa certificadora que respalde nuestra identificación. Una de las empresas más reconocidas es VeriSign.
Luego de llenar formularios en la empresa elegida, esta entidad, después de unos días, envía el Certificado de Servidor Seguro por correo, el cual se debe guardar en un archivo de texto (incluyendo -----BEGIN CERTIFICATE----- y -----END CERTIFICATE-----)
Finalmente se siguen las instrucciones enviadas junto con el certificado y después de esto, al reiniciar el servidor, estará en condiciones de entablar comunicaciones seguras.
DIFERENCIAS ENTRE HTTP Y HTTPS
Seguramente en más de una oportunidad hemos oído hablar de “HTTPS”, pero no estamos realmente seguros de lo que significa, y tampoco nos importa demasiado. Esta actitud puede ocasionarnos una gran cantidad de serios problemas relacionados con la seguridad de nuestros datos cuando navegamos en Internet, aunque siempre lo hagamos en sitios seguros y de buena reputación. En este artículo conoceremos qué significa HTTPS y porque ese término es tan importante.
Antes que nada, tenemos que saber que HTTPS es la forma más segura de navegar por Internet, ya que cualquier dato que introduzcamos en el navegador viajará cifrado y por lo tanto no podrá ser analizado para su uso, tanto con fines comerciales o delincuenciales.
Principales diferencias entre HTTP y HTTPS
El Hypertext Transfer Protocol (HTTP), más conocido en español como Protocolo de Transferencia de Hipertexto, es un sistema utilizado en sistemas de redes, diseñado con el propósito de definir y estandarizar la sintaxis y la semántica de las transacciones que se llevan a cabo entre los distintos equipos que conforman una red.
La principal característica de este protocolo es que es un sistema orientado al funcionamiento del tipo “petición-respuesta”, lo que significa que en la estructura debe existir un cliente y un servidor, siendo el cliente el que efectúe las peticiones y el servidor el que las responde. Las respuestas del servidor pueden ser la descarga de un archivo o la apertura de una página web, dependiendo del tipo de petición solicitada.
Básicamente, una vez que en el navegador escribimos una dirección web y presionamos la tecla “Enter”, el servidor nos responderá devolviéndonos lo deseado.
HTTP seguro
En el caso del Hypertext Transfer Protocol Secure (HTTPS) o Protocolo de Transferencia de Hipertexto Seguro, el sistema se basa en una combinación de dos protocolos diferentes, HTTPS y SSL/TLS.
Esta es la manera más segura y confiable de poder acceder a los contenidos que nos ofrece la web, ya que cualquier dato o información que introduzcamos será cifrada, lo que garantiza que no podrá ser vista por nadie más que el cliente y el servidor, anulando de esta forma la posibilidad de que pueda ser utilizada, ya que el ciberdelincuente sólo tendrá en sus manos datos cifrados que no podrá descifrar.
Cómo podemos ver, la utilización del protocolo HTTPS es de vital importancia para cualquier actividad que involucre el uso de datos personales como los utilizados en entidades bancarias, tiendas en línea, correos electrónicos y en cualquier otro sitio en el cual debamos introducir passwords, números de tarjeta de crédito u otra información personal.
Certificados
Para que el sistema pueda funcionar, se debe implementar el esquema de “Certificado”, teniendo que estar este debidamente firmado por una autoridad. En el caso de los navegadores web, este método es transparente para el usuario, ya que los certificados necesarios como para poder explorar Internet sin problemas son obtenidos con el navegador.
En el siguiente cuadro, podremos ver las principales diferencias entre los protocolos HTTP y HTTPS:
HTTP HTTPS
URL comienza con "http://" URL comienza con "https://"
Se utiliza el puerto 80 para la comunicación Se utiliza el puerto 443 para la comunicación
Sin garantía Asegurado
Funciona a nivel de aplicación Funciona a nivel de transporte
Sin cifrado Con certificado
No hay certificados requeridos Certificado prescrito