Una de las principales razones por las que el uso de HTTPS se ha expandido tanto en los últimos años, especialmente en 2017, tiene que ver con las advertencias de seguridad de Chrome. Google ha usado la posición dominante de su navegador para motivar (casi obligar) a los desarrolladores a hacer sus webs más segura usando conexiones cifradas en lugar del simple HTTP.
Ahora es Mozilla quien busca elevar un poco más esa premisa intentando forzar el estándar de seguridad llamado "secure contexts" (contextos seguros), uno que busca promover prácticas aun más seguras entre los desarrolladores web, llevando más allá el simple uso de HTTPS para asegurar la conexión entre un sitio web y el navegador.
HTTPS para todo
Actualmente la idea expandida, especialmente entre los usuarios, es que si un sitio está asegurado con HTTPS, ya lo ha hecho todo bien. Esta premisa falla al no incluir muchas de las poderosas y complejas funciones web y APIs que usan esos sitios.
El principio detrás del "secure contexts" de Firefox es muy simple y abarca justamente eso: se debería forzar el uso de HTTPS en todas esas funciones, como la geolocalización, el bluetooth, la API de notificaciones web, el acceso al micrófono y la cámara, el protocolo HTTP/2, Google AMP, etc.
Todas esas cosas pueden funcionar perfectamente bien bajo HTTP, pero representan un riesgo de seguridad para los usuarios. Incluso si la conexión entre el navegador y la web utiliza HTTPS, una de esas funciones no protegidas sigue pudiendo ser abierta en una ventana separada sin que el usuario lo note.
Seguridad más completa para una web más compleja
La web es mucho más compleja actualmente de lo que lo era hace cinco o diez años. Muchísimos sitios y servicios ofrecen a sus usuarios mucho más que texto e imágenes.
Las tecnologías web han evolucionado a pasos agigantados y son tan poderosas que actualmente podemos hacer casi cualquier cosa desde la web sin necesidad de instalar apps nativas.
El uso de HTTPS es lo más básico que un desarrollador web debe tener en cuenta actualmente, pero solo proteger la conexión entre el sitio y el navegador y olvidarse de todo lo demás, especialmente si se trata de una web compleja con múltiples funciones, es como solo tapar la mitad del colador.
Secure contexts no es un estándar de Mozilla, es algo que de hecho inicio Google en 2014 y que se han convertido en requerimientos de Chrome, Mozilla ahora está haciendo lo mismo con Firefox, exigiendo a los desarrolladores que lo apliquen de forma inmediata.
Además de esto, los planes son dejar de dar soporte a las tecnologías web HTTP tarde o temprano, algo que admiten no será un proceso rápido y sin complicaciones, después de todo, la simple adopción de HTTPS por las webs aún es una batalla que se está librando.
Muchas webs dejarían de funcionar, porque simplemente muchas webs no aplican estás prácticas de seguridad. Buscan un balance entre la seguridad y el nivel de cosas rotas que no se adhieren al estándar.
La buena noticia es que tanto Google como Mozilla parecen estar comprometidos con el movimiento HTTPS, el primero tiene una posición sumamente dominante, y que Mozilla se monte en el mismo tren le da otro empujón extra, especialmente ahora que Firefox ha cobrado una segunda vida con Quantum.
Secure contexts también existe como una propuesta para la W3C, como intento para convertirlo en una de las prácticas recomendadas oficialmente por el consorcio que recomienda los estándares de la web.
Es un estándar del que poco se habla fuera del nicho de desarrolladores, pero es algo de crucial importancia para todos los usuarios. Pero bueno, por algo se empieza.
En Genbeta | Firefox lanza nueva funcionalidad para aligerar la carga en webs pesadas
Ver todos los comentarios en https://www.genbeta.com
VER 41 Comentarios