Ya era hora de dar m\u00e1s privacidad a datos sensibles sobre localizaci\u00f3n y fechas\/horas (h\u00e1bitos), que es b\u00e1sicamente la informaci\u00f3n que generan todos estos cacharros modernos con receptores de GPS: las comunicaciones en la parte de gesti\u00f3n de entrenamientos est\u00e1n cifradas.<\/p>\n
<\/p>\n
La informaci\u00f3n recogida durante los entrenamientos b\u00e1sicamente es la localizaci\u00f3n y la fecha con la hora, as\u00ed que partiendo de esa informaci\u00f3n, es sencillo para alguien establecer patrones de conducta acerca del protagonista de los entrenamientos vulnerando completamente su privacidad.<\/p>\n
Es conocido el caso de una popular web que vende los datos (y metadatos) de sus usuarios a terceros<\/a>, as\u00ed que no est\u00e1 de m\u00e1s tomar algunas precauciones antes de contentar a alg\u00fan ladr\u00f3n<\/a>.<\/p>\n No ha habido que reinventar la rueda, pero s\u00ed que hacer algunas mejoras<\/a>:<\/p>\n Por unos 6\u20ac\/a\u00f1o se puede conseguir un certificado de una entidad reconocida<\/a> y no merece la pena lidiar con certificados autofirmados que generan incertidumbre en usuarios menos acostumbrados a tecnicismos.<\/p>\n El est\u00e1ndar indica que las comunicaciones seguras van al puerto 443, as\u00ed que hay que hacer que la aplicaci\u00f3n escuche en ese puerto<\/a> para que se pueda producir la comunicaci\u00f3n cifrada con el cliente. El tr\u00e1fico que llega al puerto 80 es redirigido (301) al 443 para evitar problemas.<\/p>\n Se descartan las inseguras versiones SSLv2 y SSLv3 buscando los modernos TLS con los algoritmos de cifrado m\u00e1s seguros.<\/p>\n Al estar la aplicaci\u00f3n alojada en una instalaci\u00f3n compartida, la soluci\u00f3n elegida para las de sesi\u00f3n ha sido establecer la configuraci\u00f3n personalizada en tiempo de ejecuci\u00f3n<\/a>.<\/p>\n Para las que controlan a los usuarios hay que marcarlas como seguras en el momento de su creaci\u00f3n.<\/p>\nCambios necesarios<\/h2>\n
Crear un certificado v\u00e1lido para el dominio<\/h3>\n
Cambiar la configuraci\u00f3n del servidor (Apache 2.4)<\/h3>\n
Obligar a que las cookies<\/em> se transmitan \u00fanicamente por canal seguro<\/h3>\n
Verificar que los enlaces siguen el canal seguro<\/h3>\n