Hace unos días me sorprendió la noticia de que el [navegador Opera incluía una VPN] ya configurada para que todos los usuarios pudieran navegar con seguridad. Algo asó como el TOR Browser y Firefox pero sin la capa de anonimato. Es una buena idea, pero ya que sabemos un poco de esto, ¿Por qué conformarnos con la noticia si podemos arañar un poco mas?
Por suerte Michal Špaček ha subido en su Git-Hub unas notas muy interesantes sobre esta "investigación" y es que además adjunta hasta los .json.
Haciendo un poco de resumen de las notas ya que me interesa que os las leáis, solo decir que:
- Opera envía múltiples peticiones a la API de SurfEasy para pedir la IP del proxy.
- A partir de ese momento el navegador se comunica con el proxy con el dominio de0.opera-proxy.net
- La autenticación se realiza mediante la función sha1(device_id):device_password, donde el device_id y el device_password son diferentes para cada instalación de Opera.
- Así que no nos estamos conectado a una VPN si no a un servidor proxy con el HTTPS protegiendo el trafico entre el navegador y él.
Enlace a la fuente para que podáis darle caña a mi opinión:
No es la primera vez que que nos dan gato por liebre, pero normalmente no me importa si el gato está bien hecho y creo que ya podéis intuir un poco por donde voy. Si, tener una VPN o proxy es básico para conectarnos a Internet de una forma apropiada. Pero, mi instinto paranoico me hace desconfiar de esa función de hash con SHA1 la cual es teóricamente vulnerable y a mi opinión e la siguiente de la lista en caer. Aix, si es que no hacemos los deberes bien y seguro que tiene su explicación, pero creo que no hubiera costado nada aplicar SHA2 mientras estaban realizando la Fusión con la "VPN".
Sed Buenos ;)
No hay comentarios:
Publicar un comentario