HTTPS es un protocolo web que mejora la seguridad de las comunicaciones entre el usuario y el servidor. Cuando está habilitado:

  • puedes estar seguro que el contenido que ves no ha sido modificado por algún intermediario como un ISP o algún sistema del gobierno;
  • puedes tener espectativas razonbles que nadie sabe qué páginas estás visitando, y
  • puedes estar seguro de que nadie puede cambiar el contenido de tus ediciones durante su tránsito a los servidores de Wikimedia.

El continuo trabajo para mejorar la seguridad y privacidad de los usuarios de los proyectos Wikimedia es un objetivo declarado de la Fundación Wikimedia. Este trabajo ha tomado mayor importancia a raíz del escándalo de la National Security Agency (NSA) (Agencia Nacional de Seguridad de Estados Unidos) revelado por Edward Snowden a mediados de 2013. El proyecto Wikipedia ha sido referido en varios documentos como una fuente específica para el seguimiento del comportamiento de usuarios en línea.[1] Navegar por internet utilizando el protocolo no seguro HTTP permite a terceros rastrear qué páginas visitas y la información que envias en línea.

¿Qué significa ésto para ti?

edit

Además de las mejoras anteriores a la privacidad y a la seguridad en los sitios de Wikimedia (ver más adelante), el miércoles 28 de agosto 2013, 13:00 PDT, la Fundación Wikimedia implementará de forma predeterminada el protocolo HTTPS para todos los usuarios registrados. ¿Cómo funciona esto?, es simple: Si un usuario desea ingresar como usuario registrado, se ve obligado a iniciar sesión a través de HTTPS (manteniendo así su nombre de usuario y contraseña seguros), y después de iniciar sesión permanece en la versión HTTPS del sitio Wikimedia que está utilizando.


Países excluidos

edit

Algunos usuarios viven en áreas donde HTTPS no es una opción sencilla, la mayoría de las veces debido a bloques explícitos del gobierno. A petición de estas comunidades, hemos hecho una exclusión para los usuarios de los países afectados. En pocas palabras, los usuarios de China e Irán no requerirán utilizar HTTPS para iniciar sesión, ni para ver cualquier sitio de los proyectos de Wikimedia.

Desactivación

edit

Si sientes que navegar en los sitios de Wikimedia a través de HTTPS es algo lento o tienes otros problemas al navegar, puedes desactivar HTTPS en tus preferencias de usuario en la pestaña "Perfil de usuario" desmarcando la casilla "Utilizar siempre una conexión segura al iniciar sesión". es necesario cerrar sesión e iniciarla nuevamente para que la configuración tenga efecto. Pero recuerda, seguirá siendo necesario iniciar sesión utilizando de manera segura a través de HTTPS.

Por ahora hay un error que dificulta desactivar HTTPS para usuarios registrados: despues de desmarcar la casilla mencionada antes, cierra sesión y remueve todas las cookies de los proyectos Wikimedia cuyo nombre contenga "forceHTTPS" (p.e. "enwikiforceHTTPS"). Si no sabes como remover estas cookies, por favor lee a continuación:

  • Firefox:
    1. En el menú del navegador, ir a Herramientas → Opciones → Privacidad, y hacer clic en "Mostrar cookies"
    1. [O] hacer clic en el ícono de navegación segura (candado) en la barra de direcciones, clic en "Más información...", y clic en "Ver cookies"
    2. Debería abrirse una nueva ventana titualda "Cookies", maximísala, para hacer las cosas más sencillas
    3. En la sección "Buscar" de "Cookies", escribir forceHTTPS exáctamente de esa manera - el buscador diferencia mayúsculas y minúsculas.
    4. Selecciona un fila (quedará resaltará) y haz clic Eliminar cookie
    5. Repetir hasta quitar todas, y hacer clic Cerrar

¡Ayuda!

edit

¿No puedes iniciar sesión o editar alguna wiki de Wikimedia después del cambio? Por favor contacta al Equipo de Operaciones de la Fundación Wikimedia de cualquier manera que sea cómoda para tí, incluyendo la página de discusión de éste artículo, el canal IRC #wikimedia-operationsconnect, o la dirección de correo electrónico https@wikimedia.org.

¡Ayuda! ¡Mi código está roto!

edit

Si haces mantenimiento de un bot o eres autor de un Gadget y estás viendo un comportamiento raro o fallas luego del cambio, esperamos que ésto pueda solucionarse de manera fácil.

Para creadores de Gadget, simplemente modifica las urls con hardcod de "http://..." a "//...", eso debería resolver el problema (esto se conoce "protocol relative urls").

Para el mantenimiento de bot, tienes un par de alternativas. Inicia sesión como el bot y selecciona en las preferencias no utilizar HTTPS para esa cuenta, o actualiza el código para utilizar SSL. Si utilizas Pywikipediabot, por favor actualiza a la última versión (Detalles Técnicos:[1],[2], y lee esta publicación en la lista de correo para obtener más información.

Historia de HTTPS en WMF

edit

Activación inicial en 2005

edit

El protocolo HTTPS se activo por primera vez en los proyectos de Wikimedia por Brion en diciembre de 2005, aunque fue en URLs especiales de la forma https://secure.wikimedia.org/wikipedia/en/wiki/Main_Page, era algo lento y no escalable (un sólo servidor para ésta tarea), por lo que era inadecuado para su uso generalizado.

Despliegue a gran escala en 2011

edit

HTTPS con URLs canónicas https://en.wikipedia.org/wiki/Main_Page se activo en octubre de 2011, luego de meses de esfuerzo para lograr que funciones de una manera "amigable" con cache. Esto significaba:

  • enlaces de protocolo-relativo podían ser utilizados, para evitar el almacenamiento en cache de dos versiones de la misma página;
  • configuración adecuada de servidores y almacenamiento en caché para manejar HTTPS, y
  • garantizar que todos los recursos utilicen el mismo protocolo, HTTP o HTTPS, para evitar contenido mixto en la página (contenido mixto niega el estado de seguridad de la página).

Este despliegue de HTTPS fue descrito en los reportes de ingeniería de Wikimedia desde mayo de 2011 hasta diciembre de 2011.

28 de agosto de 2013 - Inicio de sesión seguro, navegación y edición seguros para usuarios registrados

edit

De acuerdo al plan de lanzamiento publicado en el blog con el título de "The future of HTTPS on Wikimedia Projects", a partir del miércoles 28 de agosto a la 1pm PDT (20:00 UTC), el inicio de sesión se hará utilizando HTTPS para la mayoría de los editores y proyectos. (Originalmente se anunció que el cambio se llevaría a cabo el 21 de agosto; pospusimos esa fecha una semana.[2]) Los usuarios registrados navegarán y editarán utilizando HTTPS de manera predeterminada.

Enlaces

edit

References

edit
  1. Tweet de Jimmy Wales, ver el enlace de la imagen filtrada de un documento "ultra secreto".
  2. "Wikitech-l: HTTPS for logged in users delayed. New date: August 28"