Universitat Jaume I - UJI - Castello

Servei d'Informàtica
Serveis

    SEGURETAT DE LA INFORMACIÓ
    Recomanacions d'ús per al navegador Firefox

    Última modificación: 15-09-2008

    1.- Suplantació d'identitats
         1.1.- Que és i com es pot arribar a aquesta situació?
         1.2.- Recomanacions
                 1.2.1.- Cas 1: El navegador ens avisa que es va a canviar la configuració
                 1.2.2.- Cas 2: El navegador es tanca inesperadament
         1.3.- Prevenció. Evitar guardar informació personal en el navegador

    2.- Accés a les zones autenticades
         2.1.- Certificat d'usuari
         2.2.- Requisits previs (instal·lació dels certificats arrel)
         2.3.- Descàrrega Certificats Autoritat certificadora GVA
         2.4.- Accés a les ferramentes web autenticades
                
     

    1.- Suplantació d'identitats

    En Internet segueixen sense resoldre's els problemes relacionats amb l'autoria i la suplantació d'identitats. Es tracta d'una pràctica desgraciadament molt comú, i que acostuma a comportar la comissió de distints delictes, la qual cosa pot arribar a comprometre seriosament la víctima de la sostracció, especialment en aquells casos en què s'utilitza el compte suplantant la identitat del verdader usuari. L'accés a un compte de correu aliena, si es produeix sense consentiment del seu titular, constitueix un delicte de revelació de secrets tipificat en l'article 197 del Codi Penal. La seguretat és un procés continu. És important mantindre's al dia

    1.1.- Que és i com es pot arribar a aquesta situació?

    Inconscientment una persona pot veure's involucrada en tot açò simplement per tancar incorrectament una sessió autenticada (WebMail, e-UJIer@, MailBeta, WebPrint, Fonoteca...) o perquè el navegador s'ha tancat inesperadament.

    1.2.- Recomanacions

    Per a evitar que ens succeïsca alguna d'aquestes situacions, s'haurà d'actuar de la següent manera. Quan ens trobem enfront d'un ordinador en una aula d'informàtica, cibercafé en definitiva, en un local no segur amb accés a Internet i es realitze una connexió per a accedir a l'expedient acadèmic, correu electrònic, impressió externa, hauràs d'assegurar-te que has tancat correctament la sessió amb el navegador evitant d'esta manera que una altra persona puga accedir a les teues dades.

    1.2.1.- Cas 1: El navegador ens avisa que es va a canviar la configuració

    En el Servei d'Informàtica hem desenrotllat un JavaScript per a Firefox que permetrà eliminar totes les dades d'una sessió autenticada dins del SSO (Single Sing-on). Aquest enllaç permetrà (per voluntat de l'usuari) modificar la configuració del Firefox de tal forma que en tancar el navegador, aquest no guarde cap informació de la sessió oberta.

    En polsar aquest enllaç, apareixerà una finestra de seguretat com la de la Figura 1 on s'haurà de polsar "Permitir".


    Figura 1

    1.2.2.- Cas 2: El navegador es tanca inesperadament

    L'altra possibilitat que pot ocórrer és que tinguem diverses finestres obertes de pàgines distintes en el navegador. Totes elles són autenticades.


    Figura 2

     

    Podria ser que voluntària o involuntàriament tancares el navegador i apareix el següent avís de la Figura 3 on se'ns adverteix que opció volem triar. És aquest cas sempre cal polsar "Cerrar", MAI "Guardar y cerrar" a més de deixar marcada la casella "No preguntar la próxima vez" per la seguretat de la nostra informació.


    Figura 3

    Si polsares la l'opció "Guardar y cerrar" una altra persona aliena a la teua informació pot tindre accés a les teues dades simplement executan de nou el navegador, ja que aquest recuperaria les sessions obertes anteriorment de forma autenticada.

    1.3.- Prevenció. Evitar guardar informació personal en el navegador

    A més d'aquesta que hem descrit i aconsellat, existeix en Firefox una altra forma d'esborrar les dades guardades. Anem de nou al menú "Herramientas", "Opciones..." polsar la icona "Privacidad", "Configuración..." com es mostra en la Figura 4.


    Figura 4

    En aquesta pantalla cal marcar totes les opcions i després "Aceptar" (Figura 5).


    Figura 5

    Açò farà que cada vegada que es tanque el navegador t'avise (Figura 6) que has de polsar el botó "Limpiar datos privados ahora" assegurant la confidencialitat de la teua informació..


    Figura 6

     

    2.- Accés a les zones autenticades

    La finalitat d'aquest manual és conscienciar l'usuari d'una sèrie de recomanacions bàsiques per a evitar, en la mesura que siga possible, suplantacions d'identitat des d'un ordinador on, un usuari no ha tancat adequadament la seua sessió que li dóna accés a una zona autenticada, com pot ser l'e-UJIer@, WebMail, Aula Virtual, WebPrint, Fonoteca, etc.

    Com que ha deixat la seua sessió oberta, pot aprofitar-se d'açò un altre usuari distint sense escrúpols que accedira des del mateix equip.

    RECORDA: Un dels aspectes més frustrants de suplantació d'identitat és que és possible que no ho descobrisques fins que ja haja ocorregut.



    Per a evitar tot açò, en l'actualitat hi ha els Certificats Digitals. Explicarem molt breument que consisteixen.

    2.1.- Certificat d'usuari

    Un Certificat Digital és un document digital mitjançant el qual un tercer confiable (una autoritat de certificació) garanteix la vinculació entre la identitat d'un subjecte o entitat i la seua clau pública. El certificat conté usualment el nom de l'entitat certificada, número de sèrie, data d'expiració, una còpia de la clau pública del titular del certificat (utilitzada per a la verificació de la seua firma digital) i la firma digital de l'autoritat emissora del certificat de manera que el receptor puga verificar que aquesta última ha establit realment l'associació.

    L'Autoritat de Certificació, per si mateixa o mitjançant la intervenció d'una Autoritat de Registre, verifica la identitat del sol·licitant d'un certificat abans de la seua expedició o, en cas de certificats expedits amb la condició de revocats, elimina la revocació dels certificats en comprovar la dita identitat. Els certificats són documents que arrepleguen certes dades del seu titular i la seua clau pública i estan firmats electrònicament per l'Autoritat de Certificació utilitzant la seua clau privada.

    2.2.- Requisits previs (instal·lació dels certificats arrel)

    Per a utilitzar les aplicacions amb firma electrònica ha de registrar en el seu navegador Web els certificats de l'Autoritat de Certificació de la Comunitat Valenciana (ACCV).

    Són quatre certificats,

    • el certificat de l'Autoritat de Certificació Arrel Root CA Generalitat Valenciana
    • els certificats de l'Autoritat de Certificació de certificats per a persones físiques i altres usos (servidor amb suport SSL, servidor VPN, codi i aplicació), CAGVA i ACCV-CA2, i el
    • certificat de l'Autoritat de Certificació de certificats per a persones jurídiques (d'entitat), ACCV-CA1

    2.3.- Descàrrega Certificats Autoritat certificadora GVA

    Hauràs de descarregar-te en l'equip els quatre certificats de la GVA que es mostren a continuació. Pots executar-los també directament sense necessitat deixar-los en l'equip. En el cas que decidisques açò últim, pots anar directament a la Figura 9 d'aquest manual.

    Pulsar sobre los iconos para descargar los certificados

    2.4.- Accés a les ferramentes web autenticades

    Com ja hem dit, si pretenem accedir a serveis o ferramentes denominades 'segures' com poden ser l'e-UJIer@, la passarel·la de correu WebMail o MailBeta, l'Aula Virual, Fonoteca, WebPrint, etc. necessitaràs tindre'ls registrats en el navegador Web. En cas contrari no podràs accedir i el teu navegador mostrarà una advertència semblant a aquesta:


    Figura 7

    Per açò descriurem com registrar els certificats de l'ACCV en el Mozilla Firefox. Com que la instal·lació és igual per als quatre certificats necessaris, utilitzarem el primer per a explicar com fer-ho.

    Descarrega't els quatre certificats (ho pots fer polsant sobre les icones de la imatge d'amunt). Una vegada descarregats en el nostre equip, obrirem el navegador web Firefox. En el menú superior polsarem "Herramientas", "Opciones...". Dins de l'apartat "Avanzado" seleccionar la pestanya "Cifrado" i polsar el botó "Ver certificados".

    En l'Administrador de certificats, seleccionar la pestanya "Autoridades" i polsar el botó "Importar..." com es mostra en la imatge següent:


    Figura 8

    Buscar els certificats que anteriorment hem descarregat en el nostre equip i seleccionar, d'un en u, instal·lar en el navegador. Una vegada seleccionat el certificat l'importem marcant les tres opcions. Polsar "Aceptar". Açò mateix cal repetir-ho amb els altres tres que queden.


    Figura 9

    Ara només quedarà comprovar que els certificats de l'Autoritat de Certificació s'han registrat correctament. El registre dels certificats ha conclòs.


    Figura 10

     

    Informació proporcionada per: Servei d'Informàtica
    Data de modificació: 15/09/2008 18:22
    Universitat Jaume I CIF: Q-6250003-H Av. de Vicent Sos Baynat, s/n 12071 Castelló de la Plana, Espanya Tel.: +34 964 72 80 00 Fax: +34 964 72 90 16