Link alla notizia: http://www.hwupgrade.it/news/programmi/chrome-entro-fine-anno-tutti-i-siti-http-con-form-saranno-non-sicuri_68433.html

Il browser web di Google inizierà a contrassegnare tutti i siti HTTP con form come "Non sicuri" per favorire sicurezza e privacy

Click sul link per visualizzare la notizia.

direi che male non fa

direi che male non fa

Se non fosse che "quello che inseriamo noi" viaggia sempre in chiaro e non crittografato: l'email.

L'ho messo come Off Topic in un precedente articolo ma lo aggiungo qui perché mi pare in linea con le novità di Chrome dalla prossima release, la 59. Sarà attivo di default il supporto delle PNG animate le apng.

direi che male non fa

invece a me da molto fastidio : dato che il browser comincia a discriminare i siti
pensa se domani esce la stessa scritta per tutti quei siti che non si appoggiano ad adword per la pubblicità si comincia sempre piano piano

Misura un po' estrema ma finché non compromette il page rank. Non vedo perché se ho un dito con la sola pagina contatti con form debba comprare un certificato SSL.
@turcone direi che non potevi fare esempio peggiore. Qui non ti sta obbligando ad usare un suo prodotto.

Mollate CHROME. Tutte le altre soluzioni sono migliori.
Google stà diventando silenziosamente (e purtroppo legalmente) iper-mega-invadete.

Continuerò a usare felicemente solo Chrome

Firefox lo fa già da qualche mese.....

mi sembra una problematica simile al discorso flash, che non credo manchi a molti
credo anche che in questo caso potrebbero potenzialmente esserci degli abusi, ma da vedere... ad ora imho meglio 'terrorizzare' di più, specie i meno esperti

Già adesso molti nostri clienti (quasi tutti markettari) ci stanno lamentando di questa cosa....

Firefox lo fa già da qualche mese.....

Dalla versione 53 lo fa già ed in maniera più invasiva rispetto a chrome...

Ecco cosa viene fuori in un form su una pagina non https:
https://blog.mozilla.org/security/files/2017/01/Login-with-warning2.png

(...) Non vedo perché se ho un sito con la sola pagina contatti con form debba comprare un certificato SSL (...)

Let’s Encrypt (https://letsencrypt.org/) non va bene?
Chiedo a chi ha avuto modo di usarlo.
Perché, se funziona, non ci sono più scuse per non usare i certificati.

invece a me da molto fastidio : dato che il browser comincia a discriminare i siti
pensa se domani esce la stessa scritta per tutti quei siti che non si appoggiano ad adword per la pubblicità si comincia sempre piano piano

Mollate CHROME. Tutte le altre soluzioni sono migliori.
Google stà diventando silenziosamente (e purtroppo legalmente) iper-mega-invadete.

mi sembra che non sappiate quello che dite. Se la "discriminazione" avviene sul lato tecnico e di sicurezza non vedo come possa essere un danno per l'utente (anzi) nè una qualsivoglia invadenza visto che in ogni caso non blocca la navigazione.
Se invece siete tra coloro che non vogliono spendere soldini per un certificato e si sentono penalizzati allora il problema è culturale e servirebbe una maggior consapevolezza del mezzo che si usa per farsi pubblicità.

Se invece siete tra coloro che non vogliono spendere soldini per un certificato e si sentono penalizzati allora il problema è culturale e servirebbe una maggior consapevolezza del mezzo che si usa per farsi pubblicità.

Hai detto nulla: i soldi. Prima di tutto occorrono conoscenze per mettere su da soli un certificato. Oppure occorre spendere una cinquantina di euro all'anno per un certificato. Poi uno potrebbe decidere che i soldi spesi tra una cosa e l'altra non valgano la soddisfazione e per i piccoli siti significa chiudere.

Tanto per esagerare anche avere un direttore responsabile, iscriversi a un albo e avere personale disponibile 7 giorni su 7 costa soldini, denaro che limita fortemente la libertà di espressione. I soldini non sono una stupidaggine ma il punto dirimente tra la libertà di espressione sulla Rete oppure lasciare spazio alle grandi corporation.

Misura un po' estrema ma finché non compromette il page rank. Non vedo perché se ho un dito con la sola pagina contatti con form debba comprare un certificato SSL.
@turcone direi che non potevi fare esempio peggiore. Qui non ti sta obbligando ad usare un suo prodotto.
Non è solo una questione di crittografia, ma anche di identità del sito (con HTTPS viene verificata) e consistenza dei dati.

HTTPS è un upgrade che non riguarda la sola privacy.

Hai detto nulla: i soldi. Prima di tutto occorrono conoscenze per mettere su da soli un certificato. Oppure occorre spendere una cinquantina di euro all'anno per un certificato. Poi uno potrebbe decidere che i soldi spesi tra una cosa e l'altra non valgano la soddisfazione e per i piccoli siti significa chiudere.

Tanto per esagerare anche avere un direttore responsabile, iscriversi a un albo e avere personale disponibile 7 giorni su 7 costa soldini, denaro che limita fortemente la libertà di espressione. I soldini non sono una stupidaggine ma il punto dirimente tra la libertà di espressione sulla Rete oppure lasciare spazio alle grandi corporation.
O a Wikitribune (lo so, sono OT :P).

mi sembra che non sappiate quello che dite. Se la "discriminazione" avviene sul lato tecnico e di sicurezza non vedo come possa essere un danno per l'utente (anzi) nè una qualsivoglia invadenza visto che in ogni caso non blocca la navigazione.
Se invece siete tra coloro che non vogliono spendere soldini per un certificato e si sentono penalizzati allora il problema è culturale e servirebbe una maggior consapevolezza del mezzo che si usa per farsi pubblicità.

Alt... noto ora che Google ha corretto il tiro.
Prima metteva un LUCCHETTO ROSSO su qualsiasi sito non in HTTPS... discriminando e impurendo l'utente poco informato e quindi a scapito di web master che si sentivano chiedere "ma allora il nostro sito non è sicuro??"...

Adesso, Google ha messo solo la scritta "non sicuro" in grigio, sulle pagine dove ci sono i form.

Faccio notare che le transazioni per esempio degli ecommerce con paypal, vengono trasferite su connessione protetta, esterna al cms in questione.

Ben venga la sicurezza, ovviamente, ma se fatta in maniera corretta.

Dalla versione 53 lo fa già ed in maniera più invasiva rispetto a chrome...

Ecco cosa viene fuori in un form su una pagina non https:
https://blog.mozilla.org/security/files/2017/01/Login-with-warning2.png

L'unico fastidio è che l'avviso - in italiano - si estende per BEN 5 RIGHE (CINQUE!!! fuckin' hell!!!) : se si limitasse ad una sola dopo un po' non lo si noterebbe neanche (e ciò la dice lunga sull'utilità che una soluzione del genere può avere a riguardo della "sicurezza").

La prima volta che mi è comparso l'avviso (e non sapevo che volesse dire), comunque, m'ero preoccupato.. pensavo m'avessero hackerato hardware upgrade :D

Hai detto nulla: i soldi. Prima di tutto occorrono conoscenze per mettere su da soli un certificato. Oppure occorre spendere una cinquantina di euro all'anno per un certificato. Poi uno potrebbe decidere che i soldi spesi tra una cosa e l'altra non valgano la soddisfazione e per i piccoli siti significa chiudere.

Tanto per esagerare anche avere un direttore responsabile, iscriversi a un albo e avere personale disponibile 7 giorni su 7 costa soldini, denaro che limita fortemente la libertà di espressione. I soldini non sono una stupidaggine ma il punto dirimente tra la libertà di espressione sulla Rete oppure lasciare spazio alle grandi corporation.

per la libertà di espressione, usare piattaforme per blog o simili? Sono gratis e permettono di avere il certificato della piattaforma

per la libertà di espressione, usare piattaforme per blog o simili? Sono gratis e permettono di avere il certificato della piattaforma

Certo e poi tutti a dire su questo forum o sugli altri che il TOS va accettato così com'è altrimenti aria e che le aziende private fanno ciò che vogliono con i loro soldi. Google con il suo blogger e le altre corporation decidono se il tuo sito gli/le va bene o meno, cambiano i regolamenti ogni tot tempo e sono cavoli tuoi se violi le loro regole vere e presunte. Poi piagnucoli sui forum e tutti ti dicono: che vuoi? google è privata e decide a chi dare spazio, fatti un sito tuo se vuoi fare il cavolo che ti pare.

Tanto per dire a me google ha bannato una pagina del mio sito per via del diritto all'oblio. Si tratta solo del motore di ricerca di google, figurarsi se dovessi mettere tutto il mio sito su blogger che macello sarebbe. Se poi quasi tutti i siti finissero su blogger e similari la commissione europea avrebbe vita facile nel stabilire le regole su chi debba pubblicare cosa.

Non è solo una questione di crittografia, ma anche di identità del sito (con HTTPS viene verificata) e consistenza dei dati.

HTTPS è un upgrade che non riguarda la sola privacy.

Avere l'https ha un costo ma avere l'https con l'identità del sito costa molto di più.

Il mio hosting provider mi offre per 40-50 euro un certificato ssl base mentre per 150 euro uno con identità certificata. Se poi vuoi avere l'identità mostrata nella barra degli indirizzi del browser allora il costo è di oltre i mille euro.

https://www.pegasohosting.net/web/products/ssl.php

Hai detto nulla: i soldi. Prima di tutto occorrono conoscenze per mettere su da soli un certificato. Oppure occorre spendere una cinquantina di euro all'anno per un certificato. Poi uno potrebbe decidere che i soldi spesi tra una cosa e l'altra non valgano la soddisfazione e per i piccoli siti significa chiudere.

Tanto per esagerare anche avere un direttore responsabile, iscriversi a un albo e avere personale disponibile 7 giorni su 7 costa soldini, denaro che limita fortemente la libertà di espressione. I soldini non sono una stupidaggine ma il punto dirimente tra la libertà di espressione sulla Rete oppure lasciare spazio alle grandi corporation.

nessuno ti prescrive di avere un sito web. E nessuno ti sta obbligando a metterlo sotto https, funziona lo stesso eh

Semplicemente chrome come altri rendono noto all'utente che il traffico verso quel sito potenzialmente non è sicuro, ed è semplicemente la verità.

Puoi vederci una cospirazione a favore dei potenti che possono pagare ben 300 euro un certificato oppure una misura di sicurezza nei confronti dell'utente sprovveduto. Io, da tecnico e da esperto in materia di privacy, ci vedo la seconda e ritengo una baggianata tirare in ballo la libertà di espressione come scusa per non usare ssl.
Se è un sito personale non cambierà di una virgola la situazione, se è un sito commerciale è giusto tenersi al passo.

nessuno ti prescrive di avere un sito web. E nessuno ti sta obbligando a metterlo sotto https, funziona lo stesso eh

Semplicemente chrome come altri rendono noto all'utente che il traffico verso quel sito potenzialmente non è sicuro, ed è semplicemente la verità.
.

Insomma... c'è sito e sito.
C'è il sito del ristorante, dove ci può essere un mini form per prenotazioni... i dati che passano in chiaro senza https sarebbero nome ed email... Capisci che robe.

Oppure un piccolo medio ecommerce, dove per pagamenti si dirotta direttamente sul canale paypal.. ha senso https? No. Eppure SanGoogle lo segnala come sito insicuro.

Insomma... a Google conviene allamare gli internauti e creare servizi aggiuntivi.

il "cosa" comunichi può dare più o meno senso al discorso ssl ma la segnalazione non è errata. Il traffico è potenzialmente non sicuro, e i rischi vanno dalla semplice privacy del commento sul blog, al carrello dell'ecommerce prima che ti passi su paypal, fino alla transazione vera e propria.
Francamente non vedo un motivo valido per schierarsi contro queste misure di sicurezza i siti continueranno a funzionare e tra l'altro incidentalmente si avrà un primo screening tra siti professionali e blog del primo che passa, secondo me non è assolutamente un male. Tra l'altro per quanto riguarda gli ecommerce tra poco il problema non sarà estetico da parte di google ma proprio a livello legale, è intenzione del legislatore europeo imporre l'obbligo per tutelare il cliente a prescindere dal broker usato per il pagamento.

Non c'è nulla di liberticida o cospirazionistico, è semplice tutela dei più sprovveduti ed è normale che la massificazione richieda questi presidi in generale e non solo nello specifico.

un primo screening tra siti professionali e blog del primo che passa

Ecco, questo è proprio il problema.
Che Google con questa cosa (e tu ne sei l'esempio lampante) spingerà verso questa direzione, dove quelli meno informati (come te in questo caso) e si leggeranno avvisi di google su sicurezza, penseranno di aver a che fare con siti bidonari o fatti da persone non esperte....

Quando in realtà, il sito/cms/ecommerce non richieda un https.

Anche perchè, dicendola francamente, aggiungere https al sito/cms/ecommerce che sia, di tecnico non ha niente, se non solo un costo aggiuntivo per comperare il certificato.

Frà un po'... google ovviamente si metterà a vendere certificati ;)

Ecco, questo è proprio il problema.
Che Google con questa cosa (e tu ne sei l'esempio lampante) spingerà verso questa direzione, dove quelli meno informati (come te in questo caso) e si leggeranno avvisi di google su sicurezza, penseranno di aver a che fare con siti bidonari o fatti da persone non esperte....

Quando in realtà, il sito/cms/ecommerce non richieda un https.

Anche perchè, dicendola francamente, aggiungere https al sito/cms/ecommerce che sia, di tecnico non ha niente, se non solo un costo aggiuntivo per comperare il certificato.

Frà un po'... google ovviamente si metterà a vendere certificati ;)

la mancanza del certificato non rende il sito meno sicuro, ma avere un form senza certificato rende i tuoi dati insicuri, considera che anche la sola email è un dato cmq importante, aggiungi che spesso gli utenti usano stessa password per più siti e ottieni come basta un form di login senza https sul forum pizzaefichi che l'utente inesperto si ritrova bucato l'account di gmail

la mancanza del certificato non rende il sito meno sicuro, ma avere un form senza certificato rende i tuoi dati insicuri, considera che anche la sola email è un dato cmq importante, aggiungi che spesso gli utenti usano stessa password per più siti e ottieni come basta un form di login senza https sul forum pizzaefichi che l'utente inesperto si ritrova bucato l'account di gmail

be ma questo che centra??
Se un utente è talmente indietro da usare la stessa password della email, in fase registrazione ad altri servizi... non c'è https che tenga.

E comunque bisogna ricorda che non esistono solo siti con dati sensibili, ma esistono (probabilmente la stragrande maggioranza) siti non dinamici o cms dove non il visitatore è un puro e semplice lettore. E qui il certificato a cosa servirebbe??

be ma questo che centra??
Se un utente è talmente indietro da usare la stessa password della email, in fase registrazione ad altri servizi... non c'è https che tenga.

evitare che sia facile sniffare dati sensibili non è una brutta cosa in generale

E comunque bisogna ricorda che non esistono solo siti con dati sensibili, ma esistono (probabilmente la stragrande maggioranza) siti non dinamici o cms dove non il visitatore è un puro e semplice lettore. E qui il certificato a cosa servirebbe??
se il sito è statico che cavolo serve un form? L'avviso dovrebbe apparire solo con siti dove c'è possibilità di input dati

con Aruba mesi fa l'ho già installato gratis

:O Questo sito è non sicuro:

https://spi.dod.mil/LPS-Public_for_DoD.htm

peccato, sia il DoD :asd:

se il sito è statico che cavolo serve un form? L'avviso dovrebbe apparire solo con siti dove c'è possibilità di input dati

Infatti... fino pochi giorni fà Google segnalava come non sicuri anche i siti statici. Pura follia di marketing, poi avranno ricevuto lamentele a pioggia, e avran dovuto retrocedere, grazie a dio, aggiungo.

Infatti... fino pochi giorni fà Google segnalava come non sicuri anche i siti statici. Pura follia di marketing, poi avranno ricevuto lamentele a pioggia, e avran dovuto retrocedere, grazie a dio, aggiungo.

ah ok questo è un altro discorso, io mi riferivo a quanto detto nell'articolo

ah ok questo è un altro discorso, io mi riferivo a quanto detto nell'articolo

Si... comunque sia adesso Google sembra che sia il salvatore dell'epoca digitale. A google non interessa niente che i siti coi form siano sicuri, interessa solo avere informazioni degli utenti, info, info info...

Avete notato il calvario che si deve fare quando si svuotano i cookie dal browser, che se si và su Google.it/com chiede di accettare le sue clausole?? Bene, se non fate come i pecoroni che accettano senza approfondire, e entrate nelle impostazioni per settare.... fateci caso: ogni volta le schermate sono sempre differenti, più complicate da settare, poco chiare... e spesso con dei trucchetti per ingannare l'utente.

Assurdi, fanno veramente schifo.

Ci dovrebbe essere un organo di controllo su queste cose, invece fanno esattamente quello che vogliono, rasentando sempre il limite della legalità