Discussione: Google, da settembre niente più indicatore Sicuro per i siti HTTPS
View Single Post
Old 21-05-2018, 14:21   #39
Tasslehoff
Senior Member
 
L'Avatar di Tasslehoff
 
Iscritto dal: Nov 2001
Città: Kendermore
Messaggi: 6651
Quote:
Originariamente inviato da Piedone1113 Guarda i messaggi
SNIP

Quello che dico è che con sta voglia di https ( da verificare la reale ricaduta positiva) si instaurerà una falsa sicurezza nell'utente poco famigliare con l'argomento ( ed a quando vedo ci sono diversi sysadmin tra loro).
Purtroppo una vpn e https ti garantiscono sufficiente sicurezza se l'utilizzatore è anche il proprietario dei due punti ( un organizzazione multisede).
Ma se clono il sito sella.it ( pe) sul dominio da me registrato sella.one o su sellla.it o sela.it (ecc) la falsa sicurezza dell'https mieterà molte vittime prima che la gente capisca che https non è sinonimo di sicurezza ma connessione criptata tra due punti (del quale non saprai mai se dall'altra parte ci sia con certezza chi ti aspetti)
Aspetta però, stiamo parlando di due cose differenti.

Un conto sono i benefici reali, tangibili e indiscutibili dell'adozione del protocollo https (mitm, performance e quant'altro), dall'altro la percezione dell'utente di questi benefici.
Tu sei convinto realmente che l'utente "della strada" sia più tranquillo solo perchè vede un lucchetto verde sul browser?
La mia esperienza è che l'utente "della strada" non fa nemmeno caso alla barra degli indirizzi del browser, figuriamoci il lucchetto o altre sofisticazioni (es EV, mixed content, hostname corretto etc etc...).

A me francamente della percezione della sicurezza dell'utente finale interessa poco, ma per il semplice fatto che è una variabile che non posso controllare.
L'utente inconsapevole resterà sempre e comunque impermeabile a qualsiasi tipo di considerazione sulla sicurezza, non si pone nemmeno il problema della sicurezza o anche solo della sua percezione.
Tecnicamente preferisco concentrarmi su quello che posso gestire, ovvero adozione del protocollo, hardening del webserver e tutto quello che è tecnicamente fattibile per ridurre il rischio proprio di quegli utenti che ignorano tutto questo.

Altro che "intorbidire le acque", finalmente si sta uscendo da una condizione ibrida che tecnicamente non solo ha creato un sacco di problemi e costi, ma anche creato confusione negli utenti.
Pensa anche soltanto a quanto è costato in termini di giornate/uomo supportare due protocolli, gestire i casi ibridi (mixed content), riscrivere il protocollo per alcune risorse e non riscriverlo per altre e tante altre casistiche che chiunque abbia lavorato un po' sul web conosce fin troppo bene.
Dal mio punto di vista ben venga l'adozione del protocollo https sempre e comunque a prescindere, un solo protocollo e zero casistiche ibride; tecnicamente i benefici sono incontestabili, per tutto il resto basta anche solo l'eliminazione dello stato "ibrido" in cui viviamo da anni per giustificare i costi (che come possiamo osservare si stanno gradualmente riducendo fino ad arrivare a zero nel prossimo futuro).
__________________
https://tasslehoff.burrfoot.it | Cloud? Enough is enough! | SPID… grazie ma no grazie
"Arguing that you don't care about the right to privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say."
Tasslehoff è offline   Rispondi citando il messaggio o parte di esso
 
1