Quote:
Originariamente inviato da Perseverance
Io non sono informato a sufficienza. Cosa ci incastra la verifica anche del più alto livello https con la sicurezza che il sito non sia dannoso?
|
Niente, perché https non serve a certificare i contenuti di un sito.
I motivi per cui https è importante sono principalmente due:
- Garantisce che il sito che stai guardando sia davvero quello a cui risponde l'indirizzo. Senza https, se mi collego fisicamente tra te e il server di ebay, posso intercettare le pagine del server di ebay, cambiarle per dirottare i pagamenti verso di me e inviartele, senza che tu te ne accorga. Con https, se i certificati sono robusti, non posso farlo.
- Cripta il traffico tra te e il server. Senza https, posso facilmente sniffarti password, dati sensibili e pagine visitate. Con https, al più posso sapere a che sito ti stai collegando, ma non alla pagina esatta e sicuramente non alle password e ai dati sensibili che invii.
Quote:
Originariamente inviato da Perseverance
Oppure ho capito male io: xkè i symantec non sono affidabili più? Sono state violate le chiavi di cifratura?
|
https://blog.mozilla.org/security/20...-certificates/ e, più in particolare,
https://wiki.mozilla.org/CA:Symantec_Issues .
Quote:
Originariamente inviato da Perseverance
Benvenga il controllo e la sicurezza, xò fatta a questa maniera qua per me è pura discrezionalità, è una caccia alle streghe. La sicurezza non si può basare sulla fiducia o la presunzione che gli altri enti certificatori siano seri. Stando così le cose, avere o non avere https è indifferente.
|
https è un tassello fondamentale per la sicurezza informatica oggi, e non c'è niente di soggettivo nel lavoro degli enti certificatori. Di fatto, il loro lavoro consiste semplicemente nel certificare che quel certificato è solamente in mano a chi gestisce fisicamente la macchina. Il problema dei certificati symantec è tecnologico, non soggettivo. https NON è la panacea a tutti i mali del mondo, ma fa parecchio bene quello per cui è stato creato.