Google, da settembre niente più indicatore Sicuro per i siti HTTPS

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/web/go...tps_75995.html

Google sta per cambiare qualcuno degli indicatori visivi di Chrome, tra cui quello che conferma l'attendibilità dei siti HTTPS

Click sul link per visualizzare la notizia.

[panda84]

Non sicuro come ad esempio http://www.trenitalia.com/ ?

[coschizza]

Quote:

Originariamente inviato da panda84

Non sicuro come ad esempio http://www.trenitalia.com/ ?

se ti logghi sul sito allora parli in https come è ovvio che sia

[GM Phobos]

@coschizza
ma anche no...
se tu arrivi su un sito classificato non sicuro e ti logghi con delle credenziali per entrare in modalità sicura non è affatto corretto che sia così.

il sito deve risultare sicuro PRIMA di dover inserire le credenziali... altrimenti rischieresti di inserire le tue credenziali anche su siti creati di proposito per il phishing...

[Wikkle]

Ah ah,... han capito che facendo i furbetti poi rischiavano, eh?

Per chi non fosse aggiornato sulla faccenda spieghiamo meglio:
google ha inserito la scritta NON SICURO per creare allarmismi spesso inutili, verso i semplici siti non in https (magari siti statici semplici dove non passavano dati sensibili).


Mentre creava allarmismo, allo stesso tempo promuoveva una sua azienda che vendeva certificati. Un caso????

[Crystal Dragon]

Quote:

Originariamente inviato da GM Phobos

@coschizza
ma anche no...
se tu arrivi su un sito classificato non sicuro e ti logghi con delle credenziali per entrare in modalità sicura non è affatto corretto che sia così.

il sito deve risultare sicuro PRIMA di dover inserire le credenziali... altrimenti rischieresti di inserire le tue credenziali anche su siti creati di proposito per il phishing...

Veramente no, i meccanismi di sicurezza dipendono dalla uri che si usa per il login, il fatto che la pagina di landing sia anch'essa su https è solo un espediente psicologico per non spaventare gli utenti che non lo sanno.

[Sandro kensan]

@Wikkle
C'è anche cPanel che vende certificati e li da a tutti i loro clienti, quindi i certificati oramai sono disponibili a chiunque.

Però la cosa non mi piace perché in questo modo Internet è stata centralizzata anche se solo per un aspetto.

[BrightSoul]

Quote:

Originariamente inviato da Wikkle

Mentre creava allarmismo, allo stesso tempo promuoveva una sua azienda che vendeva certificati. Un caso????

I certificati si ottengono gratuitamente con Let's Encrypt. Non esiste più nessun motivo per mantenere un sito su HTTP. Condivido pienamente l'approccio di Google e spero che anche gli altri browser seguano l'esempio.

[Piedone1113]

Quote:

Originariamente inviato da BrightSoul

I certificati si ottengono gratuitamente con Let's Encrypt. Non esiste più nessun motivo per mantenere un sito su HTTP. Condivido pienamente l'approccio di Google e spero che anche gli altri browser seguano l'esempio.

Vedrai quante truffe ci saranno con siti contraffatti sicuri per google perchè certificati.
Ma davvero credi che un semplice certificato possa rendere il web più sicuro?
Secondo la mia opinione la gente si sentirà sicura e farà caxxate.

[BrightSoul]

Quote:

Originariamente inviato da Piedone1113

Secondo la mia opinione la gente si sentirà sicura e farà caxxate.

Un motivo in più per rimuovere la dicitura "Sicuro" e segnalare invece come "Non sicuri" i siti che non adottano alcuna protezione a livello di trasporto.

Quote:

Originariamente inviato da Piedone1113

Ma davvero credi che un semplice certificato possa rendere il web più sicuro?

Certo, serve a ridurre drasticamente gli attacchi man-in-the-middle, ovvero gente che sniffa il tuo traffico mentre stai usando la Wifi aperta dell'hotel o dell'aeroporto.
Poi, è ovvio, se l'utente vuole mettere la sua carta di credito in un sito di phishing, la sola presenza di un certificato non glielo impedirà di sicuro.

[Wikkle]

Quote:

Originariamente inviato da Sandro kensan

@Wikkle
C'è anche cPanel che vende certificati e li da a tutti i loro clienti, quindi i certificati oramai sono disponibili a chiunque.

Hai detto bene, VENDE. Di autorità che vendono certificati ce ne sono a bizzeffe. E quindi?

Quote:

Originariamente inviato da BrightSoul

I certificati si ottengono gratuitamente con Let's Encrypt. Non esiste più nessun motivo per mantenere un sito su HTTP. Condivido pienamente l'approccio di Google e spero che anche gli altri browser seguano l'esempio.

Evidentemente non sei molto informato sullo sviluppo web, perchè è vero che Let's Encrypt esiste ed è gratuito, ma funziona a dovere solo su linux. E i server non sono solo linux, anzi...

Di motivi per avere un sito in http ce ne sono e parecchi, in primis i miliardi di siti statici che non passano 1 sola informazione sensibile e ciò nonostante sono marchiati come NON SICURI, spavenatando inutilmente gli utenti poco esperti.

[Piedone1113]

Quote:

Originariamente inviato da BrightSoul

Un motivo in più per rimuovere la dicitura "Sicuro" e segnalare invece come "Non sicuri" i siti che non adottano alcuna protezione a livello di trasporto.


Certo, serve a ridurre drasticamente gli attacchi man-in-the-middle, ovvero gente che sniffa il tuo traffico mentre stai usando la Wifi aperta dell'hotel o dell'aeroporto.
Poi, è ovvio, se l'utente vuole mettere la sua carta di credito in un sito di phishing, la sola presenza di un certificato non glielo impedirà di sicuro.

Troppi csi ncis.
Davvero credi che ancora ci sia gente che che in aereoporto o hotel si mette a dare dati in giro?
ormai tutti hanno app su cell per fare di tutto, e le transazioni sono a doppia verifica.
Poi se vai su siti dubbi per dubbi motivi il certificato o la dicitura poco sicuro è utile come un congelatore al polo nord

[Wikkle]

Quote:

Originariamente inviato da Piedone1113

ormai tutti hanno app su cell per fare di tutto

momento… spiega, spiega

[Rubberick]

Beh infatti ci sono tonnellate di siti statici di pura informazione che non vedo perchè debbano essere su HTTPS..

[danieleg.dg]

Quote:

Originariamente inviato da Rubberick

Beh infatti ci sono tonnellate di siti statici di pura informazione che non vedo perchè debbano essere su HTTPS..

Probabilmente è stato un caso isolato, ma è già successo che nelle connessioni http sul wifi di un aereo veniva iniettata pubblicità nelle pagine.

[supermario]

Quando leggo commenti come quelli di piedone capisco che continuerò a fare il mio lavoro per molti anni a venire... grazie

[Tasslehoff]

Quote:

Originariamente inviato da Crystal Dragon

Veramente no, i meccanismi di sicurezza dipendono dalla uri che si usa per il login, il fatto che la pagina di landing sia anch'essa su https è solo un espediente psicologico per non spaventare gli utenti che non lo sanno.

Attenzione ad un dettaglio che in realtà è fondamentale.
Dal punto di vista del protocollo utilizzato per la comunicazione, una form non è "sicura" solo perchè la action punta ad una url raggiungibile con protocollo https.
Come giustamente fatto notare da GM Phobos anche la form stessa DEVE essere esposta in https, in caso contrario si presta a tutta una serie di manomissioni, ad esempio modifica alla url della action per puntare ad altro e raccogliere i dati di login.
Improbabile? Impossibile? Non direi, pensa anche soltanto ad un accesso wifi libero, basta entrare in una bar o un ristorante con un raspberry pi che agisce da rogue spot e proxy e aspettare che la gente si attacchi con ogni dispositivo per spazzolare credenziali.
Non serve essere geni o avere chissà quali software per farlo, solo un minimo di skill e la volontà di farlo.

[Tasslehoff]

Quote:

Originariamente inviato da Wikkle

Hai detto bene, VENDE. Di autorità che vendono certificati ce ne sono a bizzeffe. E quindi?

Evidentemente non sei molto informato sullo sviluppo web, perchè è vero che Let's Encrypt esiste ed è gratuito, ma funziona a dovere solo su linux. E i server non sono solo linux, anzi...

Aspetta, per prima cosa Let's Encrypt non funziona solo su linux, esistono implementazioni del protocollo ACME e relativi client anche in Powershell, es https://github.com/ebekker/ACMESharp e https://github.com/PKISharp/win-acme, ergo anche su Windows si può usare Let's Encrypt direttamente.

In secondo luogo occorrono 5 minuti 5 per configurare una qualsiasi distribuzione con Apache con dei virtualhost che agiscano da reverse proxy.
Apache agisce da endpoint https e inoltra tutte le richieste verso IIS in modo da semplice e trasparente, con in più tutti i vantaggi del caso, logging che IIS si sogna, rewrite che su IIS sono impossibili o richiedono sforzi sovrumani e tanto tanto tanto altro ancora.

Ci sono persino provider e cdn (es i servizi di Cloudflare) che forniscono gratuitamente servizi di endpoint https per stimolare l'uso del protocollo https.

Quote:

Di motivi per avere un sito in http ce ne sono e parecchi, in primis i miliardi di siti statici che non passano 1 sola informazione sensibile e ciò nonostante sono marchiati come NON SICURI, spavenatando inutilmente gli utenti poco esperti.

Quote:

Originariamente inviato da danieleg.dg

Probabilmente è stato un caso isolato, ma è già successo che nelle connessioni http sul wifi di un aereo veniva iniettata pubblicità nelle pagine.

Una decina di anni fa sarei stato d'accordo con voi, ma oggi non più.
L'equazione "sito statico=sito sicuro, semplice e innocuo" ormai non è più vera; le esigenze del design web, dei dispositivi e le richieste dei clienti sono tali per cui ormai persino le pagine statiche di cortesia sono diventate un'accozzaglia di javascript e framework che fanno tutto e il contrario di tutto.
Ecco perchè anche il progetto più banale ormai non può fare più a meno di garantire la comunicazione tra webserver e client, e questo può essere fatto solo con il protocollo https.
I casi di siti manomessi (e non parlo di xss o sql injection eh, manomissioni avvenute e applicabili anche ai siti statici) al fine di inserire javascript malevolo per fare tutto e il contrario di tutto (incluso mining di criptomonete) sono stati tanti e tanto clamorosi da aver smontato il paradigma di cui parlavo sopra.

Un'ultima nota, leviamoci dalla testa l'idea che solo i dati "sensibili" sono critici, ormai lo sono anche i dati "personali", e l'interpretazione generale ormai è che qualsiasi dato che permette di identificare l'utente è "personale", ergo anche associazione tra IP e dettagli del client, vedi GDPR.

[Wikkle]

Quote:

Originariamente inviato da supermario

Quando leggo commenti come quelli di piedone capisco che continuerò a fare il mio lavoro per molti anni a venire... grazie

hai ragione

[Tasslehoff]

Quote:

Originariamente inviato da Piedone1113

Troppi csi ncis.
Davvero credi che ancora ci sia gente che che in aereoporto o hotel si mette a dare dati in giro?
ormai tutti hanno app su cell per fare di tutto, e le transazioni sono a doppia verifica.
Poi se vai su siti dubbi per dubbi motivi il certificato o la dicitura poco sicuro è utile come un congelatore al polo nord

Sono anni che periodicamente tutti gli assessment di sicurezza danno risultati a dir poco allarmanti sulle app mobile.

Per prima cosa l'autenticazione multifattore non è implementata ovunque e non è certo obbligatoria (ci sarebbe molto da discutere nel dettaglio anche su questa comunque).
In secondo luogo tu pensi che il fatto che una app sia distribuita tramite i canali ufficiali la renda sicura a prescindere?
Basta un pc con Wireshark, un hub e un access point per sniffare tutto il traffico di uno smartphone e rendersi conto della quantità industriale di traffico che passa in chiaro.