Chrome 70 indicherà centinaia di siti come 'Non sicuri': ecco perché

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/web/ch...che_78445.html

Chrome 70 considererà a rischio sicurezza tutti i siti web che utilizzano i certificati HTTPS rilasciati da Symantec prima del Giugno 2016

Click sul link per visualizzare la notizia.

[Perseverance]

Io non sono informato a sufficienza. Cosa ci incastra la verifica anche del più alto livello https con la sicurezza che il sito non sia dannoso? Non posso io comprarmi un certificato di alto livello e poi diffondere malware a pioggia?

Oppure ho capito male io: xkè i symantec non sono affidabili più? Sono state violate le chiavi di cifratura?

Benvenga il controllo e la sicurezza, xò fatta a questa maniera qua per me è pura discrezionalità, è una caccia alle streghe. La sicurezza non si può basare sulla fiducia o la presunzione che gli altri enti certificatori siano seri. Stando così le cose, avere o non avere https è indifferente.

[mak77]

Come la vedresti se il tuo comune fornisse la tua carta di identità a uno qualunque che si presenta e dice di essere te?
Gli enti certificatori devono essere seri, altrimenti non servono a nulla.

[giangiangian89]

Quote:

Originariamente inviato da Perseverance

Io non sono informato a sufficienza. Cosa ci incastra la verifica anche del più alto livello https con la sicurezza che il sito non sia dannoso?

Niente, perché https non serve a certificare i contenuti di un sito.
I motivi per cui https è importante sono principalmente due:
- Garantisce che il sito che stai guardando sia davvero quello a cui risponde l'indirizzo. Senza https, se mi collego fisicamente tra te e il server di ebay, posso intercettare le pagine del server di ebay, cambiarle per dirottare i pagamenti verso di me e inviartele, senza che tu te ne accorga. Con https, se i certificati sono robusti, non posso farlo.
- Cripta il traffico tra te e il server. Senza https, posso facilmente sniffarti password, dati sensibili e pagine visitate. Con https, al più posso sapere a che sito ti stai collegando, ma non alla pagina esatta e sicuramente non alle password e ai dati sensibili che invii.

Quote:

Originariamente inviato da Perseverance

Oppure ho capito male io: xkè i symantec non sono affidabili più? Sono state violate le chiavi di cifratura?

https://blog.mozilla.org/security/20...-certificates/ e, più in particolare, https://wiki.mozilla.org/CA:Symantec_Issues .

Quote:

Originariamente inviato da Perseverance

Benvenga il controllo e la sicurezza, xò fatta a questa maniera qua per me è pura discrezionalità, è una caccia alle streghe. La sicurezza non si può basare sulla fiducia o la presunzione che gli altri enti certificatori siano seri. Stando così le cose, avere o non avere https è indifferente.

https è un tassello fondamentale per la sicurezza informatica oggi, e non c'è niente di soggettivo nel lavoro degli enti certificatori. Di fatto, il loro lavoro consiste semplicemente nel certificare che quel certificato è solamente in mano a chi gestisce fisicamente la macchina. Il problema dei certificati symantec è tecnologico, non soggettivo. https NON è la panacea a tutti i mali del mondo, ma fa parecchio bene quello per cui è stato creato.

[Jack.Mauro]

data la lista di siti linkata dall'articolo, che sembra essere aggiornata a prima del 24 settembre 2018, ho provato a caso alcuni siti (boh, una decina) e di questi uno solo (www.nital.it) utilizza un certificato rilasciato da symantec, ma rilasciato dopo giugno 2016.

Non sono quindi sicuro che qualche utente si accorgerà della modifica, almeno in italia....

[DanieleG]

Strano che symantec abbia combinato un casino

[logan x]

"Google intende rafforzare le protezioni di sicurezza"??? La sicurezza non c'entra NULLA con gli avvisi dati dal browser Chrome, è solo l'ennesima tattica di Google per affossare definitivamente i siti web amatoriali, e favorire i propri inserzionisti!
Un sito statico, che non vende nulla, non processa dati personali, e non profila gli utenti, non ha nessun bisogno di adottare il protocollo https e quindi, quella che fa Google appioppandogli la dicitura "non sicuro", è diffamazione bella e buona!
Google sta facendo sempre nuovi passi avanti per vedere fino a che punto gli utonti fanno tutto quello che gli si dice di fare, e purtroppo sta avendo successo.
Ma se ancora ragionate con la vostra testa, NON USATE GOOGLE CHROME! Quello sì che è "non sicuro", come tutti i prodotti di Google, pensati e sviluppati per spiare e manipolare.

[biometallo]

Quote:

Originariamente inviato da logan x

Un sito statico, che non vende nulla, non processa dati personali, e non profila gli utenti, non ha nessun bisogno di adottare il protocollo https e quindi, quella che fa Google appioppandogli la dicitura "non sicuro", è diffamazione bella e buona!

Capisco che hai tuoi occhi Google sia l'impero del male e tutto ciò che fa sia finalizzato al loro piano dispotico di conquista di mondo, ma le stesse cose che imputi a Chrome non le fa anche Firefox?

su chorme si legge:
Non dovresti inserire dati sensibili in questo sito (ad esempio password o carta di credito) perché potrebbero essere intercettati da utenti malintenzionati

mentre firefox recita:
logins entered on this page could be compromised

andando anche nello specifico della notizia mi pare di capire dai link segnalati da giangiangian89 che Mozzilla già da marzo scorso segnali i vecchi certificati Symantec non sicuri.

[logan x]

Grazie dell'informazione, biometallo, ammetto che non sapevo di Firefox perchè io utilizzo versioni obsolete del browser Mozilla, che non segnalano i siti http come "non sicuri".

Ad ogni modo, è assurdo appioppare tale marchio di infamia a TUTTI i siti privi di https. Se l'algoritmo di Google è tanto intelligente dovrebbe saper anche distinguere i siti che processano informazioni sensibili da quelli che non lo fanno. Anche un forum come questo, non chiede nulla di veramente personale ell'utente per iscriversi e partecipare, è assurdo che sia obbligato a dotarsi di https. Questo forum in particolare ha dietro una redazione con un budget, ma tutti i forum amatoriali su piattaforma gratuita come phpBB, tenuti da volenterosi webmaster squattrinati, perchè devono essere discriminati in questo modo?

[GTKM]

Facciamo un esempio: www.slackware.com

Non richiede login, nessun dato personale. Per quale motivo sarebbe non sicuro senza https?

[logan x]

Quote:

Originariamente inviato da GTKM

Facciamo un esempio: www.slackware.com

Non richiede login, nessun dato personale. Per quale motivo sarebbe non sicuro senza https?

Appunto, nessun motivo, se non quello di penalizzare tutti i piccoli siti che non hanno necessità del protocollo https.

Del resto, quando fai una ricerca su google, qualsiasi cosa tu stia cercando, ai primi posti compaiono sempre gli stessi siti, anche se non c'entrano nulla... ma di che stiamo parlando?