Google, da settembre niente più indicatore Sicuro per i siti HTTPS

[Donagh]

Quote:

Originariamente inviato da Tasslehoff

Sono anni che periodicamente tutti gli assessment di sicurezza danno risultati a dir poco allarmanti sulle app mobile.

Per prima cosa l'autenticazione multifattore non è implementata ovunque e non è certo obbligatoria (ci sarebbe molto da discutere nel dettaglio anche su questa comunque).
In secondo luogo tu pensi che il fatto che una app sia distribuita tramite i canali ufficiali la renda sicura a prescindere?
Basta un pc con Wireshark, un hub e un access point per sniffare tutto il traffico di uno smartphone e rendersi conto della quantità industriale di traffico che passa in chiaro.

basta usare la vpn in tutti i contesti dove metti dati sensibili
io mi ero abbonato a pure vpn ad esempio

[Tasslehoff]

Quote:

Originariamente inviato da Donagh

basta usare la vpn in tutti i contesti dove metti dati sensibili
io mi ero abbonato a pure vpn ad esempio

Nel caso di hotspot wifi la vpn è un ottimo strumento, però attenzione a un dettaglio: se l'applicazione comunica in chiaro, usando una vpn il dato passa cifrato tra il tuo dispositivo e il gateway della vpn, poi comunque passa in chiaro attraverso una rete che è insicura per definizione.
In sostanza sposti il problema, ma non lo risolvi
L'adozione del protocollo https invece è una soluzione strutturale, ecco perchè è quella preferibile.

Sia chiaro, questo è il requisito, poi bisogna vedere come è implementato il protocollo https, che cypher suites usa, l'hardening etc etc...
Insomma come è facile intuire è un processo complesso che implica una serie di variabili, alcune le possiamo controllare, altre no, però possiamo per lo meno verificarle ed essere coscienti per valutare costi/benefici.

Tanto per dirne una, sto lavorando per un cliente che usa un noto provider di pagamenti con carta di credito, ebbene questi dal 18 giugno disattivano l'hardshake https con protocollo TLS 1.0, benissimo... peccato che da un banalissimo test la loro configurazione del protocollo https si presti a millemila vulnerabilità e sia stata fatta con i piedi...

[BrightSoul]

Quote:

Originariamente inviato da Wikkle

Evidentemente non sei molto informato sullo sviluppo web, perchè è vero che Let's Encrypt esiste ed è gratuito, ma funziona a dovere solo su linux. E i server non sono solo linux, anzi...

Io sono uno sviluppatore web di professione e lo uso anche su IIS a manetta. Tu che lavoro fai?

[Donagh]

Quote:

Originariamente inviato da Tasslehoff

Nel caso di hotspot wifi la vpn è un ottimo strumento, però attenzione a un dettaglio: se l'applicazione comunica in chiaro, usando una vpn il dato passa cifrato tra il tuo dispositivo e il gateway della vpn, poi comunque passa in chiaro attraverso una rete che è insicura per definizione.
In sostanza sposti il problema, ma non lo risolvi
L'adozione del protocollo https invece è una soluzione strutturale, ecco perchè è quella preferibile.

oh grazie non so di informatica fino a queste cose
io al massimo modifico registri e costruisco macchine

mi confermi quindi che in viaggio la vpn è un ottima soluzione per collegarsi ai vari wi fi di ostelli etc etc
che ne so per pagare booking.com etc
io uso tra l altro poi spesso la connessione con temviewer a macchina in italia dove ce linux e da li uso paypal etc etc.. (se le velocita me lo consentono...)
questo come lo vedi?

[Piedone1113]

Quote:

Originariamente inviato da Tasslehoff

Sono anni che periodicamente tutti gli assessment di sicurezza danno risultati a dir poco allarmanti sulle app mobile.

Per prima cosa l'autenticazione multifattore non è implementata ovunque e non è certo obbligatoria (ci sarebbe molto da discutere nel dettaglio anche su questa comunque).
In secondo luogo tu pensi che il fatto che una app sia distribuita tramite i canali ufficiali la renda sicura a prescindere?
Basta un pc con Wireshark, un hub e un access point per sniffare tutto il traffico di uno smartphone e rendersi conto della quantità industriale di traffico che passa in chiaro.

App sicure?
Di sicuro c'è solo la morte, bello mio.
Semplicemente si sta intorbidendo l'acqua solo per creare falsa sicurezza.
La puntatina alle app non era definita come:
app>wifi>servizio
Piuttosto come:
App>umts>servizio.

Accedere ad una rete libera e/o non sicura ( vale anche per i millemila modem router domestici e non solo) espone di fatto ad una miriade di vulnerabilità che inficiano la sicurezza dello stesso protocollo https ( sicuro fin quando non si scoprono falle nelle deverse implementazioni, e famoso è stato il bug su OpenSSL che rendeva vittime i server di destinazione).
Oppure ci siamo dimenticati di tutti i certificati che ogni tanto vengono trafugati o flsificati?
Semplicemente per i dati sensibili ( e per dato sensibile intendo tutto quello che mi riguarda, compresi i miei gusti musicali) sono sicuri solo quelli che non mostriamo.
Quello che dico è che con sta voglia di https ( da verificare la reale ricaduta positiva) si instaurerà una falsa sicurezza nell'utente poco famigliare con l'argomento ( ed a quando vedo ci sono diversi sysadmin tra loro).
Purtroppo una vpn e https ti garantiscono sufficiente sicurezza se l'utilizzatore è anche il proprietario dei due punti ( un organizzazione multisede).
Ma se clono il sito sella.it ( pe) sul dominio da me registrato sella.one o su sellla.it o sela.it (ecc) la falsa sicurezza dell'https mieterà molte vittime prima che la gente capisca che https non è sinonimo di sicurezza ma connessione criptata tra due punti (del quale non saprai mai se dall'altra parte ci sia con certezza chi ti aspetti)

[BrightSoul]

Quote:

Originariamente inviato da Donagh

oh grazie non so di informatica fino a queste cose
io al massimo modifico registri e costruisco macchine

mi confermi quindi che in viaggio la vpn è un ottima soluzione per collegarsi ai vari wi fi di ostelli etc etc
che ne so per pagare booking.com etc

È sufficiente HTTPS. Quando digiti l'indirizzo di un sito assicurati di digitare anche https:// in modo che anche la primissima richiesta avvenga in maniera sicura. Questo accorgimento diventerà non necessario col tempo, quando si diffonderà l'uso della HSTS preload list gestita da Chromium e riutilizzata anche dagli altri browser.
Poi fai caso agli avvisi del browser: se ti dice che il sito non è sicuro, smetti immediatamente di navigare.
Inoltre vai nelle impostazioni del tuo browser e verifica che i protocolli SSL 3.0 e TLS 1.0 siano disabilitati. Qui trovi scritto come fare:
https://www.ssl.com/how-to/turn-off-...-your-browser/

Fatto questo sei a posto, non occorre alcuna VPN.
Se no passa il messaggio che HTTPS di per sé non è sufficiente.

Quote:

Originariamente inviato da Donagh

io uso tra l altro poi spesso la connessione con temviewer a macchina in italia dove ce linux e da li uso paypal etc etc.. (se le velocita me lo consentono...)
questo come lo vedi?

Lo puoi fare ma non aggiunge nulla alla sicurezza se segui i consigli di cui sopra. Anzi, in questo modo fai passare il traffico per i server di Teamviewer e sei tu stesso che aggiungi un intermediario alla comunicazione quando sarebbe meglio evitarlo.

Usa sempre dispositivi tuoi e non quelli che trovi nella hall degli hotel o agli internet café, che potrebbero avere dei keylogger installati.

[Donagh]

Quote:

Originariamente inviato da BrightSoul

Usa sempre dispositivi tuoi e non quelli che trovi nella hall degli hotel o agli internet café, che potrebbero avere dei keylogger installati.

sai come ho risolto? riavvio i pc che trovo in giro con la mia pendrive linux e faccio il boot da li.. ogni tanto mi guardano storto...

[Wikkle]

Quote:

Originariamente inviato da BrightSoul

Io sono uno sviluppatore web di professione e lo uso anche su IIS a manetta. Tu che lavoro fai?

Idem, e non solo.
Però per i clienti che richiedono sicurezza aggiuntiva preferisco affidarmi a servizi a pagamento (fatturando al cliente il di più).

Senza far gara a chi ne sa di più… ti chiedo se tu usi let's ecnrypt su iis, con cosa lo usi?
Perché tempo fa mi ero informato e su iis in effetti non funzionava benissimo quindi abbandonato per scelta, magari ora le cose sono cambiate. Hai consigli?

[Wikkle]

Quote:

Originariamente inviato da BrightSoul

fai passare il traffico per i server di Teamviewer

Questo è una pessima cosa... in molti non lo sanno e si affidano tranquillamente a TW senza sapere che tutto ciò che fanno passa completamente dai loro server.

[Davis5]

Prima hanno costretto tutti a comprare certificati ssl spendendo anche cifre importanti per avere l'Extended validation per avere il nome verde accanto al lucchetto... e adesso tolgono tutto?

per i distratti let's encrypt e' solo macchinoso da usare... ma una volta ottenuto il certificato, gira su qualsiasi server... non ci sono vincoli linux-windows.

chi vuole EV invece deve comunque spendere... non basta let's encrypt

[Wikkle]

Quote:

Originariamente inviato da Davis5

Prima hanno costretto tutti a comprare certificati ssl spendendo anche cifre importanti per avere l'Extended validation per avere il nome verde accanto al lucchetto... e adesso tolgono tutto?

per i distratti let's encrypt e' solo macchinoso da usare... ma una volta ottenuto il certificato, gira su qualsiasi server... non ci sono vincoli linux-windows.

chi vuole EV invece deve comunque spendere... non basta let's encrypt

Chi? Google intendi? Si, ha fatto terrore psicologico per rivendere i certificati della azienda con cui collaborava… ora ha capito che si rischiava grosso, e ha ammorbidito la faccenda togliendo il lucchetto e scritta

In pochi la sanno questa furbata..

[andrew04]

Quote:

Originariamente inviato da Wikkle

Ah ah,... han capito che facendo i furbetti poi rischiavano, eh?

Per chi non fosse aggiornato sulla faccenda spieghiamo meglio:
google ha inserito la scritta NON SICURO per creare allarmismi spesso inutili, verso i semplici siti non in https (magari siti statici semplici dove non passavano dati sensibili).


Mentre creava allarmismo, allo stesso tempo promuoveva una sua azienda che vendeva certificati. Un caso????

Quote:

Originariamente inviato da Wikkle

Chi? Google intendi? Si, ha fatto terrore psicologico per rivendere i certificati della azienda con cui collaborava… ora ha capito che si rischiava grosso, e ha ammorbidito la faccenda togliendo il lucchetto e scritta

In pochi la sanno questa furbata..

Credo tu non abbia compreso bene la notizia ... il "non sicuro" sui siti HTTP rimane, semplicemente viene tolto il "sicuro" ed in futuro il lucchetto sui siti HTTPS

(Per informazione: l'azienda con cui collaborava sarebbe...? E dove l'avrebbe promossa?)

[Wikkle]

Quote:

Originariamente inviato da andrew04

Credo tu non abbia compreso bene la notizia ... il "non sicuro" sui siti HTTP rimane, semplicemente viene tolto il "sicuro" ed in futuro il lucchetto sui siti HTTPS

(Per informazione: l'azienda con cui collaborava sarebbe...? E dove l'avrebbe promossa?)

Hai ragione, la scritta non sicuro resta

Comunque l'azienda è (o era) questa https://www.ssls.com/

Nulla di ufficiale, ma quando da chrome cliccavi su "non sicuro", dava il consiglio di prendere il certificato e mettevano proprio il link a quel sito (che tra l'altro è fatto in stile siti di google).

Qualcosa avrò voluto dire, no?

[BrightSoul]

Quote:

Originariamente inviato da Wikkle

Perché tempo fa mi ero informato e su iis in effetti non funzionava benissimo quindi abbandonato per scelta, magari ora le cose sono cambiate. Hai consigli?

Uso win-acme (anche chiamato letsencrypt-win-simple). È vero che a volte possono verificarsi problemi nell'ottenimento del certificato ma non dipendono dal tool ma da IIS stesso o dall'applicazione. Il tool posiziona un file statico senza estensione in una sottodirectory della root del sito IIS e poi il server di Let's Encrypt prova a raggiungere quel file dall'esterno usando il suo URL http. Se ci riesce, è la prova che chi ha iniziato la procedura è il legittimo proprietario del sito in quanto quell'hostname si risolve con l'ip di quella macchina.
A volte però la richiesta al file statico non va a buon fine perché in IIS non è stato abilitato l'extensionless handler. Il tool ti dice nel suo output come risolvere il problema ma trovi la procedura per abilitarlo anche in questo articolo, tra i commenti.
https://weblog.west-wind.com/posts/2...IIS-on-Windows

Se l'applicazione è ASP.NET Core è leggermente più ostico perché i contenuti statici devono essere inseriti all'interno della directory wwwroot, anziché nella root del sito IIS. Il file statico di Let's Encrypt, quindi, diventa irraggiungibile perché IIS normalmente passa tutto il traffico all'applicazione. C'è modo di risolvere anche questo, come vedi qui.
https://weblog.west-wind.com/posts/2...T-Core-and-IIS
Se incontri problemi particolari non coperti nei due articoli, vieni a postare su Aspitalia e vediamo che si può fare.

[Wikkle]

Quote:

Originariamente inviato da BrightSoul

Uso win-acme (anche chiamato letsencrypt-win-simple). È vero che a volte possono verificarsi problemi nell'ottenimento del certificato ma non dipendono dal tool ma da IIS stesso o dall'applicazione. Il tool posiziona un file statico senza estensione in una sottodirectory della root del sito IIS e poi il server di Let's Encrypt prova a raggiungere quel file dall'esterno usando il suo URL http. Se ci riesce, è la prova che chi ha iniziato la procedura è il legittimo proprietario del sito in quanto quell'hostname si risolve con l'ip di quella macchina.
A volte però la richiesta al file statico non va a buon fine perché in IIS non è stato abilitato l'extensionless handler. Il tool ti dice nel suo output come risolvere il problema ma trovi la procedura per abilitarlo anche in questo articolo, tra i commenti.
https://weblog.west-wind.com/posts/2...IIS-on-Windows

Se l'applicazione è ASP.NET Core è leggermente più ostico perché i contenuti statici devono essere inseriti all'interno della directory wwwroot, anziché nella root del sito IIS. Il file statico di Let's Encrypt, quindi, diventa irraggiungibile perché IIS normalmente passa tutto il traffico all'applicazione. C'è modo di risolvere anche questo, come vedi qui.
https://weblog.west-wind.com/posts/2...T-Core-and-IIS
Se incontri problemi particolari non coperti nei due articoli, vieni a postare su Aspitalia e vediamo che si può fare.

Ti ringrazio molto per la spiegazione chiara. Farò le dovute prove, perché purtroppo questa cosa và risolta.

[andrew04]

Quote:

Originariamente inviato da Wikkle

Hai ragione, la scritta non sicuro resta

Comunque l'azienda è (o era) questa https://www.ssls.com/

Nulla di ufficiale, ma quando da chrome cliccavi su "non sicuro", dava il consiglio di prendere il certificato e mettevano proprio il link a quel sito (che tra l'altro è fatto in stile siti di google).

Qualcosa avrò voluto dire, no?

Personalmente non ho mai notato la dicitura (ma potrei non averci fatto caso) né ho mai letto nulla in giro a riguardo (ed ho provveduto a cercare meglio ora), ma in ogni caso non credo collabori con l'azienda in questione...

Anche perché se poi voleva fare la scorrettezza promuoveva Google Domains che era il suo, inoltre nel suo post sul blog promuove proprio Let's Encrypt

Dulcis in fundo, mi pare strano ed inverosimile che consiglino nella barra degli indirizzi di utilizzare un certificato da uno specifico sito, in quanto è lo sviluppatore che deve installare il certificato non l'utente che visita il sito... che tu gli fai avere quel messaggio a tutta l'utenza ... a che pro? Che se lo compra l'utente e glielo installa al sito?

E per far arrivare agli sviluppatori/amministratori tale messaggio potevano utilizzare tranquillamente Google Search Console, senza scomodare l'interfaccia di Google Chrome

p.s.
E no, decisamente non è nello stile di Google il sito in questione, basta che vedi Google Domains stesso o anche Adwords per vedere lo stile di google

[Wikkle]

Quote:

Originariamente inviato da andrew04

Personalmente non ho mai notato la dicitura (ma potrei non averci fatto caso) né ho mai letto nulla in giro a riguardo (ed ho provveduto a cercare meglio ora), ma in ogni caso non credo collabori con l'azienda in questione...

La questione infatti non era evidente… ma se da chrome + avviso "non sicuro" si arrivava al sito che ti ho detto (tra tutte le aziende che vendono certificati) un qualcosa di collegato tra loro c'era. Non credi?


Ora non ho avuto modo di approfondire, ma qualche mese fa era proprio così.

[andrew04]

Quote:

Originariamente inviato da Wikkle

La questione infatti non era evidente… ma se da chrome + avviso "non sicuro" si arrivava al sito che ti ho detto (tra tutte le aziende che vendono certificati) un qualcosa di collegato tra loro c'era. Non credi?


Ora non ho avuto modo di approfondire, ma qualche mese fa era proprio così.

No, non credo assolutamente che fossero collegati

Sei praticamente l'unico a cui è uscito collegamento a tale sito... sono molto più propenso ad una interferenza di terze parti (qualche estensione, antivirus o qualcosa del genere)

[Tasslehoff]

Quote:

Originariamente inviato da Piedone1113

SNIP

Quello che dico è che con sta voglia di https ( da verificare la reale ricaduta positiva) si instaurerà una falsa sicurezza nell'utente poco famigliare con l'argomento ( ed a quando vedo ci sono diversi sysadmin tra loro).
Purtroppo una vpn e https ti garantiscono sufficiente sicurezza se l'utilizzatore è anche il proprietario dei due punti ( un organizzazione multisede).
Ma se clono il sito sella.it ( pe) sul dominio da me registrato sella.one o su sellla.it o sela.it (ecc) la falsa sicurezza dell'https mieterà molte vittime prima che la gente capisca che https non è sinonimo di sicurezza ma connessione criptata tra due punti (del quale non saprai mai se dall'altra parte ci sia con certezza chi ti aspetti)

Aspetta però, stiamo parlando di due cose differenti.

Un conto sono i benefici reali, tangibili e indiscutibili dell'adozione del protocollo https (mitm, performance e quant'altro), dall'altro la percezione dell'utente di questi benefici.
Tu sei convinto realmente che l'utente "della strada" sia più tranquillo solo perchè vede un lucchetto verde sul browser?
La mia esperienza è che l'utente "della strada" non fa nemmeno caso alla barra degli indirizzi del browser, figuriamoci il lucchetto o altre sofisticazioni (es EV, mixed content, hostname corretto etc etc...).

A me francamente della percezione della sicurezza dell'utente finale interessa poco, ma per il semplice fatto che è una variabile che non posso controllare.
L'utente inconsapevole resterà sempre e comunque impermeabile a qualsiasi tipo di considerazione sulla sicurezza, non si pone nemmeno il problema della sicurezza o anche solo della sua percezione.
Tecnicamente preferisco concentrarmi su quello che posso gestire, ovvero adozione del protocollo, hardening del webserver e tutto quello che è tecnicamente fattibile per ridurre il rischio proprio di quegli utenti che ignorano tutto questo.

Altro che "intorbidire le acque", finalmente si sta uscendo da una condizione ibrida che tecnicamente non solo ha creato un sacco di problemi e costi, ma anche creato confusione negli utenti.
Pensa anche soltanto a quanto è costato in termini di giornate/uomo supportare due protocolli, gestire i casi ibridi (mixed content), riscrivere il protocollo per alcune risorse e non riscriverlo per altre e tante altre casistiche che chiunque abbia lavorato un po' sul web conosce fin troppo bene.
Dal mio punto di vista ben venga l'adozione del protocollo https sempre e comunque a prescindere, un solo protocollo e zero casistiche ibride; tecnicamente i benefici sono incontestabili, per tutto il resto basta anche solo l'eliminazione dello stato "ibrido" in cui viviamo da anni per giustificare i costi (che come possiamo osservare si stanno gradualmente riducendo fino ad arrivare a zero nel prossimo futuro).

[Piedone1113]

Quote:

Originariamente inviato da Tasslehoff

Aspetta però, stiamo parlando di due cose differenti.

Un conto sono i benefici reali, tangibili e indiscutibili dell'adozione del protocollo https (mitm, performance e quant'altro), dall'altro la percezione dell'utente di questi benefici.
Tu sei convinto realmente che l'utente "della strada" sia più tranquillo solo perchè vede un lucchetto verde sul browser?
La mia esperienza è che l'utente "della strada" non fa nemmeno caso alla barra degli indirizzi del browser, figuriamoci il lucchetto o altre sofisticazioni (es EV, mixed content, hostname corretto etc etc...).

A me francamente della percezione della sicurezza dell'utente finale interessa poco, ma per il semplice fatto che è una variabile che non posso controllare.
L'utente inconsapevole resterà sempre e comunque impermeabile a qualsiasi tipo di considerazione sulla sicurezza, non si pone nemmeno il problema della sicurezza o anche solo della sua percezione.
Tecnicamente preferisco concentrarmi su quello che posso gestire, ovvero adozione del protocollo, hardening del webserver e tutto quello che è tecnicamente fattibile per ridurre il rischio proprio di quegli utenti che ignorano tutto questo.

Altro che "intorbidire le acque", finalmente si sta uscendo da una condizione ibrida che tecnicamente non solo ha creato un sacco di problemi e costi, ma anche creato confusione negli utenti.
Pensa anche soltanto a quanto è costato in termini di giornate/uomo supportare due protocolli, gestire i casi ibridi (mixed content), riscrivere il protocollo per alcune risorse e non riscriverlo per altre e tante altre casistiche che chiunque abbia lavorato un po' sul web conosce fin troppo bene.
Dal mio punto di vista ben venga l'adozione del protocollo https sempre e comunque a prescindere, un solo protocollo e zero casistiche ibride; tecnicamente i benefici sono incontestabili, per tutto il resto basta anche solo l'eliminazione dello stato "ibrido" in cui viviamo da anni per giustificare i costi (che come possiamo osservare si stanno gradualmente riducendo fino ad arrivare a zero nel prossimo futuro).

Ho conosciuto uno in una concessionaria VW diversi anni fa che:
Pensa un pò, ero in tangenziale ( a Bari), piovigginava un poco, si va be andavo a 180, ma in un curvone la macchina non mi va a sbattere contro il guard rail!
Ma allora che caxxo gli ho pagati a fare abs ed esp come optional se lo stesso vai a sbattere?

oppure gente che bellamente ignora gli avvisi di esecuzione degli antivirus ( ed alcune volte lo disattivano proprio perchè rompe) e poi ti chiedono:
ho preso un virus, ma allora a che serve l'antivirus che ho comprato?

Se poi lato sviluppatore passare in toto ad https può risultare utile non è facendo terrorismo psicologico sugli utenti che lo si ottiene:
Bastava dare una data dove i risultati sui siti non https non venivano mostrati e indicizatti sulle ricerche:
L'utente sarebbe risultato trasparente alla questione ( e non confuso tra sicuro, non sicuro oppure non so) mentre i siti molto rapidamente sarebbero diventati https ( o sbaglio?)