Google attiva la cifratura HSTS sui propri domini

Google attiva la cifratura HSTS sui propri domini

Un nuovo livello di sicurezza è appena stato implementato sul dominio Google.com, con il roll-out che verrà concluso a breve anche sui domini internazionali

di pubblicata il , alle 13:01 nel canale Web
Google
 

Google ha iniziato il roll-out del protocollo HTTP Strict Transport Security, abbreviato in HSTS, sui suoi domini. Si tratta di un'implementazione rivolta al miglioramento della sicurezza in fase di navigazione. HSTS forza i browser ad aggiornare connessioni non sicure basate su HTTP a connessioni HTTPS protette da crittografia. Google stimava di completare la procedura negli ultimi mesi dello scorso anno, ma l'operazione è stata rallentata da problematiche di natura tecnica.

"Solitamente l'implementazione di HSTS è un processo relativamente basilare. Tuttavia, viste le particolari complessità di Google abbiamo avuto bisogno di un lavoro aggiuntivo di preparazione solitamente non necessario su altri domini", scrive Jay Brown sul blog Google ufficiale. "Abbiamo ad esempio dovuto affrontare contenuti di diversa tipologia, HREF non funzionanti, redirect verso HTTP, ed altre problematiche come l'aggiornamento di servizi legacy che avrebbero potuto causare problemi a chi avesse voluto cercare di accedere al nostro dominio principale".

HSTS è una misura di sicurezza che può scongiurare diverse tipologie di vulnerabilità: ad esempio è in grado di proteggere gli utenti dai cosiddetti attacchi "man-in-the-middle" con tecnica di SSL-stripping. Questo attacco converte una connessione protetta in connessione HTTP in chiaro. L'utente può verificare la mancata protezione crittografica, ma non può sapere se a priori il sito facesse uso della tecnologia se non conoscendolo. In un caso simile può venire in soccorso HSTS, così come nel tentativo di furto di credenziali via cookie HTTP.

Al momento in cui scriviamo il protocollo HSTS è attivo solamente sul dominio "google.com", ma la società ha già pianificato il roll-out internazionale che verrà completato il più in fretta possibile. "Proteggere i dati in transito con la crittografia aiuta a mantenere i nostri utenti e i loro dati al sicuro", scrive infine la società. "Stiamo entusiasti di implementare HSTS e continueremo ad estendere il protocollo a domini aggiuntivi e ad altri prodotti Google nei prossimi mesi".

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^