Google, da settembre niente più indicatore Sicuro per i siti HTTPS

Troppi csi ncis.
Davvero credi che ancora ci sia gente che che in aereoporto o hotel si mette a dare dati in giro?
ormai tutti hanno app su cell per fare di tutto, e le transazioni sono a doppia verifica.
Poi se vai su siti dubbi per dubbi motivi il certificato o la dicitura poco sicuro è utile come un congelatore al polo nord

momento… spiega, spiega

Beh infatti ci sono tonnellate di siti statici di pura informazione che non vedo perchè debbano essere su HTTPS..

Probabilmente è stato un caso isolato, ma è già successo che nelle connessioni http sul wifi di un aereo veniva iniettata pubblicità nelle pagine.

Quando leggo commenti come quelli di piedone capisco che continuerò a fare il mio lavoro per molti anni a venire... grazie

Attenzione ad un dettaglio che in realtà è fondamentale.
Dal punto di vista del protocollo utilizzato per la comunicazione, una form non è "sicura" solo perchè la action punta ad una url raggiungibile con protocollo https.
Come giustamente fatto notare da GM Phobos anche la form stessa DEVE essere esposta in https, in caso contrario si presta a tutta una serie di manomissioni, ad esempio modifica alla url della action per puntare ad altro e raccogliere i dati di login.
Improbabile? Impossibile? Non direi, pensa anche soltanto ad un accesso wifi libero, basta entrare in una bar o un ristorante con un raspberry pi che agisce da rogue spot e proxy e aspettare che la gente si attacchi con ogni dispositivo per spazzolare credenziali.
Non serve essere geni o avere chissà quali software per farlo, solo un minimo di skill e la volontà di farlo.

Aspetta, per prima cosa Let's Encrypt non funziona solo su linux, esistono implementazioni del protocollo ACME e relativi client anche in Powershell, es https://github.com/ebekker/ACMESharp e https://github.com/PKISharp/win-acme, ergo anche su Windows si può usare Let's Encrypt direttamente.

In secondo luogo occorrono 5 minuti 5 per configurare una qualsiasi distribuzione con Apache con dei virtualhost che agiscano da reverse proxy.
Apache agisce da endpoint https e inoltra tutte le richieste verso IIS in modo da semplice e trasparente, con in più tutti i vantaggi del caso, logging che IIS si sogna, rewrite che su IIS sono impossibili o richiedono sforzi sovrumani e tanto tanto tanto altro ancora.

Ci sono persino provider e cdn (es i servizi di Cloudflare) che forniscono gratuitamente servizi di endpoint https per stimolare l'uso del protocollo https.



Una decina di anni fa sarei stato d'accordo con voi, ma oggi non più.
L'equazione "sito statico=sito sicuro, semplice e innocuo" ormai non è più vera; le esigenze del design web, dei dispositivi e le richieste dei clienti sono tali per cui ormai persino le pagine statiche di cortesia sono diventate un'accozzaglia di javascript e framework che fanno tutto e il contrario di tutto.
Ecco perchè anche il progetto più banale ormai non può fare più a meno di garantire la comunicazione tra webserver e client, e questo può essere fatto solo con il protocollo https.
I casi di siti manomessi (e non parlo di xss o sql injection eh, manomissioni avvenute e applicabili anche ai siti statici) al fine di inserire javascript malevolo per fare tutto e il contrario di tutto (incluso mining di criptomonete) sono stati tanti e tanto clamorosi da aver smontato il paradigma di cui parlavo sopra.

Un'ultima nota, leviamoci dalla testa l'idea che solo i dati "sensibili" sono critici, ormai lo sono anche i dati "personali", e l'interpretazione generale ormai è che qualsiasi dato che permette di identificare l'utente è "personale", ergo anche associazione tra IP e dettagli del client, vedi GDPR.

hai ragione

Sono anni che periodicamente tutti gli assessment di sicurezza danno risultati a dir poco allarmanti sulle app mobile.

Per prima cosa l'autenticazione multifattore non è implementata ovunque e non è certo obbligatoria (ci sarebbe molto da discutere nel dettaglio anche su questa comunque).
In secondo luogo tu pensi che il fatto che una app sia distribuita tramite i canali ufficiali la renda sicura a prescindere?
Basta un pc con Wireshark, un hub e un access point per sniffare tutto il traffico di uno smartphone e rendersi conto della quantità industriale di traffico che passa in chiaro.

basta usare la vpn in tutti i contesti dove metti dati sensibili
io mi ero abbonato a pure vpn ad esempio