Google, da settembre niente più indicatore Sicuro per i siti HTTPS

Nel caso di hotspot wifi la vpn è un ottimo strumento, però attenzione a un dettaglio: se l'applicazione comunica in chiaro, usando una vpn il dato passa cifrato tra il tuo dispositivo e il gateway della vpn, poi comunque passa in chiaro attraverso una rete che è insicura per definizione.
In sostanza sposti il problema, ma non lo risolvi
L'adozione del protocollo https invece è una soluzione strutturale, ecco perchè è quella preferibile.

Sia chiaro, questo è il requisito, poi bisogna vedere come è implementato il protocollo https, che cypher suites usa, l'hardening etc etc...
Insomma come è facile intuire è un processo complesso che implica una serie di variabili, alcune le possiamo controllare, altre no, però possiamo per lo meno verificarle ed essere coscienti per valutare costi/benefici.

Tanto per dirne una, sto lavorando per un cliente che usa un noto provider di pagamenti con carta di credito, ebbene questi dal 18 giugno disattivano l'hardshake https con protocollo TLS 1.0, benissimo... peccato che da un banalissimo test la loro configurazione del protocollo https si presti a millemila vulnerabilità e sia stata fatta con i piedi...

Io sono uno sviluppatore web di professione e lo uso anche su IIS a manetta. Tu che lavoro fai?

oh grazie non so di informatica fino a queste cose
io al massimo modifico registri e costruisco macchine

mi confermi quindi che in viaggio la vpn è un ottima soluzione per collegarsi ai vari wi fi di ostelli etc etc
che ne so per pagare booking.com etc
io uso tra l altro poi spesso la connessione con temviewer a macchina in italia dove ce linux e da li uso paypal etc etc.. (se le velocita me lo consentono...)
questo come lo vedi?

App sicure?
Di sicuro c'è solo la morte, bello mio.
Semplicemente si sta intorbidendo l'acqua solo per creare falsa sicurezza.
La puntatina alle app non era definita come:
app>wifi>servizio
Piuttosto come:
App>umts>servizio.

Accedere ad una rete libera e/o non sicura ( vale anche per i millemila modem router domestici e non solo) espone di fatto ad una miriade di vulnerabilità che inficiano la sicurezza dello stesso protocollo https ( sicuro fin quando non si scoprono falle nelle deverse implementazioni, e famoso è stato il bug su OpenSSL che rendeva vittime i server di destinazione).
Oppure ci siamo dimenticati di tutti i certificati che ogni tanto vengono trafugati o flsificati?
Semplicemente per i dati sensibili ( e per dato sensibile intendo tutto quello che mi riguarda, compresi i miei gusti musicali) sono sicuri solo quelli che non mostriamo.
Quello che dico è che con sta voglia di https ( da verificare la reale ricaduta positiva) si instaurerà una falsa sicurezza nell'utente poco famigliare con l'argomento ( ed a quando vedo ci sono diversi sysadmin tra loro).
Purtroppo una vpn e https ti garantiscono sufficiente sicurezza se l'utilizzatore è anche il proprietario dei due punti ( un organizzazione multisede).
Ma se clono il sito sella.it ( pe) sul dominio da me registrato sella.one o su sellla.it o sela.it (ecc) la falsa sicurezza dell'https mieterà molte vittime prima che la gente capisca che https non è sinonimo di sicurezza ma connessione criptata tra due punti (del quale non saprai mai se dall'altra parte ci sia con certezza chi ti aspetti)

È sufficiente HTTPS. Quando digiti l'indirizzo di un sito assicurati di digitare anche https:// in modo che anche la primissima richiesta avvenga in maniera sicura. Questo accorgimento diventerà non necessario col tempo, quando si diffonderà l'uso della HSTS preload list gestita da Chromium e riutilizzata anche dagli altri browser.
Poi fai caso agli avvisi del browser: se ti dice che il sito non è sicuro, smetti immediatamente di navigare.
Inoltre vai nelle impostazioni del tuo browser e verifica che i protocolli SSL 3.0 e TLS 1.0 siano disabilitati. Qui trovi scritto come fare:
https://www.ssl.com/how-to/turn-off-ssl-3-0-and-tls-1-0-in-your-browser/

Fatto questo sei a posto, non occorre alcuna VPN.
Se no passa il messaggio che HTTPS di per sé non è sufficiente.


Lo puoi fare ma non aggiunge nulla alla sicurezza se segui i consigli di cui sopra. Anzi, in questo modo fai passare il traffico per i server di Teamviewer e sei tu stesso che aggiungi un intermediario alla comunicazione quando sarebbe meglio evitarlo.

Usa sempre dispositivi tuoi e non quelli che trovi nella hall degli hotel o agli internet café, che potrebbero avere dei keylogger installati.

sai come ho risolto? riavvio i pc che trovo in giro con la mia pendrive linux e faccio il boot da li.. ogni tanto mi guardano storto...

Idem, e non solo.
Però per i clienti che richiedono sicurezza aggiuntiva preferisco affidarmi a servizi a pagamento (fatturando al cliente il di più.

Senza far gara a chi ne sa di più… ti chiedo se tu usi let's ecnrypt su iis, con cosa lo usi?
Perché tempo fa mi ero informato e su iis in effetti non funzionava benissimo quindi abbandonato per scelta, magari ora le cose sono cambiate. Hai consigli?

Questo è una pessima cosa... in molti non lo sanno e si affidano tranquillamente a TW senza sapere che tutto ciò che fanno passa completamente dai loro server.

Prima hanno costretto tutti a comprare certificati ssl spendendo anche cifre importanti per avere l'Extended validation per avere il nome verde accanto al lucchetto... e adesso tolgono tutto?

per i distratti let's encrypt e' solo macchinoso da usare... ma una volta ottenuto il certificato, gira su qualsiasi server... non ci sono vincoli linux-windows.

chi vuole EV invece deve comunque spendere... non basta let's encrypt

Chi? Google intendi? Si, ha fatto terrore psicologico per rivendere i certificati della azienda con cui collaborava… ora ha capito che si rischiava grosso, e ha ammorbidito la faccenda togliendo il lucchetto e scritta

In pochi la sanno questa furbata..