Google, da settembre niente più indicatore Sicuro per i siti HTTPS
Google sta per cambiare qualcuno degli indicatori visivi di Chrome, tra cui quello che conferma l'attendibilità dei siti HTTPS
di Rosario Grasso pubblicata il 18 Maggio 2018, alle 15:41 nel canale WebGoogleChrome
Google cambierà le indicazioni visive dell'interfaccia di Chrome per i siti HTTPS a partire dal prossimo mese di settembre. Nello specifico non apparirà più la scritta in verde "Sicuro" che appare nella barra degli indirizzi dell'attuale versione di Chrome.
Da ottobre, se con Chrome 70 si visiterà un sito privo di certificazione HTTPS il web browser visualizzerà la scritta rossa "Non sicuro". Quindi, si tratta di un approccio alla rovescia rispetto all'attuale.
Come noto, HTTPS è un protocollo per la comunicazione sicura che rappresenta un'estensione del tradizionale HTTP. È stato introdotto al fine di rendere più difficile la vita a quei malintenzionati che vogliono spiare i pacchetti di dati inviati e ricevuti tramite il browser. HTTPS consiste, pertanto, nella comunicazione tramite il protocollo HTTP all'interno di una connessione criptata dal Transport Layer Security (TLS).
Perché questo cambiamento? Secondo Google "gli utenti devono considerare il web un posto sicuro per impostazione predefinita". Invece della rimozione completa dell'indicazione, gli utenti possono comunque essere informati sulla sicurezza del sito che stanno navigando in maniera più minimalistica.
Secondo Google, HTTPS è sempre più economico e facile da integrare. Per cui tutti i gestori di siti web che non hanno ancora completato il passaggio farebbero bene a farlo entro settembre.
39 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infose ti logghi sul sito allora parli in https come è ovvio che sia
ma anche no...
se tu arrivi su un sito classificato non sicuro e ti logghi con delle credenziali per entrare in modalità sicura non è affatto corretto che sia così.
il sito deve risultare sicuro PRIMA di dover inserire le credenziali... altrimenti rischieresti di inserire le tue credenziali anche su siti creati di proposito per il phishing...
Per chi non fosse aggiornato sulla faccenda spieghiamo meglio:
google ha inserito la scritta NON SICURO per creare allarmismi spesso inutili, verso i semplici siti non in https (magari siti statici semplici dove non passavano dati sensibili).
Mentre creava allarmismo, allo stesso tempo promuoveva una sua azienda che vendeva certificati. Un caso????
ma anche no...
se tu arrivi su un sito classificato non sicuro e ti logghi con delle credenziali per entrare in modalità sicura non è affatto corretto che sia così.
il sito deve risultare sicuro PRIMA di dover inserire le credenziali... altrimenti rischieresti di inserire le tue credenziali anche su siti creati di proposito per il phishing...
Veramente no, i meccanismi di sicurezza dipendono dalla uri che si usa per il login, il fatto che la pagina di landing sia anch'essa su https è solo un espediente psicologico per non spaventare gli utenti che non lo sanno.
C'è anche cPanel che vende certificati e li da a tutti i loro clienti, quindi i certificati oramai sono disponibili a chiunque.
Però la cosa non mi piace perché in questo modo Internet è stata centralizzata anche se solo per un aspetto.
I certificati si ottengono gratuitamente con Let's Encrypt. Non esiste più nessun motivo per mantenere un sito su HTTP. Condivido pienamente l'approccio di Google e spero che anche gli altri browser seguano l'esempio.
Vedrai quante truffe ci saranno con siti contraffatti sicuri per google perchè certificati.
Ma davvero credi che un semplice certificato possa rendere il web più sicuro?
Secondo la mia opinione la gente si sentirà sicura e farà caxxate.
Un motivo in più per rimuovere la dicitura "Sicuro" e segnalare invece come "Non sicuri" i siti che non adottano alcuna protezione a livello di trasporto.
Certo, serve a ridurre drasticamente gli attacchi man-in-the-middle, ovvero gente che sniffa il tuo traffico mentre stai usando la Wifi aperta dell'hotel o dell'aeroporto.
Poi, è ovvio, se l'utente vuole mettere la sua carta di credito in un sito di phishing, la sola presenza di un certificato non glielo impedirà di sicuro.
C'è anche cPanel che vende certificati e li da a tutti i loro clienti, quindi i certificati oramai sono disponibili a chiunque.
Hai detto bene, VENDE. Di autorità che vendono certificati ce ne sono a bizzeffe. E quindi?
Evidentemente non sei molto informato sullo sviluppo web, perchè è vero che Let's Encrypt esiste ed è gratuito, ma funziona a dovere solo su linux. E i server non sono solo linux, anzi...
Di motivi per avere un sito in http ce ne sono e parecchi, in primis i miliardi di siti statici che non passano 1 sola informazione sensibile e ciò nonostante sono marchiati come NON SICURI, spavenatando inutilmente gli utenti poco esperti.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".