Google, da settembre niente più indicatore Sicuro per i siti HTTPS

Google, da settembre niente più indicatore Sicuro per i siti HTTPS

Google sta per cambiare qualcuno degli indicatori visivi di Chrome, tra cui quello che conferma l'attendibilità dei siti HTTPS

di pubblicata il , alle 15:41 nel canale Web
GoogleChrome
 

Google cambierà le indicazioni visive dell'interfaccia di Chrome per i siti HTTPS a partire dal prossimo mese di settembre. Nello specifico non apparirà più la scritta in verde "Sicuro" che appare nella barra degli indirizzi dell'attuale versione di Chrome.

Da ottobre, se con Chrome 70 si visiterà un sito privo di certificazione HTTPS il web browser visualizzerà la scritta rossa "Non sicuro". Quindi, si tratta di un approccio alla rovescia rispetto all'attuale.

Google Chrome

Come noto, HTTPS è un protocollo per la comunicazione sicura che rappresenta un'estensione del tradizionale HTTP. È stato introdotto al fine di rendere più difficile la vita a quei malintenzionati che vogliono spiare i pacchetti di dati inviati e ricevuti tramite il browser. HTTPS consiste, pertanto, nella comunicazione tramite il protocollo HTTP all'interno di una connessione criptata dal Transport Layer Security (TLS).

Perché questo cambiamento? Secondo Google "gli utenti devono considerare il web un posto sicuro per impostazione predefinita". Invece della rimozione completa dell'indicazione, gli utenti possono comunque essere informati sulla sicurezza del sito che stanno navigando in maniera più minimalistica.

Google Chrome

Secondo Google, HTTPS è sempre più economico e facile da integrare. Per cui tutti i gestori di siti web che non hanno ancora completato il passaggio farebbero bene a farlo entro settembre.

39 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
panda8418 Maggio 2018, 15:55 #1
Non sicuro come ad esempio http://www.trenitalia.com/ ?
coschizza18 Maggio 2018, 16:06 #2
Originariamente inviato da: panda84
Non sicuro come ad esempio http://www.trenitalia.com/ ?


se ti logghi sul sito allora parli in https come è ovvio che sia
GM Phobos18 Maggio 2018, 16:54 #3
@coschizza
ma anche no...
se tu arrivi su un sito classificato non sicuro e ti logghi con delle credenziali per entrare in modalità sicura non è affatto corretto che sia così.

il sito deve risultare sicuro PRIMA di dover inserire le credenziali... altrimenti rischieresti di inserire le tue credenziali anche su siti creati di proposito per il phishing...
Wikkle18 Maggio 2018, 16:55 #4
Ah ah,... han capito che facendo i furbetti poi rischiavano, eh?

Per chi non fosse aggiornato sulla faccenda spieghiamo meglio:
google ha inserito la scritta NON SICURO per creare allarmismi spesso inutili, verso i semplici siti non in https (magari siti statici semplici dove non passavano dati sensibili).


Mentre creava allarmismo, allo stesso tempo promuoveva una sua azienda che vendeva certificati. Un caso????
Crystal Dragon18 Maggio 2018, 17:27 #5
Originariamente inviato da: GM Phobos
@coschizza
ma anche no...
se tu arrivi su un sito classificato non sicuro e ti logghi con delle credenziali per entrare in modalità sicura non è affatto corretto che sia così.

il sito deve risultare sicuro PRIMA di dover inserire le credenziali... altrimenti rischieresti di inserire le tue credenziali anche su siti creati di proposito per il phishing...


Veramente no, i meccanismi di sicurezza dipendono dalla uri che si usa per il login, il fatto che la pagina di landing sia anch'essa su https è solo un espediente psicologico per non spaventare gli utenti che non lo sanno.
Sandro kensan18 Maggio 2018, 17:58 #6
@Wikkle
C'è anche cPanel che vende certificati e li da a tutti i loro clienti, quindi i certificati oramai sono disponibili a chiunque.

Però la cosa non mi piace perché in questo modo Internet è stata centralizzata anche se solo per un aspetto.
BrightSoul18 Maggio 2018, 18:27 #7
Originariamente inviato da: Wikkle
Mentre creava allarmismo, allo stesso tempo promuoveva una sua azienda che vendeva certificati. Un caso????

I certificati si ottengono gratuitamente con Let's Encrypt. Non esiste più nessun motivo per mantenere un sito su HTTP. Condivido pienamente l'approccio di Google e spero che anche gli altri browser seguano l'esempio.
Piedone111318 Maggio 2018, 19:19 #8
Originariamente inviato da: BrightSoul
I certificati si ottengono gratuitamente con Let's Encrypt. Non esiste più nessun motivo per mantenere un sito su HTTP. Condivido pienamente l'approccio di Google e spero che anche gli altri browser seguano l'esempio.


Vedrai quante truffe ci saranno con siti contraffatti sicuri per google perchè certificati.
Ma davvero credi che un semplice certificato possa rendere il web più sicuro?
Secondo la mia opinione la gente si sentirà sicura e farà caxxate.
BrightSoul18 Maggio 2018, 20:45 #9
Originariamente inviato da: Piedone1113
Secondo la mia opinione la gente si sentirà sicura e farà caxxate.

Un motivo in più per rimuovere la dicitura "Sicuro" e segnalare invece come "Non sicuri" i siti che non adottano alcuna protezione a livello di trasporto.

Originariamente inviato da: Piedone1113
Ma davvero credi che un semplice certificato possa rendere il web più sicuro?

Certo, serve a ridurre drasticamente gli attacchi man-in-the-middle, ovvero gente che sniffa il tuo traffico mentre stai usando la Wifi aperta dell'hotel o dell'aeroporto.
Poi, è ovvio, se l'utente vuole mettere la sua carta di credito in un sito di phishing, la sola presenza di un certificato non glielo impedirà di sicuro.
Wikkle18 Maggio 2018, 21:57 #10
Originariamente inviato da: Sandro kensan
@Wikkle
C'è anche cPanel che vende certificati e li da a tutti i loro clienti, quindi i certificati oramai sono disponibili a chiunque.


Hai detto bene, VENDE. Di autorità che vendono certificati ce ne sono a bizzeffe. E quindi?

Originariamente inviato da: BrightSoul
I certificati si ottengono gratuitamente con Let's Encrypt. Non esiste più nessun motivo per mantenere un sito su HTTP. Condivido pienamente l'approccio di Google e spero che anche gli altri browser seguano l'esempio.


Evidentemente non sei molto informato sullo sviluppo web, perchè è vero che Let's Encrypt esiste ed è gratuito, ma funziona a dovere solo su linux. E i server non sono solo linux, anzi...

Di motivi per avere un sito in http ce ne sono e parecchi, in primis i miliardi di siti statici che non passano 1 sola informazione sensibile e ciò nonostante sono marchiati come NON SICURI, spavenatando inutilmente gli utenti poco esperti.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^