Testata

Blocco dei contenuti non sicuri delle pagine web





1

Che cos'è il piccolo lucchetto presente nella barra di navigazione di Firefox, a sinistra dell'URL ?

E' un'icona che informa l'utente sul protocollo di trasferimento dati in uso nella pagina-web visualizzata : HTTP [ 1 ], HTTPS [ 2 ], misto ( alcuni contenuti sono in chiaro, altri cifrati ).
La pagina pagina di supporto in lingua italiana spiega le varie declinazioni dell'icona : [ 3 ].







2

Cliccando sul lucchetto, si ottengono le informazioni sulla certificazione di sicurezza del sito : il certificato di sicurezza di un sito-web aiuta Firefox a determinare se il sito che si sta visitando per mezzo di trasmissione cifrata dei dati sia proprio il sito che dichiara di essere [ 4 ].
Il certificato digitale è un documento elettronico che attesta l'associazione univoca tra una chiave pubblica e l'identità di un soggetto ( una persona, una società, un computer ... altro ) che dichiara di utilizzarla nell'ambito delle procedure di cifratura asimmetrica e/o autenticazione tramite firma digitale [ 5 ]. Il certificato viene rilasciato da un'autorità certificativa ( certificate authority ) che di solito è un ente di terza parte [ 6 ].

3

Il lucchetto verde è il simbolo convenzionale che indica una connessione sicura al server.
Delle declinazioni in Google Chrome se ne parla in questa pagina della Guida : [ 7 ].
La Guida di Opera dedica alcune pagine all'argomento Sicurezza e privacy : [ 8 , 9 ... ].

Bookmark and Share

8 commenti:

  1. Il titolo del post secondo me è improprio.

    La cifratura serve solo a rendere illeggibile il traffico tra il nostro browser e il server a cui chiediamo la pagina in questione rispetto ad un osservatore esterno che si frapponga tra le due estremità della connessione.

    La cifratura non blocca niente e non garantisce la "sicurezza" di niente. Fornisce un incremento della "privacy" rispetto al fatto che l'entità ostile vede che noi contattiamo il server tale ma non vede quali contenuti passano.

    Inoltre, le restrizioni imposte dalla cifratura alle pagine fornite dal server in qualche maniera obbligano la "coerenza" dei contenuti, nel senso che il gestore del sito è "responsabile" meccanicamente dei contenuti che pubblica (dato che quelli esterni non sono criptati quindi la pagina non viene marcata come "verde"). Non che serva a molto, Siti come quello del Corriere non avranno mai questa opzione visto che dentro ci sono pinguini e cammelli impagliati.

    RispondiElimina
    Risposte
    1. Preciso: il rischio per la "sicurezza" legato specificamente ai siti Web è principalmente legato alla abitudine di includere nelle pagine librerie JS esterne che vengono caricate da server non gestiti dalla stessa persona che gestisce il sito in questione. Un caso tipico è quello delle agenzie pubblicitarie a cui viene affittato uno "spazio" dentro la pagina con la facoltà di metterci qualsiasi cosa, cioè un blocco di codice qualsiasi (non banalmente una immagine).

      Il browser esegue questo codice "esterno/remoto" quando carica la pagina o quando l'utente compie una azione che scatena un "evento". Siccome l'utente Windows di solito è rutto e siccome il browser ha pieno accesso al sistema, cioè può leggere/scrivere ovunque e comunque, il codice remoto ha la facoltà di fare qualsiasi cosa, dallo scandagliare il disco alla ricerca di informazioni all'installare un programma malevolo.

      Criptare la connessione col server non cambia nulla se non che le pagine che contengono oggetti esterni non sono criptate, quindi sono segnalate come "insicure". Capirai, cosa fa l'utente, considerato che sono la maggior parte dei siti Web?

      Il difetto è fondamentale ed è inerente sia al design del sistema operativo che al design del browser. Prego notare che i browser multi-processo alleviano questo problema facendo in modo che solo il processo "padre" sia autorizzato ad accedere al disco e solo a determinate condizioni. Significa che il contenuto remoto viene eseguito nel processo "figlio" e in qualche maniera è "limitato", anche se secondo me significa solo che chi mette a punto l'attacco deve studiare bene i meccanismi di comunicazione interni tra i processi, non che l'attacco sia infattibile.

      Elimina
    2. Siti come quello del Corriere non avranno mai questa opzione visto che dentro ci sono pinguini e cammelli impagliati [ ... ] il rischio per la "sicurezza" legato specificamente ai siti Web è principalmente legato alla abitudine di includere nelle pagine librerie JS esterne che vengono caricate da server non gestiti dalla stessa persona che gestisce il sito in questione.

      La maledetta pubblicità, che veicola il codice di [ profilatura degli utenti ].
      In un mondo migliore, i siti d'informazione come quello del [ Corriere della Sera ] dovrebbero esserne privi - ma qui, dovremmo ragionare su cos'è e com'è prodotta l'informazione oggi - e rendere accessibili le pagine solo ai titolari di abbonamento on-line.
      E i soggetti titolari dei siti dovrebbero essere pienamente responsabili di quanto viene veicolato attraverso i server affittati o di proprietà.

      Anche questo questo blog viene trasmesso con una connessione non sicura ma non dobbiamo inserire ID e PIN del nostro home banking o della carta di credito in queste pagine ...
      bisogna soppesare anche il tipo di ambiente che si sta frequentando.

      Credo che l'esplicitazione dei problemi di sicurezza all'utente medio sia doverosa e opportuna ( sai, tante volte mi hanno chiesto : “Ma che cos'è quel piccolo lucchetto ?” ) come pure le chiacchiere sull'argomento ...
      vedi anche questo post e note di Lorenzo nei commenti.

      :)

      Elimina
    3. Il problema è sempre lo stesso, l'esecuzione di codice "arbitrario" con i permessi di root.

      Vedi qui:
      http://blog.dasient.com/2010/06/third-party-javascript-widget.html

      Elimina
    4. Ironicamente, prego notare la mole di spam con link perniciosi che segue nei commenti.

      Elimina
    5. Un mio amico montò nella spalla del suo blog un contatore di accessi intercettato come malware dal mio anti-virus e da altri ... malware sputtanato già da diversi articoli on-line ... fu difficile convincerlo a rimuoverlo, ci teneva ai ( pochi ) accessi già contabilizzati.

      { tanto per ribadire quant'è incisivo il fattore umano, in ogni occasione }.

      ...

      Chissà se Blogger esegue controlli sui widget dispacciati nel suo sito per essere montati nei blog.

      Elimina
  2. Comunque se Atene piange, Sparta non ride:
    http://www.washingtonpost.com/sf/business/2015/11/05/net-of-insecurity-the-kernel-of-the-argument/

    RispondiElimina