Chrome migliora la sicurezza delle pagine https

Di - 5 September 2012 - in

Chiunque sappia utilizzare bene Internet, sa che ogni volta che sia necessario trasmettere via web delle informazioni riservate è importante controllare che la connessione sia https e non semplice http. L’https, infatti, è una versione cifrata di http che permette di evitare che le informazioni trasmesse siano lette o modificate prima di arrivare a destinazione.

Purtroppo, però, non sempre https significa sicurezza. Se il sito https nel quale stiamo navigando è malfatto (o è stato hackerato ad arte) potrebbe richiamare via JavaScript pagine http non cifrate, alle quali può tranquillamente passare i dati che noi crediamo trasmessi solo in forma cifrata.

Problemi di questo genere possono anche essere introdotti da script utente (che in Chrome sono supportati nativamente, io stesso ne faccio largo uso) confezionati ad arte.

Falla di sicurezza analoga è l’inserimento di frame o componenti non sicure in una pagina https.

I browser dovrebbero essere in grado di rilevare queste problematiche, e di gestirle adeguatamente. Chrome, già da molte versioni, segnala il problema di sicurezza all’utente, lasciandogli la scelta di continuare a navigare o di evitare la pagina.

 

Nelle ultime versioni, Chrome ha migliorato il sistema di gestione di questo tipo di errori, riducendo il numero di volte in cui deve chiedere all’utente cosa fare. Blocca infatti in maniera automatica i tentativi di connessione non-https in siti https i cui server dichiarano di voler utilizzare esclusivamente connessioni sicure (standard HSTS).

Come al solito, compaiono simboli di avviso sull’icona del lucchetto a sinistra dell’indirizzo della pagina, gialli in caso di contenuti non cifrati e rossi in caso di Javascript pericoloso. Cliccando sul lucchetto sarà possibile abilitare le connessioni non sicure effettuate dalla pagina.

Arrivare a questi risultati non è stato particolarmente semplice, poiché le connessioni non sicure sono spesso utilizzate per servizi secondari, ma abbastanza importanti da rendere problematico il blocco, in connessioni cifrate. Sono quindi pochi i siti che non facciano della sicurezza un pilastro importante (come fanno ad esempio i siti di pagamento) che dichiarino di aderire ad HSTS ed effettivamente non usino connessioni non cifrate, permettendo al browser di considerare non legittimo tutto ciò che non è cifrato.

Google ha iniziato prima a risolvere problemi di questo genere nei propri siti, per poi collaborare con due importanti realtà che pur dichiarando un certo livello di sicurezza facevano largo uso di connessioni non cifrate: Facebook e Twitter. La collaborazione ha portato ottimi risultati, ed è stato in seguito possibile estendere la misura di sicurezza a tutti i siti HSTS.

Gli utenti dei siti ancora non effettivamente sicuri si sono cosí trovati i warning nei loro browser Chrome, e gli sviluppatori di tali siti hanno rapidamente, in massima parte, risolto il problema. Ancora una volta l’avanzamento della tecnologia proposto da Google ha avuto l’effetto di donarci un web migliore.

Via | Chromium Blog

Leave a Reply

Lorenzo Breda Articolo scritto da

Studente di Informatica a Roma, si occupa di programmazione web sopratutto lato server, e di accessibilità del web. Utilizza e ama Debian GNU/Linux, e si interessa di fisica, fumetto, trekking e fotografia (gli ultimi due possibilmente abbinati). Collabora con Googlab da aprile 2012.

Contatta l'autore

Previous post:

Next post: