
CAS@WEB – PREVEDIBILMENTE CASUALE
12 Gennaio 2021
I TRE MOSCHETTIERI
2 Febbraio 2021HTTP E HTTPS
Dal 2018, Google Chrome ha introdotto un nuovo avviso di “Non sicuro” che appare nella barra degli indirizzi ogni volta che si visita una pagina web ritenuta potenzialmente pericolosa, insieme all’invito a non inserirvi alcuna informazione sensibile.
nell’ultima versione di Chrome, Il nuovo avviso è accompagnato da un popup che, quando si clicca sul messaggio, spiega che “la tua connessione a questo sito non è sicura”, chiarendo quindi che l’allarme sicurezza riguarda la connessione a quella pagina, e non il sito in sé.
In pratica, le informazioni inviate e ricevute potrebbero non risultare adeguatamente protette da letture indesiderate, furti o modifiche da parte di hacker, ma anche degli stessi fornitori dei servizi Internet (ISP, cioè Internet Service Provider, spesso abbreviato in provider) e persino da strutture governative.
Quel “Non sicuro” non significa che il tuo computer o il sito che stai visitando sia infetto da virus o malware, ma che la connessione in corso non è particolarmente difesa e quindi richiede una particolare attenzione e prudenza durante la permanenza.
Tutto questo nasce dalla responsabilità (legale) dei gestori di siti Web di fornire una loro adeguata protezione da interferenze illecite, oltre che dalla difficoltà a rispondere alle richieste (legittime) dei fruitori di implementarla: è più semplice (ed economico) tutelarsi avvertendoli del rischio …
Se si fa attenzione, si scopre che le pagine web in cui è più comune riscontrare quell’avviso di “Non sicuro” o simili, sono quelle che utilizzano il protocollo HTTP (Hyper Text Transfer Protocol: protocollo di trasferimento degli ipertesti), mentre è più raro incrociarlo il quelle che utilizzano il protocollo HTTPS (la “S” in più sta per “secure”, cioè sicuro, anche se ovviamente non a “prova di bomba”).
I primi, infatti, utilizzano ancora il principale protocollo “storico” utilizzato per la comunicazione Internet, mentre i secondi forniscono servizi di criptografia e autenticazione, che accompagnano e tutelano la sicurezza delle informazioni che vengono scambiate nel sito.
Tra i milioni di siti in grado di utilizzare il protocollo HTTPS ci sono anche Google, Facebook e Amazon: quando il browser (ad esempio Chrome, Firefox o Edge) si collega a un sito Web, può però utilizzare tanto il protocollo HTTP che quello HTTPS.
È quindi inevitabile che qualsiasi pagina che fornisce una connessione HTTP genererà sui siti avanzati l’avviso “Non sicuro”, ed è effettivamente necessario in tal caso evitare di effettuare transazioni sensibili su quelle pagine (soprattutto pagamenti con PayPal o carte di debito/credito!).
L’abilitazione alla versione HTTPS si acquisisce superando specifici controlli e ottenendo un certificato riconosciuto: ciò consentirà al browser di connettersi ogni volta in modo sicuro con il protocollo HTTPS, ma non sempre direttamente.
Questo significa che se un sito che si conosce come sicuro mostra frequentemente l’avviso “Non sicuro”, può essere utile provare ad aggiungere manualmente la “s” nell’indirizzo (o URL: Uniform Resource Locator), poiché potrebbe avere un supporto parziale per HTTPS, senza però offrirlo come impostazione predefinita.
Quella “s” è una promessa di privacy: anche la navigazione “leggera” su HTTP (per leggere ad esempio ricette di cucina o notizie), non offre nessuna garanzia che ciò che stai guardando non possa essere monitorato, modificato e registrato da estranei.
Oltre a ciò, come abbiamo già visto in articoli precedenti, sulle reti Wi-Fi pubbliche non criptate (come spesso si trovano in un bar, centro commerciale o stazione) esiste un ulteriore rischio di aggressori “locali”, cioè di altri computer attivi su quella rete che possono visualizzare e monitorare le pagine che stai consultando e le informazioni che stai condividendo.
Se appare l’avviso o non c’è quella “s” (che non è comunque garanzia di sicurezza assoluta) è buona norma andare a reperire quello che si sta cercando su altre fonti: utilizzare una probabile sicurezza è sempre meglio di una certa non sicurezza.