Firefox aumenta i livelli di sicurezza contro i siti in HTTP

- MERCOLEDÌ 20 DICEMBRE 2017

Vi abbiamo consigliato, più e più volte, di non immettere dati sensibili in siti web il cui indirizzo inizia con "HTTP" invece che con "HTTPS". Ora alcuni browser, Firefox in primis, stanno aumentando le difese contro i siti in Http. Ma cosa sono i protocolli HTTP e HTTPS? 

 
Il protocollo HTTP 
HTTPS è l'acronimo di HyperText Transfer Protocol: detto in parole semplici è un protocollo usato come sistema per le trasmissioni delle informazioni sul web. Lavora con una architettura di tipo client/server: il client (il vostro browser) esegue una richiesta, il server (la macchina dove "risiede" il sito web) restituisce una risposta. 
 
Il protocollo HTPPS
E' una evoluzione del protocollo HTTP. HTTPS è l'acronimo di HTTP Secure: nasce nel 1994 e si diffonde piano piano in tutto il mondo come protocollo più sicuro e affidabile per lo scambio di informazioni tra due nodi del web. In parole semplici è l'applicazione del protocollo HTTP in congiunzione coi protocolli SSL/TSL, che altro non sono che due protocolli crittografici che permettono uno scambio sicuro di informazioni dalla sorgente al destinatario poiché trasmette i dati in forma criptata. 
 
Che differenza c'è tra i due?
Facciamo un esempio: supponiamo che un pirata informatico stia intercettando le nostre comunicazioni (il tipico esempio è l'attacco "Man in the Middle" dove un terzo - il pirata appunto- intercetta le comunicazioni tra il nostro browser e il server che ospita il sito). 
 
Se il sito usa il protocollo HTTP il pirata legge, in chiaro, tutti i dati comunicati, compresi i dati sensibili come password, credenziali ecc...Inoltre questo protocollo non può garantire l'autenticità del sito. 
 
Se il sito invece usa il protocollo HTTPS quello che il pirata "legge" altro non è che una trasmissione di dati incomprensibili perchè criptati. Dovrebbe, per poter ricavarne i dati sensibili che gli interessano, procedere alla decriptazione della comunicazione in corso. Non solo: il protocollo HTTPS garantisce l'identificazione del sito web che si sta visitando e del server web che lo ospita, garantendo così l'autenticità del sito stesso (meccanismo che ha messo a dura prova quei cyber-criminali che "truccano" i propri siti fake cercando di farli essere più simili possibile ai siti autentici, per trarre in inganno le vittime). 
 
La scelta di Firefox

Il protocollo HTTPS si sta diffondendo sempre di più, proprio perché più sicuro. Fino ad oggi però la scelta è lasciata alla sensibilità degli operatori, dato che non esiste nessun obbligo legale (almeno per adesso) di applicare il protocollo HTTPS. Firefox però ha deciso di dare "una piccola spinta" alla faccenda: contrassegnerà di default le pagine HTTP come "Non sicure". 

 

Firefox Nightly 59 include adesso una preferenza (per ora non abilitata di default) denominata "security.insecure_connection_icon.enabled" la quale, quando attivata, mostrerà l'icona del blocco barrata su tutte le pagine in HTTP. La funzione può essere attivata navigando nella sezione impostazioni about:config: il doppio click la renderà attiva. La decisione di Mozilla è di estendere questa funzione a tutte le versioni del browser.

Attualmente infatti sia Chrome che Mozilla usano gli avvisi sui siti HTTP solo quanto un utente cerca di fare login sulla pagina o paga tramite carta di credito/debito.