Firefox sulla scia di Chrome. Da Gennaio indicherà insicuri i siti con protocollo “http”

88
bug sui sistemi android

A partire dai primi giorni del 2018 anche il noto browser Firefox (sia la nuova versione “59” sia Firefox per Android) indicherà come insicuri siti che ancora non dispongono di un protocollo “https”. Di fatto sicurezza informatica.

Per renderci conto di cosa parliamo sono necessari alcuni cenni storici. La sigla “http” sta per “HyperText Transfer Protocol” (in italiano: protocollo di un trasferimento di un ipertesto). Funziona come un sistema di domanda e risposta tra client e server. Il client (cioè l’utente) fa la domanda (immettendo un indirizzo internet) e il server genera la risposta collegandolo alla pagina richiesta.

L’utilizzo di questo sistema risale alla fine degli anni ’80 quando il World Wide Web (WWW) non era ancora nato dalle ceneri di Arpanet degli anni’60. A quei tempi ad usare questo tipo ti trasferimento di protocolli era il CERN di Ginevra che permetteva ai suoi ingegneri di scambiare informazioni a distanza per rendere più rapidi i consulti.

Due impiegati del CERN il 20 Dicembre 1990 pubblicano la prima pagina internet e da lì fu una rivoluzione. Con l’apertura e l’accesso di internet alle masse tutto è cambiato ma ancora oggi nella barra degli indirizzi di un qualsiasi browser, anche se non più necessario, troviamo ancora la sigla “http”.

Ad ogni modo nel corso degli anni i tentativi di hackeraggio a siti internet e furti di informazioni riservate e talvolta anche d’identità, hanno reso necessario cercare di rafforzare la sicurezza partendo proprio dal sistema principale.

Così la Netscape Communication Corporation (a metà anni ’90 il principale browser mondiale) sviluppa il sistema “Secure Sockets Layer” (SSL). Per spiegarlo in maniera semplice: il sistema permette al server di rendere in maniera cifrata tutte le informazioni personali che vengono immesse su una pagina internet (ad esempio numeri di carta di credito per un acquisto online o semplicemente username e password per accedere alla e-mail) e successivamente i dati vengono decodificati solo da chi è addetto a raccogliere tali informazioni. L’evoluzione tecnologica ha portato negli anni 2000 a fondere l’ ”http” con l’ “SSL” dando vita così ad una nuova sigla: “htttps” che è diventato, quindi, sinonimo di sicurezza dei sistemi e delle reti informatiche. Dato che le informazioni che gli utenti immettono su internet aumentano sensibilmente di anno in anno si rende sempre più necessario un livello maggiore di sicurezza per evitare che tali informazioni possano essere intercettate. D’altra parte sono innumerevoli i siti che richiedono username e password di accesso e tutto l’e-commerce si basa sui numeri delle carte di credito. Nel 2017 il 56,8% del web ha implementato il protocollo “https”. Il 5,24% dei siti italiani. Negli ultimi anni alcuni siti per accrescere ancora di più la propria sicurezza hanno sostituito il sistema “SSL” con uno più evoluto denominato “Transport Layer Security” (TLS). Dunque per l’ “https” i principi di base, attraverso questi sistemi di sicurezza, sono quelli di riuscire ad ottenere un’autenticazione del sito web visitato, protezione della privacy e l’integrità dei dati scambiati tra le parti comunicanti. Ottenendo queste tre caratteristiche si ha la sicurezza che la navigazione è genuina. Ad oggi i browser migliori più utilizzati sono “Chrome” (prodotto di Google e considerato il browser più veloce) e “Firefox” (prodotto di Mozilla). Già dall’inizio del 2017 Chrome ha aiutato la sicurezza informatica, indirizzando l’utente a scindere siti sicuri o meno attraverso un piccolo logo accanto alla barra degli indirizzi. In caso di sito non sicuro vuol dire che le pagine in questione richiedono di effettuare un login, immettere informazioni personali o numeri di carte di credito, senza usare un protocollo crittografico. In tutte le pagine che usano il protocollo “https”, invece, la navigazione viene giudicata sicura per i motivi spiegati. Si riesce così ad ottenere una sicurezza dei dati informatici, infatti tutti i dati e le informazioni immesse non possono essere intercettate, rubate o modificate da terze parti durante la trasmissione. Esiste comunque un’ulteriore forma di protezione maggiore. Attraverso una serie complessa di algoritmi matematici basati sulla crittografia e sicurezza delle reti (come quella asimmetrica, cioè possibilità di scambio dati sicuri solo tra i diretti interessati) alcuni siti, principalmente di aziende di livello mondiale, utilizzano quelli che vengono definiti “certificati digitali”. Attraverso questo sistema di sicurezza informatica aziendale il sito web garantisce che quello che si sta visitando è effettivamente quello legato a quel marchio e non uno farlocco. Tuttavia né Chrome che Firefox giudicano un sito sicuro o meno sulla base di questo ma solo sul protocollo. Dunque sulla questione sicurezza reti informatiche, a distanza di un anno da Chrome anche Firefox decide di adattarsi e di avvisare l’utente se si sta visitando un sito che utilizza ancora il vecchio protocollo “http“ e quindi potenzialmente non sicuro. Questo per allinearsi anche alla scelta di Google che ha impostato il motore di ricerca più usato al mondo in modo che vengano preferiti i siti che usano il protocollo “https”. Da Gennaio 2018, inoltre, Firefox introdurrà delle pesanti restrizioni per i siti considerati insicuri: impedirà l’utilizzo di videocamera e microfono su tali siti e impedirà che si possano inserire dati sensibili o che tocchino la privacy. Man mano quasi tutti i siti si stanno allineando nell’uso del protocollo “https” e nell’acquisizione di certificati digitali ma rischiano di essere penalizzati in tal senso i blogger.

Difatti generalmente, questa categoria di utenti, acquista degli spazi su server condivisi che non permettono di usare né certificati digitali né protocolli di sicurezza che siano essi “SSL” o “TLS”. Sia Chrome che Firefox utilizzano un’icona con un punto esclamativo in caso di sito non sicuro e un lucchetto chiuso in caso contrario.

La politica dei due maggiori browser mondiali rappresenta un ultimatum per tutti quei siti web che usano ancora il vecchio protocollo. Esistono comunque diversi strumenti che permettono di ottenere gratis un certificato “SSL/TLS”, da usare insieme con il protocollo “https”. Dopo aver installato il certificato sarà possibile disattivare tutti i vecchi sistemi che sono stati attaccati in passato e che non vengono ritenuti più sicuri come i protocolli, i cifrari, i meccanismi di hashing e i sistemi di scambio delle chiavi.

L’obbiettivo finale è quello di portare la totalità del web ad usare protocolli senza rischi e ad essere più sicuro.