Chrome, da luglio tutti i siti HTTP saranno segnalati come "non sicuri"

08 Febbraio 2018 65

A partire da luglio, Google Chrome segnalerà come non sicuri tutti i siti che usano ancora il protocollo non crittografato HTTP, in un ulteriore e definitivo tentativo di spingere l'intero web a usare il protocollo criptato HTTPS. Attualmente il browser di Google mostra, a sinistra dell'indirizzo, un lucchetto chiuso verde e la scritta "Sicuro" quando i siti usano HTTPS, mentre una "i" cerchiata in grigio quando viene usato il normale HTTP; da luglio, con Chrome 68, alla "i" cerchiata verrà affiancata la scritta "Non sicuro".


Google nota che, grazie alla rapidità con cui gli sviluppatori si sono spostati verso HTTPS, i tempi sono maturi per l'ultima grande spinta verso un web più sicuro per tutti. Nel 2017, secondo le sue statistiche, 81 dei 100 siti più visitati al mondo usano di default HTTPS; inoltre, più del 68 per cento del traffico su Chrome per Android e Windows è HTTPS, percentuale che sale al 78 per cento quando si parla di macOS e Chrome OS.

Per tutti gli sviluppatori web che devono ancora passare a HTTPS, Google mette a disposizione diversi strumenti che rendono il processo semplice e veloce. Per approfondire a riguardo, basta cliccare sul link alla FONTE.

Il vero top gamma Nokia? Nokia 8 è in offerta oggi su a 306 euro oppure da Amazon a 365 euro.

65

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Conan5

e le scie chimiche?

SirMau

Ma poi mi chiedo, mettendolo come standard, i truffatori spunterebbero come funghi?
Se diventerà diffusissimo, troveranno vari modi per aggirarlo.

000

Chiedevi se c'è gente stupida?

a789

Nemmeno io ma la domanda era un'altra

Dario · 753 a.C. .

Eh si si infatti avevo letto anche io sta cosa

000

Beh se non è https io non li metto!

000

Controllano le informazioni, che gli diamo noi, e già fa quello che vuole, ovvio che non lo fa in maniera plateale come il banner obbligatorio perché se no la gente si sveglia, ma pilota il web e non solo nella maniera a lui più redditizia.
Io ad esempio uso edge(e anche firefox), edge riceve i major update insieme a Windows10, con l'aggiornamento di novembre mi è saltato all'occhio che circa una settimana dopo youtube ha cominciato a caricare lentamente...l'altro giorno ho notato che è successa una cosa simile anche per firefox...

MacCarron

Ti mancherà una ca intermedia.. l'ho l visto succedere su Android anche con rapidssl. Oppure hai un qualche pezzo della catena cifrato sha1

LordRed

Puoi stare a sindacalizzare su ogni singolo sito, ma un attaccante può usare qualsiasi informazione utile su di te per farti un attacco. Banalmente se su HD blog guardi sempre Apple può immaginare che usi iPhone e prepararti un attacco più mirato. Ma ti devo dire proprio tutto?

ErCipolla

Non tanto quanto sembra, dato che il maggior overhead è nell'handshake, che avviene una volta per connessione, mentre l'invio/ricezione dei pacchetti praticamente non è impattato.

Mettiamola così: se veramente hai un server che gestisce "milioni di connessioni" simultanee hai anche le risorse per farlo andare in SSL con tutti gli accorgimenti del caso (bilanciatori, elastic resource allocation, ecc.)

ale

In quel caso appunto usi HTTPS. Ma nel caso come ho detto di siti statici, come un blog per esempio, cosa ti importa ? Che sono andato su HDBlog a vedere la notizia dell'uscita del nuovo iPhone ? O che sono andato a leggermi un articolo da qualche altra parte ?

ErCipolla

Beh, per definizione i certificati "self signed" non sono sicuri (ovvio, può crearseli chiunque, non hanno alcun valore), ma DigiCert, almeno guardando il sito, mi pare la classica authority "affidabile".

LordRed

Se sei uno che va su youp*orn senza https qualunque osservatore può cedere i tuoi gusti sessuali, come ad esempio uno che è omosessuale o gli piacciono i trans. Il discorso lo puoi estendere in qualsiasi ambito. Non è un concetto difficile da capire, spero di essere stato chiaro. Che poi a te personalmente non freghi sono fatti tuoi personali che non devono riguardare https e il suo scopo.

sopaug

no, a spanne è comunque ridicolo anche per i provider, che infatti ormai offrono i certificati gratis. Il costo computazionale e di implementazione di quello che vorresti tu invece? Ricadremmo nello stesso discorso. Poi probabilmente ci arriveremo, e non dico sia sbagliato, anzi, ma il passaggio attraverso ssl è obbligato ora come ora.

ale

Per un servizio che ha milioni di visite la cosa fidati che ha senso, ovvio che per l'utente finale il peso della crittografia non si sente, e parte la maggiore latenza che comunque è un problema che esiste, ma per il server che deve gestire milioni di connessioni comunque ha un peso.

Uguale per la cache, per una rete domestica non fa differenza, per una rete aziendale o di un grosso ente come un università, poterci mettere un proxy cache per evitare di avere 1000 connessioni che scaricano la stessa cosa ancora una volta ha senso.

ale

Se devi mandare dati ad un server ho detto ovvio che usi HTTPS.

Se invece parliamo di un sito puramente statico, dove non mandi alcun dato personale, il senso è solo impedisco al provider di sapere che sono andato a leggere quell'articolo su quel sito. Ha un mezzo senso, mezzo perché chissenefrega francamente.

ale

Per l'utente finale è trascurabile, per il server invece se devi gestire milioni di connessioni può fare la differenza

Accapi

Forse intendeva il "self-generated" essendo probabilmente non un tecnico si può perdonare. Concordo che LetsEncrypt viene riconosciuto come sicuro essendo una CA riconosciuta

Hairagionetu

Secondo me si aprono le porte ai truffatori (quelli bravi).
Ad esempio oggi l'utente medio (inteso come intelletto) tende a non inserire i propri dati personali su siti e-commerce (non https), quel punto interrogativo trovato sul sito (www . tivendostocaxxoetifrego .it ) resta ancora un valido strumento per proteggersi e starsene alla larga. Da luglio, quando (www tivendostocaxxoetifrego .it) avrà la sicurezza https, l'utente medio (che ricordiamo essere un tipico utente che si fida molto) inserirà i suoi dati bancari, e magari dall'altra parte del sito i truffatori (quelli bravi)faranno banchetti festosi.

Francesco

puoi usare qualunque altro browser e in modalità in incognito, resta il fatto che gli altri nella tua lan o il tuo ISP non possono vedere cosa guardi con https

a789

Quindi mi stai dicendo che ad oggi nessuno mette i dati della propria carta su siti che non siano https?

ErCipolla

Quello della pesantezza di SSL/TLS è un po' un mito però. Era vero in passato, ma l'hardware moderno ha componentistica dedicata per gestire i cifrari standard. Ad esclusione dell'avvio della connessione (l'handshake è effettivamente un po' più complesso, ma parliamo di qualche ms in più in fase di negoziazione, niente di neanche lontanamente percepibile), il flusso dati cifrato è "pesante" praticamente quanto quello in chiaro.

Dario · 753 a.C. .

Arrivato ancora no, perché comunque c'è ancora poca gente che usa Firefox e safari, però la cosa inizia veramente preoccupare me. Pensa il giorno in cui ci sarà il 98% di utenti Chrome.

Dici che sto esagerando?

Io continuo a usare e consigliare Firefox

Dario · 753 a.C. .

Io non uso Chrome ma uso Firefox.

Ultimamente Chrome sta diventando sempre più il browser utilizzato. Il giorno che arriverà al 100% di utenti potrà fare quello che vuole.
Esempio potrebbe dire ai siti di mettere un banner con scritto "W Google" o non saranno visitati (esempio volutamente assurdo) ed essendo l'unico browser usato i siti saranno costretti a farlo.

Google potrà manipolare il web come vuole se Chrome avrà sempre più utenza e non essendo una organizzazione no profit, la cosa a me preoccupa.

Quindi io me ne frego se Firefox va più lento o altro, ma continuerò a usare Firefox per avere un internet libero! È da pazzi dare tutto questo potere ad un'azienda come Google. Avrà il potere di manipolare internet come vuole se va avanti così

al404

Purtroppo quel giorno è già arrivato, Chrome dovrebbe essere a circa il 60% del browser share.
WebKit da quel che so è alla base di Chrome come di Safari e altri browser ma credo sia rimasto opensource e libero, nel senso che non è di Google ma potrei sbagliarmi.

ErCipolla

Guarda, non uso Digicert, ma con LetsEncrypt non ha mai dato grane, allego screenshot scattato un minuto fa:
https://uploads.disquscdn.c...

Dario · 753 a.C. .

Esatto! È per questo che io uso furgone dovremmo spostarci tutto su Firefox.

Il giorno che ci sarà solo Chrome o solo browser Chrome based, Google potrà manipolare il web come vuole perché o fai come dice Google o il tuo sito non verrà navigato.

Esempio assurdo : un domani dove il 100% degli utenti userà Chrome, se Google dice che i siti per essere navigati devono mettere un banner con scritto "W Google" saranno tutti obbligati a farlo. Mentre se lo share fosse meglio distribuito non potrebbe permettersi di fare una cosa del genere.

Siccome Google non è neanche un azienda no profit come Mozilla, darle in mano tutta questa potenza è assurdo.

Ti consiglio di usare Firefox come faccio io e consigliarlo ai tuoi amici per tenere un web libero in futuro

ErCipolla

Ma se a prescindere non ti fidi di Google, perché staresti usando Chrome scusa?

Il tuo discorso non ha senso... "non mi fido dell'azienda X, quindi tanto vale che TUTTI sull'intero percorso della connessione possano vedere tutto in chiaro"... ma che ragionamento è? Della serie "c'è una persona di cui non mi fido al 100% che ha una copia delle mie chiavi di casa... beh allora a sto punto lascio direttamente la porta spalancata!". Il rischio di violazione non è neanche lontanamente paragonabile, suvvia.

Amen

Sono 15 anni che tutti dicono che bisogna passare a IPv6 perché gli indirizzi IPv4 sono in esaurimento, ma la situazione non è cambiata molto, soprattutto in Italia dove IPv6 non lo usa ancora praticamente nessuno. Io comunque di solito uso servizi di hosting che supportano IPv6 (non di certo Aruba) e configuro sempre i siti per funzionare anche con IPv6.

Forse intendi Firefox!
Su Android, mi appare il messaggio "attenzione, non può essere provata..." e questo con un certificato digicert.

Ho capito... Ma parliamo di un prodotto di Google. La stessa azienda che preleva tutti i tuoi dati personali e che ha un OS con miliardi di falle. Ora danno la colpa all'https come se questo potesse aiutare... La chiave dell'https é all'interno del browser, quindi tutte le estensioni di chrome hanno comunque accesso a quei dati (criptati solo durante l'invio dal browser).
Dai siamo seri... Google sta imponendo i suoi voleri spacciandoli per "sicurezza, quando in realtà dovrebbe cercare di chiudere le falle del suo browser e del suo OS!

Francesco

anche il tuo provider, chi si trova nella tua LAN, chiunque si trovi in mezzo

Appunto. E chi c'è in mezzo? Solo il tuo provider e gli Americani se i dati sono presi da lì.
E anche con https, l'unico a conoscere poi la chiave é il browser che guarda caso é di Google, l'azienda che vende tutti i tuoi dati personali per guadagnare miliardi all'anno.

ErCipolla

O eventuali men-in-the-middle

ErCipolla

Falso.
I certificati open, tipo quelli di Let'sEncrypt, vengono segnati come sicuri da Chrome, li uso su decine di progetti senza alcun problema.

fabrynet

O per fare un po’ di pirateria...

Non proprio...
Il mezzo mondo che dici tu, in realtà sono le applicazioni che sono sul tuo PC e basta.

Come non darti ragione...
Inoltre chi usa https ma con un certificato open source (non quelli che costano 400€ all'anno) Chrome li identifica già ora come "non sicuri".
Poi si arriva ai livelli che Chrome (unico browser a farlo) non permette più la criptazione tramite JavaScript se la pagina non é eseguita tramite https.
Tanto che chi ha chrome spesso non riesce a fare il login su alcune pagine ora.

gianluigihdblog

Da webmaster, però, dovresti porti il problema dei multihomed host, che https non permette più. Per cui IP in esaurimento->IPv6 ovunque.

LordRed

Si parla di osservatori che possono osservare illecitamente il tuo traffico. Lo stesso motivo per cui non mandi in chiaro le tue credenziali della banca. Il fatto che il provider non può guardare quello che vedi ti fa stare tranquillo?
Ma poi scusa cosa parli di cookie e https che hai dimostrato con questo commento di non sapere minimamente come funzionano? Studiati https e poi magari ne riparliamo.

sopaug

ma stai seriamente portando come argomentazione il peso della crittografia o il vantaggio delle pagine in cache? Nel 2018?

ale

Si vuole HTTPS per non far sapere al provider ciò che fai, quando tanto per legge non può guardare quello che vedi e ci sono mille garanti che controllano, poi magari vanno bene i vari Google, Facebook e simili che ti tracciano con tutti i vari ADS e compagnia bella.

A quel punto quale sarebbe il senso ? Tanto chi deve sapere sa già tutto, puoi mettere anche HTTPS ma fin che hai mille cookies che vengono mandati a destra e a manca che senso ha ? Quando magari usi Chrome che manda la cronologie delle tue visite dettagliata direttamente al server di Google ? Bah.

ale

Lo svantaggio di utilizzare HTTPS è che non puoi usare proxy, nel senso che ogni connessione HTTPS deve per forza andare da te utente finale al server, non ci puoi mettere nulla di mezzo.

Lo svantaggio è per i gestori delle reti, per esempio se hai 1000 persone nella tua rete che scaricano la stessa cosa via HTTP, hai un server proxy che fa la cache locale che la scarica una volta e poi le restanti 999 se le prende da li in LAN, utile che so io per aggiornamenti dei sistemi operativi per esempio (i mirror delle distro Linux sono su HTTP per esempio), o altri download grossi.

Ma anche per te perché hai più carico sul tuo server per esempio. E se tu volessi gestire tante richieste e metterci una cache di mezzo come fai, o usi Cloudfare e servizi simili, si ma a quel punto tanto vale non usare proprio HTTPS perché la sicurezza va comunque a farsi benedire.

Senza contare che l'HTTPS ha un costo maggiore di HTTP, per esempio devi fare tutto l'handshake iniziale di SSL ogni volta che apri una connessione contro il semplice handshake TCP, quindi latenza più alta, e la stessa cifratura/decifratura della pagina ha un costo sia per il client sia per il server.

Garrett

Google fa il bello è il cattivo tempo. Ad ogni modo non è una Onlus ma una società privata, quindi certe regole non devono necessariamente coincidere con gli interessi dell'utente.

ale

Per la verifica dell'identità del sito, non che per la verifica che qualcuno non ha fatto injection non serve una crittografia ma serve solo una firma digitale. Purtroppo oggi non mi pare ci siano protocolli che facciano solo questo, ossia che consentano di tenere una pagina HTTP in chiaro, quindi consentendo sempre di tenerla in cache e rendendo la cosa più leggera, ma consentano a chi ha il sito di mettere una firma digitale alle pagine, dovrebbero implementarlo secondo me.

Francesco

Vero, mi è capitato di trovare siti di phishing con il certificato valido... bisogna stare attenti

Francesco

Ma quale compressione? È crittografia.
Serve per non far sapere a mezzo mondo quali notizie guardi, quali pubblicità, quali gusti ecc.

al404

Innanzitutto già il fatto che Google con Chrome debba decidere quando è giunto il momento di spostare tutto su https mi sta già sulle

al404

google di tutto cuore... ma va a

Gpat. (Android/macOS)

Ricordo quando Facebook non aveva HTTPS di default e si intercettavano le sessioni via wifi con SheepDroid, bei tempi

Come e perché smaltire rifiuti tecnologici: lunga vita al bidone barrato #report

WhatsApp vietato ai minori di 16 anni in Europa

TicWatch Express e TicWatch S: Android Wear anche per correre | Recensione

Recensione Amazfit Bip: è lo smartwatch da battere