HTTPS è sinonimo di protezione. Con questa modalità di collegamento ai siti internet, visualizzabile dalla barra degli indirizzi posta in alto nel browser, è possibile navigare con maggior sicurezza eliminando diversi rischi, grazie ad un protocollo di crittografia asimmetrica che assicura la cifratura dei dati. Le password non possono in alcun modo essere lette o sniffate, non è possibile per terze parti, in alcun modo, risalire ai dati inseriti nei form e alle attività eseguite durante la navigazione. Se non si fa uso di HyperText Transfer Protocol over Secure Socket Layer le ricerche effettuate possono essere spiate dall’amministratore della rete o da chi gestisce i siti web.
I siti in HTTPS sono dotati di un certificato di protezione, che ne attesta l’autenticità validata dall’ente preposto Certificate Authority (CA). Inoltre, viene utilizzata la porta 443 e non la 80, come normalmente avviene con l’HTTP. I siti bancari e tutti quelli legati alla movimentazione di denaro o alla gestione di dati riservati o sensibili, fanno già uso, di default, del protocollo HTTPS. Ma, per molti siti web, è possibile collegarsi sia in HTTP che in HTTPS. Ovviamente, navigare su http://facebook.com è molto più rischioso, in termini di sicurezza, della navigazione in https://facebook.com. Tuttavia, entrambe le modalità sono utilizzabili.
Come fare per non correre rischi?
L’idea di base è quella di forzare la navigazione ad utilizzare, quando possibile, il protocollo HTTPS, utilizzando uno dei seguenti plugin per browser. In tal modo, possiamo essere protetti ed evitare ulteriormente eventuali siti di pishing, poiché i siti “falsi” non hanno ovviamente il certificato di sicurezza. Tra i plugin da utilizzare possiamo annoverare HTTPS Everywhere, promosso dalla Electronic Frountier Foundation, già citata in un altro articolo. Use HTTPS ci consente di segnalare i siti per i quali vogliamo connetterci in modalità criptata. Per Firefox, NoScript blocca l’esecuzione automatica di script nella pagina e costringe all’uso dell’HTTPS.
Cosa sono il TLS e il SSL?
Sono i protocolli crittografati di comunicazione più comuni. L’HTTPS ne fa uso! Generalizzando, per Chrome è disponibile il plugin KB SSL Enforcer che identifica i siti che supportano la crittografia TLS/SSL e ne costringe all’utilizzo. Non dimentichiamoci che Chrome ha un ottimo sistema per la verifica della connessione ai siti web, grazie ad un comodo sistema di indicatori, posto sulla barra degli indirizzi. Qui trovi la legenda dei simboli presenti (lucchetti e colori) che forniscono informazioni ben precise sul tipo di connessione che stiamo utilizzando.
Siamo del tutto sicuri con la crittografia?
No, ovviamente. Esistono diversi sistemi che purtroppo consentono di bypassare questo seppur efficace sistema di protezione. Uno dei più famosi è Firesheep, un’estensione per Firefox creata con finalità dimostrative, che sniffa i cookie (che putroppo spesso sono trasmessi privi di crittografia!!), e consente di prendere le credenziali delle vittime. Ne esiste una versione per Android conosciuta col nome FaceNiff.