0x19 — HTTPS: sicurezza sul web
Secondo alcuni dati raccolti lo scorso ottobre da Mozilla, l’organizzazione che fra le altre cose sviluppa il browser Firefox, più del 50% del traffico web è cifrato.
Cerchiamo di capire cosa significa che il traffico è sicuro e cosa ha prodotto questo cambio di tendenza.
Innanzitutto dobbiamo subito chiarire un concetto: il dato riportato da Mozilla non vuol dire che la maggior parte dei siti offre i propri contenuti in modo sicuro. Infatti i dati raccolti sono prodotti in parte da un numero ridotto di grandi siti web: come ad esempio Twitter, Facebook, Gmail. Siti che raccolgono moltissimi utenti ma che logicamente non costituiscono tutto il web.
Dobbiamo poi capire cosa garantisce che il traffico sia cifrato e sicuro. Il termine fondamentale, e che segnala anche la sicurezza di un sito web, è HTTPS. Si tratta di un protocollo internet che garantisce che il traffico da e verso i siti web sia cifrato. In questo modo si ottengono garanzie di autenticità, integrità e protezione della privacy. E si differenzia dal suo predecessore, HTTP, poiché questo trasmette in chiaro i dati delle pagine web.
Ma quali effetti concreti ha l’utilizzo del protocollo HTTPS?
Innanzitutto, è garantita al visitatore delle pagine web la completa privacy. Gli articoli che leggiamo online possono fornire dettagli sui nostri interessi personali e rivelare informazioni private che devono restare riservate. Se fossimo connessi ad un wifi pubblico e stessimo navigando su di una pagina web che trasmette il proprio traffico attraverso HTTP, sarebbe possibile per un malintenzionato raccogliere quelle informazioni e leggerle in chiaro, come se stesse sbirciando da sopra la nostra spalla.
Gli articoli che leggiamo online possono fornire dettagli sui nostri interessi personali e rivelare informazioni private che devono restare riservate.
Un altro punto fondamentale a favore dell’adozione dell’HTTPS è la sicurezza. Le pagine web in cui introduciamo dati sensibili, come ad esempio i dati delle nostre carte di credito, dovrebbero essere sempre provviste di HTTPS altrimenti quei dati sarebbero intercettabili da chiunque. Il traffico dati non cifrato, però, offre anche una possibilità agli hacker di introdurre dei malware nei siti web che visitiamo e da lì compromettere il nostro pc. Prima dell’adozione massiccia del protocollo HTTPS da parte di Youtube, era possibile essere infettati da un virus informatico semplicemente guardando un video di gattini, come riportato da una ricerca del Citizen Lab, un centro che si occupa di sicurezza informatica presso l’università di Toronto.
Il traffico dati non cifrato, però, offre anche una possibilità agli hacker di introdurre dei malware nei siti web che visitiamo e da lì compromettere il nostro pc.
Altri punti di forza del protocollo HTTPS sono la garanzia di autenticità dei contenuti pubblicati su di un sito e la possibilità di combattere la censura.
Nel primo caso, ad esempio, garantisce che l’articolo pubblicato online da un giornale sia lo stesso che il lettore legge. Non vi è quindi modo di manipolare i contenuti.
Per quanto riguarda la censura, invece, i governi autoritari hanno molta facilità nel filtrare il traffico non cifrato e quindi possono individuare con estrema precisione il contenuto ed il sito web da oscurare. Con l’utilizzo del HTTPS questa pratica diventa più difficile poiché è molto più arduo individuare con esattezza il traffico dati esatto che si sta cercando di individuare.
Dai dati e dai trend segnalati da Mozilla, la sensazione è che il passaggio verso l’utilizzo del protocollo HTTPS stia diventando sempre più frequente fino a giungere al punto in cui il traffico web sicuro diventerà un’opzione di default. Molte testate giornalistiche hanno già iniziato la conversione dei loro siti web, come ad esempio il New York Times e Wired.
La campagna Secure the News, prodotta dalla fondazione Freedom of the Press, ha l’obiettivo di monitorare l’utilizzo del protocollo HTTPS da parte dei siti web dei media. E’ disponibile una classifica in cui vengono assegnati dei punteggi ad ogni testata. Fra queste vi sono anche alcune di quelle italiane. Purtroppo, però, non se la passano molto bene.
Il Corriere della Sera si becca una bella insufficienza perché non offre in alcun modo traffico criptato. Repubblica invece fa il cosiddetto downgrading: reindirizza il traffico HTTPS su HTTP, che diventa quindi praticamente insicuro.
L’unica testata che ha un’occhio di riguardo per la sicurezza dei suoi contenuti web è La Stampa, che però non offre la navigazione HTTPS com opzione di default.
Ma quali sono le cause che hanno prodotto questo cambiamento?
Alcune delle motivazioni di questa recente adozione dell’HTTPS è sicuramente da rintracciare nella scelta da parte dei browser web di segnalare nelle barre di ricerca, attraverso dei lucchetti verdi o addirittura scrivendo in rosso “non sicuro”, l’utilizzo o meno di tale protocollo. I browser stanno quindi imponendo ai siti web di accelerare questo passaggio. Allo stesso modo le notizie rivelate da Snowden sulle capacità dell’NSA di spiare il traffico dati hanno sicuramente giocato un ruolo fondamentale.
Quando navigate su internet, quindi, fate attenzione alla presenza di HTTPS nella barra dell’indirizzo del sito web e soprattutto richiedete ai siti che visitate, e che ancora non supportano il traffico cifrato, di adottare questo protocollo.
Si tratta di uno strumento fondamentale per la sicurezza e la protezione di noi utenti.
