Supporto ad HTTPS?

Registrato
11 Agosto 2016
Messaggi
76
Reaction score
47
Località
Friuli
Scrivo qui perchè è una tematica che mi interessa (da informatica) e che ritengo utile a tutti.

Ho notato che attualmente l'intero forum è servito tramite protocollo HTTP, ovvero senza alcuna forma di autenticazione nè crittografia. Esiste un piano per passare (prima o poi) ad HTTPS?
Faccio innanzitutto notare che è possibile ottenere certificati *gratuiti* tramite [Let's Encrypt](https://letsencrypt.org/) una CA messa su da Mozilla e altri per permettere la navigazione sicura e privata della rete, dunque questa transizione non richiede esborsi di denaro diretti, ma solo del tempo per configurare bene il server.

Forse interesserà a pochi del forum, ma io ritengo la privacy qualcosa di importante e, vista la disponibilità di certificati validi e gratuiti, trovo che non abbia senso non avvantaggiarcene, tanto più che in questo forum si discute di materie "sensibili" che potrebbero essere oggetto di brutte storie.

Uno dei motivi per cui internet è così poco sicuro e soggetto a intercettazioni (o tracciamento in generale) da parte di chi che sia è proprio la completa mancanza di applicazione di tecnologie come HTTPS.
 
Registrato
16 Ottobre 2010
Messaggi
324
Reaction score
3
Località
Vicino alla cioccolateria
Molto interessanti i post da Voi scritti, aprono uno squarcio a chi non ha competenze in queste materie.
Se mi permettete una riflessione e una domanda.
La riflessione è che la violazione di dati sensibili sul lato privato è già avvenuta nel mondo e a grandi numeri. Se ricordate l'anno scorso ci furono delle persone che si uccisero per la vergogna, dopo che la loro vita privata extraconiugale era stata violata da hacker che presero milioni di dati di utenti americani. Non ricordo di quale server, ricordo però che fu negli USA e un capo della polizia si uccise per la violazione della sua segreta seconda vita.
La domanda è invece tecnica. Come mi tutelo da un server c line usato per un linux box tv? Si aprono le porte di casa a un estraneo, ci si tutela staccandolo quando il pc è acceso, il wi fi lo si spegne e rimane attivo solo router e box. Ma quella volta che ci si dimentica il pc acceso o idem per il wi fi?

Grazie a Voi ;)
 
Commenta

Dr.Grunf

UOMO
Membership
Registrato
24 Aprile 2008
Messaggi
8.029
Reaction score
27.983
Località
uno spazietto tra il 1° ed il 47°
Una vera discussione del tuo caso ci porterebbe un po' off-topic. Però in questi tempi di allegria da tuttogratis può essere salutare iniziare a recuperare qualche elemento di critica (prima che la generazione futura ci chieda dove noi fossimo mentre succedeva tutto ciò). Insomma una serie di buone letture, tecnicamente fondate e personalmente avvedute qui:
http://punto-informatico.it/cerca.aspx?s=tag:"rubrica+Cassandra+Crossing"

(il caso che citi era questo: https://attivissimo.blogspot.it/search/label/Ashley Madison
di li a poco arrivò anche: http://www.zdnet.com/article/adultfriendfinder-network-hack-exposes-secrets-of-412-million-users/)
 
Commenta
Registrato
28 Dicembre 2013
Messaggi
75
Reaction score
23
Oggi sono ripassato in questo thread dopo un po', e mi sono accorto con piacevole sorpresa che https://community.punterforum.com funziona, anche se parte delle risorse (immagini, css, ..) vengono servite ancora da indirizzi non "sicuri". E' perlomeno un buon inizio!
 
Commenta
Registrato
1 Marzo 2015
Messaggi
262
Reaction score
551
Ciao a tutti!
Era da un po' che mi ponevo la domanda e mi fa piacere che la questione sia stata posta da qualcuno prima del sottoscritto, che stava giusto per farlo (con un po' di ritrosia perché, non contribuendo molto, mi sentivo anche poco in diritto di rompere le scatole).

A chi minimizza i rischi vorrei far presente che, banalmente, oltre ad eseguire codice sul mio pc, chi "sniffa" il traffico tra me e PF può come già detto rubare nome utente e password: in questo modo può accedere a tutti i miei contenuti, compresi i messaggi privati.

Non è il mio caso, ma potrebbero contenere molti elementi critici.


Chiudo con una domanda: se mi collego da VPN non è comunque possibile un attacco man-in-the-middle tra il server di PF e il serve VPN?
Chiedo scusa se la risposta a tale domanda è già contenuta nei link forniti, adesso mi metto a studiare :)

Segnalo inoltre che il link https://community.punterforum.com/ conduce ad un sito senza CSS né immagini e che, cliccando su un link qualsiasi, si finisce comunque sul sito in chiaro (plain HTTP).
 
Commenta
Registrato
10 Agosto 2017
Messaggi
299
Reaction score
59
Località
Hesse, Frankfurt am Main
Protocolli https o meno le falle ed i bug esistono in qualsiasi sito. Serve pazienza e distribuzioni forensi,forse alla portata dei più,ma non è così semplice come spesso spiegano i tutorial di YouTube. Personalmente neppure io implementerei il protocollo e nessuno qui usa le stesse credenziali del Conto Corrente...
Torniamo alle fighe é meglio!
 
Commenta
F

fabxpiace

Ospite
Ospite
In realtà è abbastanza semplice interferire od attaccare un possibile obiettivo.
Non spiegherò nel dettaglio, ma un volta "sniffato" il sito, se l'obiettivo (magari in punter XX) è in wi-fi è piuttosto semplice inviare una richiesta da MitM, e se con determinati sistemi è un gioco da ragazzi (Android, Win 10) con altri (Linux, iOS/Mac) richiede più preparazione.
Per questo motivo andrebbe sempre implementato un protocollo superiore che si frapponga da "layer" tra un possibile attaccante e una possibile preda.

Chiaramente va tenuto conto dei possibili/probabiliti ostacoli (firewall, antivirus, etc) e variabili (coll. mobile diretto, wifi, etc).
 
Commenta
Registrato
7 Ottobre 2012
Messaggi
267
Reaction score
67
da qualche giorno il sito in https mi si mostra privo dei contenuti multimediali / grafici. sembra che il webserver abbia link a contenuti non sicuri http senza ssl o https sia stato malamente configurato , inoltre, nel box password digitandola questa esce in chiaro senza asterischi. rilevo il problema con tutti i browser. nella versione non cifrata tutto ok. Gli amministratori mi hanno risposto che dipende dal mio client , mi dite se anche voi avete simili problemi ? se riesco allego una foto di come si vede ... grazi 1000
 
Commenta
Registrato
7 Ottobre 2012
Messaggi
267
Reaction score
67
ecco la rappresentazione del problema.... grazie 1000 per eventuali contributi

Immagine.jpg
 
Commenta
Registrato
7 Ottobre 2012
Messaggi
267
Reaction score
67
..ma non ... non è la stessa cosa, una è protetta da cifratura, l'altra invia e riceve dati in chiaro ......
 
Commenta

CaptainAmerica

TheBigGun - Fondatore di PUNTERFORUM
Membro dello Staff
Administrator
Registrato
24 Aprile 2008
Messaggi
6.329
Reaction score
12.245
Età
52
Località
Rimini
....guarda che sei curioso un bel po’.
Ho visto le tue mail in amministrazione: ti è stato risposto che attualmente PUNTERFORUM NON ADOTTA NESSUN PROTOCOLLO HTTPS quindi stai navigando con l’estensione https un sito che in effetti non è configurato per supportare questo protocollo.

Scrivi nel tuo browser community.punterforum.com e vedrai che il problema si risolve da sè.
 
Commenta
Registrato
7 Ottobre 2012
Messaggi
267
Reaction score
67
Salve,

ammesso e non concesso che questo sia vero cioè che il sito non abbia mai avuto una versione ssl funzionante bene, ti segnalo che di curioso c'è che digitando community.punterforum.com dentro google il primo link riportato è in versione https.

Quindi o google è scemo od il sito è stato indicizzato in precedenza con il protocollo ssl e, successivamente, è capitato qualcosa per cui la configurazione è saltata.

Se volete usare solo http dovete spegnere nel web server il protocollo https su porta 443 che continua a rispondere ma mostra una versione del sito incompleta e con gravi problemi anche di sicurezza (vedi immagine dove è permesso mettere una password senza mascheramento).

Data la sensibilità degli argomenti trattati in questo forum dovreste accettare i suggerimenti soprattutto quelli relativi alla sicurezza.

Saluti.

Allego immagini

errore1.jpg

errore2.jpg
 
Commenta
Registrato
20 Marzo 2014
Messaggi
362
Reaction score
309
Località
Culandia
[FONT=&quot]
[/FONT]
[FONT=&quot]Data la sensibilità degli argomenti trattati in questo forum dovreste accettare i suggerimenti soprattutto quelli relativi alla sicurezza.[/FONT][FONT=&quot]
[/FONT]

Probabilmente hai recepito male ciò che ti è stato scritto.
Nessuno ha detto che in precedenza il sito non ha mai adottato il protocollo HTTPS, ti è stato invece detto che ATTUALMENTE:
PUNTERFORUM NON ADOTTA NESSUN PROTOCOLLO HTTPS .

Dato che poi si suppone parlare con gente adulta e attenta, ci si aspetta che, nel caso si venga indirizzati su una pagina destrutturata e priva di protezione a nessuno verrebbe in mente di immettere i propri dati sensibili.

Scrivi nel tuo browser community.punterforum.com e vedrai che il problema si risolve da sè.

...dove per browser non si intende una ricerca con Google, bensì la barra di indirizzamento.

Stai montando un caso che non esiste.
 
Commenta
Registrato
7 Ottobre 2012
Messaggi
267
Reaction score
67
D'accordo ma .... ci si aspetta anche che il gestore del sito sia attento a non lasciare falle di sicurezza . Io non sto montando niente questo topic non l'ho aperto io , l'intento è dare il consiglio di implementare https come da buone prassi e normative varie. Non ho altro da aggiungere.

saluti.
 
Commenta

zntra

Espulso
Account sospeso
Registrato
28 Luglio 2012
Messaggi
434
Reaction score
16
Ci si aspetta anche che se la versione HTTPS del sito non è affidabile, venga fatta una redirect automatica alla versione HTTP e questo non lo deve fare l'utente e nemmeno ricordarselo, ma chi gestisce il sito.

Per quanto riguarda ficcare il naso di qua o di là, non capisco la problematica, il certificato SSL è di dominio pubblico per un buon motivo.

Che attualmente punterforum non adotti HTTPS non è vero perché io vedo la porta 443 del server aperta, è raggiungibile e risponde pure.

Sono anche riuscito a scaricare il certificato SSL con openssl e ho potuto verificare che è stato rilasciato da cPanel, se mi ricordo bene.

Che sia stato installato il certificato solo per il dominio community.punterforum ?

Le chiamate che vengono fatte quando si naviga sul sito, d'ora in avanti le chiamerò API punterforum, sono su un altro dominio ?

Magari un sottodominio a cui non è stato registrato nessun certificato SSL ?

zntra
 
Commenta
Alto