Supporto ad HTTPS?

Registrato
11 Agosto 2016
Messaggi
81
Reaction score
52
Località
Friuli
Scrivo qui perchè è una tematica che mi interessa (da informatica) e che ritengo utile a tutti.

Ho notato che attualmente l'intero forum è servito tramite protocollo HTTP, ovvero senza alcuna forma di autenticazione nè crittografia. Esiste un piano per passare (prima o poi) ad HTTPS?
Faccio innanzitutto notare che è possibile ottenere certificati *gratuiti* tramite [Let's Encrypt](https://letsencrypt.org/) una CA messa su da Mozilla e altri per permettere la navigazione sicura e privata della rete, dunque questa transizione non richiede esborsi di denaro diretti, ma solo del tempo per configurare bene il server.

Forse interesserà a pochi del forum, ma io ritengo la privacy qualcosa di importante e, vista la disponibilità di certificati validi e gratuiti, trovo che non abbia senso non avvantaggiarcene, tanto più che in questo forum si discute di materie "sensibili" che potrebbero essere oggetto di brutte storie.

Uno dei motivi per cui internet è così poco sicuro e soggetto a intercettazioni (o tracciamento in generale) da parte di chi che sia è proprio la completa mancanza di applicazione di tecnologie come HTTPS.
 

Steve

TheBigGun - Fondatore di PUNTERFORUM
Membro dello Staff
Administrator
Registrato
24 Aprile 2008
Messaggi
6.295
Reaction score
12.759
Età
53
Località
Italy
In sostanza, il tuo problema qual'è?
 
Commenta
Registrato
28 Dicembre 2013
Messaggi
75
Reaction score
23
Richiesi lo stesso nel passato senza ricevere risposta, e mi permetto quindi di sottoporre un possibile problema:

Viaggiando spesso per lavoro capita di collegarsi a wifi di cui non si ha il controllo (es. alberghi, aeroporti, locali pubblici..).
Chiunque è collegato allo stesso wifi in quel momento può vedere tutto ciò che ci sta passando, incluso il traffico degli altri utenti.
Se questo traffico è in chiaro (ovvero non cifrato usando ad es. https), è possibile visualizzarne il contenuto.
Se un estraneo (es. il fattorino dell'albergo) scopre che vado a vedere un sito come PunterForum potrebbe darmi fastidio, ma non più di tanto.
Mi darebbe sicuramente fastidio se però vedendo il traffico riesce a vedere durante il mio accesso al sito il mio nome utente e la mia password in transito.
In tal caso lui potrebbe accedere al sito con il mio utente, creare problemi o modificare i miei post.

Un secondo esempio:

Se invece fossi io il "cattivo", mi metterei fuori dalle zone fiere importanti durante i vari expo ad offrire wifi gratuito, aspettando di vedere gli allocchi che si connettono e mi usando per collegarsi ai vari siti.
Di una connessione https potrei vedere ben poco, mentre di una qualsiasi connessione http potrei modificare al volo il contenuto delle pagine (in gergo man in the middle) andando ad aggiungere ed eseguire al volo codice javascript.
 
Commenta

Steve

TheBigGun - Fondatore di PUNTERFORUM
Membro dello Staff
Administrator
Registrato
24 Aprile 2008
Messaggi
6.295
Reaction score
12.759
Età
53
Località
Italy
Mi sembra piuttosto confusa la seconda parte del messaggio. Ad ogni modo, grazie della segnalazione.
 
Commenta
Registrato
28 Dicembre 2013
Messaggi
75
Reaction score
23
Mi sembra piuttosto confusa la seconda parte del messaggio.

Sì scusami sarà che avevo la febbre mentre scrivevo ma rileggendomi in effetti ho notato che non si capisce niente.
Per dirla in altro modo, oltre alla possibilità che qualcuno "ascoltando" le connessioni tramite wifi intercetti dati sensibili come nomi utenti e password, c'è una seconda possibilità anche peggiore.

Una persona esperta e con intenzioni malevoli può modificare "al volo" il contenuto delle pagine html richieste da un utente se le stesse passano per una connessione non protetta.
Un esempio per sfruttare questa possibilità è quella di aggiungere javascript alle pagine richieste, codice che verrà eseguito sul pc dell'utente a sua insaputa.

Ho trovato una pagina di Wikipedia che probabilmente spiega il tutto meglio di come io sia capace: https://it.wikipedia.org/wiki/Rogue_access_point
 
Commenta
F

fabxpiace

Ospite
Ospite
Se vuoi garantirti un minimo di "privacy", perlomeno di quelli che viaggiano sulla stessa Wi-Fi in chiaro, basta che ti colleghi ad una VPN. Per esempio qui ne parlano in un vecchio articolo:
http://www.ilsoftware.it/articoli.a...tta-come-proteggere-i-propri-dati_10077&pag=1

A conti fatti solo i due estremi, cioè il sito (PF) e il solo user sanno che stai navigando in quel determinato indirizzo, mentre gli altri connessi allo stesso WiFi vedono i tuoi dati criptati (vedono cioè solo l'indirizzo della VPN a cui sei appoggiato).

Per quanto riguarda invece il sito di PF, beh, a conti fatti si potrebbe tradurre in perdita di "audience", se mettono in atto quello che alcuni browser vorrebbero fare... "da alcuni browser che stanno valutando di iniziare ad utilizzare solo protocolli sicuri, agli stessi motori di ricerca (come Google) che garantiscono un ranking migliore ai siti disponibili tramite protocollo https".
Ad ogni modo, dovesse interessare all'amministrazione, lascio il sito...
https://www.miamammausalinux.org/2016/12/traffico-http-sicuro-grazie-a-lets-encrypt/
che tra le altre cose include un how-to su come criptare dati (e non) tramite regolari e gratuiti certificati.
 
Commenta
Registrato
27 Novembre 2016
Messaggi
30
Reaction score
2
Località
Toscana
Scrivo qui perchè è una tematica che mi interessa (da informatica) e che ritengo utile a tutti.

Ho notato che attualmente l'intero forum è servito tramite protocollo HTTP, ovvero senza alcuna forma di autenticazione nè crittografia. Esiste un piano per passare (prima o poi) ad HTTPS?
Faccio innanzitutto notare che è possibile ottenere certificati *gratuiti* tramite [Let's Encrypt](https://letsencrypt.org/) una CA messa su da Mozilla e altri per permettere la navigazione sicura e privata della rete, dunque questa transizione non richiede esborsi di denaro diretti, ma solo del tempo per configurare bene il server.

Forse interesserà a pochi del forum, ma io ritengo la privacy qualcosa di importante e, vista la disponibilità di certificati validi e gratuiti, trovo che non abbia senso non avvantaggiarcene, tanto più che in questo forum si discute di materie "sensibili" che potrebbero essere oggetto di brutte storie.

Uno dei motivi per cui internet è così poco sicuro e soggetto a intercettazioni (o tracciamento in generale) da parte di chi che sia è proprio la completa mancanza di applicazione di tecnologie come HTTPS.

Sono perfettamente daccordo.
Credo che punterforum dovrebbe mettere in conto il passaggio all'https come priorità assoluta.
 
Commenta
Registrato
24 Aprile 2008
Messaggi
8.455
Reaction score
39.121
Località
uno spazietto tra il 1° ed il 47°
Un'illustrazione di quanto sia semplice raccattare coordinate di accreditamento a strascico, su rete locale, in assenza di cifratura TLS/SSL, senza neppure ricorrere ad uno sniffer:
https://greyhatsspeak.blogspot.it/2013_07_01_archive.html

Un po' di dati sulla diffusione di HTTPS:
https://www.trustworthyinternet.org/ssl-pulse/
https://statoperator.com/research/https-usage-statistics-on-top-websites/

I gestori di PF potrebbero apprezzare il fatto che l'indexer di Google considera la disponibilità del protocollo HTTPS come fattore di ranking:
https://webmasters.googleblog.com/2014/08/https-as-ranking-signal.html

Qui un'indicazione sulla possibilità di ottenere certificati affidabili col minimo impegno (anche economico):
https://en.wikipedia.org/wiki/Let's_Encrypt

E' ovvio che con una VPN, una rete TOR o un altri trappoli si può mitigare il problema ma, rispetto all'automatismo di HTTPS, si richiede (più o meno realisticamente) un atteggiamento da parte dell'utenza molto più attivo.

Infine HTTPS risolve un grossissimo problema ma ne apre altri, che vanno dunque valutati. Ad esempio, anche se forse il problema era più sentito sui server di una volta, è richiesto un maggior lavoro computazionale:
http://searchengineland.com/https-setup-causing-seo-issues-254236
http://www.howtogeek.com/182425/5-serious-problems-with-https-and-ssl-security-on-the-web/
http://www.howtogeek.com/178696/why...erous-even-when-accessing-encrypted-websites/
 
Commenta

Steve

TheBigGun - Fondatore di PUNTERFORUM
Membro dello Staff
Administrator
Registrato
24 Aprile 2008
Messaggi
6.295
Reaction score
12.759
Età
53
Località
Italy
Ragazzi, il discorso è più complicato di quello che pensate. E non sto parlando di implementare un banale certificato e di adottare il protocollo HTTPS

Già da tempo ho in "canna" questa verifica. Abbiate pazienza ed arrivo anche lì.
 
Commenta

labial

Espulso
Account sospeso
Registrato
30 Aprile 2016
Messaggi
85
Reaction score
0
Località
bologna
https? girano dati sensibili o solo pass di nickname,non vedo neppure alcun numero personale. Sarebbe una alternativa il passaggio, sarebbe anche controproducente per un forum di questo tipo.
Non mi dilunghero' molto,ma potrebbe gravare responsabilità.
Saluti.
 
Commenta
Registrato
16 Ottobre 2010
Messaggi
324
Reaction score
3
Località
Vicino alla cioccolateria
Quale è il problema che impedisce allo Staff di acquisire un certificato gratuito e rendere così sicuro in modalità https il forum e tutelare tutti i suoi utenti? La tematica non ha ancora avuto risposta nonostante questa sia la seconda discussione di segnalazione del pericolo cui si espone la comunità. Quindi a dscapito anche del forum stesso? Non capisco, lo Staff è sempre attento all'innovazione del sito. Ci potete aggiornare in merito? Grazie e buon lavoro a tutto lo Staff.
Trita
 
Commenta
Registrato
7 Marzo 2013
Messaggi
706
Reaction score
34
Località
Reggio nell'Emilia
Il protocollo HTTPS garantisce innanzitutto l'autenticità delle informazioni trasmesse, cioè che il sito che visiti sia davvero punterforum (uno spoof di questo tipo è semplicissimo se l'attaccante gestisce la rete di comunicazione e il DNS, per esempio una WiFi pubblica, di un albergo o di un bar), secondariamente la segretezza.
Mi sembra che un attacco a un utente di punterforum sia estremamente improbabile per lo scarso interesse; senza togliere niente all'importanza del forum dobbiamo riconoscere che parliamo soprattutto di puttanate. Tecnicamente le uniche informazioni sensibili sono quelle che qualcuno talvolta pubblica nella sezione salute.
La semplice implementazione del certificato (se il server lo supporta) garantirebbe la segretezza della trasmissione, anche se potrebbe dare luogo a qualche inconveniente, per esempio se il certificato è self-signed (autofirmato, cioè non regisrato da una CA) garantisce comunque la segretezza ma non l'autenticità ed è segnalato (erroneamente) come pericolo dal browser.
Agli utenti che hanno bisogno di segretezza raccomando di utilizzare il metodo suggerito da fabxpiace, che garantisce anche che un eventuale attaccante non venga a sapere che l'utente ha visitato punterforum (SSL comunica in segreto ma trasmette gli indirizzi in chiaro), nasconderebbe anche le visite a bakeca incontri, i download delle foto e tutto il resto dell'attività che con il semplice passaggio di punterforum al protocollo sicuro resterebbero vulnerabili.
 
Commenta
Registrato
24 Aprile 2008
Messaggi
8.455
Reaction score
39.121
Località
uno spazietto tra il 1° ed il 47°
- dato lo "scarso interesse" e la "estrema improbabilità" che qualcuno le utilizzi, potresti pubblicare qui le tue coordinate di accreditamento? ;-)
- tra le diverse informazioni sensibili, presenti su PF e normate dall'ordinamento italiano, direi che possiamo aggiungere anche l'orientamento sessuale.
 
Commenta
Registrato
7 Marzo 2013
Messaggi
706
Reaction score
34
Località
Reggio nell'Emilia
Hai ragionissima perdonami non volevo essere snob, lo riscrivo in maniera che tutti possano capire:
Tutti vogliamo tenere segrete le nostre cose però credo che nessuno si farà il culo per rubarle, soprattutto perché non ci guadagna.
Se serve aiuto su qualcos'altro che ho scritto non ti preoccupare di disturbarmi.
 
Commenta
Registrato
24 Aprile 2008
Messaggi
8.455
Reaction score
39.121
Località
uno spazietto tra il 1° ed il 47°
mmmm... tu dici? E' effettivamente un modo di pensare diffuso, ed effettivamente la maggior parte di noi non se ne preoccupa... finchè non succede.

Tra le tante possibili in lingua italiana riporto poche letture per i pomeriggi estivi, dello stesso autore:
https://attivissimo.blogspot.it/2013/11/datagate-il-mito-di-non-avere-niente-da.html
https://attivissimo.blogspot.it/2014/12/pronta-la-traduzione-italiana-di.html

ed una, in particolare, sull'idea che i data broker non ci guadagnino:
https://attivissimo.blogspot.it/2015/09/ma-chi-possono-mai-interessare-i-miei.html

 
Commenta
Registrato
7 Marzo 2013
Messaggi
706
Reaction score
34
Località
Reggio nell'Emilia
Ok, in effetti ho sempre sottovalutato i problemi di segretezza della maggior parte degli utenti. E' anche una questione filosofica su cui forse avete letto qualche altro mio post, che meno segreti si hanno meglio è, che non siamo trafficanti di armi, che se qualcuno mi viene a dire che vado a puttane gli rispondo che grazie ma lo sapevo già visto che ci vado io. Credo che si debba mantenere un equilibro di discrezione, che è il rispetto verso un ordine sociale in cui a qualcuno può dare fastidio la pubblicità di un affare che considera privato, evitando di assecondare una tendenza ufficiosa che considera deprecabili dei comportamenti che sono tuttavia, per ora, ufficialmente leciti. E quindi no, se qualcuno mi chiederà di pubblicare qui il mio nome e cognome non lo farò (anche se alcuni utenti sconoscono anche il codice fiscale ed ovviamente non sanno che farsene), perché ci sono altri atteggiamenti forse più idonei alla circostanza oltre a quelli estremi di nascondersi oppure pubblicare.

Dopo aver fatto tutto questo discorso solo per dimostrare che so scrivere e all'esame di maturità avrei meritato un voto migliore, passiamo alla questione pratica. Riconosco che un attacco informatico che riuscisse ad individuare l'identità di una manciata di utenti del forum collegata al loro nick, frutterebbe una discreta somma con i ricatti. Non è propriamente una cosa facile, perché dopo aver ricondotto l'utente del forum all'indirizzo IP che utilizza, l'attaccante dovrebbe identificare l'intestatario dell'utenza, informazione che è memorizzata dai fornitori di servizi internet ma non è disponibile a chiunque. Invece un attaccante che si trovasse in un ambiente dove ha la possibilità di identificare la persona, cioè in una rete privata, per motivarsi all'attacco dovrebbe già avere un'idea di cosa trovare; è possibile ma non probabile. I due tipi di attacco più probabile insomma sono quello ad personam e quello casuale in cui un hacker cerca genericamente informazioni e viene a scoprire qualcosa che può essergli utile. Il secondo tipo di attacco non è quasi mai praticato intercettando il traffico, invece è fatto spesso con intrusione direttamente nel computer dell'utente, mediante virus; sono possibili delle difese ma non si combatte cifrando il traffico su internet.

Se nonostante tutto qualcuno ha timore di essere intercettato, o perché frequenta spesso reti dove è conosciuto o perché potrebbe essere sotto indagine (dalla moglie ad esempio) il sistema di cui ha parlato fabxpiace ha il valore aggiunto, rispetto all'uso del protocollo sicuro, di nascondere anche la connessione all'indirizzo di punterforum. Se qualcuno ha bisogno di utilizzarlo e non sa come farlo chieda pure che lo aiutiamo, qui sul forum e non in privato, così sarà utile a tutti.
 
Commenta
Registrato
24 Aprile 2008
Messaggi
8.455
Reaction score
39.121
Località
uno spazietto tra il 1° ed il 47°
In tale ottica riporto i link a thread affini:

Come non lasciare traccia sul server aziendale?
http://community.punterforum.com/showthread.php?t=34555

Crackato il computer? Come difendersi?
http://community.punterforum.com/showthread.php?t=76497

Connessione tramite IP
http://community.punterforum.com/showthread.php?t=35672

Aggiungerei una considerazione che deriva da qualche lustro di esperienza professionale: nel settore della sicurezza informatica, locuzioni come "poco probabile" o "difficile da realizzare" non hanno senso:
- vengono puntualmente smentite dai fatti (anche se la probabilità è piccola, il numero di sfaccendati là fuori è così enorme che sicuramente prima o poi qualcuno trova il sistema);
- per quanto piccola sia la probabilità che si verifichi un certo incidente, si deve contemperarla con la gravità degli effetti (per alcuni di noi potrebbe significare minuzie come un capovolgimento della vita, personale, coniugale o professionale).

 
Commenta
Alto