Supporto ad HTTPS?

R

Randomico

UOMO
Registrato
11 Agosto 2016
Messaggi
87
Reaction score
63
Località
Friuli
Scrivo qui perchè è una tematica che mi interessa (da informatica) e che ritengo utile a tutti.

Ho notato che attualmente l'intero forum è servito tramite protocollo HTTP, ovvero senza alcuna forma di autenticazione nè crittografia. Esiste un piano per passare (prima o poi) ad HTTPS?
Faccio innanzitutto notare che è possibile ottenere certificati *gratuiti* tramite [Let's Encrypt](https://letsencrypt.org/) una CA messa su da Mozilla e altri per permettere la navigazione sicura e privata della rete, dunque questa transizione non richiede esborsi di denaro diretti, ma solo del tempo per configurare bene il server.

Forse interesserà a pochi del forum, ma io ritengo la privacy qualcosa di importante e, vista la disponibilità di certificati validi e gratuiti, trovo che non abbia senso non avvantaggiarcene, tanto più che in questo forum si discute di materie "sensibili" che potrebbero essere oggetto di brutte storie.

Uno dei motivi per cui internet è così poco sicuro e soggetto a intercettazioni (o tracciamento in generale) da parte di chi che sia è proprio la completa mancanza di applicazione di tecnologie come HTTPS.
 
Upvote 0 Downvote
Molto interessanti i post da Voi scritti, aprono uno squarcio a chi non ha competenze in queste materie.
Se mi permettete una riflessione e una domanda.
La riflessione è che la violazione di dati sensibili sul lato privato è già avvenuta nel mondo e a grandi numeri. Se ricordate l'anno scorso ci furono delle persone che si uccisero per la vergogna, dopo che la loro vita privata extraconiugale era stata violata da hacker che presero milioni di dati di utenti americani. Non ricordo di quale server, ricordo però che fu negli USA e un capo della polizia si uccise per la violazione della sua segreta seconda vita.
La domanda è invece tecnica. Come mi tutelo da un server c line usato per un linux box tv? Si aprono le porte di casa a un estraneo, ci si tutela staccandolo quando il pc è acceso, il wi fi lo si spegne e rimane attivo solo router e box. Ma quella volta che ci si dimentica il pc acceso o idem per il wi fi?

Grazie a Voi ;)
 
Una vera discussione del tuo caso ci porterebbe un po' off-topic. Però in questi tempi di allegria da tuttogratis può essere salutare iniziare a recuperare qualche elemento di critica (prima che la generazione futura ci chieda dove noi fossimo mentre succedeva tutto ciò). Insomma una serie di buone letture, tecnicamente fondate e personalmente avvedute qui:
http://punto-informatico.it/cerca.aspx?s=tag:"rubrica+Cassandra+Crossing"

(il caso che citi era questo: https://attivissimo.blogspot.it/search/label/Ashley Madison
di li a poco arrivò anche: http://www.zdnet.com/article/adultfriendfinder-network-hack-exposes-secrets-of-412-million-users/)
 
Ciao a tutti!
Era da un po' che mi ponevo la domanda e mi fa piacere che la questione sia stata posta da qualcuno prima del sottoscritto, che stava giusto per farlo (con un po' di ritrosia perché, non contribuendo molto, mi sentivo anche poco in diritto di rompere le scatole).

A chi minimizza i rischi vorrei far presente che, banalmente, oltre ad eseguire codice sul mio pc, chi "sniffa" il traffico tra me e PF può come già detto rubare nome utente e password: in questo modo può accedere a tutti i miei contenuti, compresi i messaggi privati.

Non è il mio caso, ma potrebbero contenere molti elementi critici.


Chiudo con una domanda: se mi collego da VPN non è comunque possibile un attacco man-in-the-middle tra il server di PF e il serve VPN?
Chiedo scusa se la risposta a tale domanda è già contenuta nei link forniti, adesso mi metto a studiare :)

Segnalo inoltre che il link https://community.punterforum.com/ conduce ad un sito senza CSS né immagini e che, cliccando su un link qualsiasi, si finisce comunque sul sito in chiaro (plain HTTP).
 
Protocolli https o meno le falle ed i bug esistono in qualsiasi sito. Serve pazienza e distribuzioni forensi,forse alla portata dei più,ma non è così semplice come spesso spiegano i tutorial di YouTube. Personalmente neppure io implementerei il protocollo e nessuno qui usa le stesse credenziali del Conto Corrente...
Torniamo alle fighe é meglio!
 
In realtà è abbastanza semplice interferire od attaccare un possibile obiettivo.
Non spiegherò nel dettaglio, ma un volta "sniffato" il sito, se l'obiettivo (magari in punter XX) è in wi-fi è piuttosto semplice inviare una richiesta da MitM, e se con determinati sistemi è un gioco da ragazzi (Android, Win 10) con altri (Linux, iOS/Mac) richiede più preparazione.
Per questo motivo andrebbe sempre implementato un protocollo superiore che si frapponga da "layer" tra un possibile attaccante e una possibile preda.

Chiaramente va tenuto conto dei possibili/probabiliti ostacoli (firewall, antivirus, etc) e variabili (coll. mobile diretto, wifi, etc).
 
da qualche giorno il sito in https mi si mostra privo dei contenuti multimediali / grafici. sembra che il webserver abbia link a contenuti non sicuri http senza ssl o https sia stato malamente configurato , inoltre, nel box password digitandola questa esce in chiaro senza asterischi. rilevo il problema con tutti i browser. nella versione non cifrata tutto ok. Gli amministratori mi hanno risposto che dipende dal mio client , mi dite se anche voi avete simili problemi ? se riesco allego una foto di come si vede ... grazi 1000
 
ecco la rappresentazione del problema.... grazie 1000 per eventuali contributi

Immagine.jpg
 
..ma non ... non è la stessa cosa, una è protetta da cifratura, l'altra invia e riceve dati in chiaro ......
 
....guarda che sei curioso un bel po’.
Ho visto le tue mail in amministrazione: ti è stato risposto che attualmente PUNTERFORUM NON ADOTTA NESSUN PROTOCOLLO HTTPS quindi stai navigando con l’estensione https un sito che in effetti non è configurato per supportare questo protocollo.

Scrivi nel tuo browser community.punterforum.com e vedrai che il problema si risolve da sè.
 
Salve,

ammesso e non concesso che questo sia vero cioè che il sito non abbia mai avuto una versione ssl funzionante bene, ti segnalo che di curioso c'è che digitando community.punterforum.com dentro google il primo link riportato è in versione https.

Quindi o google è scemo od il sito è stato indicizzato in precedenza con il protocollo ssl e, successivamente, è capitato qualcosa per cui la configurazione è saltata.

Se volete usare solo http dovete spegnere nel web server il protocollo https su porta 443 che continua a rispondere ma mostra una versione del sito incompleta e con gravi problemi anche di sicurezza (vedi immagine dove è permesso mettere una password senza mascheramento).

Data la sensibilità degli argomenti trattati in questo forum dovreste accettare i suggerimenti soprattutto quelli relativi alla sicurezza.

Saluti.

Allego immagini

errore1.jpg

errore2.jpg
 
[FONT=&quot]
Paul.Ballard ha scritto:
[/FONT]
[FONT=&quot]Data la sensibilità degli argomenti trattati in questo forum dovreste accettare i suggerimenti soprattutto quelli relativi alla sicurezza.[/FONT][FONT=&quot]
Clicca per allargare...
[/FONT]

Probabilmente hai recepito male ciò che ti è stato scritto.
Nessuno ha detto che in precedenza il sito non ha mai adottato il protocollo HTTPS, ti è stato invece detto che ATTUALMENTE:
CaptainAmerica ha scritto:
PUNTERFORUM NON ADOTTA NESSUN PROTOCOLLO HTTPS .
Clicca per allargare...

Dato che poi si suppone parlare con gente adulta e attenta, ci si aspetta che, nel caso si venga indirizzati su una pagina destrutturata e priva di protezione a nessuno verrebbe in mente di immettere i propri dati sensibili.

CaptainAmerica ha scritto:
Scrivi nel tuo browser community.punterforum.com e vedrai che il problema si risolve da sè.
Clicca per allargare...

...dove per browser non si intende una ricerca con Google, bensì la barra di indirizzamento.

Stai montando un caso che non esiste.
 
D'accordo ma .... ci si aspetta anche che il gestore del sito sia attento a non lasciare falle di sicurezza . Io non sto montando niente questo topic non l'ho aperto io , l'intento è dare il consiglio di implementare https come da buone prassi e normative varie. Non ho altro da aggiungere.

saluti.
 
Devi accedere o registrarti per poter rispondere.
Indietro
Alto