Supporto ad HTTPS?

[Randomico]

Scrivo qui perchè è una tematica che mi interessa (da informatica) e che ritengo utile a tutti.

Ho notato che attualmente l'intero forum è servito tramite protocollo HTTP, ovvero senza alcuna forma di autenticazione nè crittografia. Esiste un piano per passare (prima o poi) ad HTTPS?
Faccio innanzitutto notare che è possibile ottenere certificati *gratuiti* tramite [Let's Encrypt](https://letsencrypt.org/) una CA messa su da Mozilla e altri per permettere la navigazione sicura e privata della rete, dunque questa transizione non richiede esborsi di denaro diretti, ma solo del tempo per configurare bene il server.

Forse interesserà a pochi del forum, ma io ritengo la privacy qualcosa di importante e, vista la disponibilità di certificati validi e gratuiti, trovo che non abbia senso non avvantaggiarcene, tanto più che in questo forum si discute di materie "sensibili" che potrebbero essere oggetto di brutte storie.

Uno dei motivi per cui internet è così poco sicuro e soggetto a intercettazioni (o tracciamento in generale) da parte di chi che sia è proprio la completa mancanza di applicazione di tecnologie come HTTPS.

 

[Tritapassere]

Molto interessanti i post da Voi scritti, aprono uno squarcio a chi non ha competenze in queste materie.
Se mi permettete una riflessione e una domanda.
La riflessione è che la violazione di dati sensibili sul lato privato è già avvenuta nel mondo e a grandi numeri. Se ricordate l'anno scorso ci furono delle persone che si uccisero per la vergogna, dopo che la loro vita privata extraconiugale era stata violata da hacker che presero milioni di dati di utenti americani. Non ricordo di quale server, ricordo però che fu negli USA e un capo della polizia si uccise per la violazione della sua segreta seconda vita.
La domanda è invece tecnica. Come mi tutelo da un server c line usato per un linux box tv? Si aprono le porte di casa a un estraneo, ci si tutela staccandolo quando il pc è acceso, il wi fi lo si spegne e rimane attivo solo router e box. Ma quella volta che ci si dimentica il pc acceso o idem per il wi fi?

Grazie a Voi

 

[Dr.Grunf]

Una vera discussione del tuo caso ci porterebbe un po' off-topic. Però in questi tempi di allegria da tuttogratis può essere salutare iniziare a recuperare qualche elemento di critica (prima che la generazione futura ci chieda dove noi fossimo mentre succedeva tutto ciò). Insomma una serie di buone letture, tecnicamente fondate e personalmente avvedute qui:
http://punto-informatico.it/cerca.aspx?s=tag:"rubrica+Cassandra+Crossing"

(il caso che citi era questo: https://attivissimo.blogspot.it/search/label/Ashley Madison
di li a poco arrivò anche: http://www.zdnet.com/article/adultfriendfinder-network-hack-exposes-secrets-of-412-million-users/)

 

[bepistrunsit]

Oggi sono ripassato in questo thread dopo un po', e mi sono accorto con piacevole sorpresa che https://community.punterforum.com funziona, anche se parte delle risorse (immagini, css, ..) vengono servite ancora da indirizzi non "sicuri". E' perlomeno un buon inizio!

 

[Dr.Grunf]

Prima o poi sarà disponibile una serie di tool specifici, e dopo poco saranno pure integrati in Kali, insomma, ci sono notizie poco buone all'orizzonte:
https://attivissimo.blogspot.it/2017/10/mega-falla-wi-fi-wpa2-sicurezza-rischio.html

 

[pussyFixed]

Ciao a tutti!
Era da un po' che mi ponevo la domanda e mi fa piacere che la questione sia stata posta da qualcuno prima del sottoscritto, che stava giusto per farlo (con un po' di ritrosia perché, non contribuendo molto, mi sentivo anche poco in diritto di rompere le scatole).

A chi minimizza i rischi vorrei far presente che, banalmente, oltre ad eseguire codice sul mio pc, chi "sniffa" il traffico tra me e PF può come già detto rubare nome utente e password: in questo modo può accedere a tutti i miei contenuti, compresi i messaggi privati.

Non è il mio caso, ma potrebbero contenere molti elementi critici.


Chiudo con una domanda: se mi collego da VPN non è comunque possibile un attacco man-in-the-middle tra il server di PF e il serve VPN?
Chiedo scusa se la risposta a tale domanda è già contenuta nei link forniti, adesso mi metto a studiare

Segnalo inoltre che il link https://community.punterforum.com/ conduce ad un sito senza CSS né immagini e che, cliccando su un link qualsiasi, si finisce comunque sul sito in chiaro (plain HTTP).

 

[Dr.Grunf]

un bell'articolo pieno di dati e riferimenti
https://attivissimo.blogspot.it/2018/02/da-oggi-il-disinformatico-e-in-https.html

 

[punteresclamativo]

Protocolli https o meno le falle ed i bug esistono in qualsiasi sito. Serve pazienza e distribuzioni forensi,forse alla portata dei più,ma non è così semplice come spesso spiegano i tutorial di YouTube. Personalmente neppure io implementerei il protocollo e nessuno qui usa le stesse credenziali del Conto Corrente...
Torniamo alle fighe é meglio!

 

[fabxpiace]

In realtà è abbastanza semplice interferire od attaccare un possibile obiettivo.
Non spiegherò nel dettaglio, ma un volta "sniffato" il sito, se l'obiettivo (magari in punter XX) è in wi-fi è piuttosto semplice inviare una richiesta da MitM, e se con determinati sistemi è un gioco da ragazzi (Android, Win 10) con altri (Linux, iOS/Mac) richiede più preparazione.
Per questo motivo andrebbe sempre implementato un protocollo superiore che si frapponga da "layer" tra un possibile attaccante e una possibile preda.

Chiaramente va tenuto conto dei possibili/probabiliti ostacoli (firewall, antivirus, etc) e variabili (coll. mobile diretto, wifi, etc).

 

[Dr.Grunf]

[...]Personalmente neppure io implementerei il protocollo [...]

in che senso scusa, gestisci un servizio aperto verso Internet?

 

[punteresclamativo]

È fuori logica,almeno per me,sniffare un traffico di rete. Cyber sicurezza e Ingegneria Sociale solo per fare un esempio. Preferisco usare alcuni metasploit in modo diverso. Non mi dilungo neppure io...

 

[Dr.Grunf]

della serie: toglietegli il fiasco

ecco, chiarissimo, grazie!

 

[Paul.Ballard]

da qualche giorno il sito in https mi si mostra privo dei contenuti multimediali / grafici. sembra che il webserver abbia link a contenuti non sicuri http senza ssl o https sia stato malamente configurato , inoltre, nel box password digitandola questa esce in chiaro senza asterischi. rilevo il problema con tutti i browser. nella versione non cifrata tutto ok. Gli amministratori mi hanno risposto che dipende dal mio client , mi dite se anche voi avete simili problemi ? se riesco allego una foto di come si vede ... grazi 1000

 

[Paul.Ballard]

ecco la rappresentazione del problema.... grazie 1000 per eventuali contributi

 

[L3ONARDO]

@ Paul.Ballard

→ http://community.punterforum.com/showthread.php?t=121787&p=2284025&viewfull=1#post2284025

 

[Paul.Ballard]

..ma non ... non è la stessa cosa, una è protetta da cifratura, l'altra invia e riceve dati in chiaro ......

 

[Steve]

....guarda che sei curioso un bel po’.
Ho visto le tue mail in amministrazione: ti è stato risposto che attualmente PUNTERFORUM NON ADOTTA NESSUN PROTOCOLLO HTTPS quindi stai navigando con l’estensione https un sito che in effetti non è configurato per supportare questo protocollo.

Scrivi nel tuo browser community.punterforum.com e vedrai che il problema si risolve da sè.

 

[Paul.Ballard]

Salve,

ammesso e non concesso che questo sia vero cioè che il sito non abbia mai avuto una versione ssl funzionante bene, ti segnalo che di curioso c'è che digitando community.punterforum.com dentro google il primo link riportato è in versione https.

Quindi o google è scemo od il sito è stato indicizzato in precedenza con il protocollo ssl e, successivamente, è capitato qualcosa per cui la configurazione è saltata.

Se volete usare solo http dovete spegnere nel web server il protocollo https su porta 443 che continua a rispondere ma mostra una versione del sito incompleta e con gravi problemi anche di sicurezza (vedi immagine dove è permesso mettere una password senza mascheramento).

Data la sensibilità degli argomenti trattati in questo forum dovreste accettare i suggerimenti soprattutto quelli relativi alla sicurezza.

Saluti.

Allego immagini

 

[L3ONARDO]

[FONT=&quot]

[/FONT]
[FONT=&quot]Data la sensibilità degli argomenti trattati in questo forum dovreste accettare i suggerimenti soprattutto quelli relativi alla sicurezza.[/FONT][FONT=&quot]

[/FONT]

Probabilmente hai recepito male ciò che ti è stato scritto.
Nessuno ha detto che in precedenza il sito non ha mai adottato il protocollo HTTPS, ti è stato invece detto che ATTUALMENTE:

PUNTERFORUM NON ADOTTA NESSUN PROTOCOLLO HTTPS .

Dato che poi si suppone parlare con gente adulta e attenta, ci si aspetta che, nel caso si venga indirizzati su una pagina destrutturata e priva di protezione a nessuno verrebbe in mente di immettere i propri dati sensibili.

Scrivi nel tuo browser community.punterforum.com e vedrai che il problema si risolve da sè.

...dove per browser non si intende una ricerca con Google, bensì la barra di indirizzamento.

Stai montando un caso che non esiste.

 

[Paul.Ballard]

D'accordo ma .... ci si aspetta anche che il gestore del sito sia attento a non lasciare falle di sicurezza . Io non sto montando niente questo topic non l'ho aperto io , l'intento è dare il consiglio di implementare https come da buone prassi e normative varie. Non ho altro da aggiungere.

saluti.

 

[zntra]

Ci si aspetta anche che se la versione HTTPS del sito non è affidabile, venga fatta una redirect automatica alla versione HTTP e questo non lo deve fare l'utente e nemmeno ricordarselo, ma chi gestisce il sito.

Per quanto riguarda ficcare il naso di qua o di là, non capisco la problematica, il certificato SSL è di dominio pubblico per un buon motivo.

Che attualmente punterforum non adotti HTTPS non è vero perché io vedo la porta 443 del server aperta, è raggiungibile e risponde pure.

Sono anche riuscito a scaricare il certificato SSL con openssl e ho potuto verificare che è stato rilasciato da cPanel, se mi ricordo bene.

Che sia stato installato il certificato solo per il dominio community.punterforum ?

Le chiamate che vengono fatte quando si naviga sul sito, d'ora in avanti le chiamerò API punterforum, sono su un altro dominio ?

Magari un sottodominio a cui non è stato registrato nessun certificato SSL ?

zntra