Siti insicuri: come ci avvisano Chrome, Safari, Edge e Firefox?
A partire da luglio Google contrassegnerà i siti insicuri in Chrome (e non più quelli sicuri-HTTPS), in modo da spingerne i proprietari ad adottare certificati digitali e a crittografare il traffico di tutte le loro pagine. La decisione di taggare i siti HTTP (quelli che non crittografano le comunicazioni da server a browser e da browser a server) è stata promessa da Google a partire dal 2014, sebbene solo a breve diventerà operativa. Una mossa, questa della grande G, che molto probabilmente avrà successo viste le quote di diffusione di Chrome, ma gli altri browser come si comportano quando devono segnalare siti insicuri?
Safari
Il browser di Apple attualmente utilizza il modello tradizionale di segnaletica, mettendo una piccola icona a forma di lucchetto nella barra degli indirizzi quando una pagina è protetta da un certificato digitale e il traffico tra Mac e il server del sito è crittografato. Nessun lucchetto? Ciò significa che il sito non crittografa il traffico.
Le versioni recenti del browser, tuttavia, adottano misure aggiuntive in determinate circostanze. Se l’utente si trova in un sito non protetto (non bloccato con certificato e crittografia) e tenta di eseguire attività quali l’immissione di informazioni nei campi di accesso o quelli progettati per accettare numeri di carta di credito, Safari visualizza in rosso l’avviso Sito web non protetto. Questi avvisi hanno debuttato nella versione di Safari in bundle con macOS 10.13.4, un aggiornamento rilasciato il 29 marzo. L’avviso Sito web non protetto dovrebbe apparire anche se il certificato c’è ma non è aggiornato o è illegittimo.
Firefox
Il browser di Mozilla si trova su un percorso simile a quello di Chrome, nel senso che tagga tutti i siti senza crittografia con un segno distintivo. In realtà però Firefox non è ancora del tutto al livello di Chrome. Al momento infatti il browser di Mozilla mostra un lucchetto con sopra una linea diagonale rossa solo quando l’utente raggiunge una pagina HTTP che contiene una combinazione di login nome utente/password. Cliccando su uno di questi campi, compare un avviso testuale che indica come la connessione non sia protetta e come i dati inseriti in questi campi potrebbero essere compromessi.
In tutti gli altri casi Firefox mantiene un approccio più tradizionale. I siti web HTTPS sono contrassegnati da un lucchetto verde nella barra degli indirizzi, mentre le normali pagine HTTP non sono contrassegnate in alcun modo. Mozilla si è però impegnata a seguire le orme di Google. “Firefox visualizzerà l’icona del lucchetto barrato per tutte le pagine che non utilizzano HTTPS per avvisare che non sono sicuri”, hanno scritto Tanvi Vyas e Peter Dolanjski, rispettivamente ingegnere della sicurezza e product manager di Mozilla, in un post sul blog aziendale più di un anno fa. “Con l’evolversi dei nostri piani, continueremo a pubblicare aggiornamenti, ma la nostra speranza è che tutti gli sviluppatori siano incoraggiati da queste modifiche a prendere le misure necessarie per proteggere gli utenti del web tramite HTTPS.”
La funzionalità per marcare tutti i siti HTTP è in realtà nascosta all’interno di Firefox, ma non è stata abilitata di default nell’attuale versione (Firefox 60). Tuttavia, gli utenti possono attivarla manualmente. Ecco come:
- Digitare about: config nella barra degli indirizzi di Firefox
- Cercare security.insecure_connection_icon.enabled
- Fare doppio clic su quell’elemento; il false sotto Value passerà a true
A questo punto potete testare la modifica andando su una pagina HTTP come bbc.com.
Chrome
Al momento, in vista dell’aggiornamento di luglio, Chrome utilizza ancora il solito lucchetto per contrassegnare i siti HTTPS e non quelli non crittografati (HTTP), almeno a una rapida occhiata alla barra degli indirizzi. In realtà, facendo clic sul simbolo dell “i” all’interno di un cerchio alla sinistra dell’URL, viene visualizzato un menu che richiama l’attenzione sulle connessioni non protette esistenti. Dal 2017 Chrome ha poi iniziato a contrassegnare i siti che trasmettono password o dati della carta di credito su connessioni HTTP come Non protetti mostrando questo testo nella barra degli indirizzi.
Le modifiche di cui abbiamo parlato all’inizio dell’articolo inizieranno a essere implementate a luglio con Chrome 68 (atteso più precisamente tra il 22 e il 28 luglio), che contrassegnerà tutti i siti HTTP con l’avviso Non sicuro inserito prima dell’URL nella barra degli indirizzi. Questa novità però può già essere attivata nell’attuale Chrome 66 seguendo questi quattro passaggi:
- Digitare chrome://flags nella barra degli indirizzi
- Trovare l’elemento Mark non-secure origins as non-secure
- Selezionare Enable (mark with a Not Secure warning) e riavviare Chrome.
- Opzionalmente, selezionare Enable (mark as actively dangerous) per visualizzare anche l’icona rossa
Edge
Più o meno allo stesso modo di Safari, anche il browser di Windows 10 è fermo al modello “segnalare i siti HTPPS e non HTTP”. Edge visualizza infatti un’icona a forma di lucchetto nella barra degli indirizzi quando la pagina è protetta da un certificato digitale e il traffico tra un PC Windows 10 e il server è crittografato. Se non c’è il lucchetto, il sito non crittografa il traffico perché si basa ancora su HTTP.
Per ottenere la spiegazione completa, tuttavia, gli utenti devono fare clic sull’icona con la i all’interno di in un cerchio prima dell’URL e leggere il testo nel pop-up successivo: “Fare attenzione qui. La connessione a questo sito web non è crittografata. Questo facilita il furto di informazioni riservate come le password.” A differenza di Safari, Firefox e Chrome, Edge non mostra invece avvisi speciali quando l’utente visita un sito HTTP con campi di input importanti, come quelli dedicati alle password o ai numeri delle carte di credito.