Lucchetti e web

La navigazione sul web è parte del quotidiano e tutti la usiamo. Purtroppo spesso navighiamo alla cieca e senza conoscere aspetti fondamentali quindi lo facciamo in modo non sicuro esponendoci a rischi anche gravissimi.

HTTP

HTTP è l’acronimo di HyperText Transfer Protocol o protocollo di trasferimento di ipertesto. Questo acronimo è familiare e lo troviamo come prefisso negli indirizzi web come http:// prima dell’indirizzo del sito con il quale ci connettiamo.

Il sistema HTTP utilizza il protocollo TCP e la porta 80 del nostro computer per trasferire le informazioni che desideriamo ottenere cioè le pagine web.

HTTPS

Quando la rete internet è diventata uno strumento di comunicazione globale così importante da essere utilizzata per trasferire informazioni e dati privati e riservati è stata aggiunta una S al protocollo che è divenuto HTTPS  acronimo di Hypertext Transfer Protocol Secure o protocollo di trasferimento di ipertesto sicuro.

HTTPS è un’estensione del normale HTTP che viene utilizzato per le comunicazioni sicure in rete perché sostanzialmente aggiunge la criptografia, Secure Sockets Layer (SSL) o la sua evoluzione Transport Layer Security (TLS), allo scambio di informazioni fra il client (il nostro terminale) e il server (che ospita il sito web).

HTTPS si occupa di verificare e autenticare il sito al quale ci colleghiamo (garantendo quindi che non si tratti di un falso ma che sia il sito originale) e proteggere con una cifratura i dati che inviamo e riceviamo.

HTTPS protegge dagli attacchi definiti man-in-the-middle con la crittografia bidirezionale delle comunicazioni client-server cioè dalle intercettazioni e dalle manomissioni che un impostore, inserendosi fraudolentemente nella comunicazione potrebbe operare, garantendo comunicazioni senza interferenze.

Non esistono cassaforti inattaccabili ne contratti inattaccabili e neppure garanzie assolute ma ragionevolmente il protocollo HTTPS ci tutela verificando che il sito sia quello al quale intendiamo collegarci e protegge lo scambio dei dati. UniSanPaolo utilizza esclusivamente protocolli HTTPS in modo che gli utenti (studenti, docenti, ricercatori, personale o semplici visitatori) siano sicuri di essere collegati ai siti ufficiali UniSanPaolo e non a siti truffa o clonati. Il protocollo consente inoltre di cifrare le comunicazioni e quindi di impedire, ad esempio, il furto di ID e password o delle informazioni sensibili come i dati personali, le lezioni, ecc.

Il protocollo HTTPS nasce per tutelare pagamenti e transazioni, posta elettronica e comunicazioni private aziendali ma negli ultimi anni viene utilizzato per proteggere l’autenticità della pagina, le comunicazioni degli utenti, l’identità e la navigazione. Per questo UniSanPaolo ha promosso una campagna per diffondere l’uso del protocollo sicuro ad ogni livello.

HTTPS e navigazione web

Cosa cambia e cosa deve verificare il navigatore? Innanzi tutto dobbiamo verificare che, nella casella dove digitiamo e vengono visualizzati gli indirizzi nel nostro browser compaia l’indirizzo corretto. Anche una piccola variazione può essere una frode. Ad esempio il sito ufficiale dell’università è www.unisanpaolo.org quindi un sito diverso ma apparentemente simile, come www.unisanpoalo.org oppure www,unisanpaolo.nel,  non è quello corretto e quasi certamente è una frode in quanto tende a sviare l’attenzione di chi naviga con differenze impercettibili. Da qualche anno i server dispongono di sistemi di autocompletamento che ci consentono di evitare di digitare il prefisso www. (World Wide Web) anche se in realtà non è proprio la stessa cosa digitare un indirizzo con e senza il prefisso per rché a volte il server può includere servizi diversi con prefissi differenti dal classico www e anche servizi privi di prefisso. Quindi quando cerchiamo un indirizzo specifico è sempre meglio utilizzare il nome completo di prefisso.

Molti utilizzano il browser di default presente nel sistema (Explorer, Edge, Safari, Chrome, ecc.) ma questo è un grosso errore.  Il browser di default è quello più esposto agli attacchi e più vulnerabile e non andrebbe ami utilizzato.

Il browser migliore da molti anni è Firefox: un software di navigazione Open Source, indipendente e gratuito che da tempo sta facendo la “storia” introducendo innovazioni eccezionali che poi vengono copiate anche dagli altri. Esempi notevoli sono la navigazione a schede, le personalizzazioni, le estensioni, la navigazione anonima protetta, la navigazione quantica, ecc.

Firefox è sul podio da anni. Per la velocità il suo concorrente più agguerrito è Chrome, il browser elaborato da Google, che a volte per qualche mese lo supera. Firefox rimane però sempre il migliore in quanto a sicurezza di navigazione.

La navigazione sicura con il lucchetto

Firefox presenta a sinistra dell’indirizzo una serie di simboli estremamente importanti:

Il primo è il lucchetto che può essere:

  • verde per indicare che la connessione è in corso proprio con il sito che compare nella barra degli indirizzi (verifica di autenticità) e che è cifrata e quindi non intercettabile (alcuni siti dispongono oltre ai certificati standard HTTPS anche di certificati estesi che vengono aggiunti al lucchetto sempre in verde);
  • grigio con barra rossa per indicare che la comunicazione bidirezionale è solo parzialmente cifrata quindi non sicura da intercettazioni malevole;
  • grigio con triangolo giallo per indicare che la cifratura non è totale e il certificato non è stato rilasciato da un’autorità riconosciuta e quindi non è attendibile.

Solo se il lucchetto è verde possiamo inviare dati sensibili come identificativi  e password personali, coordinate bancarie e numeri di carta di credito e simili a siti web, mai se il lucchetto è grigio o non appare.

La navigazione sicura con l’icona i

A sinistra del lucchetto troviamo una seconda icona: un cerchio con una i. Un clicck su questa icona apre una finestra con informazioni importanti come questa:

La finestra popup che si apre riporta le informazioni sul sito www.unisanpaolo.org in tre sezioni principali con sottosezioni specifiche.

La prima sezione definisce la connessione sicura e un click del mouse sulla freccia di lato apre una sottosezione con i dati dell’ente certificatore,  nel caso dell’Università il sito è verificato da Actalis spa e un codice specifico consente di effettuare il controllo.

La seconda sezione permette di bloccare eventuali elementi indesiderati come cookies, traccianti e simili. Il click sulla freccia a destra in questo caso consente di verificare che UniSanPaolo non utilizza traccianti, cookies e altro ma esclusivamente i cookies inseriti da Google, come terza parte, per la traduzione delle pagine web nella lingua selezionata da chi naviga.

Questa sezione fornisce la possibilità di gestire il blocco dei contenuti specifici di siti che, al contrario dell’Università, inseriscono contenuti indesiderati.

Il sito dell’Università non utilizza cookies o traccianti o altri sistemi indesiderati e neppure ospita pubblicità di alcun genere quindi la gestione del blocco non è ovviamente necessaria. Per altri siti invece potrebbe rivelarsi utilissima. Questo vale anche per la terza ed ultima sezione relativa ai permessi concessi o non concessi al sito.

Conclusioni

La navigazione sicura è quella eseguita in modo consapevole utilizzando:

  1. un accesso non pubblico
  2. un browser come Firefox
  3. il protocollo HTTPS
  4. i siti che intendiamo effettivamente raggiungere (controllo dell’indirizzo esatto)
  5. server certificati da Enti autorizzati (lucchetto verde)
  6. il controllo degli elementi nascosti (traccianti, cookies, ecc. con info)
  7. l’eventuale blocco di elementi indesiderati

Quando queste condizioni non sono tutte verificate NON dobbiamo usare la connessione per inviare o ricevere dati personali o sensibili. La navigazione su siti sconosciuti o non HTTPS è meglio farla in modalità anonima e senza scambiare dati, lo stesso quando utilizziamo WiFi pubblici. Se dobbiamo verificare il nostro conto bancario è meglio utilizzare la connessione con lo smartphone che attraverso la funzione Hot Spot può essere utilizzato come un router mobile certamente meno vulnerabile di un WiFi pubblico. In mobilità è bene effettuare solo ricognizioni per ottenere informazioni (ad esempio il saldo e i movimenti del conto) ma non operazioni dispositive (pagamenti e simili) che vanno effettuate solo da connessioni private e sicure, possibilmente utilizzando dispositivi terzi come token esterni.

Non esiste protocollo che ci impedisca di buttarci dal ponte

Il pericolo maggiore siamo comunque sempre noi stessi. Quando, per pigrizia, non aggiorniamo il software, utilizziamo un sistema operativo commerciale (tutti vulnerabili) o software di default; quando ci chiedono via mail o telefonicamente di fornire nostri dati personali e noi li diamo a sconosciuti che si spacciano per chi non sono; quando ci chiedono di inviare soldi per ricevere favolose eredità, ecc: in tutti questi casi siamo noi il virus letale contro il quale nessun sistema ci protegge.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.