Google Chrome ha iniziato a mostrare la dicitura Non sicuro nella Barra degli indirizzi di molti siti web. Cosa significa? Che il sito in questione contiene un virus o che conduce qualche tipo di truffa? Niente di tutto questo. Vediamo allora di capire di cosa si tratti e a cosa sia dovuto questo comportamento
La novità è stata introdotta dalla versione "68" di Google Chrome rilasciata al grande pubblico (canale "stabile") il 24 luglio 2018.
Avviso "Non sicuro": C'è un virus sul sito?
Chiariamo subito un aspetto importante: la dicitura Non sicuro nella Barra degli indirizzi di Google Chrome non significa che il sito contenga un "virus" (malware).
L'indicazione Non sicuro riguarda infatti unicamente un aspetto tecnico con cui il sito viene "inviato" (servito) dal server all'utente ed eventuali dati inviati dall'utente al server. Non ha nulla a che fare con la pericolosità dei contenuti presenti sul sito stesso.
Nel caso Google Chrome rilevi un sito contenente malware, ci avvisa infatti con una schermata rossa bloccante ben più minacciosa
Ciò premesso, la dicitura Non sicuro non dovrebbe comunque essere sottovalutata.
Il problema è il protocollo HTTP
La novità di mostrare la dicitura Non sicuro di fianco all'URL fa parte della strategia di Google di scoraggiare l'utilizzo del vecchio protocollo HTTP "non sicuro". In pratica, ora Google Chrome mostra la dicitura "Non sicuro" nella Barra degli indirizzi quando l'utente visita un qualsiasi sito tramite protocollo HTTP.
In contrapposizione, troviamo l'etichetta Sicuro sui siti che impieghino la versione sicura di HTTP, ovvero HTTPS (con la "S" finale)
Da notare che, dalle prossime versioni di Google Chrome, la dicitura Sicuro sparirà dai siti HTTPS, come a sottolineare che si tratti della normalità.
Il bollino Non sicuro per quelli HTTP è invece qui per restare.
HTTP e HTTPS
HTTP e HTTPS fanno riferimento al protocollo (ovvero: "la lingua concordata") con il quale il nostro client (il browser web in esecuzione sul PC o sullo smartphone) richiede le pagine al server web che eroga il sito che desideriamo visitare.
HTTPS altro non è che HTTP crittografato.
» Leggi anche: Installare e configurare un server web: La Grande Guida ad Apache, PHP, MySQL su Windows e Linux
Quali sono i rischi nel visitare un sito HTTP "Non sicuro"?
Per noi utenti che ci troviamo a visitare siti web erogati tramite HTTP, il pericolo riassunto da quel Non sicuro mostrato da Chrome è dettato dalla semplicità con cui un "cracker" può intercettare tutti i dati che scambiamo con il sito in questione.
In altre parole: eventuali password, credenziali di accesso ad aree private inviate tramite form o "cookie" utilizzati per implementare il login automatico possono essere catturati facilmente da un attore ostile e utilizzati al posto nostro.
In vero, vi sono alcune limitazioni che rendono il problema sfruttabile solamente in determinate circostanze. In particolare: fino a quando utilizziamo la connessione ADSL domestica da PC collegato al router con un cavo Ethernet oppure abbiamo scelto una password robusta per la nostra rete Wi-Fi è molto difficile che un cracker riesca concretamente a catturare i dati in transito, anche se sono scambiati via HTTP.
[nota: i dati scambiati via HTTP sono facilmente intercettabili anche dal nostro provider di connettività Internet (ISP). Al contrario, HTTPS difende la nostra riservatezza in modo totale, rendendo impossibile persino all'ISP di leggere i dati. Ciò premesso, è improbabile -anche se tecnicamente possibile- che un provider di rilevanza nazionale intercetti i nostri dati in modo puntuale e con intenzioni truffaldine]
Il pericolo principale si presenta se utilizziamo HTTP su una rete Wi-Fi "aperta" (senza password), passando per un router appositamente modificato per catturare il traffico in transito oppure su una una rete Wi-Fi protetta ma la cui password sia potenzialmente conosciuta anche da un cracker collegato alla stessa. In questi casi, è materialmente possibile (e molto facile!) catturare i dati scambiati da altri utenti via HTTP
Come difendersi?
Da utenti, possiamo metterci al sicuro da ogni pericolo evitando di inviare password o dati di login su siti che utilizzino HTTP e, quindi, mostrino la dicitura Non sicuro. La semplice consultazione passiva, invece, non crea alcun pericolo immediato.
[nota: un cracker che avesse accesso alla nostra medesima rete potrebbe alterare il traffico HTTP, modificandone i contenuti o iniettando codice malevolo. Questa eventualità richiede comunque un impegno decisamente maggiore da parte dell'aggressore e il sussistere di condizioni specifiche]
Fortunatamente, pressoché la totalità delle banche e dei colossi web (Facebook, Gmail, Outlook.com, Twitter, Amazon, eBay ecc.) è già passata ad HTTPS da un bel pezzo, quindi il disagio dovrebbe essere limitato a pochi servizi minori.
Come risolvere (per gli utenti)
Da semplici "visitatori" di siti web non possiamo fare molto per gestire la problematica: la migrazione da HTTP ad HTTPS deve infatti essere svolta dal gestore dai gestori dei server web.
L'unico tentativo che possiamo fare è scrivere manualmente https:// (si noti la s dopo http) nella Barra degli indirizzi prima del sito che vogliamo visitare e vedere se funziona. Proveremo quindi con qualcosa di simile a https://miosito.com invece del consueto miosito.com (questa scrittura sott'indente HTTP non-sicuro)
L'operazione funzionerà solamente nella remota eventualità in cui il sito in questione abbia già adottato HTTPS, ma ancora non abbia completato la configurazione che consente di ridirigere automaticamente i visitatori da HTTP a HTTPS.
Se vi trovate spesso ad applicare questo "trucco", valutate l'installazione di questa estensione che svolgere l'operazione in automatico:
» Installa: HTTPS Everywhere
Come risolvere (per i gestori di siti web)
I proprietari di siti web che desiderino risolvere definitivamente il problema devono svolgere un intervento tecnico per migrare da HTTP a HTTPS. Ho proposto la guida passo passo in questo articolo:
In caso l'operazione fosse stata svolta ma non fosse stato correttamente implementato il redirect automatico da HTTP a HTTPS, consultare questa seconda guida:
Conclusioni
In questo articolo abbiamo visto cosa significa l'etichetta "Non sicuro" mostrata da Google Chrome e quale sia la causa che fa scattare questo avviso.
La frequenza con la quale si manifesta l'avviso dovrebbe ridursi progressivamente mano a mano che i gestori dei siti aggiornano i propri servizi migrando ad HTTPS.
