Google Chrome, al via il piano per bloccare i contenuti misti
Perché crittografare il proprio sito web?
Perché crittografare il proprio sito web?
Internet si fonda principalmente sulla fiducia. Perché gli utenti si fidino della rete, è indispensabile garantire loro una navigazione sicura con una protezione end-to-end su tutte le pagine, da quelle di accesso ai carrelli dei negozi online. Un avviso onnipresente, e quindi chiaramente visibile come “Non sicuro”, potrebbe avere un effetto ancora più diretto sul numero di visitatori di un sito web.
L’organismo di certificazione Globalsign ha scoperto in un sondaggio del novembre 2014 che l’85 % degli acquirenti online si sente scoraggiato dai siti web non crittografati. Mantenere una connessione sicura durante un’intera sessione di navigazione HTTPS è dunque essenziale: questo perché gli utenti devono essere sempre al sicuro da eventuali attacchi avanzati di spoofing, injection e man-in-the-middle.
HTTPS non solo fornisce l’autenticazione di identità, connessione ed integrità dei dati del sito web, ma inoltre crittografa tutte le informazioni condivise tra il sito web e l’utente (compresi i cookie scambiati). In questo modo protegge i dati da visualizzazioni non autorizzate, manomissioni e da usi impropri.
Non basta più limitarsi a effettuare una crittografia parziale del sito, poiché le parti non protette sono vulnerabili e finiscono per rappresentare una minaccia per la sicurezza dell’utente che naviga sul vostro spazio web. In più un lavoro intermittente di protezione non solo non è abbastanza efficace e mette a rischio i navigatori della rete, ma non soddisfa nemmeno le aspettative di browser e dei sistemi operativi. Negli ultimi anni Google, Apple e Mozilla si sono posizionati fermamente contro HTTP incoraggiando i gestori di siti web ad adottare HTTPS.
Google Chrome punta ad offrire un’esperienza di navigazione sempre più sicura ai propri utenti, motivo per cui il browser inizierà gradualmente a bloccare automaticamente i download dei cosiddetti “contenuti misti” caricati sulle pagine web che utilizzano il protocollo protetto https. Questi file sono così chiamati perché caricati attraverso il protocollo http, in una pagina però https: la loro pericolosità è data dalla possibilità offerta ad eventuali attori malevoli di intercettare informazioni sensibili, come password o nomi utenti, o di veicolare malware. Il piano di azione di Google prevede più tappe: inizialmente Chrome inizierà a mostrare l’etichetta “non sicuro” per alcuni contenuti misti, ma l’obiettivo è quello di arrivare entro ottobre 2020, con la versione Chrome 86, a bloccare in automatico tutti i file di questo tipo.
Google Chrome, perché bloccare contenuti misti
File eseguibili, archivi compressi, ma anche immagini o formati musicali: si tratta solo di alcune possibili categorie dei contenuti misti di cui Google Chrome vuole arrivare a bloccare automaticamente il download entro ottobre 2020. Questi file vengono infatti erogati attraverso una connessione http, diversa dal protocollo protetto https delle pagine web: questo può consentire ai contenuti misti di modificare la scrittura di una pagina, motivo per cui Google li considera download potenzialmente insicuri che “rappresentano un rischio per la privacy e la sicurezza degli utenti”. Mountain View spiega in una nota ufficiale che a partire dalla versione Chrome 82, il cui rilascio è previsto per aprile 2020, il browser comincerà ad avvertire gli utenti in procinto di scaricare contenuti misti eseguibili. Il download di questi stessi file sarà bloccato su Chrome 83, una misura che gradualmente sarà poi estesa a tutti i contenuti misti esistenti, che non verranno più scaricati sulla versione Chrome 86.