Ogni giorno visitiamo un gran numero di siti web attraverso i quali inviamo ogni tipo di informazione per mezzo di form presenti nelle pagine.
Se i dati vengono scambiati via HTTPS tutte le informazioni viaggeranno in forma crittografata dal dispositivo locale al server: niente e nessuno potrà intercettare o modificare le informazioni: Passare da HTTP a HTTPS: l’importanza del certificato SSL.
Quando la pagina web che si sta visitando non è sicura perché usa HTTP (i dati fluiscono in chiaro) o se i dati vengono inviati attraverso un modulo HTTP integrato in una pagina HTTPS le cose cambiano: i dati potrebbero essere letti da terzi e modificati.
Per scongiurare queste situazioni Google Chrome abbraccerà una nuova misura di sicurezza che aiuterà l’utente a capire quando sta davvero inviando informazioni in modo sicuro. La novità dovrebbe debuttare con il rilascio di Chrome 86.
Oggi quando il browser di Google rileva una pagina web non sicura, anziché mostrare il lucchetto chiuso di colore grigio, mostra un punto esclamativo di colore rosso (ad esempio quando il certificato digitale fosse scaduto o revocato).
Nel caso delle pagine HTTPS con contenuti misti (ai quali viene cioè fatto riferimento usando il protocollo HTTP, senza ricorrere alla crittografia; vedere Chrome dichiara guerra ai contenuti misti: cosa significa), Chrome espone il messaggio Non sicuro nella barra degli indirizzi (qui si possono trovare molteplici esempi per mettere alla prova il browser).
A partire da Chrome 86, se dovesse essere rilevato l’utilizzo di un form non sicuro, il browser disabiliterà la funzionalità di riempimento automatico con il preciso obiettivo di evitare che l’utente possa inserire per sbaglio informazioni personali.
Digitando all’interno dei campi contenuti nel form, apparirà un messaggio che informa sul fatto che il form non è sicuro.
Se l’utente tentasse di inviare comunque il modulo insieme con il suo contenuto, vedrà comparire un avviso a tutta pagina che lo avvisa del potenziale rischio e conferma se desidera davvero trasmettere a terzi le informazioni inserite.
Trattandosi di una modifica che arriva da Chromium, è altamente probabile che la nuova misura di sicurezza sarà implementata anche in altri browser, a partire da Microsoft Edge.
La protezione dei dati degli utenti dipende principalmente dagli sviluppatori web: sta a loro abilitare e configurare l’utilizzo del protocollo HTTPS insieme con il corrispondente certificato digitale (utile per confermare l’identità del sito web che si sta visitando).
Fortunatamente la creazione dei certificati digitali è oggi alla portata di tutti: iniziativa come Let’s Encrypt permettono di richiedere e ottenere istantaneamente i certificati da usare con il protocollo HTTPS senza sborsare un centesimo: HTTPS, come ottenere un certificato digitale gratuito.
In tanti nostri articoli abbiamo visto come usare Certbot, lo strumento sviluppato e offerto dalla Electronic Frontier Foundation (EFF) per richiedere e rinnovare automaticamente i certificati Let’s Encrypt.