Gli utenti di Twitter possono da oggi attivare l’utilizzo del protocollo HTTPS durante l’impiego di tutte le funzionalità messe a disposizione dalla famosa piattaforma di “microblogging“. Seguendo la via recentemente imboccata (i maligni dicono “troppo tardi“) da Facebook, anche i vertici di Twitter hanno deciso di abbracciare il protocollo che consente di rendere più sicuro il flusso di informazioni tra client collegati e server dell’azienda (e viceversa). Abilitando l’utilizzo di HTTPS, i dati non viaggiano più “in chiaro” ma sono crittografati così da impedire l'”intercettazione” da parte di terzi di tutti i contenuti inviati e ricevuti.
Diversamente rispetto a quanto accade, ad esempio, su Hotmail, Twitter non ha tuttavia abilitato – di default – l’impiego di HTTPS. Sino ad oggi, gli utenti potevano forzare l’uso di HTTPS digitando il protocollo in testa all’indirizzo mostrato nella barra degli URL del browser. L’opzione “Usa solo HTTPS” diviene tuttavia disponibile direttamente nelle impostazioni del servizio (è sufficiente cliccare sul nome del proprio account quindi sulla voce “Impostazioni“).
“Questa novità vi consente di migliorare drasticamente la sicurezza del vostro account proteggendo le vostre informazioni, ad esempio, qualora vi troviate ad utilizzare Twitter su una connessione non sicura, quale può essere una rete Wi-Fi pubblica“, ha osservato Carolyn Penner, una delle responsabili della piattaforma di social networking. Quando si utilizzano connessioni non sicure, facendo ricorso al solo HTTP – senza l’impiego di un protocollo di crittografia asimmetrica -, infatti, è molto facile, per un aggressore, carpire informazioni personali esaminando i dati in transito (“sniffing“).
Memori dell’incidente occorso a Mark Zuckerberg (ved. questo nostro articolo), fondatore di Facebook, e della distribuzione di software in grado di estrarre molto facilmente i dati di autenticazione degli utenti (utilizzati per l’accesso ai principali servizi online), Twitter è giunto all’importante decisione (basti ricordare il “caso Firesheep“).
La Penner ha spiegato che nel prossimo futuro HTTPS sarà sicuramente attivato per impostazione predefinita ma ha preferito non chiarire perché ciò non sia stato fatto già adesso.
Quando ci si collega ad un social network come Twitter utilizzando solo il protocollo HTTP, il “session cookie” creato sul proprio sistema a login effettuato viene scambiato con il server remoto per tutta la durata della sessione di lavoro. Tale cookie contiene importanti informazioni legate all’autenticazione sul sito web: qualora un malintenzionato riuscisse a mettere le mani sul contenuto del cookie, potrebbe immediatamente loggarsi sul servizio impersonificando l’altrui identità. Un’operazione del genere, sulle reti Wi-Fi pubbliche, è semplicissima da porre in essere: ecco perché l’adozione di HTTPS è divenuta un imperativo sempre più pressante.