Gli utenti che da oggi effettueranno il login su Twitter, si collegheranno alla piattaforma di “microblogging” utilizzando esclusivamente il protocollo HTTPS. Anche i responsabili di Twitter decidono così di abbracciare il protocollo che consente di rendere più sicuro il flusso di informazioni tra client collegati e server dell’azienda (e viceversa). Abilitando l’utilizzo di HTTPS, i dati non viaggiano più “in chiaro” ma sono crittografati così da impedire l'”intercettazione” da parte di terzi di tutti i contenuti inviati e ricevuti.
La possibilità di inviare e ricevere dati attraverso il protocollo HTTPS era stata abilitata su Twitter quasi un anno fa ma l’opzione risultava relegata all’interno delle impostazioni dell’account (“Usa solo HTTPS“). D’ora in poi, invece, l’uso di HTTPS viene automaticamente esteso a tutti gli utenti loggati sul social network.
“Questa novità vi consente di migliorare drasticamente la sicurezza del vostro account proteggendo le vostre informazioni, ad esempio, qualora vi troviate ad utilizzare Twitter su una connessione non sicura, quale può essere una rete Wi-Fi pubblica“, aveva osservato a suo tempo Carolyn Penner, una delle responsabili della piattaforma di social networking. Quando si utilizzano connessioni non sicure, facendo ricorso al solo HTTP – senza l’impiego di un protocollo di crittografia asimmetrica -, infatti, è molto facile, per un aggressore, carpire informazioni personali esaminando i dati in transito (“sniffing“).
Quando ci si collega ad un social network come Twitter utilizzando solo il protocollo HTTP, il “session cookie” creato sul proprio sistema a login effettuato viene scambiato con il server remoto per tutta la durata della sessione di lavoro. Tale cookie contiene importanti informazioni legate all’autenticazione sul sito web: qualora un malintenzionato riuscisse a mettere le mani sul contenuto del cookie, potrebbe immediatamente loggarsi sul servizio impersonificando l’altrui identità. Un’operazione del genere, sulle reti Wi-Fi pubbliche, è semplicissima da porre in essere: ecco perché l’adozione di HTTPS è divenuta un imperativo sempre più pressante.
Memori dell’incidente occorso a Mark Zuckerberg (ved. questo nostro articolo), fondatore di Facebook, e della distribuzione di software in grado di estrarre molto facilmente i dati di autenticazione degli utenti (utilizzati per l’accesso ai principali servizi online), Twitter è giunto all’importante decisione (basti ricordare il “caso Firesheep“).