dead

[legacy]

• 

dead

[Z80Fan]

• 

Ok il commento contro i social media, ma non ho capito qual'è il problema con l'HTTPS.

[Allanon]

• 

Tra l'altro sembra che sia filtrata la news che Google potrebbe premiare i siti con https con un ranking più alto nelle ricerche, loro negano ufficialmente, qualcun'altro dice il contrario... boh... io il mio sito-esperimento ce lo su http... e non so se avrò voglia di passare tutto su https... 

[Z80Fan]

• 

A giudicare dai dati raccolti da datacenter, dal 1995 al 2015 abbiamo tutti quanti usato HTTP per BBS e forum senza che nessuno si preoccupasse della paranoia della password in chiaro durante l'autenticazione

Da come l'hai scritto sembra che HTTPS l'abbiano inventato l'altro ieri così per sport senza un motivo preciso; la realtà è che è nato nel '96 come HTTP su SSL  e nel 2000 c'è stato il primo RFC per HTTP su TLS.

Oggi e' diventato un MUST! I siti si stanno convertendo tutti in HTTPS, tutti gridano che altrimenti e' insicuro

E fanno bene, perchè HTTP È insicuro, ovvero non fornisce garanzie su autenticazione, privacy e integrità, che sono i capisaldi della sicurezza nelle telecomunicazioni; non serve solo a fare in modo che non ti rubino la password.
Inoltre la potenza di calcolo dei dispositivi moderni (coadiuvata da tutte le accelerazioni hardware) è tale che l'overhead di TLS è molto basso.

In precedenza l'ostacolo principale era il costo di procurarsi un certificato, la "difficoltà" dell'impostazione del server (che era data più dalla scarsità di guide e tutorial che da una difficoltà operativa; alla fine non è altro che dare certificato e chiave privata al web server e attivare HTTPS), e la necessità di periodicamente rinnovare il certificato, ma al giorno d'oggi i prezzi sono calati parecchio e oltretutto con iniziative come Let's Encrypt il certificato è gratuito e inoltre si automatizza il processo di deploy e renew.

L'unica cosa che è successa negli ultimi 3 anni, come dici tu, è che il deploy di HTTPS si è semplificato talmente tanto che la sua presenza non è più qualcosa "di più" da aggiungere a un sito, ma è la normalità, e un sito solo HTTP ha qualcosa "di meno".

Ora, il fatto in se', e' non e' pericoloso, visto il giochino dei crackers "funziona" solo a patto di essere fisicamente sulla stessa subnet della possibile vittima;

Non è necessariamente vero: MITM significa genericamente inserirsi nel path di comunicazione di due peer, che può verificarsi anche a livello 3, per esempio in un ISP.
Ci sono poi altre tecniche che permettono di creare un MITM (tipo arp poisoning) che funzionano solo nella stessa subnet (e di conseguenza nello stesso layer-2), ma non sono le uniche possibili.

cosa che pero' accade davvero p.e. in ufficio, o in un piccolo LUG, e se molti possono farlo a casina loro, la cosa diventa mediatica.

Oppure, anche peggio, accade in una rete wireless, visto che per sua natura è un media condiviso. Visto che difficilmente convincerai la gente a non usare il wireless, ne va di suo che bisogna trattare qualsiasi rete in uscita come potenzialmente insicura e quindi bisogna inserire degli strumenti che possano garantirne la sicurezza (come quando si usa il TCP che garantisce che i pacchetti saranno consegnati tutti, in ordine e senza errori).

E' un fatto oggettivo: la internet v1 e' insucura, http e' insicuro! ecco la notizia in bocca a quelli che con le notizie di questo tipo campano come avvoltoi sulle carcasse delle carogne.

Sono vent'anni che ci si preoccupa della sicurezza del web, quindi non è una notizia per gli addetti ai lavori.
Lo è invece per la "gente comune" che usa i sistemi informatici come elettrodomestici e quindi non sa e non fa caso a tutti questi problemi di privacy nel loro operato; da questo la necessità di insegnare di controllare se c'è "il lucchetto verde in alto a sinistra" quando si visita il sito della banca o di qualche istituzione.

Ma e' mai successo in 20 anni di utenza che qualcuno si sia sentito cosi' minacciato da doversi trincerare dietro SSL e crittografia?

Prova a chiederlo a tutte quelle persone che vivono in paesi con regini dittatoriali dove le vie di comunicazione sono totalmente sotto sorveglianza e puoi essere condannato a morte per aver detto qualcosa di "sbagliato".

Inoltre, pure io nel mio piccolo se devo accedere a un sito di home banking o e-commerce preferirei che la mia comunicazione sia sicura (=autenticazione, privacy, integrità), grazie mille.

Eppure ... 20 anni fa nemmeno era "sano" postare Gigabyte di foto, il proprio cuBo appeso al filo di un tanga su faccia libro, per poi craniarsi: oh, se mi fottono l'account questa roba la vedono tutti!

20 anni fa il web era usato da 16 milioni di utenti, la maggiorparte tech-savy, mentre adesso ci sono più di 4 MILIARDI di utenti, dall'ingegnere aerospaziale alla diva che posta foto del culo su instagram. Non puoi paragonare cosa è "normale" oggi a quello che era "normale" 20 anni fa, dopo una crescita esponenziale come questa.

Quando la gente usava internet in modo sano, la risposta era tipicamente: "ma chi se ne fotte se mi bucano la password? al piu' scrivono barzellette al posto mio, o sbirciano il gossip provato in MP. Nulla di compromettente", perche' la vita, quella vera, non era mai stata digitalizzata sulla rete!

Oggi e' invece percepito come una tragedia inaccettibile: internet e' La Vita (un suo simulacro, ovviamente), tutto cio' che non puo' essere postato, documentato, perde di significato perche' (ecco il baco mentale) se gli altri non lo vedono anche solo potenzialmente (metti che ti do l'amicizia?), tu non esisti, e quindi oddio se mi fottono le foto su faccia libro (come se non fossero gia' tutte condivisi ed accessibili a tutti), oddio mi fottono gli MP con dentro chissa' quali segreti segretissimi, oddio!

Paragonare il WEB (e non l'Internet che sono due cose estremamente diverse) al solo set dei social media è una grossolana e miope generalizzazione.

E continuo a non capire perchè devi tornare sempre a parlare dei social network (che sono solo UNA delle applicazioni che girano sul Web e di conseguenza su Internet) come se HTTPS fosse una cosa che è stata introdotta solo per quello.

(l'inferno e' qui, ma mettere a posto i problemi tipo di flash? con i vari troiani? tutto sto schifo l'ha aggiunto internet v2, e sembra non voler far nulla per porvi rimedio .... ah, gia' HTML5 ... forse)

Flash è stato criminalizzato e indicato come obsoleto da quasi una decina d'anni (nel 2010 il famoso scontro Apple-Flash), e ad oggi vengono solo portati avanti aggiornamenti di sicurezza, con Adobe che indica il 2020 come fine definitivo del supporto. La maggioranza dei siti che dipendevano da Flash (uno su tutti, YouTube) sono stati convertiti a HTML5+JS, ed è già qualche anno che puoi navigare sul Web senza aver bisogno di Flash installato (mi sono accorto giusto oggi che sul computer di casa non ho Flash installato perchè stavo cercando di accedere alla console web di vmware, che questa versione dipende ancora da Flash ma già le versioni più nuove hanno una nuova interfaccia HTML5).
Un'altra tecnologia simile sono gli applet Java, ma che per nostra fortuna non avevano mai preso piede e quindi sono essenzialmente già estinti.

Difatti ci si mette 21 ore a compilare firefox, di cui 8 sono per tutta la roba di sicurezza (ci cui SSL e' solo una minuscola parte) che si deve portare dietro per non parlare di quanto sia difficile accedere a siti SSL con brower come Netscape che nemmeno possono avere layer crittografici.

Quindi il succo di tutto questo è che Firefox è lento a compilarsi? Meglio che il mondo ignori la sicurezza così puoi risparmiare un po' di tempo? Non è una scusa valida.

Netscape (che ironicamente è stato il primo a sviluppare HTTP over SSL nel lontano '96) sarebbe in qualsiasi caso inusabile nel web moderno, con o senza HTTPS, a causa della mancanza di supporto ai vari standard creati nell'ultima decade.

sta portanto a trincerare il proprio traffico (e letteralmente il proprio cuBo) dietro VPN

VPN che al 100% sono implementate come un tunnel dentro SSL/TLS... bisognerebbe creare una VPN in chiaro, così possiamo evitare di compilare TLS.

Tutto questo, ironicamente, ha portato Google a sostituire le macchine di confine backbone tra "internet" ed il coro cluster-core, con delle RPI, uniche archietture largamente disponibili, facilmente clusterizzabili in torri di computazione, abbastanza potenti, e sopratutto immuni dalle vulnerabilita' con cui in molti hanno sfondato SSL ed ammenicoli usando un approccio diverso.

Perdonami ma non ci credo nemmeno un po', prima di tutto perchè Spectre e Meltdown colpiscono anche ARM, secondo perchè quelle falle sono mitigabili in software, terzo perchè se proprio avevano problemi con i processori Intel potevano sostituirli con processori AMD, e non di sicuro da dei processorini low-power come quelli del Raspberry Pi (di cui neanche la versione 3 ha un'ethernet Gigabit), e quarto perchè i router e i firewall del calibro che userebbe Google non girano su x86 ma hanno tutta una serie di dataplane che gestiscono il traffico con ASIC custom.

[Z80Fan]

• 

per i forum e' pura inutile morbosa paranoia.

No, non lo è, è la corrente best practice. E' come se tutto il discorso fosse BBS vs Web nella metà dei 90: "che roba inutile è il Web, trovo tutto quello di cui ho bisogno anche sulla mia BBS preferita e il web non è supportato dal mio Commodore 64. Che senso ha che il mio panettiere apra un sito web invece che una pagina su una BBS qualunque? Così può mettere delle foto sfuocate e delle GIF animate?"

Un forum potrebbe permettere di accedere alle informazioni pubbliche in solo HTTP, ma la navigazione dopo il login dovrebbe essere possibile solo in HTTPS, in quanto hai dei token di sessione (memorizzati nei cookie tipicamente) che sono privati e garantiscono la tua identità, se e solo se la comunicazione client-server è mantenuta protetta in qualche modo.

Magari a te non interessa di essere protetto durante l'uso del servizio, ma se io fornisco un servizio a terzi, i quali si fidano abbastanza di me da creare  un account, con una password che sappiamo tutti essere la stessa che usano in 18000 siti diversi, il minimo che posso fare è creare una comunicazione sicura. Ovviamente poi devo fornire un server sicuro, perchè hai voglia ad avere un canale sicuro se poi hai SQL injection da tutte le parti.

Per lavoro tra le altre cose ho sviluppato dei gestionali interni sottoforma di web-application: tutta roba di cui neanche un byte uscirà mai su Internet, eppure gira tutta HTTPS only (con certificati self-signed installati nei singoli computer manualmente o attraverso una policy di Active Directory). La maggiorparte di security breaches avviene all'interno di una rete locale, dove tipicamente si assume che tutti i dispositivi siano fidati; l'unica soluzione è assumere che la rete sia insicura appena fuori dall'interfaccia.

NSA è uno dei pochi siti di cui io sono parzialmente responsabile e che non ha ancora supporto HTTPS, principalmente perchè vogliamo cambiare piattaforma che ahimè non riusciamo a trovare il tempo per avviare.

Che porta la gente a sentirsi piu' sicura nel riversare in rete Km di puttanate personali (foto, filmati, selfie, etc), tutta spazzatura, che ammazza pure i browser che non lo supportano.

Non capisco come le due cose siano collegate. L'unica cosa che HTTPS garantisce in questo contesto è che il sito con cui stai interagendo è proprio il sito che tu credi (=autenticazione), che il contenuto scambiato arriverà esattamente come l'hai mandato senza possibilità che una terza parte lo abbia modificato (=integrità), e che, meno importante in questo caso che il contenuto è già pubblico, che una terza parte non possa leggere il contenuto senza permesso (=privacy).

Un esempio che mi viene in mente dove è importante l'integrità è per evitare che un ISP introduca nella pagina degli elementi quali pubblicità o messaggi indesiderati; questa non è fantasia e succede attualmente (è diffuso negli USA, dove gli ISP sono molto più stronzi di quelli che abbiamo noi, a causa del loro regime di monopolio fanno un po' come gli pare).

ma la rete wifi e' criptata gia' di suo

Ha una cifratura molto semplice che è banalmente reversibile, specialmente se già conosci la PSK (la "password"), che è il modo normale in cui tutti gli access point "free wifi" che ci sono in giro agiscono.
https://security.stackexchange.com/questions/12596/can-a-hacker-sniff-others-network-data-over-a-wireless-connection

e perche' ci deve essere il lucchetto per visitare un sito di ricette di cucina? che senso ha?

Il senso è che non ha senso NON farlo. Siamo nel 2018, tutti i provider di hosting forniscono HTTPS gratuitamente, tutti i webserver supportano da eoni HTTPS con le più recenti versioni di TLS, ed è banalissimo avere un certificato legittimo e rinnovarlo con gli strumenti che dicevo prima.

Che senso ha NON usarlo? Cosa hai concluso togliendo autenticazione/integrità/privacy? Così puoi usare il tuo vecchissimo dispositivo che è obsoleto per tutto incluso il navigare il web moderno, che probabilmente gira su un OS obsoleto con decine di falle di sicurezza, e che in qualsiasi caso probabilmente non riuscirebbe a renderizzare la pagina?

Tu mi chiedi che senso ha per un sito di ricette, io ti chiedo: è così assurdo e fuori dal mondo avere un minimo di garanzia sui dati che ricevo? Non ha senso volere che i dati siano effettivamente arrivati dal sito che ho richiesto, senza che qualcuno nel mezzo mi abbia redirezionato su un fake che mi spiega come fare una torta avvelenata, oppure che mi inserisca nella pagina un widget nascosto che mina i bitcoin dal mio PC, o magari lo usa per rendermi parte di una botnet?

La S in HTTPS non vuol solo dire che non possono leggerti la password.

e come la mettiamo con le app di faccia libro che ti chiedono le generalita' per autenticare le mille mila puttanate dei siti che oggi ti chieno proprio faccia libro come mezzo di autenticazione?

questa roba e' una infelice breccia nella falsa sicurezza di https

Adesso mi devi spiegare cosa c'entra HTTPS con l'autenticazione stile OAuth, al di fuori dello scambio di token che necessariamente è HTTPS-only perchè altrimenti non avrebbe neanche senso farlo.

Perche' di fatti lo e'!  Https esiste da una vita, eppure e' proprio ora che i social stanno impennando che si e' imposto per qualsiasi cosa necessiti di faccia libro per l'autenticazione.

Basta dire boiate.
Per l'ennesima volta, il motivo per cui HTTPS è consigliato e ormai quasi obbligatorio più che in passato è perchè i sistemi di deploy si sono perfezionati a tal punto che la sua attivazione e gestione non è più qualcosa che riescono a fare solo i guru.

Non è uscito Zuckemberg dagli inferi minacciando di dannare per l'eternità chiunque non inserisse un pulsante "Login con Facebook" in ogni pagina del mondo, che comunque sarebbe un discorso indipendente da HTTPS.

Sarebbe come dire "La gente riempie il web è pieno di GIF animate, dannato TCP/IP!".

la maggior parte delle volte in cui ho bisogno di un pdf, di un datasheet, il sito di turno mi ha chiede faccia libro (dirottando su https) per poter scaricarlo scaricare.

Quindi da questo tu deduci che è tutta colpa di HTTPS, invece che degli sviluppatori figli di puttana che per farti scaricare un documento prima ti fanno loggare così possono tracciarti e rivendere i dati a fine di marketing?
Credi che eliminando HTTPS dal mondo un tale tipo di funzionamento non sarebbe possibile? Si, probabilmente Facebook (o Google o Twitter o tutti gli altri che nonostante rivendano i dati degli utenti per far soldi, alla sicurezza ci tengono eccome) non fornirebbero mai un metodo di autenticazione se non è possibile eseguire un handshake su una connessione sicura, ma questo non ferma di sicuro migliaia e migliaia di siti che sono ancora HTTP-only e hanno form di login su cui passa tutto in chiaro.

Sai tipicamente cosa faccio quando trovo uno di quei siti? Chiudo la pagina e trovo un altro posto.

Mio personale consiglio: http://www.datasheetcatalog.com che è pure HTTP-only, come piace a te.

I social sono il core delle informazioni che girano in rete. Loro hanno cambiato la rete. Loro hanno imposto nuove strutture di pensiero e di linguaggio, sia umano che tecnico. ErLang per esempio, prima lo trovavi quasi solo db-mnesia per comprare i boglietti aerei, o in certe app di nicchia, oggi e' uno dei pilastri di faccia libro, e non solo!. Sono i social che hanno distrutto i forum strappandone l'utenza. Sono loro che hanno marcato la differenza con la vecchia internet, quella insicura dell'era dell'http ed ftp, roba non criptata, e sempre loro rappresentano la maggiore fonte di traffico (quantomeno da quanto risulta dai link dei datacenter che abbiamo analizzato) per la massa che gira e rimbalza in rete.

Ok, i social media sono i siti più visitati.

E QUINDI?

Arrivare da questo data-point a masturbare tutta una cospirazione su come HTTPS sia richiesto solo perchè I SOCIAL I SOCIAL!!! è una cosa assurda che non sta né in cielo né in terra.

Io non ho mai usato Facebook, Twitter, Instagram, Snapchat e tutte quelle cose lì, le cose che più si avvicinano a un social sono YouTube e Reddit, ma uso HTTPS su ogni sito che posso, e sopratutto non creo account o faccio login se sono su una connessione non cifrata. NSA è letteralmente l'unico sito non sicuro su cui sono loggato.

Il sito delle ricette di cucina continua a rimbalzarmi il browser perche' non supporta https

Quel messaggio indica che il tuo client e il server non sono riusciti a mettersi d'accordo su una versione di SSL/TLS e su un cifrario da usare, probabilmente perchè il tuo client supporta solo versioni molto vecchie di una o dell'altro (SSL è deprecato da moltissimo tempo ormai, e TLS 1.0 è di recente passato a considerato poco sicuro).

Soluzione: usa un browser più aggiornato. Quando anche una schedina da 30 euro come il RPI3 riesce a far girare Firefox/Chromium completi a una velocità ragionevole, non c'è motivo di insistere a usare macchine e software datato, al di fuori di strani esperimenti.

Insistere a usare hardware e software obsoleto non è molto diverso dai tizi che tanto vai a deridere che insistono ad usare i bidoni SGI come un PC moderno.

If you are not an idiot, then https is worthless

"Arguing that you don't care about the right to privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say."

- Edward Snowden

[Nonefonow]

• 

Non capisco come le due cose siano collegate. L'unica cosa che HTTPS garantisce in questo contesto è che il sito con cui stai interagendo è proprio il sito che tu credi (=autenticazione), che il contenuto scambiato arriverà esattamente come l'hai mandato senza possibilità che una terza parte lo abbia modificato (=integrità), e che, meno importante in questo caso che il contenuto è già pubblico, che una terza parte non possa leggere il contenuto senza permesso (=privacy).

Contestualmente vero. Ma quello che HTTP e HTTPS non garantiscono e' la limitazione definitiva dell'informazione scambiata.  L'utente che digita (p.e.) solo il  soprannome e il passaparola per accedere al sito - (forum) -  inconsapevolmente transmette altre informazioni che ne permettono l'identificazione.

L' HTTPS e' garante della privacita' contro terzi, ma chi possiede l'HTTPS ha accesso a dei dati che non sono stati rilasciati volontariamente dall'utente.

L'unica maniera per cercare di limitare la propria impronta digitale e' di non trasmettere niente sulla rete.
Anche cio' non proriamenete accurato, perche' il solo accesso a un sito della rete viene comunque registrato e il computer e' identificato.

Un esempio che mi viene in mente dove è importante l'integrità è per evitare che un ISP introduca nella pagina degli elementi quali pubblicità o messaggi indesiderati; questa non è fantasia e succede attualmente (è diffuso negli USA, dove gli ISP sono molto più stronzi di quelli che abbiamo noi, a causa del loro regime di monopolio fanno un po' come gli pare).

Questa del regime di monopolio non l'ho capita bene. A cosa ti riferisci.? 

Ma l'introduzione di elementi di pubblicita' e' comunque comune a tutti i siti commerciali nel mondo ed e' basata su accordi fra ISP, il server che ospita e il gestore del sito.

Il che' permette ad esempio a chiunque di avere in forum gratis su GoDaddy, perche' goDaddy vende spazi pubblicitari di tutti i siti. 

Siti italiani come La Stampa e La Repubblica hanno accordi simili.  La pubblicita' e personalizzata a seconda del luogo del lettore.

[saimon69]

• 

Un po' OT ma da quanto github ha deprecato il supporto a TLS v1 io sono tagliato fuori dalla mia repo, considerato che la sola macchina che posso usare e' un netbook con xp, a meno che non ci siano dei workaround per usare TLSv1.1 o 1.2 e il client Git xp con un servizio alternativo a quello fornito dall'OS (e per chi mi dice compra un computer nuovo la risposta e' NON CIO' I SOLDI SONO ANCORA DISOCCUPATO   )

Se avete idee come risolvere passatele in privato, grazie