Telefono Sotto Controllo Tutto sulle Intercettazioni Telefoniche e Digitali su Cellulari e PC

20Nov/120

Piu’ difficile intercettare Facebook grazie all’HTTPS

Rubare profili o pagine Facebook altrui o intercettare la navigazione su Facebook sarà più difficile grazie alla cifratura e autenticazione HTTPS. La novità non è la possibilità di proteggere la navigazione tramite HTTPS, bensì il fatto che l'SSL verrà impostato in automatico per tutti gli utenti.

In questi giorni Facebook ha infatti cominciato a impostare in automatico i profili degli utenti in modo che utilizzino la cifratura HTTPS, che fornisce la crittografia di SSL/TLS, come sistema di navigazione predefinito per l'accesso di tutte le pagine sul suo sito. Intercetazzioni più difficili quindi, profili e pagine Facebook più sicure.

"Come annunciato l'anno scorso, stiamo migrando verso HTTPS per tutti gli utenti", ha detto l'ingegnere Shireesh Asthana della piattaforma di Facebook in un post del blog del forum dello sviluppatore di Facebook. "Questa settimana, stiamo cominciando a far utilizzare HTTPS come default a tutti gli utenti del Nord America e presto passeremo al resto del mondo".

Mediante l'utilizzo del protocollo HTTPS - che fa uso della cifratura SSL -  tutte le comunicazioni fra i browser ed i server di Facebook saranno protette da intercettazioni. Sarà quindi più difficile mettere sotto controllo un profilo Facebook intercettando la comunicazione con i server Facebook. La protezione è ben visibile, navigando con un browser, poiché compare l'icona a forma di serratura e la barra degli indirizzi di colore verde che rappresenta la navigazione sicura SSL.

"Mentre la protezione dei profili Facebook mediante SSL diventerà la norma, gli utenti avranno comunque la possibilità di disabilitare la navigazione protetta e utilizzare il protocollo standard HTTP, senza criptaggio", ha detto Ivan Ristic, direttore di Ingegneria a Qualys, tramite Twitter.

Fino a gennaio 2011, Facebook utilizzava la protezione HTTPS per cifrare la connessione alle pagine che richiedevano l'inserimento di una password. Da gennaio 2011, Facebook cominciò ad offrire HTTPS come opzione facoltativa, selezionabile come "navigazione sicura" nelle caratteristiche di sicurezza avanzate della pagina di sicurezza dell'account Facebook. Ovviamente buona parte degli utenti non hanno mai impostato HTTPS come default, mettendo quindi a rischio il proprio profilo Facebook esponendolo a potenziali furti di account da parte di chi intercetta la connessione Internet.

Dal punto di vista della sicurezza, l'utilizzo di HTTPS è chiaramente una buona mossa. "Il protocollo HTTPS permette a milioni di utenti di cifrare automaticamente le comunicazioni con il social network, impedendo ad hacker e attaccanti di intercettare tramite 'sniffing' i dati sensibili mentre si naviga tramite hotspot wifi", dice Graham Cluley, consulente di sicurezza Sophos. "Se non volete aspettare che Facebook imposti la navigazione HTTPS come default nel vostro profilo, pensateci voi e sceglietelo come opzione", aggiunge.

Quali sono gli svantaggi dell'utilizzo del protocollo HTTPS? La prima preoccupazione sono le prestazioni, la velocità di navigazione in particolare. Facebook sta da anni ottimizzando la struttura delle sue pagine per poter essere trasmesse velocemente anche mediante criptatura HTTPS, così da non rallentare la navigazione dei suoi utenti. Facebook ammette che gli utenti potrebbero riscontrare dei leggeri rallentamenti durante le prime fasi della migrazione, ma stanno lavorando sull'infrastruttura per mitigare l'impatto dovuto al passaggio massivo al protocollo HTTPS da parte di tutti gli utenti che visitano i loro profili o le loro pagine Facebook.

Facebook non sta facendo altro che seguire la scia di Google, che ha impostato HTTPS come default per tutti i suoi utenti Gmail da gennaio 2012. Nel luglio 2012, Google ha riportato di non aver riscontrato alcun calo di performance. Twitter e Hotmail sono altri due grandi nomi che hanno abilitato HTTPS come default per tutti i loro utenti.

Un grosso colpo a Facebook, che ha contribuito alla decisione di cifrare la connessione tramite HTTPS, è stato sferrato dalla release del 2010 dell'estensione Firefox chiamata Firesheep, che permetteva di intercettare facilmente i pacchetti con le password e rubare i profili Facebook, soprattutto quando gli utenti navigavano su connessioni WiFi non sicure.

Nel 2012, l'operatrice FTP Pamela Jones Harbour ha fornito direttive a tutti i principali provider web circa l'utilizzo di HTTPS come default per tutte le pagine web. La Electronic Frontier Foundation incoraggia gli utenti e i siti ad adottare HTTPS grazie alla sua campagna "HTTS Everywhere". In collaborazione con il Progetto TOR, inoltre, era stata creata l'utilissima estensione Firefox che forza ad HTTPS tutte le connessioni a siti web che supportano tale protocollo.

Commenti (0) Trackback (0)

Ancora nessun commento.


Leave a comment

I trackback sono disattivati.