Finalmente. Non potrei trovare un “attacco” migliore perché Mozilla ha annunciato una nuova funzionalità di Firefox 23 che obbligherà gli sviluppatori a utilizzare con criterio il protocollo HTTPS: il browser bloccherà qualunque elemento trasmesso via HTTP, qualora l’utente accedesse dalla connessione sicura. In termini più semplici, Firefox 23 non permetterà di mischiare ai contenuti diffusi con HTTPS quelli recuperati da HTTP. È una buona occasione per spiegare perché molti siti web non sono così sicuri come potreste pensare.

HTTPS è un protocollo che attesta la sicurezza dei domini, grazie alla validazione dei certificati SSL che sono rilasciati da un’autorità certificativa. Esistono delle tecniche per “rubare” l’identità verificata e intercettare le comunicazioni, ma è un metodo generalmente più sicuro di HTTP. Il problema è che molti sviluppatori adottano HTTPS nel modo sbagliato: non è sufficiente indirizzare i visitatori all’indirizzo sicuro affinché le interazioni degli utenti siano tutelate. Servono ulteriori accorgimenti, a livello di codice.

Mi spiego meglio. Quando raggiungete un indirizzo https:// non è scontato che tutti gli elementi visualizzati siano trasmessi via HTTPS. Un programmatore mediocre potrebbe collegare immagini, stili e quant’altro utilizzando HTTP: soltanto esaminando i sorgenti potreste rendervene conto. Mischiare oggetti in HTTPS e HTTP vanifica qualunque tutela della sicurezza, perché espone i visitatori alle vulnerabilità del secondo. Insomma, è del tutto inutile registrare un certificato SSL per realizzare un sito del genere… ma è frequente.

Firefox 23 bloccherà tutti i componenti dei siti che, in HTTPS, fossero trasmessi via HTTP: è una garanzia in più per gli utenti e, soprattutto, uno stimolo per gli sviluppatori. Un sito che “miscelasse” i due protocolli risulterebbe inaccessibile. Non soltanto il visitatore non potrebbe visualizzare le immagini o gli stili associati alle pagine, ma non salverebbe neppure i cookie sul computer. PHP, JavaScript e altri linguaggi server- o client-side prevedono delle dichiarazioni utili a inviare i cookie esclusivamente in HTTPS.

Purtroppo, molti professionisti o presunti tali pensano che basti forzare la connessione al sito via HTTPS per garantirne la sicurezza e ignorano il markup necessario a tutelare le trasmissioni. Mozilla ha deciso di costringerli a fare il proprio lavoro al meglio delle loro possibilità: l’adozione di HTTPS è pressoché obbligatoria negli Stati Uniti e sono convinto che, prima o poi, la stessa decisione sarà presa dall’Europa. Firefox 23 combatterà il pressapochismo dei colleghi che non hanno compreso l’importanza della sicurezza.

Perché è impossibile creare un sito in cinque minuti? Non basterebbero cinque giorni a considerare tutte le variabili. HTTPS, come dicevo, non è invulnerabile agli attacchi: spesso, a renderlo insicuro sono le pratiche esecrabili dei programmatori. Mozilla ha fatto la scelta migliore, secondo me, tutelando i propri utenti dagli errori degli sviluppatori inesperti. Il rilascio di Firefox 23 obbligherà a una maggiore presa di coscienza, evitando spiacevoli inconvenienti ai visitatori. E continua a essere il mio browser preferito.

Photo Credit: 20after4 via Photo Pin (CC)