Ieri, al Black Hat USA 2013, è stato presentato un nuovo attacco informatico in grado d’aggirare la crittografia dei siti web protetti da SSL su HTTPS. BREACH è un approccio basato sulla compressione deflate delle pagine, effettuata da pressoché tutti i server e gli hosting provider, che estrae le informazioni richieste da un hacker persino in meno di trenta secondi. Potrei dilungarmi sugli aspetti tecnici del meccanismo, ma – secondo me – è molto più interessante domandarsi quanto sia effettivamente sicuro il protocollo HTTPS.

Io sono “paranoico”, in termini di sicurezza, e utilizzo HTTPS ed SSL su tutti i miei progetti: dovrebbe essere un obbligo per le imprese. Ciò nonostante, non m’illudo che basti a proteggere un sito web. È un po’ come chiudere a chiave o meno l’automobile, parcheggiandola — un malintenzionato potrebbe comunque riuscire a rubarla, ma perché dovremmo facilitargli il lavoro? Purtroppo, alcuni hanno veicolato un messaggio sbagliato e sostenuto erroneamente che HTTPS fosse una soluzione definitiva e inviolabile. Non è mai stato così.

BREACH non è il primo strumento capace di violare HTTPS e non sarà l’ultimo: dovremmo concludere che il protocollo sia inutile e pericoloso? No, affatto. Piuttosto, soluzioni del genere dimostrano che creare un sito non è un’operazione alla portata di tutti e stimolano nuovi accorgimenti per la sicurezza. Sono convinto che gli sviluppatori troveranno il modo d’escludere la vulnerabilità di deflate utilizzata da BREACH. Dopo tutto, il significato del Black Hat USA 2013 è proprio quello di spingere a migliorare le infrastrutture.

Photo Credit: Johan Viirok via Compfight (CC)