Il protocollo HTTPS non è sicuro come si pensava, anzi, secondo un recente studio dell’Università Ca’ Foscari di Venezia, questa sigla nell’indirizzo web di un sito non è più una condizione sufficiente per sentirsi tranquilli quando si naviga.

Lo studio fa riferimento alla sigla che precede il nome dei siti negli indirizzi web. Da qualche anno quasi tutti i siti hanno rimpiazzato lo storico protocollo HTTP con quello HTTPS, perché l’HyperText Transfer Protocol è stato ritenuto un sistema poco sicuro per la trasmissione di informazioni sul web. Al contrario, l’HTTPS (HyperText Transfer Protocol over Secure Socket Layer) protegge i dati mediante crittografia, autenticazione altri sistemi di sicurezza.

Foto: Depositphotos

 

La novità è che 10mila siti Web (e relativi sottodomini, per un totale complessivo di 100mila URL) fra i più frequentati al mondo sono soggetti a vulnerabilità. In particolare, 4.818 siti sono vulnerabili ad attacchi man-in-the-middle, 733 a rischio decrittazione completa e 912 a rischio decrittazione parziale. Gli attacchi man-in-the-middle sono quelle azioni in cui gli hacker (o meglio i loro software) si interpongono tra la vittima e il server per rubare dati. Gli attacchi di questo tipo sono spesso efficaci e difficili da individuare. La decrittazione è invece la conversione di un testo cifrato con un uno comprensibile, in pratica il processo inverso della crittografazione.

La sorpresa è piuttosto inquietante, considerata la premessa dell’HTTPS, secondo cui il computer dell’utente e il server sarebbero stati gli unici a poter conoscere il contenuto dei “pacchetti” di dati che si scambiano. Il rischio potenziale è che un hacker possa compromettere un sito, e per il conseguente effetto a cascata compromettere anche i portali che lo ospitano.

Prima di preoccuparsi troppo, è bene sapere che i siti coinvolti nello studio sono stati avvertiti, e che hanno provveduto a risolvere il problema. Nella maggior parte dei casi, la vulnerabilità era infatti dovuta a un mancato aggiornamento delle soluzioni di protezione dei dati. L’episodio è l’ennesima occasione per comprendere i rischi a cui si va incontro non aggiornando i software non solo dei server, ma anche dei client.

Crediti: Stefano Calzavara, Riccardo Focardi, Matus Nemec, Alvise Rabitti dell’Università Ca’ Foscari Venezia, Marco Squarcina (TU Wien)

 

Il documento con la ricerca completa dei ricercatori italiani sarà presentato durante il prossimo 40th IEEE Symposium on Security and Privacy di San Francisco, in programma a maggio.

Community - Condividi gli articoli ed ottieni crediti
Articolo Precedente

Spotify, Apple Music e Amazon Music, quale servizio di musica in streaming scegliere?

next
Articolo Successivo

Windows 10, la calcolatrice farà i grafici per le funzioni di algebra

next