Certificati SSL e browser: il piano di Google per i moduli non sicuri

Continua l’impegno di Google per rendere il world wide web un luogo più sicuro per gli utenti che lo frequentano. Infatti, dopo l’annuncio di qualche mese fa di un piano per bloccare gradualmente i contenuti misti, qualche giorno fa è arrivata la comunicazione che, a partire dalla release 86, Google Chrome avviserà gli utenti dei rischi a cui vanno incontro compilando i form non sicuri integrati nei siti che utilizzano regolari certificati SSL.  

Ogni giorno navighiamo un gran numero di siti internet che molto spesso ci richiedono dati personali come nome, cognome, e-mail, numero di telefono, indirizzo, raccolti  attraverso i moduli presenti nelle pagine web che stiamo visitando.    

Se i dati che inviamo sono scambiati con dei siti web che utilizzano i certificati SSL tutte le informazioni saranno protette e crittografate: nessun malintenzionato, infatti, sarà in grado di intercettare o modificare le informazioni personali in transito dal nostro dispositivo locale al server.

Le cose cambiano invece se ci troviamo di fronte ad un mixed form, ovvero un modulo non sicuro, che trasmette i nostri dati utilizzando una connessione http (hypertext transfer protocol), nonostante il sito che lo ospita implementi un certificato SSL e quindi utilizzi il protocollo https (hypertext transfer protocol over secure socket layer). I moduli non sicuri rappresentano un serio rischio per la privacy e la sicurezza degli utenti in quanto possono permettere ai cybercriminali di appropriarsi dei dati da loro inseriti. 

La strategia di Google per contrastare i mixed forms si compone di due momenti principali. Per prima cosa a partire da Google Chrome 86 sarà disabilitato il completamento automatico per i moduli che non utilizzano una connessione https. Nel caso di un mixed form, infatti, digitando all’interno dei campi richiesti sarà mostrato un banner con scritto in rosso: questo form non è sicuro, l’autocompilazione è stata disabilitata. Al contrario, se si tratta di campi destinati al login, il password manager di Google Chrome continuerà a funzionare regolarmente. 

Dopo di ciò, se l’utente decide di compilare lo stesso il form, il browser mostrerà un avviso a tutto schermo, molto più invasivo del precedente, che lo metterà in guardia riguardo al possibile pericolo nel quale incorre nel trasmettere i propri dati. 

Inoltre, sempre con la versione 86 di Google Chrome diventerà effettivo il blocco di tutti i contenuti misti, inaugurato a partire dalla versione 81 rilasciata lo scorso aprile. Prima di effettuare il blocco totale dei contenuti misti, infatti, Google aveva previsto un periodo di transizione, che terminerà con il rilascio di Google Chrome 86, così da permettere ai proprietari dei siti web regolarmente dotati di certificati SSL di rimuovere i contenuti misti scaricabili.

Dal prossimo ottobre quindi Google bloccherà tutti i download “mixed content”, cioè quelli di immagini o altri contenuti forniti con connessioni non sicure seppure su siti web protetti da certificati SSL e dal protocollo https. Questo perché sono esposti ad attacchi “man in the middle” da parte di terze parti. Stesso discorso al contrario varrà anche per tutti i contenuti caricati. Infatti, i contenuti che non saranno uploadati attraverso una connessione https sicura verranno anch’essi bloccati.

Da anni Google è impegnata nel garantire un più alto livello di sicurezza e privacy per chi naviga il web. Questo obiettivo è perseguito dall’azienda di Mountain View facendo in modo che sempre più siti web implementino i certificati SSL e che gli utenti siano sempre più consapevoli rispetto ai pericoli e le frodi presenti in rete. Il problema dei mixed form, come anche quello dei contenuti misti era una dimensione ancora poco affrontata e soprattutto pericolosa per la sicurezza degli internauti.  

Con l’ultima  release di Chrome, Google sta definitivamente abbandonando ogni forma di interazione mista e questo segnerà senza dubbio una pietra miliare nel miglioramento della sicurezza informatica e della privacy. Come spesso accade, trattandosi di una modifica che arriva da Google, è altamente probabile che questa nuova misura diventi uno standard e sia implementata anche dagli altri principali browser in circolazione come Microsoft Edge, Mozilla Firefox, Safari e Opera.

Top SSL, rivenditore ufficiale GlobalSign,  offre tutti gli strumenti e i prodotti SSL innovativi per le imprese e i privati che vogliono garantire la sicurezza dei propri utenti, rispondere alle minacce e gestire in maniera efficiente i costi relativi alla gestione dei certificati SSL. Non aspettare ulteriormente contattaci!