https1Il team di sicurezza Chromium sta elaborando un piano per informare gli utenti che le connessioni ‘HTTP’ non forniscono protezioni di sicurezza dei dati. Google prevede che ‘HTTPS’ diventerà così diffusa e comune che le connessioni sicure tramite HTTPS potranno anche essere non contrassegnate con un piccolo catenaccio nel modo in cui lo sono attualmente per distinguerle dalle connessioni HTTP sono attualmente.

Il team di sicurezza di Chrome ha proposto che gli user agent (UA) gradualmente cambino le loro interfacce utente in modo che essi contrassegnino le fonti non sicure come “assolutamente non protetto”.

Il cambiamento probabilmente porterà ad introdurre nuovi indicatori nella barra degli indirizzi per i diversi browser. Il warning sul browser non comunicherà più che la connessione ‘HTTPS’ è sicura, ma il messaggio opposto e cioè che la connessione dell’utente a un sito web, servizio di posta elettronica o altro software agent non è sicura.

“Sappiamo che la gente in genere non percepisce l’assenza di un segnale di avvertimento”, ha scritto il Security Team di Google Chrome. “Eppure, l’unica situazione in cui i browser web non mettono in guardia gli utenti è proprio quando non vi è sicurezza, cioè quando il trasporto dati avviene via HTTP”.

Ivan Ristic, autore di SSL Labs e “Bulletproof SSL and TLS”, ha detto a Threatpost in un’intervista e-mail che la decisione di Google è un passo nella giusta direzione, un passo importante nella transizione globale ad un Internet sicuro.

Google suggerisce che le connessioni UA siano classificate in tre stati: SICURE (in presenza di un certificato HTTPS valido); DUBBIE (in presenza di un valido protocollo HTTPS con piccole anomalie); e non sicura (o HTTPS corrotto o solo HTTP).

Google incoraggia i fornitori ad adottare un approccio graduale per l’attuazione di questi cambiamenti. Ad esempio, è preferibile nel medio termine trattare le connessioni di dubbia provenienza e quelle non protette in modo simile. Successivamente, a lungo termine, si classificheranno le connessioni HTTP come fonti non sicure.

“Abbiamo tutti bisogno di comunicare chiaramente quale tipo di connessione dati gli utenti utilizzano sul web”, ha scritto il Security Team Chromium. “Quando non si usano connessioni dati sicure, l’UA dovrebbe esplicitamente visualizzarlo, in modo che gli utenti, opportunamente informati, possano decidere se e come interagire”.

1 COMMENT