{"id":14923,"date":"2018-01-17T19:32:26","date_gmt":"2018-01-17T17:32:26","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=14923"},"modified":"2019-11-22T11:08:21","modified_gmt":"2019-11-22T09:08:21","slug":"https-does-not-mean-safe","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/https-does-not-mean-safe\/14923\/","title":{"rendered":"HTTPS non \u00e8 sempre sinonimo di sicurezza"},"content":{"rendered":"

Diciamo la verit\u00e0, la maggior parte delle persone si tranquillizza se compare il famoso lucchetto verde e la scritta \u201cSicuro\u201d nella parte sinistra della barra degli indirizzi. O se compare la frase \u201cquesto sito utilizza una connessione sicura\u201d e se soprattutto l\u2019URL comincia per \u201chttps\u201d. Al giorno d\u2019oggi, sempre pi\u00f9 siti cambiano all\u2019HTTPS, anzi, molti non hanno scelta. E allora qual \u00e8 il problema? Meglio se i siti sono sempre pi\u00f9 sicuri, no?<\/p>\n\n

Vi riveliamo un piccolo segreto: tutti quei simboli e scritte non garantiscono che si tratti di un sito Internet davvero sicuro ed esente da ogni minaccia. Una pagina di phishing, ad esempio, pu\u00f2 avere un indirizzo https e il lucchetto verde. Come \u00e8 possibile? Scopriamolo insieme.<\/p>\n

Una connessione sicura non vuol dire che un sito sia sicuro<\/strong><\/h3>\n

Il lucchetto verde indica che per il sito \u00e8 stato emesso un certificato e che \u00e8 stata generata una coppia di chiavi di cifratura. Questi siti cifrano le informazioni trasmesse tra l\u2019utente e il sito. In questo caso, le URL delle pagine iniziano con HTTPS, dove la lettera S vuol dire \u201csicuro\u201d.<\/p>\n

Certamente cifrare la trasmissione dei dati \u00e8 una buona pratica: in questo modo le informazioni scambiate tra il browser e il sito non sono accessibili a terze parti come ISP, amministratori di rete, intrusi etc. Si possono digitare password o numeri di carte di credito senza preoccuparsi di occhi indiscreti.<\/p>\n

Il problema \u00e8 che il lucchetto verde e il certificato non descrivono il tipo di sito. Una pagina di phishing, ad esempio, pu\u00f2 comunque possedere un certificato e cifrare tutto il traffico in entrata e in uscita.<\/p>\n

In poche parole, il lucchetto verde indica che dall\u2019esterno<\/em> nessuno pu\u00f2 spiare i dati che digitate ma le vostre password possono comunque essere rubate dalla pagina se si tratta di un sito contraffatto.<\/p>\n

Chi si occupa del phishing ne fa un gran uso: secondo i dati di Phishlabs<\/a>, un quarto di tutti gli attacchi di phishing al giorno d\u2019oggi \u00e8 effettuato su siti HTTPS (due anni fa si trattava di meno dell\u20191%). Inoltre, oltre l\u201980% degli utenti ritiene<\/a> che la sola presenza di un lucchetto verde e la parola \u201cSicuro\u201d accanto all\u2019URL indichino un sito sicuro e non ha nessuna remora nell\u2019inserire i propri dati.<\/p>\n

E se non c\u2019\u00e8 il lucchetto verde?<\/strong><\/h3>\n

Se non c\u2019\u00e8 proprio il lucchetto, vuol dire che il sito non usa sistemi di cifratura e scambia informazioni con il browser mediante HTTP standard. Google Chrome ha iniziato a classificare questi siti come poco sicuri: possono anche essere immacolati, tuttavia non cifrano il traffico tra l\u2019utente e il server. Poich\u00e9 la maggior parte dei proprietari dei siti non vuole che Google etichetti i propri siti come non sicuri, sempre pi\u00f9 pagine web stanno migrando all\u2019HTTPS. In ogni caso, \u00e8 meglio non digitare dati sensibili in un sito HTTP, perch\u00e9 chiunque potrebbe provare a spiarvi.<\/p>\n

La seconda opzione \u00e8 un lucchetto sbarrato da una croce in rosso e le lettere HTTPS sempre in rosso: questo simbolo indica che il sito possiede un certificato ma non \u00e8 verificato o non aggiornato. In sostanza, la connessione tra voi e il server \u00e8 cifrata ma nessuno pu\u00f2 garantire che il dominio appartenga realmente alla compagnia indicata sul sito. Si tratta dell\u2019eventualit\u00e0 pi\u00f9 sospetta, perch\u00e9 di solito si tratta di certificati di prova.<\/p>\n

In alternativa, pu\u00f2 essere che il certificato sia scaduto e che il proprietario del sito non lo abbia rinnovato. I browser classificano queste pagine come non sicure, normalmente avvisando con l\u2019icona del lucchetto rosso. In entrambi i casi, prendete questi segnali come un avvertimento, evitate questi siti e non digitate dati personali.<\/p>\n

Come non abboccare<\/strong><\/h3>\n

Per riassumere, la presenza di un certificato e di un lucchetto verde indica solamente che i dati trasmessi tra l\u2019utente e il sito sono cifrati e che il certificato \u00e8 stato emesso da una certification authority<\/em> affidabile. Ma non impedisce che si possa trattare di un sito dannoso, dettaglio di cui molti cybercriminali si servono per i propri siti di phishing.<\/p>\n

Prestate sempre attenzione, non importa quanto affidabile sembri il sito a prima vista.<\/p>\n