Notizia:
  • Rilasciata Ubuntu 14.04 LTS Trusty Tahr. Per ottenerla, visitate questa pagina oppure visualizzate la dimostrazione.
  • È uscito il numero 26 della Newsletter italiana di Ubuntu. Lo trovate a questo indirizzo.
  • È uscito il numero 80 di Full Circle Magazine in italiano. Lo trovate a questo indirizzo.

Navigazione sicura https?

Sicurezza del sistema: firewall, antispam, antivirus, ssh, patch, bug, ecc.

Navigazione sicura https?

Messaggioda giomba » domenica 20 maggio 2012, 15:33

Buongiorno,
di recente mi è presa una mania ossessiva di navigare in maniera sicura su qualsiasi sito... (cosa che poi non sarebbe nemmeno tanto sbagliata).
Ho notato (o almeno, non sono riuscito a trovare il modo per farlo) che su questo forum non posso utilizzare una connessione https: non mi pare una gran bella cosa che le mie credenziali di accesso viaggino "nude" per la rete. C'è un modo per collegarsi in https? (https://forum.ubuntu-it.org non sembra esistere).
Inoltre, è possibile "istruire" il browser a preferire l'https all'http normale (uso Chromium)?
Per esempio, in una ricerca su Google, premendo su un risultato entro nel sito in http perché è specificato nell'href, o è possibile forzare almeno un tentativo con https?

Non ho trovato risposte in merito sul forum o in giro per la rete.

Grazie
giomba
Portatile: Intel Pentium Dual Core @ 1.66 GHz - 2 GB Ram DDR2 - 120 GB SATA - Intel integrata - SO: Arch Linux (XFCE)
Linux Registered User #550990
giomba Non specificato
Prode Principiante
 
Messaggi: 135
Iscrizione: maggio 2011
Località: Firenze
Distribuzione: ArchLinux i686
Desktop: XFCE

Re: Navigazione sicura https?

Messaggioda marco__mg » lunedì 21 maggio 2012, 22:00

Mi spieghi che utilità avrebbe crittare tutto?
Sai che quanto costa certificare le chiavi di cifratura?

È solo un forum, non una banca!!!
Linux è per tutti, non tutti sono per Linux.
marco__mg Non specificato
Prode Principiante
 
Messaggi: 138
Iscrizione: maggio 2010
Distribuzione: Debian GNU/Linux testing X64
Desktop: gnome-fallback

Re: Navigazione sicura https?

Messaggioda giomba » mercoledì 23 maggio 2012, 15:25

è solo un forum, sono d'accordissimo.
Ma non vedo perché un qualsiasi ganzo debba avere la possibilità di accedere con le mie credenziali anche solo per uno scherzo.
Che utilità avrebbe crittare tutto? Navigando normalmente, e utilizzando una connessione cifrata solo per determinati servizi, il potenziale "ladro di informazioni" saprebbe già cosa tentare di decifrare, cioè quello che è cifrato: crittando tutto, il suo compito sarebbe ben più arduo.
Per quanto riguarda i costi, nel nostro caso, basterebbe una chiave autofirmata: rimanendo al discorso del forum, ci si collega da una postazione sicura; successivamente, se la chiave per qualche motivo cambia, il browser dovrebbe avvertire. Sarebbe già un campanello di allarme.
In un attacco ben fatto tutti questi accorgimenti sono tuttavia inutili, anche se si trattasse di accedere al portale della banca.
Potrebbero però evitare piccole fastidiose noie all'utente: potrebbero evitare di farlo diventare il "pollo da spennare" per divertimento.
Portatile: Intel Pentium Dual Core @ 1.66 GHz - 2 GB Ram DDR2 - 120 GB SATA - Intel integrata - SO: Arch Linux (XFCE)
Linux Registered User #550990
giomba Non specificato
Prode Principiante
 
Messaggi: 135
Iscrizione: maggio 2011
Località: Firenze
Distribuzione: ArchLinux i686
Desktop: XFCE

Re: Navigazione sicura https?

Messaggioda Tupla » sabato 26 maggio 2012, 14:00

Ma una chiave autofirmata non risolve il problema... Un attacker volendo potrebbe creare un suo certificato autofirmato spacciandolo per "autentico" quando l'utente effettua il primo login...
Dual Boot: Kubuntu 12.10 64 bit & Windows 7 Home Premium 64 bit on Acer Aspire M5910.
Messaggi con richieste d'aiuto saranno cestinati!
Tupla Non specificato
Scoppiettante Seguace
Scoppiettante Seguace
 
Messaggi: 726
Iscrizione: ottobre 2009
Località: Novara
Distribuzione: Kubuntu 12.10 x86_64
Desktop: KDE

Re: Navigazione sicura https?

Messaggioda MeiMisaki » lunedì 28 maggio 2012, 13:05

Navigare in https non ti salva, se un vuole rubare i tuoi dati lo fa lo stesso.
Avatar utente
MeiMisaki Femminile
Prode Principiante
 
Messaggi: 18
Iscrizione: maggio 2012
Distribuzione: Linux Mint 14 Nadia, 32bit

Re: Navigazione sicura https?

Messaggioda marco__mg » giovedì 31 maggio 2012, 19:36

Ma poi se usi il wifi crittato (come da normativa) perché ti dovrebbero rubare la password. Mettersi ad accroccare le linee di telecom solo per una password su forum.ubuntu-it.org? Molto meglio il brute force!!
Linux è per tutti, non tutti sono per Linux.
marco__mg Non specificato
Prode Principiante
 
Messaggi: 138
Iscrizione: maggio 2010
Distribuzione: Debian GNU/Linux testing X64
Desktop: gnome-fallback

Re: Navigazione sicura https?

Messaggioda harrykar » venerdì 1 giugno 2012, 3:34

marco__mg ha scritto:Ma poi se usi il wifi crittato (come da normativa) perché ti dovrebbero rubare la password. Mettersi ad accroccare le linee di telecom solo per una password su forum.ubuntu-it.org? Molto meglio il brute force!!


Non c'entra il ponte radio(Wifi, wimax che sia) crittato(a sua vale si decritta) e neanche il "perché ti dovrebbero rubare la password? " si potrebbe rispondere: per 1000+1 motivi attuali e futuri.

Cio che dice @giorba è giustissimo in linea di principio(anche se come hai notato ci sono dei punti deboli); purtroppo però Internet non fu progettata con la infosec in mente allora non esistevano queste problematiche complesse, adesso però si e se ne deve tener conto.
"Arguing with an engineer is like wrestling with a pig in the mud; after a while you realize you are muddy and the pig is enjoying it." -- Don't Learn to HACK - Hack to LEARN -- cyberwarfare is now an active part of information warfare -- http://www.eecs.ucf.edu/~leavens/litera ... tions.html
Avatar utente
harrykar Maschile
Entusiasta Emergente
Entusiasta Emergente
 
Messaggi: 1056
Iscrizione: gennaio 2009
Località: Θεσσαλονικη
Distribuzione: OpenBSD x86_64 ; Debian x86_64
Desktop: /bin/ksh

Re: Navigazione sicura https?

Messaggioda marco__mg » martedì 5 giugno 2012, 21:20

Quali sarebbero questo 1000+1 motivi? Soldi? Mah!
Linux è per tutti, non tutti sono per Linux.
marco__mg Non specificato
Prode Principiante
 
Messaggi: 138
Iscrizione: maggio 2010
Distribuzione: Debian GNU/Linux testing X64
Desktop: gnome-fallback

Re: Navigazione sicura https?

Messaggioda Zoff » venerdì 8 giugno 2012, 14:34

marco__mg ha scritto:Quali sarebbero questo 1000+1 motivi? Soldi? Mah!


Per dirne uno, scoprire la password del forum, che al 99% se non è la stessa della mail e di altri siti, condivide spesso almeno un pattern con quest'ultime.
Una volta scoperto il pattern si va di bruteforce e si potrebbe avere accesso alle informazioni dell'utente.
Una volta avuto accesso a quelle, bene che ti va ti fanno uno scherzetto, altrimenti se viene fuori qualcosa su homebanking o altre sei messo maluccio.

Come la mettiamo adesso?
Prima di aprire una discussione leggi le Guide, poi vedi se c'è un HowTo nel Wiki e fai una ricerca nel Forum!
Vuoi applicare il [Risolto] semplicemente alle tue discussioni? Prova: viewtopic.php?f=70&t=548821
Vuoi integrare il forum con Unity? Prova: viewtopic.php?f=70&t=562887
Avatar utente
Zoff Non specificato
Moderatore Globale
Moderatore Globale
 
Messaggi: 29752
Iscrizione: ottobre 2007

Re: Navigazione sicura https?

Messaggioda AlexDiste » venerdì 8 giugno 2012, 14:39

La mettiamo che banca, poste, sito della tim e in generale siti con accesso a soldi adesso implemementano la OTP, ossia una password temporanea mandata a mail o sms per fare operazioni e io in genere richiedo sul cell.

Quello che mi lascia perplesso è che se ad esempio rubassero una mia password e capissero l' algortimo che uso per generare le mie, anche se son tutte diverse con un pò di sbattimento potrebbero avere quella della mail, a quel punto fare operazioni leggitimate dall' OTP ricevuta lì.

E' vero che io lo saprei perché mi arriva un sms nel cell subito ma preferirei scegliere il metodo OTP da usare sempre e non poterlo cambiare se non con conferma OTP stessa.
Invece ogni volta mi loggo al mio home banking posso scegliere dove farmela mandare: mail o cell, ma come dicevo se qualcuno scopre la pass della mia e_mail a quel punto nemmeno la OTP mi protegge
AlexDiste Non specificato
Entusiasta Emergente
Entusiasta Emergente
 
Messaggi: 2291
Iscrizione: agosto 2009

Re: Navigazione sicura https?

Messaggioda Zoff » venerdì 8 giugno 2012, 14:53

Appunto, ma nonostante questo non tutti hanno abilitato la notifica via SMS/Mail, quindi sarebbero ignari di tutto.

Io per l'homebanking per potermi autenticare ho richiesto oltre alla richiesta di password cambiata obbligatoriamente ogni tot, di dover fare escplicitamente una chiamata dal mio numero cellulare al numero verde della banca nei 30secondi successivi alal richiesta di login.

In questo modo per poter avere accesso ai miei conti devono conoscere utente, password, possedere o clonare la mia carta SIM e in ogni caso arriva la notifica via SMS e mail.
Questo non esclude al 100% un infrazione ma mi mette piuttosto dalla parte del sicuro.

Si parlava comunque della necessità di HTTPS.
Esistono applicazioni per cellulare che sniffano account facebook, youtube, etc... dalle wifi (è un semplicissimo attacco man-in-the-middle via ARP), tutti quelli che non usano HTTPS su quei siti sono vulnerabili.

Resta il problema dei certificati. Ad esempio Flame la nuova botnet che si sta diffondendo sui PC windows è riuscita a fingersi firmata da un certificato emesso dalla MS stessa. Tant'è che la casa Redmond è stata costretta a revocare ben 3 tipologie di suoi certificati per fare in modo che il worm non fosse piu' "certificato MS".
Prima di aprire una discussione leggi le Guide, poi vedi se c'è un HowTo nel Wiki e fai una ricerca nel Forum!
Vuoi applicare il [Risolto] semplicemente alle tue discussioni? Prova: viewtopic.php?f=70&t=548821
Vuoi integrare il forum con Unity? Prova: viewtopic.php?f=70&t=562887
Avatar utente
Zoff Non specificato
Moderatore Globale
Moderatore Globale
 
Messaggi: 29752
Iscrizione: ottobre 2007

Re: Navigazione sicura https?

Messaggioda AlexDiste » venerdì 8 giugno 2012, 14:56

Non tanto da microsoft stessa ma da una falla nel sistema delle certificazioni Microsoft che sta già provvendo a correggere.

Comunque che banca hai per permetterti quel tipo di autenticazione? Sembra migliore della mia
AlexDiste Non specificato
Entusiasta Emergente
Entusiasta Emergente
 
Messaggi: 2291
Iscrizione: agosto 2009

Re: Navigazione sicura https?

Messaggioda Zoff » venerdì 8 giugno 2012, 14:59

AlexDiste ha scritto:Non tanto da microsoft stessa ma da una falla nel sistema delle certificazioni Microsoft che sta già provvendo a correggere.

Comunque che banca hai per permetterti quel tipo di autenticazione? Sembra migliore della mia


Una banca della mia zona, ma si appoggia a http://www.simplybank.it/
Prima di aprire una discussione leggi le Guide, poi vedi se c'è un HowTo nel Wiki e fai una ricerca nel Forum!
Vuoi applicare il [Risolto] semplicemente alle tue discussioni? Prova: viewtopic.php?f=70&t=548821
Vuoi integrare il forum con Unity? Prova: viewtopic.php?f=70&t=562887
Avatar utente
Zoff Non specificato
Moderatore Globale
Moderatore Globale
 
Messaggi: 29752
Iscrizione: ottobre 2007

Re: Navigazione sicura https?

Messaggioda marco__mg » martedì 12 giugno 2012, 10:00

Solo uno scemo mette la password della mail uguale a quella dei forum. (Anche se ce ne sono molti). Quasi tutte la banche hanno l'OTP.
Linux è per tutti, non tutti sono per Linux.
marco__mg Non specificato
Prode Principiante
 
Messaggi: 138
Iscrizione: maggio 2010
Distribuzione: Debian GNU/Linux testing X64
Desktop: gnome-fallback

Re: Navigazione sicura https?

Messaggioda Zoff » martedì 12 giugno 2012, 10:07

marco__mg ha scritto:Solo uno scemo mette la password della mail uguale a quella dei forum. (Anche se ce ne sono molti). Quasi tutte la banche hanno l'OTP.


Non si tratta di scemenza, ma di ignoranza.
La maggior parte degli utenti non pensa che qualcuno potrebbe collegare due password ma soprattutto ritiene che le banche siano sicure per definizione.
Prima di aprire una discussione leggi le Guide, poi vedi se c'è un HowTo nel Wiki e fai una ricerca nel Forum!
Vuoi applicare il [Risolto] semplicemente alle tue discussioni? Prova: viewtopic.php?f=70&t=548821
Vuoi integrare il forum con Unity? Prova: viewtopic.php?f=70&t=562887
Avatar utente
Zoff Non specificato
Moderatore Globale
Moderatore Globale
 
Messaggi: 29752
Iscrizione: ottobre 2007

Re: Navigazione sicura https?

Messaggioda marco__mg » martedì 12 giugno 2012, 23:15

Che è ignoranza e non scemenza hai ragione, ma basta guardare il TG che le banche non sono sicure...
Linux è per tutti, non tutti sono per Linux.
marco__mg Non specificato
Prode Principiante
 
Messaggi: 138
Iscrizione: maggio 2010
Distribuzione: Debian GNU/Linux testing X64
Desktop: gnome-fallback


Torna a Sicurezza

Chi c’è in linea

Visualizzano questa sezione: 0 utenti registrati e 2 ospiti