Navigazione sicura https?

Sicurezza del sistema: firewall, antispam, antivirus, ssh, patch, bug, eccetera.
Scrivi risposta
giomba
Prode Principiante
Messaggi: 169
Iscrizione: martedì 10 maggio 2011, 19:50
Desktop: KDE
Distribuzione: ArchLinux x86_64
Località: Firenze

Navigazione sicura https?

Messaggio da giomba »

Buongiorno,
di recente mi è presa una mania ossessiva di navigare in maniera sicura su qualsiasi sito... (cosa che poi non sarebbe nemmeno tanto sbagliata).
Ho notato (o almeno, non sono riuscito a trovare il modo per farlo) che su questo forum non posso utilizzare una connessione https: non mi pare una gran bella cosa che le mie credenziali di accesso viaggino "nude" per la rete. C'è un modo per collegarsi in https? (https://forum.ubuntu-it.org non sembra esistere).
Inoltre, è possibile "istruire" il browser a preferire l'https all'http normale (uso Chromium)?
Per esempio, in una ricerca su Google, premendo su un risultato entro nel sito in http perché è specificato nell'href, o è possibile forzare almeno un tentativo con https?

Non ho trovato risposte in merito sul forum o in giro per la rete.

Grazie
giomba
Linux Registered User #550990
Avatar utente
marco__mg
Prode Principiante
Messaggi: 147
Iscrizione: martedì 4 maggio 2010, 9:50
Desktop: KDE
Distribuzione: Debian Sid

Re: Navigazione sicura https?

Messaggio da marco__mg »

Mi spieghi che utilità avrebbe crittare tutto?
Sai che quanto costa certificare le chiavi di cifratura?

È solo un forum, non una banca!!!
~ Marco
From debianizzati.org
giomba
Prode Principiante
Messaggi: 169
Iscrizione: martedì 10 maggio 2011, 19:50
Desktop: KDE
Distribuzione: ArchLinux x86_64
Località: Firenze

Re: Navigazione sicura https?

Messaggio da giomba »

è solo un forum, sono d'accordissimo.
Ma non vedo perché un qualsiasi ganzo debba avere la possibilità di accedere con le mie credenziali anche solo per uno scherzo.
Che utilità avrebbe crittare tutto? Navigando normalmente, e utilizzando una connessione cifrata solo per determinati servizi, il potenziale "ladro di informazioni" saprebbe già cosa tentare di decifrare, cioè quello che è cifrato: crittando tutto, il suo compito sarebbe ben più arduo.
Per quanto riguarda i costi, nel nostro caso, basterebbe una chiave autofirmata: rimanendo al discorso del forum, ci si collega da una postazione sicura; successivamente, se la chiave per qualche motivo cambia, il browser dovrebbe avvertire. Sarebbe già un campanello di allarme.
In un attacco ben fatto tutti questi accorgimenti sono tuttavia inutili, anche se si trattasse di accedere al portale della banca.
Potrebbero però evitare piccole fastidiose noie all'utente: potrebbero evitare di farlo diventare il "pollo da spennare" per divertimento.
Linux Registered User #550990
Tupla
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 726
Iscrizione: giovedì 8 ottobre 2009, 21:31
Desktop: KDE
Distribuzione: Kubuntu 12.10 x86_64
Località: Novara

Re: Navigazione sicura https?

Messaggio da Tupla »

Ma una chiave autofirmata non risolve il problema... Un attacker volendo potrebbe creare un suo certificato autofirmato spacciandolo per "autentico" quando l'utente effettua il primo login...
Dual Boot: Kubuntu 12.10 64 bit & Windows 7 Home Premium 64 bit on Acer Aspire M5910.
Messaggi con richieste d'aiuto saranno cestinati!
Avatar utente
MeiMisaki
Prode Principiante
Messaggi: 18
Iscrizione: mercoledì 23 maggio 2012, 11:32
Distribuzione: Linux Mint 14 Nadia, 32bit

Re: Navigazione sicura https?

Messaggio da MeiMisaki »

Navigare in https non ti salva, se un vuole rubare i tuoi dati lo fa lo stesso.
Avatar utente
marco__mg
Prode Principiante
Messaggi: 147
Iscrizione: martedì 4 maggio 2010, 9:50
Desktop: KDE
Distribuzione: Debian Sid

Re: Navigazione sicura https?

Messaggio da marco__mg »

Ma poi se usi il wifi crittato (come da normativa) perché ti dovrebbero rubare la password. Mettersi ad accroccare le linee di telecom solo per una password su forum.ubuntu-it.org? Molto meglio il brute force!!
~ Marco
From debianizzati.org
Avatar utente
harrykar
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1151
Iscrizione: giovedì 29 gennaio 2009, 19:43
Desktop: /bin/ksh; /bin/sh; gnome
Distribuzione: OpenBSD ; Debian ; Lucid10.4 86_64
Località: World Wide :)
Contatti:

Re: Navigazione sicura https?

Messaggio da harrykar »

marco__mg ha scritto:Ma poi se usi il wifi crittato (come da normativa) perché ti dovrebbero rubare la password. Mettersi ad accroccare le linee di telecom solo per una password su forum.ubuntu-it.org? Molto meglio il brute force!!
Non c'entra il ponte radio(Wifi, wimax che sia) crittato(a sua vale si decritta) e neanche il "perché ti dovrebbero rubare la password? " si potrebbe rispondere: per 1000+1 motivi attuali e futuri.

Cio che dice @giorba è giustissimo in linea di principio(anche se come hai notato ci sono dei punti deboli); purtroppo però Internet non fu progettata con la infosec in mente allora non esistevano queste problematiche complesse, adesso però si e se ne deve tener conto.
"Arguing with an engineer is like wrestling with a pig in the mud; after a while you realize you are muddy and the pig is enjoying it." -- Don't Learn to HACK - Hack to LEARN -- cyberwarfare is now an active part of information warfare -- http://www.eecs.ucf.edu/~leavens/litera ... tions.html
Avatar utente
marco__mg
Prode Principiante
Messaggi: 147
Iscrizione: martedì 4 maggio 2010, 9:50
Desktop: KDE
Distribuzione: Debian Sid

Re: Navigazione sicura https?

Messaggio da marco__mg »

Quali sarebbero questo 1000+1 motivi? Soldi? Mah!
~ Marco
From debianizzati.org
Avatar utente
Zoff
Moderatore Globale
Moderatore Globale
Messaggi: 33338
Iscrizione: mercoledì 10 ottobre 2007, 22:36

Re: Navigazione sicura https?

Messaggio da Zoff »

marco__mg ha scritto:Quali sarebbero questo 1000+1 motivi? Soldi? Mah!
Per dirne uno, scoprire la password del forum, che al 99% se non è la stessa della mail e di altri siti, condivide spesso almeno un pattern con quest'ultime.
Una volta scoperto il pattern si va di bruteforce e si potrebbe avere accesso alle informazioni dell'utente.
Una volta avuto accesso a quelle, bene che ti va ti fanno uno scherzetto, altrimenti se viene fuori qualcosa su homebanking o altre sei messo maluccio.

Come la mettiamo adesso?
Prima di aprire una discussione leggi le Guide, poi vedi se c'è un HowTo nel Wiki e fai una ricerca nel Forum!
Applica semplicemente il [Risolto]! Prova: http://forum.ubuntu-it.org/viewtopic.php?f=70&t=548821
Vuoi qualcosa di piu' dal forum? Prova i miei script: http://forum.ubuntu-it.org/viewtopic.php?f=70&t=597066
AlexDiste
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 2299
Iscrizione: martedì 18 agosto 2009, 9:25

Re: Navigazione sicura https?

Messaggio da AlexDiste »

La mettiamo che banca, poste, sito della tim e in generale siti con accesso a soldi adesso implemementano la OTP, ossia una password temporanea mandata a mail o sms per fare operazioni e io in genere richiedo sul cell.

Quello che mi lascia perplesso è che se ad esempio rubassero una mia password e capissero l' algortimo che uso per generare le mie, anche se son tutte diverse con un pò di sbattimento potrebbero avere quella della mail, a quel punto fare operazioni leggitimate dall' OTP ricevuta lì.

E' vero che io lo saprei perché mi arriva un sms nel cell subito ma preferirei scegliere il metodo OTP da usare sempre e non poterlo cambiare se non con conferma OTP stessa.
Invece ogni volta mi loggo al mio home banking posso scegliere dove farmela mandare: mail o cell, ma come dicevo se qualcuno scopre la pass della mia e_mail a quel punto nemmeno la OTP mi protegge
Avatar utente
Zoff
Moderatore Globale
Moderatore Globale
Messaggi: 33338
Iscrizione: mercoledì 10 ottobre 2007, 22:36

Re: Navigazione sicura https?

Messaggio da Zoff »

Appunto, ma nonostante questo non tutti hanno abilitato la notifica via SMS/Mail, quindi sarebbero ignari di tutto.

Io per l'homebanking per potermi autenticare ho richiesto oltre alla richiesta di password cambiata obbligatoriamente ogni tot, di dover fare escplicitamente una chiamata dal mio numero cellulare al numero verde della banca nei 30secondi successivi alal richiesta di login.

In questo modo per poter avere accesso ai miei conti devono conoscere utente, password, possedere o clonare la mia carta SIM e in ogni caso arriva la notifica via SMS e mail.
Questo non esclude al 100% un infrazione ma mi mette piuttosto dalla parte del sicuro.

Si parlava comunque della necessità di HTTPS.
Esistono applicazioni per cellulare che sniffano account facebook, youtube, etc... dalle wifi (è un semplicissimo attacco man-in-the-middle via ARP), tutti quelli che non usano HTTPS su quei siti sono vulnerabili.

Resta il problema dei certificati. Ad esempio Flame la nuova botnet che si sta diffondendo sui PC windows è riuscita a fingersi firmata da un certificato emesso dalla MS stessa. Tant'è che la casa Redmond è stata costretta a revocare ben 3 tipologie di suoi certificati per fare in modo che il worm non fosse piu' "certificato MS".
Prima di aprire una discussione leggi le Guide, poi vedi se c'è un HowTo nel Wiki e fai una ricerca nel Forum!
Applica semplicemente il [Risolto]! Prova: http://forum.ubuntu-it.org/viewtopic.php?f=70&t=548821
Vuoi qualcosa di piu' dal forum? Prova i miei script: http://forum.ubuntu-it.org/viewtopic.php?f=70&t=597066
AlexDiste
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 2299
Iscrizione: martedì 18 agosto 2009, 9:25

Re: Navigazione sicura https?

Messaggio da AlexDiste »

Non tanto da microsoft stessa ma da una falla nel sistema delle certificazioni Microsoft che sta già provvendo a correggere.

Comunque che banca hai per permetterti quel tipo di autenticazione? Sembra migliore della mia
Avatar utente
Zoff
Moderatore Globale
Moderatore Globale
Messaggi: 33338
Iscrizione: mercoledì 10 ottobre 2007, 22:36

Re: Navigazione sicura https?

Messaggio da Zoff »

AlexDiste ha scritto:Non tanto da microsoft stessa ma da una falla nel sistema delle certificazioni Microsoft che sta già provvendo a correggere.

Comunque che banca hai per permetterti quel tipo di autenticazione? Sembra migliore della mia
Una banca della mia zona, ma si appoggia a http://www.simplybank.it/
Prima di aprire una discussione leggi le Guide, poi vedi se c'è un HowTo nel Wiki e fai una ricerca nel Forum!
Applica semplicemente il [Risolto]! Prova: http://forum.ubuntu-it.org/viewtopic.php?f=70&t=548821
Vuoi qualcosa di piu' dal forum? Prova i miei script: http://forum.ubuntu-it.org/viewtopic.php?f=70&t=597066
Avatar utente
marco__mg
Prode Principiante
Messaggi: 147
Iscrizione: martedì 4 maggio 2010, 9:50
Desktop: KDE
Distribuzione: Debian Sid

Re: Navigazione sicura https?

Messaggio da marco__mg »

Solo uno scemo mette la password della mail uguale a quella dei forum. (Anche se ce ne sono molti). Quasi tutte la banche hanno l'OTP.
~ Marco
From debianizzati.org
Avatar utente
Zoff
Moderatore Globale
Moderatore Globale
Messaggi: 33338
Iscrizione: mercoledì 10 ottobre 2007, 22:36

Re: Navigazione sicura https?

Messaggio da Zoff »

marco__mg ha scritto:Solo uno scemo mette la password della mail uguale a quella dei forum. (Anche se ce ne sono molti). Quasi tutte la banche hanno l'OTP.
Non si tratta di scemenza, ma di ignoranza.
La maggior parte degli utenti non pensa che qualcuno potrebbe collegare due password ma soprattutto ritiene che le banche siano sicure per definizione.
Prima di aprire una discussione leggi le Guide, poi vedi se c'è un HowTo nel Wiki e fai una ricerca nel Forum!
Applica semplicemente il [Risolto]! Prova: http://forum.ubuntu-it.org/viewtopic.php?f=70&t=548821
Vuoi qualcosa di piu' dal forum? Prova i miei script: http://forum.ubuntu-it.org/viewtopic.php?f=70&t=597066
Avatar utente
marco__mg
Prode Principiante
Messaggi: 147
Iscrizione: martedì 4 maggio 2010, 9:50
Desktop: KDE
Distribuzione: Debian Sid

Re: Navigazione sicura https?

Messaggio da marco__mg »

Che è ignoranza e non scemenza hai ragione, ma basta guardare il TG che le banche non sono sicure...
~ Marco
From debianizzati.org
Scrivi risposta

Ritorna a “Sicurezza”

Chi c’è in linea

Visualizzano questa sezione: 0 utenti iscritti e 7 ospiti