MDN wants to learn about developers like you: https://qsurvey.mozilla.com/s3/MDN-survey

Questa traduzione è incompleta. Collabora alla traduzione di questo articolo dall’originale in lingua inglese.

I dialoghi di Login tramite HTTP sono particolarmente pericolosi a causa della vasta gamma di attacchi che possono essere utilizzati per estrarre la password di un utente. Gli intercettatori della rete potrebbero rubare la password di un utente utilizzando uno "sniffing" della rete o modificando la pagina in uso. Questo documento descrive in dettaglio i meccanismi di sicurezza che Firefox ha messo in atto per avvisare gli utenti e gli sviluppatori dei rischi circa le password insicure e il furto delle stesse.

Il protocollo HTTPS è progettato per proteggere i dati degli utenti da intercettazioni (riservatezza) e da modifiche (integrità) sulla rete. I siti web che gestiscono i dati degli utenti devono utilizzare l'HTTPS per proteggere i loro utenti dagli aggressori. Se un sito Web utilizza HTTP anziché HTTPS, è banale rubare le informazioni dell'utente (come le credenziali di accesso). Questo è stato notoriamente dimostrato da Firesheep.

Per risolvere questo problema, installa e configura un certificato SSL / TLS sul proprio server. Ci sono vari fornitori che offrono certificati gratuiti e a pagamento. Se si utilizza una piattaforma cloud, potrebbero essere in uso propri metodi per abilitare l'HTTPS.

Indicatori di sicurezza password di Firefox

Per avvisarti della minaccia di cui sopra, Firefox implementa molti meccanismi di avviso:

  1. Firefox 51+ mostra un'icona a forma di lucchetto barrato in rosso nella barra degli indirizzi quando una pagina non ha una connessione sicura, come mostrato di seguito.

    Lock Icon

  2. Firefox 52+ mostra un avviso chiaro nella barra degli URL e sotto un campo di richiesta password in qualsiasi dialogo non protetto:

    Warning

  3. Firefox 52+ disabilita il riempimento automatico in dialoghi di accesso non sicuri. Gli utenti possono comunque eseguire manualmente il completamento automatico degli accessi salvati dal menu a discesa.

  4. Avvertenze sui dialoghi di accesso non sicuri sono disponibili anche nel pannello di sicurezza della console per sviluppatori in tutte le versioni di Firefox, come descritto nella prossima sezione.

Messaggi della console Web

Questa sezione descrive i messaggi di sicurezza visualizzati nella console di sviluppo di Firefox DevTools, in risposta a password non sicure.

Effettuando un login in ambiente HTTP

Anche se il login richiesto è ad un URL HTTPS, il dialogo di login non è protetto; un utente malintenzionato può modificare la pagina in uso (ad esempio, gli autori di attacchi possono modificare la destinazione per inviare i dati sensibili a un server che essi controllano, oppure possono inserire uno script keylogging che cancella la password mentre viene digitata). La scheda di sicurezza della console Web avvisa gli sviluppatori e gli utenti del problema di sicurezza:

Insecure login form shown with the Web Console and contextual warning on the password field.

Nota: Inoltre, non è sicuro incorporare una pagina di accesso HTTPS in un documento HTTP: un utente malintenzionato potrebbe modificare l'URL del frame in modo che punti a un sito dannoso.

In questo caso, qualsiasi dato inserito dall'utente viene inviato attraverso la rete come testo normale. La password dell'utente è chiaramente visibile a chiunque faccia "sniffing" sulla rete dal momento in cui la password lascia il computer dell'utente al momento in cui raggiunge i server del sito web.

Insecure login form action shown with the Web Console and contextual warning on the password field.

Nota sul riutilizzo delle password

A volte i siti web richiedono nome utente e password, ma in realtà non memorizzano dati coì sensibili. Ad esempio, un sito di news può salvare quegli articoli che un utente potrebbe tornare a leggere, ma non salvare alcun altro dato riguardante l'utente. Gli sviluppatori Web del sito di news potrebbero perciò essere poco motivati a proteggere il proprio sito e le credenziali dell'utente.

Sfortunatamente, il riutilizzo di una password è un grande problem. Gli utenti utilizzano la stessa password su più siti (siti Web di news, social network, provider di posta elettronica, banche). Quindi, anche se l'accesso al nome utente e alla password di un sito non ti sembra un grosso rischio, è un grosso rischio per gli utenti che hanno utilizzato lo stesso nome utente e password per accedere ai loro conti bancari. Gli aggressori stanno diventando più intelligenti; rubano le coppie nome utente / password da un sito e poi tentano di riutilizzarle su siti più redditizi.

Vedi anche

Tag del documento e collaboratori

 Hanno collaborato alla realizzazione di questa pagina: oprof
 Ultima modifica di: oprof,