Cerca nel blog

2018/02/01

Da oggi il Disinformatico è in HTTPS: aspettatevi magagne

Da parecchio tempo (un paio d’anni) Google avvisa che i siti in HTTP verranno considerati "non sicuri" e declassati nei risultati di ricerca ("we plan to label all HTTP pages as non-secure, and change the HTTP security indicator to the red triangle that we use for broken HTTPS").

Google e il resto della Rete stanno andando verso un "HTTPS ovunque", per motivi di sicurezza (il visitatore capisce più chiaramente che sta visitando il sito vero e non una sua versione fraudolenta) e di privacy (i ficcanaso fanno più fatica a sapere con precisione quale pagina di un sito state visitando e a intercettarla o modificarla in transito).

Da anni, inoltre, Google incentiva l’adozione dell’HTTPS dando un ranking migliore ai siti che lo usano, compreso Blogspot.com (che lo supporta dal 2016).

In sintesi, questa novità offre maggiore sicurezza e privacy a tutti voi che frequentate questo blog.

Vorrei ringraziare pubblicamente Axlman, che si è occupato della complessa transizione, e vorrei avvisarvi che probabilmente vi imbatterete in link non più funzionanti o immagini e video non più visualizzati (perché sono ancora in HTTP e non c’è modo di convertirli automaticamente). Vi prego di segnalarmeli nei commenti oppure via mail (al solito paolo.attivissimo@gmail.com) in modo che io li possa correggere.

Grazie della pazienza.




Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

15 commenti:

Lampo13 ha detto...

Io ho l'opzione httpS attivata da qualche anno, con questo sito non ho mai avuto problemi di visualizzazione.

Bellatrix ha detto...

Mmm... sulla questione del ranking migliore ho qualche perplessità; inizialmente si diceva che avrebbe posizionato meglio gli https. Di fatto, però, poco è cambiato, se non niente.
Qui c'è qualcosa.

La vera magagna, comunque, la vedo per te, Paolo.
Non ho verificato ma tutti i post presenti nelle serp dovrebbero ora essere spostati con un 301 verso la relativa versione in https, altrimenti, puoi dire addio all'influenza di tutti i backlink accumulati nella storia di questo blog.
Spero che Google faccia un 301 in automatico, su Blogspot.

rico ha detto...

Ma... io sono mesi che lo apro come https://attivissimo.blogspot.it, mi è sfuggito qualcosa?

Manuele Grueff ha detto...

Strano che ci siano link a immagini o altro che sono inseriti come http, il sistema avrebbe dovuto inserirli come url relative SENZA protocollo, che prendono quindi il protocollo della pagina che le ospita...

martinobri ha detto...

L'importante è che si continuino a vedere le foto di gatti.

Federico Capanni ha detto...

Ciao Paolo. Come dice bellatrix, ma come di sicuro avrai già fatto, assicurati di aver impostato i redirect nella maniera corretta, o che sia gestito da blogspot, altrimenti addio ranking, posizionamenti, backlink e traffico

axlman ha detto...

[quote-"Manuele Grueff"]Strano che ci siano link a immagini o altro che sono inseriti come http, il sistema avrebbe dovuto inserirli come url relative SENZA protocollo, che prendono quindi il protocollo della pagina che le ospita...[/quote]

Ereditare il protocollo non serve a nulla, se i siti linkati non lo supportano.
Detto in parole povere, se un sito in https linka un secondo sito che non supporta l'https ma solo l'http, non mettendo il protocollo quel secondo sito non viene linkato correttamente e non viene visualizzato.

Questo blog ha una quindicina di anni alle spalle, quando l'https non lo usava quasi nessuno: da un paio d'anni lo usano in moltissimi ma non tutti: insomma, per farla breve, per ogni link va messo il suo protocollo (quello del sito linkato), affinché sia visibile senza creare problemi all'utente.

Negli articoli degli ultimi anni, da quando l'https è diventato di moda, i link sono supportati, ma negli articoli più vecchi probabilmente non si vedrà più nessun contenuto multimediale (a meno di non caricarlo manualmente cambiando l'http in https) e parecchi link risulteranno rotti (a meno che il sito linkato non reindirizzi automaticamente dall'http all'https).

axlman ha detto...

Comunque per quel poco che ho visto le cose sembrano funzionare decentemente nella maggior parte dei casi.
Ovviamente resta valido l'appello di Paolo per segnalare eventuali malfunzionamenti del blog.

Marco ha detto...

Molti siti quando ricevono una richiesta http la convertono automaticamente in https, ma da tempo... Ad esempio facebook ti redirecta subito alla versione https... Credo che anche twitter lo faccia... Il problema può essere solo per i ranking... Ma se modificano google per trattare i due link come equivalenti, ma solo se c'è il redirect automatico a https, non ci dovrebbero essere problemi e si incentiverebbero i siti a mettere l'https...

Leonardo ha detto...

Andrebbe ricordato che https non è sinonimo di "sito non fraudolento"

axlman ha detto...

[quote-"Marco"]Molti siti quando ricevono una richiesta http la convertono automaticamente in https, ma da tempo[/quote]

Lo so, ma "molti" non significa "la maggior parte" e men che meno "tutti".
L'avevo spiegato nel mio commento precedente, quando avevo scritto: "a meno che il sito linkato non reindirizzi automaticamente dall'http all'https".

Patrick Costa ha detto...

Ho notato che il certificato che ha rilasciato Google ha un url "mini-sni.blogspot.com", se si va su queso url, si viene dirottati su www.hs-hl.info, nel mezzo compare per qualche secondo il profilo di Ardi Manik... ho notato che questa cosa succede per tutti i blog ospitati su Blogspot (mio compreso) [https://goo.gl/7orqmY] strano comunque!

InMezzoAlCielo ha detto...

axlman ha scritto:
"Ovviamente resta valido l'appello di Paolo per segnalare eventuali malfunzionamenti del blog."

Ciao axlman, nessun malfunzionamento ma ti segnalo un solo warning che riguarda una chiamata esterna a PayPal, che al momento viene segnalato da Chrome come "distrust" per via della diffida, "punizione" che ci sarà a breve da parte di Google verso Symantec spiegata qui: https://security.googleblog.com/2017/09/chromes-plan-to-distrust-symantec.html
L'anomalia vera e propria ci sarà quando la "punizione" si traformerà in blocco di quella risorsa esterna.

Paolo attivissimo ha scritto:
"Google avvisa che i siti in HTTP verranno considerati "non sicuri" e declassati nei risultati di ricerca"

Solo una precisazione, Google "penalizza" ma fino a un certo punto perché se un sito non è ad esempio un ecommerce o un forum, non richiede insomma un accesso per poter interagire, ma i contenuti sono di buona qualità e nell'insieme gode di una certa autorevolezza, la ricerca organica non ne risente molto.
Al contrario, in un sito che richiede un accesso per interagire, è praticamente obbligato ad attivare un certificato SSL non tanto per migliorare il posizionamento in un motore di ricerca, questo diventa un effetto collaterale, ma per tutelare i dati degli utenti, quindi la loro sicurezza.

Cosa che pare molti amminmistratori di forum non riescono proprio a comprendere, ad esempio: http://www.imaccanici.org/forum/viewtopic.php?f=4&t=42454

un utente chiede perché Chrome indica il forum iMaccanici come Non sicuro e quello che succede nella discussione ha del grottesco, discussione che poi viene bloccata e uno degli utenti che spiega i motivi per cui dovrebbero attivare un certificato SSL viene accusato di essere un troll e bloccato.

E' uno dei tanti casi estremi tra ignoranza, arroganza e superficialità, mentre la via di mezzo è semplicemente la consapevolezza che il concetto di sicurezza, nel Web in particolare, è molto relativo, se qualcuno decide di voler "sniffare" dati in transito non c'è SSL che tenga, non c'è cifratura che tenga.
Ma non proteggere e non tutelare i propri utenti, clienti, etc, è innegabile che li mette in una condizione di altissimo rischio, considerando ad esempio che sono moltissimi quelli che usano la stessa mail personale e la stessa password per accedere a una moltitudine di piattaforme, ecommerce, forum, gestori di carte di credito, cloud, etc.


Patrick Costa ha detto...

Errata corrige... L'url del certificato è misc-sni.blogspot.com non mini-sni.blogspot.com :-p

Gianmaria ha detto...

"...visitatore capisce più chiaramente che sta visitando il sito vero e non una sua versione fraudolenta..."

Questo è il grande malinteso che può generare la storia del lucchetto verde.

Io posso fare un sito att L vissimo.blogspot.it che in minuscono attlvissimo.blogspot.it in https e quindi con il "lucchetto verde" anche se la I è stata sostituita con una L. Quindi sono un sito fraudolento, tipico caso di Phishing.

L'HTTPS cripta tutte le informazioni tra client e server, in modo che chiunque si trovi in mezzo (provider, accesspoint pubblici truffaldini, ecc. ) non possa accedere al contenuto delle comunicazioni. Questo è l'HTTPS. Nulla di più.


E non c'è da fidarsi troppo neppure di quelli che hanno una ragione sociale della società accanto all'indicazione "Sicuro", si tratta della "Extended Validation SSL encryption". La vedete ad esempio su github: https://github.com

Sono già molto più sicuri perchè un malintenzionato dovrebbe creare una società e farla certificare, con un nome molto simile, il tutto costerebbe già un sacco di soldi, tempo, ecc. Mglio comunque stare sempre in guardia, soprattuto per siti sensibili (banche, account google, ecc.) abilitando sempre l'accesso a 2 fattori.


X PAOLO:

P.S. forse ho pubblicato un commento identico a questo con un altro account. Per cortesia rimuovi, se c'è questo commento, e tieni in considerazione solo questo. Cancella anche questo PS. Scusa per l'errore e per il disturbo.