skip to main | skip to sidebar
15 commenti

Da oggi il Disinformatico è in HTTPS: aspettatevi magagne

Da parecchio tempo (un paio d’anni) Google avvisa che i siti in HTTP verranno considerati "non sicuri" e declassati nei risultati di ricerca ("we plan to label all HTTP pages as non-secure, and change the HTTP security indicator to the red triangle that we use for broken HTTPS").

Google e il resto della Rete stanno andando verso un "HTTPS ovunque", per motivi di sicurezza (il visitatore capisce più chiaramente che sta visitando il sito vero e non una sua versione fraudolenta) e di privacy (i ficcanaso fanno più fatica a sapere con precisione quale pagina di un sito state visitando e a intercettarla o modificarla in transito).

Da anni, inoltre, Google incentiva l’adozione dell’HTTPS dando un ranking migliore ai siti che lo usano, compreso Blogspot.com (che lo supporta dal 2016).

In sintesi, questa novità offre maggiore sicurezza e privacy a tutti voi che frequentate questo blog.

Vorrei ringraziare pubblicamente Axlman, che si è occupato della complessa transizione, e vorrei avvisarvi che probabilmente vi imbatterete in link non più funzionanti o immagini e video non più visualizzati (perché sono ancora in HTTP e non c’è modo di convertirli automaticamente). Vi prego di segnalarmeli nei commenti oppure via mail (al solito paolo.attivissimo@gmail.com) in modo che io li possa correggere.

Grazie della pazienza.




Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati manualmente da un moderatore a sua discrezione: è scomodo, ma è necessario per mantenere la qualità dei commenti e tenere a bada scocciatori, spammer, troll e stupidi.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui e/o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (15)
Io ho l'opzione httpS attivata da qualche anno, con questo sito non ho mai avuto problemi di visualizzazione.
Mmm... sulla questione del ranking migliore ho qualche perplessità; inizialmente si diceva che avrebbe posizionato meglio gli https. Di fatto, però, poco è cambiato, se non niente.
Qui c'è qualcosa.

La vera magagna, comunque, la vedo per te, Paolo.
Non ho verificato ma tutti i post presenti nelle serp dovrebbero ora essere spostati con un 301 verso la relativa versione in https, altrimenti, puoi dire addio all'influenza di tutti i backlink accumulati nella storia di questo blog.
Spero che Google faccia un 301 in automatico, su Blogspot.
Ma... io sono mesi che lo apro come https://attivissimo.blogspot.it, mi è sfuggito qualcosa?
Strano che ci siano link a immagini o altro che sono inseriti come http, il sistema avrebbe dovuto inserirli come url relative SENZA protocollo, che prendono quindi il protocollo della pagina che le ospita...
L'importante è che si continuino a vedere le foto di gatti.
Ciao Paolo. Come dice bellatrix, ma come di sicuro avrai già fatto, assicurati di aver impostato i redirect nella maniera corretta, o che sia gestito da blogspot, altrimenti addio ranking, posizionamenti, backlink e traffico
[quote-"Manuele Grueff"]Strano che ci siano link a immagini o altro che sono inseriti come http, il sistema avrebbe dovuto inserirli come url relative SENZA protocollo, che prendono quindi il protocollo della pagina che le ospita...[/quote]

Ereditare il protocollo non serve a nulla, se i siti linkati non lo supportano.
Detto in parole povere, se un sito in https linka un secondo sito che non supporta l'https ma solo l'http, non mettendo il protocollo quel secondo sito non viene linkato correttamente e non viene visualizzato.

Questo blog ha una quindicina di anni alle spalle, quando l'https non lo usava quasi nessuno: da un paio d'anni lo usano in moltissimi ma non tutti: insomma, per farla breve, per ogni link va messo il suo protocollo (quello del sito linkato), affinché sia visibile senza creare problemi all'utente.

Negli articoli degli ultimi anni, da quando l'https è diventato di moda, i link sono supportati, ma negli articoli più vecchi probabilmente non si vedrà più nessun contenuto multimediale (a meno di non caricarlo manualmente cambiando l'http in https) e parecchi link risulteranno rotti (a meno che il sito linkato non reindirizzi automaticamente dall'http all'https).
Comunque per quel poco che ho visto le cose sembrano funzionare decentemente nella maggior parte dei casi.
Ovviamente resta valido l'appello di Paolo per segnalare eventuali malfunzionamenti del blog.
Molti siti quando ricevono una richiesta http la convertono automaticamente in https, ma da tempo... Ad esempio facebook ti redirecta subito alla versione https... Credo che anche twitter lo faccia... Il problema può essere solo per i ranking... Ma se modificano google per trattare i due link come equivalenti, ma solo se c'è il redirect automatico a https, non ci dovrebbero essere problemi e si incentiverebbero i siti a mettere l'https...
Andrebbe ricordato che https non è sinonimo di "sito non fraudolento"
[quote-"Marco"]Molti siti quando ricevono una richiesta http la convertono automaticamente in https, ma da tempo[/quote]

Lo so, ma "molti" non significa "la maggior parte" e men che meno "tutti".
L'avevo spiegato nel mio commento precedente, quando avevo scritto: "a meno che il sito linkato non reindirizzi automaticamente dall'http all'https".
Ho notato che il certificato che ha rilasciato Google ha un url "mini-sni.blogspot.com", se si va su queso url, si viene dirottati su www.hs-hl.info, nel mezzo compare per qualche secondo il profilo di Ardi Manik... ho notato che questa cosa succede per tutti i blog ospitati su Blogspot (mio compreso) [https://goo.gl/7orqmY] strano comunque!
axlman ha scritto:
"Ovviamente resta valido l'appello di Paolo per segnalare eventuali malfunzionamenti del blog."

Ciao axlman, nessun malfunzionamento ma ti segnalo un solo warning che riguarda una chiamata esterna a PayPal, che al momento viene segnalato da Chrome come "distrust" per via della diffida, "punizione" che ci sarà a breve da parte di Google verso Symantec spiegata qui: https://security.googleblog.com/2017/09/chromes-plan-to-distrust-symantec.html
L'anomalia vera e propria ci sarà quando la "punizione" si traformerà in blocco di quella risorsa esterna.

Paolo attivissimo ha scritto:
"Google avvisa che i siti in HTTP verranno considerati "non sicuri" e declassati nei risultati di ricerca"

Solo una precisazione, Google "penalizza" ma fino a un certo punto perché se un sito non è ad esempio un ecommerce o un forum, non richiede insomma un accesso per poter interagire, ma i contenuti sono di buona qualità e nell'insieme gode di una certa autorevolezza, la ricerca organica non ne risente molto.
Al contrario, in un sito che richiede un accesso per interagire, è praticamente obbligato ad attivare un certificato SSL non tanto per migliorare il posizionamento in un motore di ricerca, questo diventa un effetto collaterale, ma per tutelare i dati degli utenti, quindi la loro sicurezza.

Cosa che pare molti amminmistratori di forum non riescono proprio a comprendere, ad esempio: http://www.imaccanici.org/forum/viewtopic.php?f=4&t=42454

un utente chiede perché Chrome indica il forum iMaccanici come Non sicuro e quello che succede nella discussione ha del grottesco, discussione che poi viene bloccata e uno degli utenti che spiega i motivi per cui dovrebbero attivare un certificato SSL viene accusato di essere un troll e bloccato.

E' uno dei tanti casi estremi tra ignoranza, arroganza e superficialità, mentre la via di mezzo è semplicemente la consapevolezza che il concetto di sicurezza, nel Web in particolare, è molto relativo, se qualcuno decide di voler "sniffare" dati in transito non c'è SSL che tenga, non c'è cifratura che tenga.
Ma non proteggere e non tutelare i propri utenti, clienti, etc, è innegabile che li mette in una condizione di altissimo rischio, considerando ad esempio che sono moltissimi quelli che usano la stessa mail personale e la stessa password per accedere a una moltitudine di piattaforme, ecommerce, forum, gestori di carte di credito, cloud, etc.


Errata corrige... L'url del certificato è misc-sni.blogspot.com non mini-sni.blogspot.com :-p
"...visitatore capisce più chiaramente che sta visitando il sito vero e non una sua versione fraudolenta..."

Questo è il grande malinteso che può generare la storia del lucchetto verde.

Io posso fare un sito att L vissimo.blogspot.it che in minuscono attlvissimo.blogspot.it in https e quindi con il "lucchetto verde" anche se la I è stata sostituita con una L. Quindi sono un sito fraudolento, tipico caso di Phishing.

L'HTTPS cripta tutte le informazioni tra client e server, in modo che chiunque si trovi in mezzo (provider, accesspoint pubblici truffaldini, ecc. ) non possa accedere al contenuto delle comunicazioni. Questo è l'HTTPS. Nulla di più.


E non c'è da fidarsi troppo neppure di quelli che hanno una ragione sociale della società accanto all'indicazione "Sicuro", si tratta della "Extended Validation SSL encryption". La vedete ad esempio su github: https://github.com

Sono già molto più sicuri perchè un malintenzionato dovrebbe creare una società e farla certificare, con un nome molto simile, il tutto costerebbe già un sacco di soldi, tempo, ecc. Mglio comunque stare sempre in guardia, soprattuto per siti sensibili (banche, account google, ecc.) abilitando sempre l'accesso a 2 fattori.


X PAOLO:

P.S. forse ho pubblicato un commento identico a questo con un altro account. Per cortesia rimuovi, se c'è questo commento, e tieni in considerazione solo questo. Cancella anche questo PS. Scusa per l'errore e per il disturbo.