Ma nel 2021 ci sono ancora siti che non forzano l’uso di https di default?

Raoul Scarazzini
4

La domanda è semplice: quanti di voi sono convinti che, ormai, sui siti internet si viaggia solo in https? Penso molti, è qualcosa che ormai dovrebbe essere scontato. Troppi rischi, troppe potenziali trappole in quel magnifico e pericolosissimo giardino che è internet.

La stessa domanda se la pongono ogni anno gli amici di Have I been Pwned, in particolare il suo creatore Troy Hunt, il quale ha appena pubblicato un articolo dal titolo eloquente: Why No HTTPS? The 2021 Version.

L’analisi effettuata è piuttosto impietosa e, sebbene ci siano dei miglioramenti rispetto agli anni precedenti, il numero di siti che ancora non forzano l’https per l’accesso ai propri servizi è ancora altissimo.

Lasciamo a voi la lettura dell’articolo completo, ma riportiamo la top ten generata dal crawler.ninja (lo strumento usato per capire dove le redirezioni https non sono presenti):

  1. baidu.com
  2. googletagmanager.com
  3. vimeo.com
  4. xinhuanet.com
  5. apache.org
  6. myshopify.com
  7. w3.org
  8. tianya.cn
  9. googleadservices.com
  10. gnu.org

Tra apache.org e gnu.org ce n’è anche per “noi dell’open-source”.

C’è poi una riflessione (parecchio articolata, ma che merita) su quanti pensano che la forzatura imposta da parte di Google (dalla versione di Chrome M94) sia una manovra per imporre la propria leadership sul mercato, che risulta quantomai attuale:

Those who push back with claims that Google is a guest on the web that’s pointing a gun at it in a massive book-burning exercise that will destroy its history and it would be better to just send readers a zipped archive of websites (no, really, I’m not making this up!) will be increasingly marginalised as everyone else becomes increasingly secure 🙂

Coloro che respingono l’idea [di imporre https] affermando come Google sia un ospite del Web a cui sta puntando contro una pistola, organizzando roghi di libri [facile cogliere la citazione a Fahrenheit 451] per distruggere la sua storia [quindi i siti web vetusti disponibili solo in http] e che sarebbe meglio inviare ai lettori un archivio zippato di siti web (no, davvero , non me lo sto inventando!) saranno sempre più emarginati mentre tutti gli altri diventano sempre più sicuri 🙂

Quindi sì, c’è chi si oppone alla forzatura di https e preferirebbe che venissero inviati zip di siti statici per “risolvere” la questione. Insomma, sarebbe come dire che con una pandemia globale in corso, i vaccini diventano lo strumento del governo per controllarci tutti.

Aspetta un momento…

Raoul Scarazzini

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.

, ,

4 risposte a “Ma nel 2021 ci sono ancora siti che non forzano l’uso di https di default?”

  1. Avatar Guglielmo Cancelli
    Guglielmo Cancelli

    Ho provato ad entrare su w3.org e mi ha reindirizzato a https://www.w3.org/
    Stessa cosa per vimeo, mi ha portato a https://vimeo.com/
    Sarà la forzatura ad https fornita da google chrome ?

  2. Avatar Fedewiico
    Fedewiico

    Anche io con Firefox vengo rediretto a https://vimeo.com/
    anche w3.org mi manda a https://www.w3.org/
    Comunque non capisco che rischio ci sia nel visitare gnu.org con una connessione che non è crittografata, sto vedendo delle cose che non sono segrete, cioè .. se stessi consultando il mio conto in banca mi preoccuperei, ma sto leggendo delle informazioni accessibili a tutti, come dire, vale la pena crittografare wikipedia?

  3. Avatar floriano
    floriano

    non mi sembra di grave, soprattutto se non ci sono di mezzo dei login basta allora basta la versione base..

  4. Avatar JustATiredMan
    JustATiredMan

    Personalmente sono contrario alla forzatura ad https. Ci sono molti servizi che non necessitano della cifratura. Se devi solo leggere il contenuto di un qualsiasi sito, che non debba ricevere un qualche form o contenuto di ritorno, a cosa serve ?
    Oppure in tutti quei servizi di repository, per scaricare pacchetti o aggiornamenti di pacchetti, dove ssl è solo un overhead, e magari intralcia i proxy locali che potrebbero benissimo porli nella cache locale.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

GitHub
Vai alla sezione Articoli
Vai ai Saturday’s Talks

Categories

Articoli (68) Il mmullato (3) Notizie (2909) Saturday's Talks (46)

Tag cloud

ai (43) Android (32) AWS (30) Bug (67) Canonical (81) CentOS (41) Cloud (59) container (48) Controversia (34) Debian (88) desktop (30) docker (61) Fedora (52) Firefox (36) GitHub (67) Google (85) IBM (49) Intel (54) KDE (35) Kernel (219) Kubernetes (89) Linux (673) LinuxFoundation (31) LTS (32) Malware (54) Microsoft (179) MicrosoftLovesLinux (37) Mozilla (37) open-source (323) Openstack (56) Oracle (34) Patch (30) RaspberryPI (30) Red Hat (154) Release (46) RHEL (37) SaturdaysTalks (45) Sicurezza (90) Software (36) SUSE (34) systemd (73) Torvalds (79) Ubuntu (167) Vulnerabilità (55) Windows (80)