On Sun, 24 Jan 2021 15:15:51 +0100 Antonio Iacono wrote:
Un sito Web servito via HTTP (senza TLS) può tranquillamente raggiungere miliardi di destinatari senza problemi grazie alle cache intermedie.
TLS non è assolutamente l'unico modo di garantire l'autenticità di una pagina e la cifratura fra client e server difficilmente serve per un messaggio destinato a miliardi di persone.
Condivido, torniamo all'HTTP, non capisco perchè tutti i siti debbano necessariamente passare ad HTTPS *solo* perché i browser maggiori hanno autonomamente scelto che quella fosse la strada più *sicura* da percorrere. Perchè un sito informativo, e la stragrande maggioranza di siti sono informativi debba pagare questo obolo aggiuntivo (tra l'altro alle pochissime società che emettono certificati, configurando anche qui un monopolio di fatto)?
Perché il browser è fatto per spiare l'utente ed il caching intermedio, pur velocizzando la comunicazione, riduce notevolmente la profilazione.
Lasciamo HTTPS solo ad e-commerce e banche.
Non sarei così drastico... (o mamma... IO non sarei così drastico? cosa mi sta succedendo? :-D) A seconda della natura dei contenuti o delle possibili interazioni dei visitatori, HTTPS può essere sensato o meno. Per esempio quando un sito permette l'inserimento di commenti ai visitatori, è giusto ridurre la possibilità che terze parti sul canale possano intercettarne il contenuto. Analogamente ogni sistema di videoconferenza online dovrebbe essere cifrato end-to-end (altro che HTTPS!) In generale io mi regolo così: se un sito offre ai visitatori form da compilare o rivela, in alcune sue pagine, informazioni sensibili sugli stessi, allora acquisto un certificato TLS. Altrimenti no.
Colgo l'occasione per segnalare una "Rivista di Diritto Tecnologia e Informazione" che molti di voi conoscono (è su Internet praticamente da sempre) e che è rigorosamente in HTTP: www.interlex.it, che nella manchette di sinistra riporta: "Cookie free: nessun "biscotto" per spiare i lettori. Sono in corso di eliminazione i link di facebook, che tracciano chi clicca su "mi piace" o "condividi"
Sono molti i siti autorevoli che scientemente non pagano questo obolo. Ma pensare con la propria testa costa energia... Giacomo