=C2=A0 Grazie Simone per lo spunto di riflessione, ecco i miei 2c sulla question= e: 1) Una distinzione secondo me molto importante da fare =C3=A8 tra il traf= fico HTTP machine to human (faccio una richiesta HTTP e ottengo indietro = dell=E2=80=99HTML o Javascript) e machine to machine (servire un file com= presso con dentro dati scientifici da analizzare o una API REST). =20 Penso che per il primo tipo di traffico sia importante, e gestibile, aver= e una politica HTTPS only, per la seconda, come =40jhourcle ho un po=E2=80= =99 di dubbi. Come faceva notare Ximin quando il traffico in chiaro viene poi processat= o da un browser si sta esponendo gli utenti del nostro sito web a possibi= li vettori di attacco come nel caso del DDoS a github di un mese fa. 2) La verifica dei certificati SSL =C3=A8 ubiquo nei browser, ma non =C3=A8= la stessa cosa per un sacco di librerie o tool molto utilizzati. Basti p= ensare che fino ad un anno fa il package manager di python non verificava= i certificati SSL. =20 Stiamo facendo progressi, ma comunque non abbiamo un livello di maturit=C3= =A0 elevato. 3) E=E2=80=99 importante riconoscere il fatto che avere HTTPS non signifi= ca essere per forza. Come faceva notare =40jhourcle aumenta la superficie= di attacco, ma anche in assenza di vulnerabilit=C3=A0 non significa che = il traffico dell=E2=80=99utente non transiti in chiaro su internet (ricor= date le slide dell=E2=80=99NSA su SSL added and removed here :) =5B1=5D) = e potrebbe portare ad un finto senso di sicurezza (sono comunque dell=E2=80= =99idea che avere HTTPS sia meglio di nulla). =20 4) Per realt=C3=A0 piccole =C3=A8 impegnativo gestire certificati SSL ed = e=E2=80=99 ancora pi=C3=B9 difficile gestirli bene. Chiunque ha mai avuto= la spiacevole esperienza di dover mettere su un server HTTPS sa di che c= osa sto parlando. I tool da usare sono scomodi e presentano cos=C3=AC tan= te opzioni che il culto del cargo =5B2=5D =C3=A8 inevitabile. =20 Come faceva notare =46abio ACME e Let=E2=80=99s Encrypt sono due progetti= che potrebbero risolvere questo problema nel futuro. In sintesi secondo me HTTPS only s=C3=AD, ma per il traffico che contiene= contenuti attivi (HTML/Javascript/CSS/SW=46 etc.). Per contenuti che dev= ono invece essere elaborati da qualcosa di diverso da un browser non =C3=A8= ancora venuto il momento di passare a HTTPS only, ma sarebbe comunque il= caso di fornire un metodo sicuro per verificare l=E2=80=99integrit=C3=A0= del contenuto. =20 =7E Art. =20 =5B1=5D http://www.newyorker.com/wp-content/uploads/2013/11/nsa-smiley-fa= ce-580.jpg =20 =5B2=5D http://it.wikipedia.org/wiki/Culto=5Fdel=5Fcargo On April 24, 2015 at 7:28:45 PM, Simone Basso (bassosimone=40gmail.com(ma= ilto:bassosimone=40gmail.com)) wrote:
Cari tutti,
tl;dr ho sempre pensato che il traffico HTTP dovrebbe sempre essere cifrato. Alcune discussioni e articoli letti recentemente mi hanno fatto capire che il problema e' piu' complesso e articolato, e voglio convidere con voi quello che ho letto e alcune mie riflessioni.