A partire da oggi Wikipedia utilizza HTTPS per il login degli utenti e mantiene il protocollo crittografato per il resto degli accessi al sito.
Questa decisione, già parte del percorso di tutela della sicurezza, è stata anticipata alla luce dei recenti eventi legati alle rivelazioni di Edward Snowden secondo le quali Wikipedia sarebbe stata uno dei metodi per tracciare le persone poste sotto sorveglianza.
Per il momento HTTPS non viene attivato sulle versioni di Wikipedia di Paesi che scoraggiano o vietano quel protocollo: cinese (zh.*), fārsì (fa.*), gilaki (glk.*), curdo (ku.*), mazanderani (mzn.*) e soranî (ckb.*). In seguito la decisione di utilizzare o meno HTTPS sarà basata sulla geolocalizzazione dell’indirizzo IP dell’utente che visita Wikipedia.
Ovviamente HTTPS non garantisce l’anonimato né la riservatezza assoluti di ciò che si sta visitando, ma contribuisce, in generale, a ridurre i rischi di furto di informazioni riservate. Esistono firewall normalmente acquistabili su cui si possono abilitare dei veri e propri attacchi di man-in-the-middle per poter analizzare le pagine visitate e confrontarle con le policy impostate. [via Wikimedia Meta]
13 risposte a “Wikipedia passa in HTTPS”
Animato? Anonimato?
Correggiuto, grazie! 🙂
Risulta anche a voi che, cercando sulla Wikipedia usando la funzione “tab to search” della barra degli indirizzi di Chrome, la versione sfogliata sia quella HTTP e non la HTTPS?
L’ultimo capoverso sta a significare che con un proxy è possibile determinare quale pagina viene richiesta da un browser della rete interna che usa https? Pensavo fosse soltanto possibile conoscere il dominio…
Significa che con acluuni firewall puoi abilitare una funzione che ti decodifica al volo TUTTO il contenuto delle sessioni HTTPS.
Non capisco. Che vantaggio ha un firewall interno alla rete rispetto a un qualsiasi attaccante di fuori? Io sono rimasto che le connessioni https sono criptate tra browser e server con chiavi scambiate sotto comunicazione a chiave pubblica sempre tra browser e server. Dove sta il buco?
Segui il link “man-in-the-middle” nel testo dell’articolo.
Il vantaggio del firewall e’ che puo’ intercettare e bloccare le comunicazione tra client e server.
Ero convinto che ogni browser generasse (anche al volo) una coppia di chiavi e che durante la negoziazione mandasse la propria chiave pubblica. Con la sola autenticazione del server, la comunicazione sarebbe sicura. Se davvero questo non succede, allora HTTPS rende sicura esclusivamente la comunicazione da client a server, e non viceversa se c’è stato MITMA in fase di negoziazione.
Se/Quando riesco faccio un articolo sul funzionamento di HTTPS cosi’ chiarisco un po’ di cose.
🙂 grazie
ok, ho capito da solo di aver detto una cazzata.
“Nessuno nasce imparato” diceva il mio sergente a militare
Qui c’e` un articolo di ComputerWorld che parla di un servizio che aiuta ad accorgersi di attacchi Man-in-the-middle:
http://blogs.computerworld.com/cybercrime-and-hacking/22050/steve-gibsons-fingerprint-service-detects-ssl-man-middle-spying?page=0