Chrome 70, a rischio la visualizzazione di centinaia di siti popolari

08 Ottobre 2018 130

Google Chrome 70 potrebbe non visualizzare correttamente centinaia di siti popolari, se questi non provvederanno a cambiare il certificato di autenticazione SSL in uso. A causa di alcuni problemi che hanno minato la reputazione di un grosso provider, tutti i siti con certificati rilasciati da Symantec prima di giugno 2016 risulteranno non sicuri.

Google aveva annunciato questa modifica alle policy di sicurezza del proprio browser circa un anno fa, ma un gran numero di siti ancora non è corso ai ripari. Chrome 70 dovrebbe arrivare il 16 ottobre, il che significa che ai webmaster è rimasta poco più di una settimana per risolvere la questione. Un ricercatore di sicurezza ha scoperto che tra il milione di siti più diffusi nella classifica di Alexa, ben 1.139 sono a rischio. Tra questi c''era anche quello della casa automobilistica Ferrari, che però nel frattempo ha risolto il problema autonomamente.

Google e altri sviluppatori web avevano accusato Symantec di aver rilasciato alcuni certificati sbagliati e fuorvianti, e più avanti si era scoperto che la società permetteva ad aziende poco rispettabili di rilasciare certificati senza controlli particolarmente rigorosi.

L'iPhone più potente di sempre con il design più classico di sempre? Apple iPhone 8, in offerta oggi da Phone Strike Shop a 555 euro oppure da Amazon a 608 euro.

130

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Mezzina Francesco

Fai come credi,di certo se Chrome spopola sul pianeta una ragione ci sarà sicuramente!

bruno

Chrome é un cancro

Mezzina Francesco

Anche io fino a poco tempo fà preferivo Firefox Quantum,ma consuma più ram di Chrome,altro che 30% in meno e incominciava ad impallarsi su alcuni siti dopo alcune ore di utilizzo,ma dalla versione 69 Chrome ha una grafica decisamente accattivante ed un consumo di ram accettabilissimo per un top browser!

DeeoK

Ma restano due elementi slegati e quello che potrà essere fatto in futuro non vale attualmente.

ale

C'è una bella differenza fra vedere un indirizzo IP dal vedere il contenuto di una pagina, e gli header della tua richiesta HTTP (che molti non considerano ma danno indicazioni sul tuo browser, il tuo sistema operativo, ed altre cose)

Ovvio che l'indirizzo IP non potrai mai nasconderlo, se non appunto con una VPN, perché il provider dovrà sempre sapere chi stai contattando. Ma questo ci sta anche, come detto in futuro gli indirizzi IP saranno sempre più dinamici e diranno sempre meno (se vedono che mi connetto ad un IP di Amazon AWS non hanno idea di che servizio stia effettivamente utilizzando)

Sul fatto che HTTPS e DNS siano slegati, in futuro non potrebbe più essere tanto vero, Google sta sperimentando DNS over HTTPS, perché non usare un protocollo esistente e sicuro per inoltrare le richieste DNS in fondo ?

Federico

"ti rispondo e poi mi fermo perchè sono un po' annoiato di dover spiegare a chi non vuole vedere" con una premessa del genere mi sa che sei tu quello che non vuole vedere.
"Sapresti farmi un esempio di tecnologia imposta da Google?" Quindi ammetti che Google supporta gli standard ma include anche tecnologie sviluppate da se stessa (che cattivona!). ah e non le impone a nessuno, non so dove hai letto sta roba.
"dove vengono pubblicizzati solo quelli che pagano a google escludendo le altre aziende ... Gli editori soprattutto in USA non voglio avere google come intermediario ..." Sai, non esiste solo google come intermediario per gli ads (e non tirare fuori la storia del "se non usi ads google lui ti penalizza!" che non è vero)
"quando invece è un minus che non mi permette di avere un'ampia scelta di ciò che è disponibile ... io vedo solo quello che google vuole farmi vedere perchè basato su ciò che google sa di me" - Esattamente come in TV, se vuoi ampia scelta e valutare altro te lo devi cercare da solo

DeeoK

"l provider non può vedere nulla se non l'indirizzo IP del server a cui ti connetti"
E quindi capisci che se dici che il provider non si può fare i cavoli tuoi dici una falsità?

"Poi può tramite richieste DNS capire a che dominio corrisponde quell'indirizzo IP, ed è il motivo per cui è importante cifrare anche il traffico DNS."

Che è slegato da HTTPS.

"Praticamente il provider può capire che mi sono connesso ad un sito, ma non può sapere nulla altro, che pagine ho visitato all'interno del sito per esempio, il che sarebbe già un indicazione di per se dei tuoi interessi se ci pensi."
Questo in realtà dipede da come avviene il routing all'interno del sito.

Comunque non devi convincermi dell'utilità di HTTPS, ma se continui a dire che con HTTPS sei irrintracciabile anche dagli ISP dici una falsità. Per quello ti serve una VPS. HTTPS cifra il pacchetto del livello trasporto, quindi l'header a livello applicazione non è cifrato e resta visibile. E' sicuramente un notevole passo in avanti rispetto ad HTTP, ma non risolve tutti i problemi (se no le VPN neanche esisterebbero).

ale

Sai come funziona HTTPS ? Mi pare di no, HTTPS cifra la connessione fra te e il server, il provider non può vedere nulla se non l'indirizzo IP del server a cui ti connetti.

Poi può tramite richieste DNS capire a che dominio corrisponde quell'indirizzo IP, ed è il motivo per
cui è importante cifrare anche il traffico DNS.

Praticamente il provider può capire che mi sono connesso ad un sito, ma non può sapere nulla altro, che pagine ho visitato all'interno del sito per esempio, il che sarebbe già un indicazione di per se dei tuoi interessi se ci pensi.

Ma la cosa più importante è che con HTTPS non è possibile iniettare codice malevolo nella pagina, cosa che con HTTP normale è possibile, intercetto la richiesta, introduco del codice malevolo che ti traccia, il 99.9% degli utenti non lo scoprirà mai, perché per vederlo devi andare a confrontare il codice buono con quello che ti ha dato l'ISP, perché ovviamente si può sempre offuscare il codice in mezzo ad altro codice minimizzato e simili.

Che poi il problema non è solo il tuo ISP di casa, anzi è il minimo perché quello lo puoi controllare, è soggetto alle leggi Europe quindi al GDPR, e sei abbastanza tutelato, ma tutti gli ISP a tutti i livelli, quando ti connetti ad un sito attraversi più reti di ISP diversi, in nazioni diverse, con leggi sulla privacy diverse e meno stringenti, ed ognuno di questi se non usi HTTPS ha accesso ai tuoi dati.

bruno

Come pesantezza sicuro.
A livello su cosa di grazia?

Mezzina Francesco

Purtroppo Edge e Firefox non sono a livello di Google Chrome!

DeeoK

Fai una gran confusione.

"Serve per evitare che il tuo provider si faccia i cavoli tuoi e guardi che pagine web visiti"

Innanzitutto hai confermato che hai detto una falsità. Con HTTPS le pagine che visiti le vede eccome. Inoltre che gli indirizzi IP cambino di continuo non è realmente vero: molti siti hanno più IP ma il provider può tranquillamente vedere a chi corrispondono quegli ip sul proprio DNS. Cifrare il traffico verso i DNS aiuta non perché gli ip cambiano ma perché il provider non sa che nome stai cercando di risolvere.
Questo se e solo non stai usando i DNS del provider stesso e tutti i router in bundle con l'offerta non consentono il cambio (quindi 9 utenti su 10 continuano ad usare quelli).

Ricapitolando quindi, l'HTTPS è importante ma se non ci sono campi di input sulle pagine la privacy che guadagni è pressoché nulla.

ale

Cambia e come, il provider può vedere solo a che indirizzo IP ti connetti e le richieste DNS, non i il traffico che generi. E già questo è tanto.

Se ci aggiungi anche che per fortuna si sta spingendo sul cifrare anche il traffico DNS, il provider può vedere solo gli IP a cui ti connetti, che al giorno d'oggi equivale al nulla dato che con i servizi di cloud computing gli IP cambiano continuamente, il provider può solo capire che ti sei connesso ad un IP di Amazon AWS per esempio che non gli dice nulla

Alexv

E che dati sono? Nome, cognome, data di registrazione e post di prova?

bruno

Anche cucciolina lo diceva,quando parlava con il suo pitone.

ale2882

Così diceva Moana.....

Max

Beh, non che ne sentiremo la mancanza eh

Jezuuz
Max

È sicuro che violeranno la tua privacy

MartinTech

a carattere strettamente naturalistico. In pratica un discovery channel più allegro :P

000

dai paladino di google ti rispondo e poi mi fermo perchè sono un po' annoiato di dover spiegare a chi non vuole vedere
-"Sapresti farmi un esempio di tecnologia imposta da Google? " intanto le PWA per essere fruibili da tutti dovrebbero rispettare gli standard W3C ma Google su chromium ha deciso di supportare standard "extra" e spinge gli sviluppatori ad usarli forte del fatto che il 80% dei browser e chrome e il 10%chromium chi non vuole si attacca al tram. Altro esempio sono i siti AMP(accelerated mobile pages) che se da un lato velocizzano il caricamento del sito web dall'altro tranciano l'indirizzamento verso un url server per indirizzarlo alla cache di Google. In sostanza il telefono non comunica più col server del sito ma con i server google che gli forniscono una copia pre-renderizzata della pagina, sembra un vantaggio ma: A) vuol dire che google potrebbe avere un totale controllo di come navighi nel sito(pure in barba ai cookies e alla GDPR) e B) sta praticamente creando un world wild web parallelo in cui gli url sono praticamente fittizi perchè scavalcati dal reindirizzamento verso google. Magari la faccio più tragica di quanto sarà ma io non ci vedo grandi fini umanitari dietro le aziende quiindi tutto questo mi desta preoccupazione.
- "dove vengono pubblicizzati solo quelli che pagano a google escludendo le altre aziende" ah ma esiste la pubblicità gratuita in tv ad esempio" stai sbagliando il nocciolo della questione. Gli editori soprattutto in USA non voglio avere google come intermediario per le pubblicità nei loro siti perchè google le paga una miseria dando agli utenti pubblicità targhettizata sull'utente(ad esempio sei un manager e guardi la pagina di finanza ti trovi la pubblicità del rasoio), mentre i giornali vorrebbero poter scegliere quali aziende pubblicizzare in maniera da aumentare i ricavi con pubblicità contestuali agli articoli (come avviene nei giornali cartacei-> se sei un manager e guardi la pagina di finanza trovi la pubblicità di una società finanziaria). Ecco quindi un altro esempio in cui google impone le sue regole non lasciando spazio alla libera determinazione ne degli utenti ne delle aziende.
-"quando invece è un minus che non mi permette di avere un'ampia scelta di ciò che è disponibile."... è così che funziona la pubblicità, mica puoi vedere gli spot di ogni cosa" NO! non facciamo errori grossolani, non è la stessa cosa della pubblicità in TV, io vedo solo quello che google vuole farmi vedere perchè basato su ciò che google sa di me...ma non può sapere se potrei valutare altre prodotti o servizi alternativi, questo non vale solo sulle pubblicità ma anche sui risultati delle ricerche in generale...se cerchi informazioni su degli argomenti per un po' di tempo vedrai che i risultati diventano presto omologati e con contenuti pressoché simili nei vari siti proposti, totale appiattimento.

bon ciao, ho rotto abbastanza

mttm

Io l'ho preso su bass8 ma sta a 405.. Su Tiger shop lo trovi sui 375 , ma non saprei, c'è chi si è trovato benissimo e chi malissimo.. Diciamo che va un po anche a fortuna forse, tranne che venduto e spedito da Amazon, li anche con casini vari ci pensano loro a risolvere tutto subito XD

Io stavo solo spiegando il post di un altro utente.. Pensala come vuoi

takaya todoroki

sì, ma la catena di trust è sempre decisa dal fornitore di software.
Lo fa Microsoft (per Windows e per i propri Browser), lo fanno Google, lo fa Firefox, lo fanno le distro Linux.

L'importante è che l'ultima parola spetti all'utente.

bazzilla

Allora per quale arcano e oscuro motivo Google dovrebbe riscrivere Google Earth in Web Assembly se tanto già funziona così com'è in Chrome? Non mi pare che glil'abbia ordinato qualche tribunale...

E il centro notifiche di Windows 10? Ricordo che furono gli utenti a richiedere a gran voce che Google lo supportasse, dismettendo (proprio su Windows 10) il suo centro notifiche interno.
E lo spam? Le notifiche le mandano i siti web e non Chrome.

API deprecate prima della riscrittura di Youtube? Se ti riferisci ai passaggi di versione, devi tenere conto che Youtube è un servizio prima ancora di essere un sito: se lo vuoi sfruttare e/o condividere lo fai alle condizioni di chi ti fornisce il servizio: Google.
Parimenti, non mi pare che su FF o altri browser, il sito di Youtube sia limitato.
Se poi mi parli di encoder video e licenze, la questione DRM è ancora ben lungi da essere standard sul web (e mi pare che ogni browser faccia giustamente quello che gli pare).

Il login di Chrome in merito ai "siti" di Google? Scelta condivisibile o meno, ma (come per Youtube), anche Chrome è un servizio di Google, sul quale l'azienda applica una scelta.
Mi pare che negli ultimi anni, sia pratica molto comune quella di portare il login e l'identificazione su ogni applicativo: non è proprio la stessa cosa, ma sul mac mi ritrovo il sistema operativo che mi mostra continuamente la finestra di login all'iCloud perchè non l'ho fatto (e non lo voglio fare).

Il tweet di duckduckgo su Chrome? Me lo sono andato a cercare...
Si, bella (in senso negativo) furbata di Google, ma non mi pare che sia l'unico caso di domini "simili ad uno originale" comprato da altri.

Antivirus su Chrome? Ti riferisci all'uso del motore di ESET? Cioè, stiamo parlando di un sistema di screening e di cleaning relativo al solo browser e alle estensioni/cookies/files che arrivano dai siti che visiti col browser stesso e non con altri applicativi del sistema operativo.

Ma rispondere punto a punto si finisce anche per perdere il senso del discorso, cioè che Google vuole impedirci di navigare come ci pare.
Quindi, sintetizzando: di tutte le problematiche da te sollevate, non ce ne è una che ti impedisce di navigare OVUNQUE (siti di Google compresi) con un browser alternativo a Chrome.
L'eccezione di Google Earth non sarà più una eccezione a breve.
Inbox? E' un servizio di Google.
Se poi Google decide, sui suoi servizi, di fornirti una accessibilità migliore se usi il suo browser...beh...sono scelte che fanno TUTTI i competitor (MS ed Apple compresi).
Quindi di quale censura stiamo parlando?

Freerider

No certo, ho preso spunto da questo per far capire il potere che ha Google. Infatti so che il problema di sicurezza c'è stato, e ok che è una mossa per tutelare anche gli utenti. Ma l'ho preso come spunto per un discorso generico che troppo in pochi fanno. Google ha un potere enorme e in parte lo usa per i suoi scopi. Questo era solo un esempio per far capire che disservizi può causare Google. Un sito colpito da questo procedimento potrebbe fallire (ok se l'è cercata perché appunto tanto vale non avere HTTPS, però a decidere questo è stata Google e non un consorzio di società dove appunto non si riescono a fare i propri interessi per quello ho parlato di standard).

Freerider

Lavoro nell'informatica da più di 10 anni e so bene riconoscere un problema tecnico da un capriccio di una società monopolista. Ho vissuto i casini creati da MS durante gli anni Wintel e non voglio più una situazione del genere. Ma sono sciuro che ritornerà e anche peggio vedendo il comportamento passivo verso le imposizioni di Google del mondo informatico. Gli esempi che ho citato sono appunto tentativi subdoli di far credere una cosa per un'altra. Firefox e Edge hanno quasi lo stesso punteggio di Chrome nell'HTML5 perché mai Google dovrebbe limitare l'uso di alcuni suoi siti? Cosi come perché mai Google ha utilizzato api deprecate già prima della riscrittura di YouToube? Perché Google ora deve forzare il login su tutti i suoi servizi in chrome e perché hanno inserito una specie di antivirus in chrome senza la possibilità di disabilitarlo (guarda caso sono infatti gli unici modo per avere il controllo delle abitudini dell'utente su desktop). Il supporto al centro notifiche di Windows 10 a cosa è servito? L'ultima versione di Chrome aveva iniziato a spammarmi una marea di pubblicità e niente di utile e da li subito disinstallato, ecc.. ecc.. E poi, secondo te un utente qualsiasi vedendo la scritta in rosso questo sito non è sicuro ci accederebbe? Quindi è praticamente bloccato. Ci sono una marea di esempio, basta anche vedere il tweet di duckduckgo su come Google li stia limitando. Microsoft negli anni 90 è stata messa al rogo per giochetti di questo tipo, perché invece Google no?

takaya todoroki

hai ragione su quasi tutto, ma in questo caso non si parla di standard ma di catena di trust.

Ogni browser (a anche ogni OS) decide quali elementi fanno parte della catena di trust.
Symantec ha avuto problemi di sicurezza pazzeschi e non ha reagito in modo corretto per risolverli, ergo un browser (o un OS) ha tutto il diritto di depennare il relativo certificato in quanto falsificabile.
Essere falsificabile crea il doppio svantaggio di rendere non solo insicura la trasmissione (e manipolabile da un MitM come l'ISP, il gestore del router o della rete Wi-FI a cui ti connetti), ma, a differenza di un HTTP liscio, ti dà pure l'illusione che sia sicuro perchè "c'è il lucchetto"

Federico

Questo succede sempre... difficile prevedere ogni singolo aspetto nello sviluppo di un software, sfugge sempre qualcosa... a tutti

Federico

- Sapresti farmi un esempio di tecnologia imposta da Google?
- "dove vengono pubblicizzati solo quelli che pagano a google escludendo le altre aziende" ah ma esiste la pubblicità gratuita in tv ad esempio?
- " quando invece è un minus che non mi permette di avere un'ampia scelta di ciò che è disponibile."... è così che funziona la pubblicità, mica puoi vedere gli spot di ogni cosa

bazzilla

A parte che non "bloccherà", ma indicherà il certificato come non sicuro, dopodichè il sito sarà navigabile a seguito della conferma dell'utente.
Dopodichè, lo scenario che dipingi è irreale e molto propenso al "complottone".
La scelta che applicherà Chrome sulla versione 70 non è detto che non venga seguita da altri browser in futuro.
Gli esempi che hai portato (Google Earth su FF e Inbox su Edge) sono ben lungi dall'essere frutto dell'oscura mano di Google: se cerchi sul web e sei un attimino pratico di tecnologie web, sarà facile capire il come e il perchè.
Il mondo del web è pieno di esempi di questo tipo: negli anni ho visto prodotti e demo spinti sui browser proprietari delle rispetive tecnologie (Microsoft su IE, Mozilla su FF e così via); molti sono nati, poi spariti perchè non diventati standard oppure diventati standard e arrivati su tutti i browser.
Vedi anche Google Earth, arrivato sul browser grazie al Native Client (supportato solo da Chrome) e che approderà su FF grazie allo sforzo (proprio di Google) per riscriverlo con Web Assembly.

Dopodichè, se hai queste paure, non sarò certo io a fartele sparire. Ma credo che tu possa dormire sonni tranquilli e che Google non ti chiuderà/aprirà il web a suo piacimento
A Google basta che usi il suo browser e sapere quello che navighi. Guadagna già molto così.

sopaug

E cosa c'entra?

sopaug

Ah quindi ci si occupa di sicurezza solo quando non si hanno bug. Capisco. Sai mi stupisco sempre di quanti siate, voi st.upidi intendo.

Freerider

E' un'estremizzazione per far capire il potere che ha Google. Qui Google ha deciso che quel certificato (anche se in effetti sono problematici) bloccherà il sito su Chrome, più avanti potrebbe decidere altro. Es. rallentare YouTube su Edge e Firefox, non far aprire fino a poco fa Inbox su Edge o Google Earth su Firefox, modificare i risultati di ricerca per favorire i suoi servizi ecc.. Google ha in mano la possibilità di modificare il web a suo piacimento, ha in mano tutto con percentuali di diffusione altissime. Basta un capriccio e Google può letteralmente cancellare dalla faccia delle terra (perché se non sei accessibile dal web alla fine è quasi come se non esisti) qualcosa.

77fabio

Non è che decide le sorti, un anno fa ha avvisato che i certificati in circolazione non erano sicuri, ha semplicemente messo dei paletti di sicurezza non di censura... Poi se a te non sta bene basta usare un altro browser magari di origine cinese, li vai tranquillo...

bazzilla

Non lo decide Google se un sito è non sicuro, ma i protocolli e gli standard di sicurezza.
Poi chi produce un browser può decidere come e quando seguirli per il suo prodotto.
Qui si parla di un certificato SSL in particolare, non di uno o più siti.
La parola "censura" in questo caso è abbondantemente fuori contesto.

bruno

Ridursi in quel modo, denigra l'intelletto in modi irreparabile.

Nicolas Zannerini

Non è certo quello il punto.

Freerider

Scusa ma che discorsi di … facciamo come le scimmiette "non vedo, non sento e non parlo"? Il problema c'è ed è reale. Google si vuole imporre come standard ma gli standard devono essere decisi da consorzi senza interessi specifici. Invece Google vuole modellare il web a suo piacimento. Girare le spalle e fare finta di niente non è la soluzione. Ora non uso Chrome, domani potrebbe essere che non possa utilizzare un qualsiasi dispositivo tecnologico e questo non mi sta bene.

Rieducational Channel

Li hai messi tutti tranne il mio fornitore abituale, xvideos.

davidemo89

Google+ chiude solo lato consumer

davidemo89

Non usare chrome allora. Nessuno ti obbliga

Freerider

Ok la sicurezza, ma chi è Google che può decidere le sorti del web? Ci vogliamo dare una svegliata? Basta che Google decida di censurare qualcosa e quel qualcosa non raggiungerebbe il 90% del "popolo del web" visto che il 90% delle persone usa chrome o servizi legati a Google. Questo monopolio è davvero pericolosissimo e lo sto dicendo da tempo.

Che guarda in casa degli altri quando loro hanno caverne non buchi

000

Non è una risposta da dare in 2 righe, ma certo non posso farti un trattato. Google ha creato un sistema perfetto in cui lui da un lato controlla il web e cosa fanno le persone sui telefoni dall'altra sfrutta questo dominio in maniera commerciale. Così ecco che i siti web modificano i loro contenuti per fare visualizzazioni per aumentare gli incassi pubblicitari a discapito della qualità. Ma sul web incide a più livelli, ad esempio impone tecnologie fuori agli standard w3c non per fare del bene agli utenti ma per una convenienza sua di gestione.
In tal proposito mi ricollego alle informative sulla privacy di Google che sono sempre state una presa in giro in cui fanno vedere solo gli aspetti positivi di tutti gli strumenti di profilazione cercando addirittura di far diventare la pubblicità mirata un plus(dove vengono pubblicizzati solo quelli che pagano a google escludendo le altre aziende) quando invece è un minus che non mi permette di avere un'ampia scelta di ciò che è disponibile.

Va beh ho cianciato troppo, in definitiva non sono d'accordo con le trasformazioni sociali ed economiche che Google porta avanti per il suo tornaconto. Se ti piace come semplificazione: Google si comporta come gli stati colonialisti in Africa nell'800... Noi siamo i colonizzati, sfruttati eppure incapaci di reagire e quindi ci facciamo portare...

Ti consiglio Xiaomi Pocophone. È il miglior smartphone in assoluto che puoi benissimo mettere a confronto con qualsiasi top di gamma che costa sui 1000€

alexhdkn

Parlo di Google

_PorcoDi3Lettere_

Tanto ci postavo solo le foto sovraccariche di HDR.

Jezuuz

Vai a vedere i commenti nei post su Microsoft, lá c’è sa divertirsi.
Non dico di attaccare per ogni cosa un’azienda ma santoiddio lá gli fa i boccolotti anche.

bruno

Le dimensioni sono sempre importatati

bruno

Google e bug sono due parole che identiche in ambito informatico.

Hardware

RECENSIONE Intel Core i9-9900K l'octa-core da 5 GHz è una scheggia

Android

Recensione Google Pixel 3 XL e confronto con Pixel 2 XL

Alta definizione

RECENSIONE GoPro Hero 7 Black Edition, la stabilizzazione è il punto di forza

Asus

Recensione Asus ROG Phone: il piacere del gaming da smartphone