Mozilla continua il suo percorso di protezione degli utenti con l’aggiunta di una icona di allerta quando vengono richieste password in una connessione non sicura.
In un recente post di Tanvi Vyas, un ingegnere della sicurezza di Mozilla, veniva spiegato che i siti web dovrebbero gestire nomi utente e password con cura e richiederli solo attraverso connessioni sicure come HTTPS. Siccome molto spesso accade che le password vengano richieste attraverso connessioni non sicure come HTTP, a partire dalla vesione 46 di Firefox Developer Edition, gli utenti saranno avvisati di questo rischio con la visualizzazione di un lucchetto rosso.
Sempre secondo l’autore, Firefox esamina la pagina in cui sono contenuti i campi password per determinare se questa è sicura. In caso non lo sia Firefox avvisa l’utente che la pagina è potrebbe essere modificata in un attacco Man-In-The-Middle (MiTM) .
In un attacco MiTM, un attaccante potrebbe estrarre le password inserite in una pagina non sicura modificando l’azione eseguita dalla pagina durante l’invio e facendo in modo che questa venga inviata a un server controllato dall’attaccante senza che l’utente si renda conto dell’accaduto.
Il lucchetto rosso sarà mostrato anche sulle pagine in cui il campo password risulta nascosto fino all’interazione con l’utente. Gli sviluppatori che vorranno rimuovere l’icona di allarme potranno farlo semplicemente inserendo i loro form in pagine HTTPS o migrando l’intero sito in HTTPS.
Per il momento il segnale di allarme sarà visibile solo sulla Developer Edition di Firefox dato che sono questi ultimi che dovranno lavorare prossimamente per sistemare i siti che richiedono le password. Comunque, dato che Mozilla è sempre più determinata a rimuovere le ormai deprecate connessioni HTTP, è probabile che altri avvisi, più o meno espliciti, faranno la loro apparizione in Firefox quando i dati non saranno al sicuro.
Google sta anche spingendo gli sviluppatori a una adozione più massiccia di HTTPS e ha annunciato recentemente che favorirà le pagine in HTTPS rispetto a quelle in HTTP nei risultati di ricerca.
Settimana scorsa Mozilla ha rilasciato Firefox 44, dalla quale è stato rimosso il supporto per il vilnerabile protocollo di cifrature RC4. La società è anche determinata a eliminare del tutto il supporto per la funzione crittografica SHA-1 nei prossimi 12 mesi.
