Topic: add on per rendere https i protocolli http

[p060477]

ciao!

anche in relazione al mio topic.
http://forum.mozillaitalia.org/index.php?topic=50027.msg323898#new

"..avrei visto..con allarme!..un servizio di report in cui si parla dei protocolli
http e https e di una estensione ,la firesheep,che renderebbe vulnerabili le connessioni a siti con protocollo non criptato,http appunto..
vi chiederei:
1)
il rischio c'e' solo se io sono in una wi fi area e mi connetto ad un sito http e li' vicino c'e' un tizio che usa la firesheep?
oppure tale rischio c'e' anche in aree non wi-fi..?

2)
ci sono ,mi pare..,delle estensioni di ff che dovrebbero ovviare a cio' permettendo solo dei collegamenti in https..cioe' dovrebbero rendere,ma non so' se sto dicendo una castroneria..,il protocollo usato da http ad https..
mi sbaglio..?
se ci fossero quali sono..?
e quale mi consigliereste..??"


sarei a chiedervi un consiglio su quali add on possono essere piu' utili
per rendere un protocollo http non criptato il piu' sicuro e criptato https..

grazie in anticipo!!

luca

[gialloporpora]

FireSheet è un modo semplice per spiare i dati di connessione via http ci sono anche altri modi molto più complicati per farlo (Wireshark), l'estensione non fa altro che rendere disponibili questi dati. Diciamo che quei dati sono in chiaro, l'estensione permette anche a un utente senza particolari skill di vederli.


1) questo accade nelle reti non protette,  quindi in particolare le reti Wi-Fi.

2) nessuna estensione può cifrarti la connessione se il  server  non possiede un certificato.
La creazione di quell'estensione è stato un modo per parlare del problema e far comprendere a tutti la poca sicurezza di alcuni siti (es: facebook) che non possiedono un certificato di cifratura delle connessioni.

Ora, anche grazie al successo dell'estensione, molti siti si stanno dotando di certificati di cifratura (in facebook puoi attivarlo nelle preferenze avanzate), se la connessione https è disponibile Firefox dovrebbe usarla di suo senza necessità di estensioni.

[reherd]

"..avrei visto..con allarme!..un servizio di report in cui si parla dei protocolli
http e https e di una estensione ,la firesheep,che renderebbe vulnerabili le connessioni a siti con protocollo non criptato,http appunto..

Il video in questione su YOUTUBE (circa al minuto 2:05)

http://www.youtube.com/watch?v=FyCkTCskZYs

[gialloporpora]

Ah, nel caso non sia stato chiaro, le connessioni wi-fi non sicure sono quelle fatte  con connessioni wi-fi libere (non molto diffuse in Italia), non quelle che fai da casa e offerte da un provider.

[DerAngEd_HeRmiT]

comunque per forzarla io usi
http://userscripts.org/scripts/show/72944
oppure esiste anche questa HTTPS Everywhere.


p.s. ho scoperto tra l'altro che anche noscript permette di forzare https

[gialloporpora]

Non credo ti servano con Firefox 4:

Firefox, il browser web | Caratteristiche: più veloce, sicuro e personalizzabile | Mozilla Europe

Firefox impedisce a malintenzionati di intercettare dati sensibili utilizzando automaticamente una connessione sicura nel caso in cui i server permettano una connessione via HTTPS.

infatti se io provo ad andare su:
http://addons.mozilla.org

mi rimanda alla connessione https, in ogni caso è necessario che il server lo permetta.

[p060477]

ciao gialloporpora!
innanzitutto grazie!

..guardando il servizio invece sembrava che fosse molto ma molto piu' facile..quindi pericoloso..

per cui mi confermi che:

1)in casa attaccati al router via filo,lan,non ci sono problemi di incappare nella firesheep..?

2)sempre in casa ma in mod wi-fi pero' - protetta - da password prot wpa etcc..

3)usando ff 4 sono inutili add ons tipo https finder etcc.. che dovrebbero forzare gli http,se possibile ovvio..,in https..

grazie ancora di cuore..anche della pazienza!!

ps io ho noscript..ma mi pare che ,ammetto la mia imbranataggine pero'..,non faccia nulla per gli https..o sbaglio..??!!

luca

[Gioxx]

Luca: sei davvero catastrofico, lasciatelo dire.
Hai una connessione WiFi a casa tua? Si? E' protetta da una robusta password? Il problema non sussiste.

Firefox 4 -come già detto e ridetto- forza autonomamente la connessione HTTPS con tutti i server / servizi che lo permettono. Se dall'altro lato non c'è un server che permetta la connessione SSL (quindi HTTPS) nessuna estensione sulla faccia della terra potrà forzarla, il problema non sussiste.

Se navighi da reti WiFi pubbliche è sempre bene (anche prima della puntata allarmistica e prettamente disastrosa di Report, che sta ricevendo numerosissime critiche in questi giorni sul web, da chi il web lo vive e sa molto più di quanto detto in TV) evitare login in chiaro a servizi e piattaforme quotidianamente utilizzate (posta elettronica, Facebook, ecc.) ma questo è un argomento che esula completamente da Firefox e sfocia nell'area sicurezza e protezione dei propri dati. Non è il forum adatto.

Ti sono stati già dati spunti su alcuni componenti aggiuntivi potenzialmente utili per la tenere a bada la tua paranoia scoppiata per una puntata di uno show televisivo, davvero credi a tutto quello che dicono i media? Lo sai che il fenomeno FireSheep è scoppiato diversi mesi fa e tu (come tanti altri) non te ne sei accorto vivendo tranquillo fino ad oggi?

Non te la prendere eh

[p060477]

ciao Gioxx!
innanzitutto grazie!

..non solo non me la prendo..ma..ti ringrazio di cuore
i tuoi posts sono sempre per me molto utili per cercare di colmare le mille lacune
,non solo paranoico- caratteriali ma strettamente informatiche..!!,che ho..

mi scrivi:
"Ti sono stati già dati spunti su alcuni componenti aggiuntivi potenzialmente utili"..:

ma se uso ff 4 mi pare di aver capito proprio dal tuo utilissimo e chiaro intervento che non ne ho alcun bisogno..
l'unica curiosita' mi era rimasta per il noscript,dato che quella l'ho gia' installata..,
che qui e' stato scritto che potesse agire anche sul fatto dell' https ma a me,
ammetto l'imbranataggine ..,non mi sembra..

per il resto grazie veramente di cuore!!

luca

[DerAngEd_HeRmiT]

http://noscript.net/faq#qa6_3
http://www.ghacks.net/2009/03/31/force-ssl-https-connections-in-noscript/

[p060477]

ciao e grazie di cuore!

..non avevo dubbi che dipendeva dalla mia ignoranza e max imbranataggine..
daro' sicuramente una lettura approfondita ai links che mi hai gentilmente ed utilmente postato!!

grazie veramente di tutto!!

luca

[dest]

Ecco a te...

Per firefox c'è... tutto!
cerca su google HTTPS Everywhere è un estensione che forza la connessione https per molti dei siti più conosciuti, dalle impostazioni dell'estensione puoi scegliere dove attivare l'estensione e se un sito non è presente nella lista è lo vuoi aggiungere puoi usare l'estensione HTTPS Finder (la trovi su firefox add-on)

[p060477]

ciao e grazie!

..da quanto ho capito pero' usando firefox 4 e' inutile..ci pensa gia' lui..
(precisazione doverosa:
io uso ,a casa, per cui in netta prevalenza SOLO ff 4,e per pochissime cose opera 11.01 portable,
ora non sono sul mio pc per cui sono obbligato ad usare l'unico browser che c'e',ie8,...)

[DerAngEd_HeRmiT]

fatto un paio di prove con gm disabilitato:
http://www.facebook.com
ff4 non mi ha rigirato su https
noscript mettendo *.facebook.com si
ottimo

[p060477]

..questo allora andrebbe contro l'affermazione che ff 4 dovrebbe farlo in automatico..
per cui estensioni come https everywhere sarebbero utili..