HTTPS
SITO SICURO
Proteggere il sito con il protocollo HTTPS
Che cos’è il protocollo HTTPS?
HTTPS (Hypertext Transfer Protocol Secure) è un protocollo per la comunicazione su Internet che protegge l’integrità e la riservatezza dei dati scambiati tra i computer e i siti. Gli utenti si aspettano che l’esplorazione di un sito web avvenga in modo sicuro e riservato. Ti incoraggiamo, pertanto, ad adottare il protocollo HTTPS per proteggere la connessione degli utenti al tuo sito web, indipendentemente dai contenuti del sito.
I dati inviati utilizzando HTTPS vengono tutelati mediante il protocollo Transport Layer Security (TLS), che fornisce tre livelli di protezione essenziali:
1 – Crittografia. I dati scambiati vengono criptati per proteggerli dalle intercettazioni. Ciò significa che, mentre l’utente consulta un sito web, nessuno può “ascoltare” le sue conversazioni, tenere traccia delle attività svolte in più pagine o carpire le sue informazioni.
2 – Integrità dei dati. I dati non possono essere modificati o danneggiati durante il trasferimento, intenzionalmente o meno, senza essere rilevati.
3 – Autenticazione. Dimostra che gli utenti comunicano con il sito web previsto. Protegge da attacchi man-in-the-middle e infonde fiducia negli utenti, il che si traduce in altri vantaggi commerciali.
Utilizzare certificati di sicurezza efficaci
Devi ottenere un certificato di sicurezza nell’attivazione di HTTPS per il sito. Il certificato viene emesso da un‘autorità di certificazione (CA), che adotta misure per verificare che il tuo indirizzo web appartenga effettivamente alla tua organizzazione, proteggendo così i tuoi clienti da attacchi man-in-the-middle. Quando configuri il tuo certificato, garantisci un’elevata sicurezza scegliendo una chiave a 2048 bit. Se hai già un certificato con una chiave meno efficace (a 1024 bit), esegui l’upgrade a 2048 bit. Quando scegli il certificato del tuo sito, tieni presente quanto segue:
1 – Richiedi il certificato a un’autorità di certificazione attendibile che offre assistenza tecnica.
2 – Stabilisci quale tipo di certificato ti serve:
– Unico certificato per un’unica origine protetta (ad esempio www.example.com).
– Certificato multidominio per diverse origini protette note (ad esempio, www.example.com, cdn.example.com, example.co.uk).
– Certificato con caratteri jolly (ad esempio a.example.com, b.example.com).
Utilizzare reindirizzamenti 301 lato server
Reindirizza gli utenti e i motori di ricerca alla pagina HTTPS o alla risorsa con reindirizzamenti HTTP 301 lato server.
Verificare che Google possa eseguire la scansione e l’indicizzazione delle pagine HTTPS
– Non bloccare le pagine HTTPS utilizzando file robots.txt.
– Non includere meta tag noindex nelle pagine HTTPS.
– Utilizza lo strumento Visualizza come Google per verificare che Googlebot possa accedere alle tue pagine.
Supportare HSTS
Consigliamo il supporto di HSTS per i siti HTTPS. Lo standard HSTS indica al browser di richiedere automaticamente le pagine HTTPS, anche se l’utente inserisce http nella barra degli indirizzi del browser. Indica inoltre a Google di pubblicare URL protetti nei risultati di ricerca. Tutto questo riduce al minimo il rischio di pubblicazione di contenuti non protetti per i tuoi utenti.
Per supportare HSTS, utilizza un server web che supporti HTTP Strict Transport Security (HSTS) e assicurati che sia attivo.
HSTS aggiunge complessità alla tua strategia di rollback. Ti consigliamo, pertanto, di attivare HSTS nel seguente modo:
– Implementa inizialmente le pagine HTTPS senza HSTS.
– Invia intestazioni HSTS di breve durata massima. Esegui il monitoraggio del traffico di utenti e di altri clienti, così come del rendimento degli elementi che da essi dipendono, quali gli annunci.
– Lentamente aumenta la durata massima di HSTS.
– Se HSTS non evidenzia alcun effetto negativo su utente e motori di ricerca, puoi, se lo desideri, richiedere che il tuo sito venga aggiunto all’Elenco di precaricamento HSTS per Chrome.
Prendi in considerazione l’utilizzo del precaricamento HSTS.
Se attivi HSTS, puoi, a scelta, supportare il precaricamento HSTS per offrire maggiore sicurezza. Per l’attivazione, devi impostare la direttiva includeSubDomains nell’intestazione HSTS. L’abbinamento dei sottodomini opera in questo modo: se il sito www.example.com pubblica un’intestazione HSTS con la direttiva includeSubdomains, i siti che soddisfano la corrispondenza saranno:
Come evitare di incorrere in errori comuni
Durante la procedura di protezione del tuo sito con TLS, stai attento a non commettere i seguenti errori:
Migrazione da HTTP a HTTPS
Se esegui la migrazione del sito da HTTP a HTTPS, Google considera l’operazione uno spostamento del sito con modifiche agli URL. Ciò può influire temporaneamente sulle cifre relative al traffico.
Aggiungi la proprietà HTTPS a Search Console. Search Console gestisce HTTP e HTTPS separatamente, non condividendo i dati relativi a tali proprietà. Pertanto, se hai pagine che adottano entrambi i protocolli, devi indicare una proprietà Search Console distinta per ciascuno di essi.
————————————————————–
HTTPS
HTTPS (chiamato anche HTTP su Transport Layer Security ( TLS ), HTTP su SSL , e Secure HTTP ) è un protocollo di comunicazione per la comunicazione sicura su una rete di computer che è ampiamente utilizzato in Internet . HTTPS consiste nella comunicazione su Hypertext Transfer Protocol (HTTP) all’interno di una connessione crittografata da Transport Layer Security o dal suo predecessore Secure Sockets Layer. La motivazione principale per HTTPS è l’ autenticazione del sito web visitato e la tutela della privacy e dell’integrità dei dati scambiati.
Nella sua distribuzione popolare su Internet, HTTPS fornisce l’autenticazione del sito web e del server web associato con cui si sta comunicando, che protegge dagli attacchi uomo-in-mezzo . Inoltre, fornisce una crittografia bidirezionale delle comunicazioni tra un client e un server, che protegge contro l’ intercettazione e la manomissione o la forgiatura del contenuto della comunicazione. In pratica, questo fornisce una ragionevole garanzia che si sta comunicando con il sito web esattamente quello che si intende comunicare (contrariamente ad un impostore), nonché assicurare che i contenuti delle comunicazioni tra l’utente e il sito non possano essere letti o forgiati da qualsiasi terzo.
Storicamente, le connessioni HTTPS sono state utilizzate principalmente per operazioni di pagamento sul World Wide Web , per posta elettronica e per transazioni sensibili nei sistemi di informazione aziendale. Alla fine degli anni 2000 e all’inizio del 2010, HTTPS ha iniziato a vedere un uso diffuso per proteggere l’autenticità delle pagine su tutti i tipi di siti web, assicurando i conti e mantenendo le comunicazioni degli utenti, l’identità e la navigazione web private.
Generalità
Lo schema di identificazione delle risorse uniformi HTTPS (URI) ha una sintassi identica allo schema HTTP standard, oltre al token di schema. Tuttavia, HTTPS segnala al browser di utilizzare un livello di crittografia aggiuntivo di SSL / TLS per proteggere il traffico. SSL / TLS è particolarmente adatto per HTTP, in quanto può fornire una certa protezione anche se solo un lato della comunicazione è autenticato . Questo è il caso delle transazioni HTTP su Internet, in cui solitamente solo il server viene autenticato (dal client che esamina il certificato del server ).
HTTPS crea un canale sicuro su una rete non sicura. Ciò garantisce una ragionevole protezione dalle intercettazioni e attacchi man-in-the-middle , a condizione che adeguati suite di cifratura vengono utilizzati e che il certificato del server è verificata e attendibile.
Poiché HTTPS invia HTTP interamente al di sopra di TLS, l’intero protocollo HTTP sottostante può essere crittografato. Ciò include l’URL di richiesta (quale pagina web è stata richiesta), i parametri di query, le intestazioni e i cookie (che spesso contengono informazioni sull’identità dell’utente). Tuttavia, poiché gli indirizzi (siti web) ei numeri di porta sono necessariamente parte del TCP / IP sottostanteprotocolli, HTTPS non può proteggere la loro divulgazione. In pratica ciò significa che anche su un server web configurato correttamente, gli eavesdroppers possono dedurre l’indirizzo IP e il numero di porta del server web (a volte anche il nome di dominio, ad esempio www.example.org, ma non il resto dell’URL) che uno è comunicare con, nonché l’importo (dati trasferiti) e la durata (durata della sessione) della comunicazione, anche se non il contenuto della comunicazione.
I browser Web sanno come gestire i siti Web HTTPS in base alle autorità di certificazione che vengono preinstallate nel proprio software. Le autorità di certificazione (quali Symantec , Comodo , GoDaddy e GlobalSign ) vengono così affidate dai creatori del browser web a fornire certificati validi. Pertanto, un utente deve fidarsi di una connessione HTTPS a un sito web se e solo se tutte le seguenti sono vere:
# L’utente è convinto che il software del browser implementa correttamente HTTPS con le autorità di certificazione correttamente installate.
# L’utente si fida dell’autorità di certificazione per garantire solo i siti web legittimi.
# Il sito fornisce un certificato valido, il che significa che è stato firmato da un’autorità affidabile.
# Il certificato identifica correttamente il sito web (ad esempio, quando il browser visita ” https://example.com “, il certificato ricevuto è appropriato per “example.com” e non per alcuna altra entità).
# L’utente ritiene che il livello di crittografia del protocollo (SSL / TLS) sia sufficientemente sicuro contro gli eavesdroppers.
HTTPS è particolarmente importante per le reti insicure (ad esempio i punti di accesso Wi-Fi pubblici ), poiché chiunque della stessa rete locale può filtrare pacchetti e scoprire informazioni riservate non protette da HTTPS. Inoltre, molte reti WLAN libere e utilizzate si impegnano nell’iniezione di pacchetti per servire i loro annunci nelle pagine web. Tuttavia, questo può essere sfruttato malevolmente in molti modi, ad esempio iniettando malware su pagine web e rubando le informazioni private degli utenti.
HTTPS è anche molto importante per le connessioni sulla rete di anonimato Tor , poiché i nodi Tor dannosi possono danneggiare o alterare i contenuti che li passano in modo insicuro e iniettare malware nella connessione. Questo è un motivo per cui la Fondazione elettronica di frontiera e il progetto Tor hanno avviato lo sviluppo di HTTPS Everywhere , incluso nel Bund Browser Bundle.
Dato che sono disponibili ulteriori informazioni sulla sorveglianza globale di massa e sui criminali che rubano informazioni personali, l’utilizzo della protezione HTTPS su tutti i siti web sta diventando sempre più importante indipendentemente dal tipo di connessione Internet in uso. Mentre i metadati relativi alle singole pagine che un visitatore di utenti non sono sensibili, in combinazione, possono rivelare molto l’utente e compromettere la privacy dell’utente.
L’installazione di HTTPS consente anche l’utilizzo di HTTP / 2 (o il suo predecessore, il protocollo SPDY ora deprecato ), che sono nuove generazioni di HTTP, progettate per ridurre i tempi di caricamento e la latenza della pagina.
È consigliabile utilizzare HTTP Strict Transport Security (HSTS) con HTTPS per proteggere gli utenti dagli attacchi uomo-in-the-middle, in particolare la rimozione SSL .
HTTPS non deve essere confuso con il HTTP (S-HTTP) poco utilizzato, specificato in RFC 2660 .
Utilizzo nei siti web
A partire dal giugno 2017 , il 21,7% degli Alexa top 1.000.000 siti Web utilizzano HTTPS come predefinito. Il 43,1% dei 141.387 siti web più diffusi del Internet ha un’implementazione sicura di HTTPS, e del 45% di carichi di pagine (misurato da Firefox Telemetry ) utilizzare HTTPS.
Secondo Mozilla dal gennaio 2017, più della metà del traffico Web è crittografato.
Integrazione del browser
Molti browser visualizzano un avviso se ricevono un certificato non valido. I browser più vecchi, quando si connette a un sito con un certificato non valido, presenterebbero all’utente una finestra di dialogo che chiedesse se si voleva continuare. I browser più recenti visualizzano un avviso in tutta la finestra. I browser più recenti visualizzano anche prominentemente le informazioni sulla sicurezza del sito nella barra degli indirizzi . I certificati di convalida estesi trasformano la barra degli indirizzi verde nei browser più recenti. La maggior parte dei browser visualizza anche un avviso all’utente quando si visita un sito che contiene una miscela di contenuti crittografati e non crittografati.
Firefox utilizza HTTPS per le ricerche di Google a partire dalla versione 14, per “proteggere i nostri utenti dalle infrastrutture di rete che potrebbero raccogliere dati sugli utenti o modificare / censurare i risultati di ricerca”.
La Fondazione elettronica di frontiera , affermando che “In un mondo ideale, ogni richiesta web potrebbe essere in default di HTTPS”, ha fornito un componente aggiuntivo chiamato HTTPS Everywhere per Mozilla Firefox che consente di default HTTPS per centinaia di siti web utilizzati di frequente. Una versione beta di questo plugin è disponibile anche per Google Chrome e Chrome .
Sicurezza
La protezione di HTTPS è quella del TLS sottostante, che utilizza tipicamente chiavi pubbliche e private a lungo termine per generare una chiave di sessione a breve termine che viene quindi utilizzata per crittografare il flusso di dati tra client e server. I certificati X.509 vengono utilizzati per autenticare il server (e talvolta anche il client). Di conseguenza, sono necessarie autorità di certificazione e certificati di chiave pubblica per verificare la relazione tra il certificato e il suo proprietario, nonché per generare, firmare e amministrare la validità dei certificati. Mentre questo può essere più vantaggioso di verificare le identità attraverso una rete di fiducia , le pubblicazioni di sorveglianza di massa del 2013ha richiamato l’attenzione sulle autorità di certificazione come un potenziale punto debole che consente gli attacchi uomo-in-the-middle . Una proprietà importante in questo contesto è il segreto , che assicura che criptate, comunicazioni registrate in passato non possono essere recuperate e decifrate dovrebbero a lungo termine chiavi segrete o password essere compromessi in futuro. Non tutti i server web forniscono segreto in avanti.
Un sito deve essere completamente ospitato su HTTPS, senza avere una parte del suo contenuto caricato su HTTP – ad esempio, caricando script in modo insicuro – o l’utente sarà vulnerabile ad alcuni attacchi e sorveglianza. Anche avere una sola pagina contenente informazioni sensibili (ad esempio una pagina di accesso) di un sito web caricato su HTTPS, mentre il resto del sito web è caricato su un semplice HTTP, esporrà l’utente agli attacchi. In un sito che dispone di informazioni sensibili da qualche parte su di esso, ogni volta che si accede a questo sito con HTTP anziché HTTPS, l’utente e la sessione saranno esposti. Analogamente, i cookie in un sito serviti tramite HTTPS devono disporre dell’attributo sicuro .
Differenza da HTTP
Gli URL HTTPS iniziano con “https: //” e utilizzano la porta 443 per impostazione predefinita, mentre gli URL HTTP iniziano con “http: //” e utilizzano la porta 80 per impostazione predefinita.
HTTP non è crittografato ed è vulnerabile agli attacchi “uomo-in-mezzo” e “intercettazioni” che consentono agli attaccanti di accedere a account web e informazioni sensibili e modificare pagine web per iniettare malware o pubblicità. HTTPS è progettato per resistere a tali attacchi ed è considerato sicuro contro di loro (ad eccezione di vecchie versioni obsolete di SSL).
Strati di rete
HTTP opera allo strato più alto del modello TCP / IP , il livello di applicazione ; così come il protocollo di sicurezza TLS (che funge da sottostrato inferiore dello stesso livello), che cifra un messaggio HTTP prima della trasmissione e decifica un messaggio all’arrivo. In modo rigoroso, HTTPS non è un protocollo separato, ma si riferisce all’uso di HTTP ordinario su una connessione SSL / TLS crittografata .
Tutto nel messaggio HTTPS viene crittografato, incluse le intestazioni e il carico di richiesta / risposta. Ad eccezione del possibile attacco crittografico CCA descritto nella sezione delle limitazioni , l’attaccante può sapere solo che esiste una connessione tra le due parti ei loro nomi di dominio e indirizzi IP.
Impostazione del server
Per preparare un server Web per accettare le connessioni HTTPS, l’amministratore deve creare un certificato di chiave pubblica per il server web. Questo certificato deve essere firmato da un’autorità di certificazione attendibile per il browser web per accettarlo senza preavviso. L’autorità certifica che il titolare del certificato è l’operatore del server web che lo presenta. I browser Web sono generalmente distribuiti con un elenco di certificati di firma delle principali autorità di certificazione in modo che possano verificare i certificati firmati da esse.
Acquisizione di certificati
I certificati autenticamente firmati possono essere liberi o costano fra 8 USD e 70 USD all’anno (nel 2012-2014).
Le organizzazioni possono anche gestire la propria autorità di certificazione, in particolare se sono responsabili della creazione di browser per accedere ai propri siti (ad esempio siti su un’intranet aziendale o università maggiori). Possono facilmente aggiungere copie del proprio certificato di firma ai certificati attendibili distribuiti con il browser.
Esiste inoltre un’autorità di certificazione peer-to-peer, CACert . Tuttavia, non è incluso nei certificati di root attendibili di molti browser più diffusi (ad esempio, Firefox, Chrome, Internet Explorer) che possono causare messaggi di avviso agli utenti finali.
Let’s Encrypt , lanciato nell’aprile 2016, fornisce certificati SSL / TLS gratuiti e automatizzati ai siti web. Secondo la Electronic Frontier Foundation , “Let’s Encrypt” farà passare da HTTP a HTTPS “facile come rilasciare un comando o fare clic su un pulsante”.
Utilizzo come controllo di accesso
Il sistema può essere utilizzato anche per l’ autenticazione client per limitare l’accesso a un server Web a utenti autorizzati. Per fare questo, l’amministratore del sito crea tipicamente un certificato per ogni utente, un certificato caricato nel proprio browser. Normalmente, che contiene il nome e l’indirizzo di posta elettronica dell’utente autorizzato e viene automaticamente controllato dal server su ogni riconnessione per verificare l’identità dell’utente, potenzialmente senza nemmeno inserire una password.
In caso di chiave segreta (privata) compromessa
Una proprietà importante in questo contesto è la perfetta segretezza in avanti (PFS). Possedere una delle chiavi segrete asimmetriche a lungo termine utilizzate per stabilire una sessione HTTPS non dovrebbe rendere più facile derivare la chiave di sessione a breve termine per poi decrittografare la conversazione, anche in un secondo momento. Lo scambio di chiavi Diffie-Hellman (DHE) e la curva ellittica Diffie-Hellman (ECDHE) sono nel 2013 le uniche conosciute per avere quella proprietà. Solo il 30% delle sessioni di Firefox, Opera e Chromium Browser lo utilizzano e quasi lo 0% delle sessioni Safari e Microsoft Internet Explorer di Apple . Tra i più grandi fornitori di internet, solo Google supporta PFS dal 2011 (settembre 2013).
Un certificato può essere revocato prima della scadenza, ad esempio perché la segretezza della chiave privata è stata compromessa. Nuove versioni di browser popolari come Firefox , Opera , e Internet Explorer in Windows Vista implementano il Online Certificate Status Protocol (OCSP) per verificare che non sia così. Il browser invia il numero di serie del certificato all’autorità di certificazione o al suo delegato tramite OCSP e l’autorità risponde dicendo al browser se il certificato è ancora valido.
Limitazioni
SSL / TLS è disponibile in due opzioni, semplici e reciproche. La versione reciproca è più sicura, ma richiede all’utente di installare un certificato personale client nel proprio browser web per autenticare se stessi.
Se la strategia sia semplice o reciproca, il livello di protezione dipende fortemente dalla correttezza dell’attuazione del browser web e del software del server e degli algoritmi crittografici effettivi supportati.
SSL / TLS non impedisce che l’intero sito venga indicizzato utilizzando un crawler web e in alcuni casi l’ URI della risorsa crittografata può essere dedotto conoscendo solo la dimensione richiesta / risposta intercettata. Questo consente ad un utente malintenzionato di accedere al testo in chiaro (il contenuto statico disponibile in pubblico) e al testo crittografato (la versione crittografata del contenuto statico), consentendo un attacco crittografico .
Poiché TLS opera sotto HTTP e non ha conoscenze di protocolli di livello superiore, i server TLS possono solo presentare rigorosamente un certificato per una particolare combinazione di IP / porta. In passato, ciò significava che non fosse possibile utilizzare hosting virtuale basato su nomi con HTTPS. Esiste una soluzione denominata nome di nome server (SNI) che invia il nome host al server prima di crittografare la connessione, anche se molti browser molto vecchi non supportano questa estensione. Il supporto per SNI è disponibile da Firefox 2, Opera 8, Safari 2.1, Google Chrome 6 e Internet Explorer 7 in Windows Vista .
Da un punto di vista architettonico:
– Una connessione SSL / TLS è gestita dalla prima macchina frontale che avvia la connessione TLS. Se per questa ragione (routing, ottimizzazione del traffico, ecc.) Questa macchina anteriore non è il server di applicazioni e deve decifrare i dati, occorre trovare soluzioni per propagare le informazioni o il certificato di autenticazione utente sul server delle applicazioni, sapere chi sta per essere collegato.
– Per SSL / TLS con autenticazione reciproca, la sessione SSL / TLS è gestita dal primo server che inizia la connessione. In situazioni in cui la crittografia deve essere propagata lungo server incatenati, la gestione di sessione timeout diventa estremamente difficile da implementare.
– Con SSL / TLS reciproci, la sicurezza è massima, ma sul lato client non è possibile terminare correttamente la connessione SSL / TLS e scollegare l’utente, tranne in attesa che la sessione del server scada o chiude tutte le applicazioni client correlate.
A Blackhat Conference 2009 è stato presentato un sofisticato tipo di attacco uomo-in-the-middle chiamato spogliarello SSL . Questo tipo di attacco sconfigge la sicurezza fornita da HTTPS modificando il link https: http , link, approfittando del fatto che pochi utenti di Internet digitano “https” nella loro interfaccia browser: arrivano in un sito sicuro facendo clic su un collegamento e quindi vengono ingannati nel pensare di utilizzare HTTPS quando infatti stanno utilizzando HTTP. L’attaccante comunica quindi chiaramente con il cliente. Ciò ha richiesto lo sviluppo di una contromisure in HTTP denominato HTTP Strict Transport Security .
HTTPS è stato mostrato vulnerabile a una serie di attacchi di analisi del traffico . Gli attacchi di analisi del traffico sono un tipo di attacco a canale secondario che si basa sulle variazioni nel tempo e nella dimensione del traffico al fine di inferire le proprietà relative al traffico criptato stesso. L’analisi del traffico è possibile perché la crittografia SSL / TLS modifica il contenuto del traffico, ma ha un impatto minimo sulla dimensione e sul tempo del traffico. A maggio 2010, un documento di ricerca dei ricercatori della Microsoft Research e dell’Università di Indianaha scoperto che dettagliati dati utente sensibili possono essere dedotti dai canali laterali, ad esempio le dimensioni dei pacchetti. Più in particolare, i ricercatori hanno scoperto che un ascoltatore può dedurre le malattie / farmaci / interventi dell’utilizzatore, dei suoi redditi familiari e dei segreti d’investimento, nonostante la protezione HTTPS in diverse applicazioni web di alto profilo in ambito sanitario , imposte, investimenti e ricerca web. Anche se questo lavoro ha dimostrato la vulnerabilità di HTTPS all’analisi del traffico, l’approccio presentato dagli autori ha richiesto l’analisi manuale e focalizzata in particolare sulle applicazioni web protette da HTTPS.
Nel giugno 2014, un team di ricercatori di UC Berkeley e Intel guidato da Brad Miller ha dimostrato un approccio generalizzato all’analisi del traffico HTTPS basato sull’apprendimento della macchina . I ricercatori hanno dimostrato che l’attacco è stato applicato a una vasta gamma di siti web, tra cui Mayo Clinic , Planned Parenthood e YouTube . L’attacco presume che l’attaccante sia in grado di visitare le stesse pagine web della vittima per raccogliere il traffico di rete che serve come dati formativi. L’attaccante è in grado di identificare le dimensioni e le ordinazioni dei pacchetti tra il traffico delle vittime e il traffico di dati di addestramento che consentono spesso all’attaccante di dedurre la pagina esatta della vittima in visita. Ad esempio, questo attacco potrebbe essere utilizzato per determinare se un utente che sta navigando sul sito web pianificato Parenthood è alla ricerca di informazioni su screening di salute preventiva o un aborto. Tieni presente che l’attacco non può essere utilizzato per scoprire i valori specifici dell’utente incorporati in una pagina web. Ad esempio, molte banche offrono interfacce web che consentono agli utenti di visualizzare i saldi dei conti. Mentre l’attaccante potrà scoprire che l’utente stava visualizzando una pagina di bilancio dei conti, non sarebbe in grado di apprendere l’esatta bilancia del conto dell’utente o il numero di conto.
Netscape Communications ha creato HTTPS nel 1994 per il suo browser web Netscape Navigator . In origine, HTTPS è stato utilizzato con il protocollo SSL . Poiché SSL si è evoluto in TLS ( Transport Layer Security ), HTTPS è stato specificato formalmente da RFC 2818 nel maggio 2000.
I will bookmark your blog and test once more here regularly.
Ӏ’m fairly certain I will be informed a lot of new stuff proper here!
Good lսck for the following!
Hi іt’s me, I am also visiting thiѕ web sitе daily,
this web page is genuinely ⲣleasаnt and the users are genuinely sharing nice
thoughts.
Tһank you a lot for shаring this with all folks you гeally understand wһɑt you are speakіng about!
Bookmarked.
Fabulous, what а weblog it is! This webloց provides valuable data to us, ҝeep it up.
Tһis is really attention-grabbing, You’rе a very skilled blogger.
I have joіned youг feed and look ahead to seeking more of your great post.
Also, I have shared your website in my sociаl networks
Ӏt’s not my first time to pay a ԛuick visit this web page, i am visiting this
web ѕite dailly and get plеasant information from hеre eveгyday.