Blocco dei contenuti non sicuri delle pagine web

Nota: per utilizzare le caratteristiche più recenti di Firefox, aggiornare il programma all'ultima versione.

Quando si visita una pagina che si suppone completamente sicura ma che in realtà contiene elementi non sicuri, viene visualizzata l'icona di uno scudo nella Barra degli indirizzi e viene attivato il blocco di questi contenuti non sicuri. In questo articolo viene spiegato che cosa sono i contenuti misti, perché vengono bloccati e quali opzioni sono disponibili.

mixed_fx37_1

Che cosa significa "contenuti misti"

Il protocollo HTTP è un sistema per la trasmissione di informazioni da un server web al browser utilizzato. Il protocollo HTTP non è sicuro quindi, quando si visita una pagina utilizzando questo tipo di protocollo, la connessione è teoricamente intercettabile e vulnerabile ad attacchi di tipo man-in-the-middle. La maggior parte dei siti web viene consultata utilizzando HTTP in quanto si suppone che da e verso di essi non passino informazioni sensibili e non occorra perciò che tali connessioni siano sicure.

Quando invece si visita una pagina utilizzando il protocollo HTTPS (icona di un lucchetto verde nella Barra degli indirizzi) come ad esempio il sito di una banca, la connessione è autenticata e cifrata e quindi protetta da tentativi di intercettazione e attacchi di tipo man-in-the-middle.

Se però la pagina che si visita utilizzando il protocollo HTTPS include anche contenuti HTTP, la porzione HTTP di contenuti può essere potenzialmente intercettata e modificata anche se la maggior parte dei contenuti viene inviata utilizzando HTTPS. Una pagina HTTPS che presenta anche contenuti HTTP viene detta a contenuti misti. Una pagina siffatta è solo parzialmente cifrata, e anche se sembra sicura in realtà non lo è completamente.

Nota: per ulteriori informazioni relative ai contenuti misti (attivi e passivi), leggere questo articolo (in inglese).

Potenziali rischi dei contenuti misti

Un malintenzionato potrebbe sostituire i contenuti HTTP della pagina per poter sottrarre credenziali di accesso, impossessarsi dell'account, acquisire dati sensibili, modificare i contenuti della pagina o installare malware sul computer in uso.

Alternative possibili

La maggior parte dei siti web funzionerà normalmente anche se nessuna azione viene intrapresa dall'utente.

Se occorre consentire il caricamento, la visualizzazione e l'esecuzione dei contenuti misti:

  • Fare clic sull'icona dello scudo Mixed Content Shield nella Barra degli indirizzi, successivamente fare clic su Opzioni e scegliere Disattiva temporaneamente protezione.
    mixed_fx37_2
  • L'icona nella Barra degli indirizzi assumerà l'aspetto di un segnale di pericolo Warning Identity Icon per rimarcare il fatto che si sta visitando una pagina che presenta contenuti potenzialmente non sicuri.

Quando vengono visualizzati contenuti non sicuri, l'icona dello scudo si presenta come attraversata da una barra rossa. Per bloccare nuovamente i contenuti misti, fare nuovamente clic sull'icona dello scudo, poi su Opzioni e scegliere Attiva protezione.

mixed_fx37_3

I contenuti verranno nuovamente bloccati se, rimanendo nella scheda corrente, si visita un altro sito web e si torna indietro nella cronologia oppure se si visita quello stesso sito web utilizzando una nuova scheda.

L'icona è un triangolo grigio

Mixed passive content

Solo la parte potenzialmente pericolosa dei contenuti HTTP viene bloccata, perciò alcuni siti web possono comunque trasmettere contenuti HTTP (come immagini, audio e video). In questo caso, la connessione tra Firefox e il sito web è solo parzialmente cifrata e non è da considerarsi sicura da eventuali tentativi di intercettazione; per questo motivo l'icona assume la forma di un triangolo grigio.

Nelle pagine web possono essere presenti contenuti potenzialmente dannosi e non sicuri anche su pagine che si suppone siano completamente sicure. Questo articolo fornisce informazioni sui contenuti misti e sul sistema di protezione da questo tipo contenuti attivo in Firefox.

Che cosa significa "contenuti misti"

Il protocollo HTTP è un sistema per la trasmissione di informazioni da un server web al browser utilizzato. Il protocollo HTTP non è sicuro quindi, quando si visita una pagina utilizzando questo tipo di protocollo, la connessione è teoricamente intercettabile e vulnerabile ad attacchi di tipo man-in-the-middle. La maggior parte dei siti web viene consultata utilizzando HTTP in quanto si suppone che da e verso di essi non passino informazioni sensibili e non occorra perciò che tali connessioni siano sicure.

Quando invece si visita una pagina utilizzando il protocollo HTTPS (icona di un lucchetto verde nella Barra degli indirizzi) come ad esempio il sito di una banca, la connessione è autenticata e cifrata e quindi protetta da tentativi di intercettazione e attacchi di tipo man-in-the-middle.

Se però la pagina che si visita utilizzando il protocollo HTTPS include anche contenuti HTTP, la porzione HTTP di contenuti può essere potenzialmente intercettata e modificata anche se la maggior parte dei contenuti viene inviata utilizzando HTTPS. Una pagina HTTPS che presenta anche contenuti HTTP viene detta a contenuti misti. Una pagina siffatta è solo parzialmente cifrata, e anche se sembra sicura in realtà non lo è completamente.

Nota: per ulteriori informazioni relative ai contenuti misti (attivi e passivi), leggere questo articolo (in inglese).

Potenziali rischi dei contenuti misti

Un malintenzionato potrebbe sostituire i contenuti HTTP della pagina per poter sottrarre credenziali di accesso, impossessarsi dell'account, acquisire dati sensibili, modificare i contenuti della pagina o installare malware sul computer in uso.

Come determinare se in una pagina sono presenti contenuti misti

Se in una pagina sono presenti contenuti misti, nella Barra degli indirizzi sarà presente un'icona come quella visualizzata in figura.

icona_url_contenuti_misti_fx42

Nessun contenuto misto: pagina sicura

  • green lock 42 : l'icona di un lucchetto verde indica che la pagina che si sta visitando è sicura e non è in atto alcun tentativo di caricare elementi non sicuri.

Contenuti misti bloccati: pagina sicura

  • blocked secure 42 : l'icona di un lucchetto verde con segnale triangolare grigio di avvertimento indica che tutti gli elementi non sicuri presenti nella pagina sono stati bloccati e la pagina si può considerare sicura. Fare clic sull'icona per espandere il Centro controllo e visualizzare maggiori informazioni relative alla pagina.

Contenuti misti non bloccati: pagina non sicura

  • unblocked mixed content 42 : l'icona di un lucchetto attraversato da una barra rossa indica che gli elementi non sicuri della pagina non vengono bloccati e la pagina è potenzialmente vulnerabile a tentativi di intercettazione; eventuali malintenzionati potrebbero sottrarre dati personali dal sito web. A meno che non si sia scelto di disattivare il blocco dei contenuti non sicuri, questa icona non dovrebbe essere mai visualizzata.
  • orange triangle grey lock 42 : l'icona di un lucchetto grigio con un segnale triangolare arancione di avvertimento indica che i contenuti passivi della pagina non vengono bloccati. Eventuali malintenzionati sono in grado di manipolare parti della pagina, ad esempio facendo visualizzare contenuti ingannevoli o inappropriati, ma non saranno in grado di sottrarre informazioni sensibili dal sito web.

Disattivare il blocco dei contenuti misti

Non è raccomandabile disattivare il blocco degli elementi non sicuri, ma questa operazione può essere effettuata in caso di necessità:

  1. Fare clic sull'icona del lucchetto nella Barra degli indirizzi.
  2. Fare clic sulla freccia del Centro controllo:
    Centro_controllo_fx42
  3. Fare clic su Disattiva temporaneamente protezione.
    Disattiva_protezione_fx42

Per attivare la protezione, ripetere i passi precedenti e fare clic su Attiva protezione.

Attenzione: la disattivazione del blocco dei contenuti misti renderà il sistema maggiormente vulnerabile ad attacchi informatici.
Nota per gli sviluppatori: se si riscontra che un sito web sta riportando errori di sicurezza a causa di contenuti non sicuri presenti nelle pagine, leggere l'articolo su MDN per sapere come correggere questi errori.


Condividi questo articolo: http://mzl.la/1klqkmQ

È stato utile questo articolo? Attendere...

Utenti che hanno contribuito a scrivere questo articolo: underpass, michro. Tutti possono contribuire.