Blocco dei contenuti non sicuri delle pagine web su Firefox per Android

Questa caratteristica è stata migliorata nella versione più recente di Firefox per Android. Per utilizzare la nuova versione aggiornare Firefox per Android.

Quando viene visualizzata l'icona di uno scudo nella Barra degli indirizzi, significa che Firefox per Android ha bloccato contenuti non sicuri della pagina che si sta visitando. In questo articolo viene spiegato il problema nel dettaglio e quali azioni intraprendere.

mixed content on android

Che cosa significa "contenuti misti"

Il protocollo HTTP è un sistema per la trasmissione di informazioni da un server web al browser utilizzato. Il protocollo HTTP non è sicuro quindi, quando si visita una pagina utilizzando questo tipo di protocollo, la connessione è teoricamente intercettabile e vulnerabile ad attacchi di tipo man-in-the-middle. La maggior parte dei siti web viene consultata utilizzando HTTP in quanto si suppone che da e verso di essi non passino informazioni sensibili e non occorra perciò che tali connessioni siano sicure.

Quando invece si visita una pagina utilizzando il protocollo HTTPS, come ad esempio il sito di una banca, verrà visualizzata l'icona di un lucchetto verde nella Barra degli indirizzi (per ulteriori informazioni, leggere l'articolo Come verificare se la connessione ad un sito web è sicura). Questo significa che la connessione è autenticata e cifrata e quindi protetta da tentativi di intercettazione e attacchi di tipo man-in-the-middle.

Se però la pagina che si visita utilizzando il protocollo HTTPS include anche contenuti HTTP, la porzione HTTP di contenuti può essere potenzialmente intercettata e modificata anche se la maggior parte dei contenuti viene inviata utilizzando HTTPS. Una pagina HTTPS che presenta anche contenuti HTTP viene detta a contenuti misti. Una pagina siffatta è solo parzialmente cifrata, e anche se sembra sicura in realtà non lo è completamente.

Nota: per ulteriori informazioni relative ai contenuti misti (attivi e passivi), leggere questo articolo (in inglese).

Potenziali rischi dei contenuti misti

Un malintenzionato potrebbe sostituire i contenuti HTTP della pagina per poter sottrarre credenziali di accesso, impossessarsi dell'account, acquisire dati sensibili, modificare i contenuti della pagina o installare malware sul computer in uso.

Alternative possibili

La maggior parte dei siti web funzionerà normalmente anche se nessuna azione viene intrapresa dall'utente.

Se occorre consentire la visualizzazione dei contenuti misti:

  1. Toccare l'icona dello scudo Mixed Content Shield nella Barra degli indirizzi. Verrà visualizzato un menu a discesa.
  2. Toccare Disattiva protezione.

    Disable mixed content Android
    • L'icona dello scudo nella Barra degli indirizzi verrà modificata e su di essa comparirà una barra diagonale rossa per rimarcare il fatto che si sta visitando una pagina che presenta contenuti potenzialmente non sicuri.
android insecure not 42

Per annullare l'azione precedente (e bloccare quindi nuovamente i contenuti misti) è sufficiente aprire la pagina in una nuova scheda.

In Firefox la navigazione dell'utente viene automaticamente protetta da eventuali attacchi tramite il blocco dei contenuti non sicuri e potenzialmente pericolosi presenti nelle pagine web. Per indicare che in una pagina sono stati caricati dei contenuti misti, nella Barra degli indirizzi di Firefox verrà visualizzato un triangolo di pericolo di colore grigio o un lucchetto barrato.

Che cosa significa "contenuti misti"

Il protocollo HTTP è un sistema per la trasmissione di informazioni da un server web al browser utilizzato. Il protocollo HTTP non è sicuro quindi, quando si visita una pagina utilizzando questo tipo di protocollo, la connessione è teoricamente intercettabile e vulnerabile ad attacchi di tipo man-in-the-middle. La maggior parte dei siti web viene consultata utilizzando HTTP in quanto si suppone che da e verso di essi non passino informazioni sensibili e non occorra perciò che tali connessioni siano sicure.

Quando invece si visita una pagina utilizzando il protocollo HTTPS, come ad esempio il sito di una banca, verrà visualizzata l'icona di un lucchetto verde nella Barra degli indirizzi (per ulteriori informazioni, leggere l'articolo Come verificare se la connessione ad un sito web è sicura). Questo significa che la connessione è autenticata e cifrata e quindi protetta da tentativi di intercettazione e attacchi di tipo man-in-the-middle.

Se però la pagina che si visita utilizzando il protocollo HTTPS include anche contenuti HTTP, la porzione HTTP di contenuti può essere potenzialmente intercettata e modificata anche se la maggior parte dei contenuti viene inviata utilizzando HTTPS. Una pagina HTTPS che presenta anche contenuti HTTP viene detta a contenuti misti. Una pagina siffatta è solo parzialmente cifrata, e anche se sembra sicura in realtà non lo è completamente.

Nota: per ulteriori informazioni relative ai contenuti misti (attivi e passivi), leggere questo articolo (in inglese).

Potenziali rischi dei contenuti misti

Un malintenzionato potrebbe sostituire i contenuti HTTP della pagina per poter sottrarre credenziali di accesso, impossessarsi dell'account, acquisire dati sensibili, modificare i contenuti della pagina o installare malware sul computer in uso.

Come capire se una pagina web presenta contenuti misti

Se nella Barra degli indirizzi viene visualizzata l'icona di un lucchetto verde, la pagina visitata è sicura. Se nella pagina è presente qualsiasi tipo di elemento non sicuro, esso verrà bloccato automaticamente da Firefox per far sì che la pagina si mantenga sicura. Toccare l'icona per visualizzare ulteriori informazioni di sicurezza e sapere se tutti gli elementi non sicuri sono stati bloccati da Firefox.

tap lock icon 42 android

Quando in una pagina sono presenti e sono stati caricati contenuti passivi non sicuri, nella Barra degli indirizzi di Firefox verrà visualizzata l'icona di un triangolo grigio per segnalare una situazione di pericolo. La presenza di quell'icona indica che i potenziali aggressori sono in grado di manipolare parti della pagina facendo ad esempio visualizzare contenuti ingannevoli o inappropriati ma che non saranno in grado di sottrarre informazioni sensibili dal sito web.

warning triangle 42 android

Se nella Barra degli indirizzi viene visualizzata l'icona di un lucchetto grigio con una barra diagonale rossa, significa che gli elementi non sicuri non vengono bloccati da Firefox e che quella pagina è suscettibile di intercettazioni e attacchi; inoltre, i potenziali aggressori possono sottrarre dati sensibili dal sito web. Di norma, questo tipo di icona non dovrebbe essere visualizzato, a meno che si sia scelto di non bloccare i contenuti misti utilizzando la procedura descritta nel paragrafo successivo.

mixed content off 42 android

Solo per utenti esperti: permettere i contenuti misti

Se per esigenze personali è necessario non bloccare i contenuti misti, è possibile consentirne il caricamento modificando le impostazioni in about:config (tenendo presente che questa modifica ha effetto su tutte le pagine visitate):

  1. Nella Barra degli indirizzi, digitare about:config e toccare su Invio.
  2. Per far sì che i contenuti HTTP non vengano bloccati, cercare e modificare l'impostazione security.mixed_content.block_active_content da true a false toccando il pulsante Imposta.
  3. La comparsa dell'icona di un lucchetto grigio con una barra diagonale rossa nella Barra degli indirizzi, avviserà che i contenuti non sicuri e potenzialmente pericolosi del pagina web visitata non vengono bloccati da Firefox.
    mixed content off 42 android
Attenzione: la scelta di non bloccare i contenuti misti delle pagine web rende l'utente vulnerabile ai possibili attacchi di eventuali malintenzionati.
Per gli sviluppatori: se un sito web genera errori a causa di contenuti non sicuri, leggere l'articolo su Mozilla Developer Network: How to fix a website with mixed content.

È stato utile questo articolo? Attendere...

Utenti che hanno contribuito a scrivere questo articolo: underpass, michro. Tutti possono contribuire.