Blocco dei contenuti non sicuri delle pagine web su Firefox per Android

Informazioni sulla versione
  • ID versione: 106249
  • Data di creazione:
  • Autore: Michele Rodaro
  • Commento: Parziale. Manca traduzione contenuto for m42
  • Revisionata: No
  • Pronta per la localizzazione: No
Sorgente della versione
Contenuto della versione

Nota: questo articolo si applica all'ultima versione di Firefox per Android, scaricabile da mozilla.org/mobile.

Quando viene visualizzata l'icona di uno scudo nella Barra degli indirizzi, significa che Firefox per Android ha bloccato contenuti non sicuri della pagina che si sta visitando. In questo articolo viene spiegato il problema nel dettaglio e quali azioni intraprendere.

mixed content on android

Che cosa significa "contenuti misti"

Il protocollo HTTP è un sistema per la trasmissione di informazioni da un server web al browser utilizzato. Il protocollo HTTP non è sicuro quindi, quando si visita una pagina utilizzando questo tipo di protocollo, la connessione è teoricamente intercettabile e vulnerabile ad attacchi di tipo man-in-the-middle. La maggior parte dei siti web viene consultata utilizzando HTTP in quanto si suppone che da e verso di essi non passino informazioni sensibili e non occorra perciò che tali connessioni siano sicure.

Quando invece si visita una pagina utilizzando il protocollo HTTPS, come ad esempio il sito di una banca, verrà visualizzata l'icona di un lucchetto verde nella Barra degli indirizzi (per ulteriori informazioni, leggere l'articolo Come verificare se la connessione ad un sito web è sicura). Questo significa che la connessione è autenticata e cifrata e quindi protetta da tentativi di intercettazione e attacchi di tipo man-in-the-middle.

Se però la pagina che si visita utilizzando il protocollo HTTPS include anche contenuti HTTP, la porzione HTTP di contenuti può essere potenzialmente intercettata e modificata anche se la maggior parte dei contenuti viene inviata utilizzando HTTPS. Una pagina HTTPS che presenta anche contenuti HTTP viene detta a contenuti misti. Una pagina siffatta è solo parzialmente cifrata, e anche se sembra sicura in realtà non lo è completamente.

Nota: per ulteriori informazioni relative ai contenuti misti (attivi e passivi), leggere questo articolo (in inglese).

Potenziali rischi dei contenuti misti

Un malintenzionato potrebbe sostituire i contenuti HTTP della pagina per poter sottrarre credenziali di accesso, impossessarsi dell'account, acquisire dati sensibili, modificare i contenuti della pagina o installare malware sul computer in uso.

Alternative possibili

La maggior parte dei siti web funzionerà normalmente anche se nessuna azione viene intrapresa dall'utente.

Se occorre consentire la visualizzazione dei contenuti misti:

  1. Toccare l'icona dello scudo Mixed Content Shield nella Barra degli indirizzi. Verrà visualizzato un menu a discesa.
  2. Toccare Disattiva protezione.

    Disable mixed content Android
    • L'icona dello scudo nella Barra degli indirizzi verrà modificata e su di essa comparirà una barra diagonale rossa per rimarcare il fatto che si sta visitando una pagina che presenta contenuti potenzialmente non sicuri.
android insecure not 42

Per annullare l'azione precedente (e bloccare quindi nuovamente i contenuti misti) è sufficiente aprire la pagina in una nuova scheda.

Firefox automatically protects you from attacks by blocking potentially harmful insecure content on pages. Firefox will display a grey warning triangle or crossed-out lock to indicate that mixed content has loaded on the page.

Che cosa significa "contenuti misti"

Il protocollo HTTP è un sistema per la trasmissione di informazioni da un server web al browser utilizzato. Il protocollo HTTP non è sicuro quindi, quando si visita una pagina utilizzando questo tipo di protocollo, la connessione è teoricamente intercettabile e vulnerabile ad attacchi di tipo man-in-the-middle. La maggior parte dei siti web viene consultata utilizzando HTTP in quanto si suppone che da e verso di essi non passino informazioni sensibili e non occorra perciò che tali connessioni siano sicure.

Quando invece si visita una pagina utilizzando il protocollo HTTPS, come ad esempio il sito di una banca, verrà visualizzata l'icona di un lucchetto verde nella Barra degli indirizzi (per ulteriori informazioni, leggere l'articolo Come verificare se la connessione ad un sito web è sicura). Questo significa che la connessione è autenticata e cifrata e quindi protetta da tentativi di intercettazione e attacchi di tipo man-in-the-middle.

Se però la pagina che si visita utilizzando il protocollo HTTPS include anche contenuti HTTP, la porzione HTTP di contenuti può essere potenzialmente intercettata e modificata anche se la maggior parte dei contenuti viene inviata utilizzando HTTPS. Una pagina HTTPS che presenta anche contenuti HTTP viene detta a contenuti misti. Una pagina siffatta è solo parzialmente cifrata, e anche se sembra sicura in realtà non lo è completamente.

Nota: per ulteriori informazioni relative ai contenuti misti (attivi e passivi), leggere questo articolo (in inglese).

Potenziali rischi dei contenuti misti

Un malintenzionato potrebbe sostituire i contenuti HTTP della pagina per poter sottrarre credenziali di accesso, impossessarsi dell'account, acquisire dati sensibili, modificare i contenuti della pagina o installare malware sul computer in uso.

How do I know if a page is secure?

If you see the green lock icon in the address bar, the page is secure. If the page had any insecure elements (both active and passive), Firefox has already blocked them to keep the page secure. Tap the icon to view more security information, and whether or not Firefox had blocked any insecure elements.

tap lock icon 42 android

Firefox will display a grey warning triangle when insecure passive content is present and loaded on a page. If you see this icon, be aware that attackers may be able to manipulate parts of the page, for example, by displaying misleading or inappropriate content, but they won’t be able to affect the rest of that page.

warning triangle 42 android

If you see a lock with a red line over it, Firefox is not blocking insecure elements, and that page is open to eavesdropping and attacks. Unless you’ve unblock mixed content using the instructions in the next section, you shouldn’t see this icon.

mixed content off 42 android

Advanced users only: unblock mixed content

If you need to unblock mixed content, you can do that by changing your about:config settings:

  1. Go to about:config.
  2. Change the security.mixed_content.block_active_content setting to false to unblock HTTP content.
  3. You'll know when Firefox is not blocking potentially harmful insecure content when you see the lock icon with a red line across it:
    mixed content off 42 android
Warning unblocking mixed content can leave you vulnerable to attacks.