Compare Revisions
Blocco dei contenuti non sicuri delle pagine web
Revision 208608:
Revision 208608 by michro on
Revision 220811:
Revision 220811 by underpass on
Keywords:
misti misto
misti misto
Search results summary:
In Firefox è presente un sistema di blocco dei contenuti misti provenienti dalle pagine web sicure. In questo articolo è spiegata questa funzione e che cosa sono i contenuti misti.
In Firefox è presente un sistema di blocco dei contenuti misti provenienti dalle pagine web sicure. In questo articolo è spiegata questa funzione e che cosa sono i contenuti misti.
Content:
Nelle pagine web possono essere presenti contenuti potenzialmente dannosi e non sicuri anche su pagine che si suppone siano completamente sicure. Questo articolo fornisce informazioni sui contenuti misti e sul sistema di protezione da questo tipo contenuti attivo in Firefox.
__TOC__
=Che cosa sono i contenuti misti e quali sono i rischi=
Il protocollo HTTP è un sistema per la trasmissione di informazioni da un server web al browser utilizzato. Il protocollo HTTP non è sicuro quindi, quando si visita una pagina utilizzando questo tipo di protocollo, la connessione è teoricamente intercettabile e vulnerabile ad attacchi di tipo ''[https://it.wikipedia.org/wiki/Attacco_man_in_the_middle man-in-the-middle]''. La maggior parte dei siti web viene consultata utilizzando HTTP in quanto si suppone che da e verso di essi non passino informazioni sensibili e non occorra perciò che tali connessioni siano sicure.
Quando invece si visita una pagina utilizzando il protocollo HTTPS, come ad esempio il sito di una banca, verrà visualizzata l'icona {for not fx70}di un lucchetto verde [[Image:Fx57GreenPadlock]]{/for}{for fx70}di un lucchetto [[Image:Fx70GreyPadlock]]{/for} nella Barra degli indirizzi (per ulteriori informazioni, leggere l'articolo [[How do I tell if my connection to a website is secure?]]). Questo significa che la connessione è autenticata e cifrata e quindi protetta sia da tentativi di intercettazione sia da attacchi di tipo ''man-in-the-middle''.
Se però la pagina che si visita utilizzando il protocollo HTTPS include anche contenuti HTTP, la porzione HTTP di contenuti può essere potenzialmente intercettata e modificata anche se la maggior parte dei contenuti viene inviata utilizzando HTTPS. Una pagina HTTPS che presenta anche contenuti HTTP viene detta '''a contenuti misti'''. Una pagina siffatta è solo parzialmente cifrata, e anche se sembra sicura in realtà non lo è completamente. Per ulteriori informazioni relative ai contenuti misti (attivi e passivi), leggere [https://blog.mozilla.org/tanvi/2013/04/10/mixed-content-blocking-enabled-in-firefox-23 questo articolo] (in inglese).
{warning}'''Potenziali rischi legati ai contenuti misti''': un malintenzionato potrebbe sostituire i contenuti HTTP della pagina per poter sottrarre credenziali di accesso, impossessarsi dell'account, acquisire dati sensibili, modificare i contenuti della pagina o installare malware sul computer in uso.{/warning}
=Come determinare se in una pagina sono presenti contenuti misti=
Vi sono due tipi di contenuti misti: quelli misti passivi/di visualizzazione e quelli attivi; la differenza risiede nel pericolo che possono rappresentare. La presenza di contenuti misti in una pagina è indicata dall'icona di un lucchetto nella Barra degli indirizzi:
{for fx70}[[Image:FF70 Gray Padlock]]{/for}{for not fx70}[[Image:Fx69GreenPadlockWithShield]]{/for}
{note}'''Nota''': l'icona che rappresenta uno scudo [[Image:Address bar shield]] nella Barra degli indirizzi, consente di conoscere quali elementi traccianti sono stati bloccati su un sito web. Per ulteriori dettagli, leggere l'articolo {for not fx70}[[Content blocking]]{/for}{for fx70}[[Enhanced Tracking Protection in Firefox for desktop]]{/for}.{/note}
==Nessun contenuto misto: pagina sicura==
*{for fx70}[[Image:Gray padlock - Firefox 70]]{/for}{for not fx70}[[Image:green lock 42]]{/for}: l'icona di un lucchetto {for fx70}grigio{/for}{for not fx70}verde{/for} indica che la pagina che si sta visitando è completamente sicura (HTTPS). Per sapere se vi sono elementi della pagina non sicuri che sono stati bloccati, fare clic sull'icona del lucchetto {for fx70}grigio{/for}{for not fx70}verde{/for}. Per ulteriori informazioni, leggere più avanti alla sezione [[#w_disattivare-il-blocco-dei-contenuti-misti|Disattivare il blocco dei contenuti misti]].
==Contenuti misti non bloccati: pagina non sicura==
*[[Image:unblocked mixed content 42]]: l'icona di un lucchetto attraversato da una barra rossa indica che nella pagina visitata sono presenti contenuti misti attivi e che gli elementi non sicuri non vengono bloccati. Quella pagina è potenzialmente vulnerabile a tentativi di intercettazione ed eventuali malintenzionati potrebbero sottrarre dati personali dal sito web. A meno che non si sia scelto di disattivare il blocco dei contenuti non sicuri, questa icona non dovrebbe essere mai visualizzata in presenza di una connessione sicura (HTTPS).<br>'''Nota''': a volte può essere visualizzato un lucchetto con barra rossa {for fx70}quando si visitano i siti HTTP o FTP su connessione non cifrata{/for}{for not fx70}su una [[Insecure password warning in Firefox|pagina di accesso su connessione non cifrata (HTTP)]]{/for}.
*[[Image: orange triangle grey lock 42]]: l'icona di un lucchetto grigio con un segnale triangolare arancione o giallo di avvertimento indica che i contenuti non sicuri passivi della pagina (ad esempio immagini) non vengono bloccati. Per impostazione predefinita i contenuti misti passivi non vengono mai bloccati in Firefox e l'avviso indica semplicemente che la pagina non è completamente sicura. Eventuali malintenzionati sono in grado di manipolare parti della pagina, ad esempio facendo visualizzare contenuti ingannevoli o inappropriati, ma non saranno in grado di sottrarre informazioni sensibili dal sito web.
Per ulteriori informazioni relativi ai contenuti misti attivi e passivi, si rimanda a [https://developer.mozilla.org/docs/Web/Security/Mixed_content questo articolo] del Mozilla Developer Network.
=Disattivare il blocco dei contenuti misti=
Non è raccomandabile disattivare il blocco degli elementi non sicuri, ma questa operazione può essere effettuata in caso di necessità:
#Fare clic sull'icona del lucchetto nella Barra degli indirizzi.
#Fare clic sulla freccia del Centro controllo:
#;{for fx70}[[Image:contenuti_misti_fx70]]{/for}{for not fx70}[[Image:contenuti_misti_fx63]]{/for}
#Fare clic su {button Disattiva temporaneamente protezione}.
#;{for fx70}[[Image:disattiva_temporaneamente_protezione_fx70]]{/for}{for not fx70}[[Image:disattiva_blocco_contenuti_misti_fx63]]{/for}
Per attivare la protezione, ripetere i passi precedenti e fare clic su {button Attiva protezione}.
{warning}'''Attenzione''': la disattivazione del blocco dei contenuti misti renderà il sistema maggiormente vulnerabile ad attacchi informatici.{/warning}
{note}'''Nota per gli sviluppatori''': se si riscontra che un sito web sta riportando errori di sicurezza a causa di contenuti non sicuri presenti nelle pagine, leggere l'articolo su MDN per sapere [https://developer.mozilla.org/docs/Security/MixedContent/How_to_fix_website_with_mixed_content come correggere questi errori].{/note}
Nelle pagine web possono essere presenti contenuti potenzialmente dannosi e non sicuri anche su pagine che si suppone siano completamente sicure. Questo articolo fornisce informazioni sui contenuti misti e sul sistema di protezione da questo tipo contenuti attivo in Firefox.
__TOC__
=Che cosa sono i contenuti misti e quali sono i rischi=
Il protocollo HTTP è un sistema per la trasmissione di informazioni da un server web al browser utilizzato. Il protocollo HTTP non è sicuro quindi, quando si visita una pagina utilizzando questo tipo di protocollo, la connessione è teoricamente intercettabile e vulnerabile ad attacchi di tipo ''[https://it.wikipedia.org/wiki/Attacco_man_in_the_middle man-in-the-middle]''. La maggior parte dei siti web viene consultata utilizzando HTTP in quanto si suppone che da e verso di essi non passino informazioni sensibili e non occorra perciò che tali connessioni siano sicure.
Quando invece si visita una pagina che utilizza pienamente il protocollo HTTPS, come ad esempio il sito di una banca, verrà visualizzata l'icona di un lucchetto {for not fx89}[[Image:Fx70GreyPadlock]]{/for}{for fx89}[[Image:Fx89Padlock]]{/for} nella barra degli indirizzi (per ulteriori informazioni, leggere l'articolo [[How do I tell if my connection to a website is secure?]]). Questo significa che la connessione è autenticata e cifrata e quindi protetta sia da tentativi di intercettazione sia da attacchi di tipo ''man-in-the-middle''.
Se però la pagina che si visita utilizzando il protocollo HTTPS include anche contenuti HTTP, la porzione HTTP di contenuti può essere potenzialmente intercettata e modificata anche se la maggior parte dei contenuti viene inviata utilizzando HTTPS. Una pagina HTTPS che presenta anche contenuti HTTP viene detta '''a contenuti misti'''. Una pagina siffatta è solo parzialmente cifrata, e anche se sembra sicura in realtà non lo è completamente. Per ulteriori informazioni relative ai contenuti misti (attivi e passivi), leggere [https://blog.mozilla.org/tanvi/2013/04/10/mixed-content-blocking-enabled-in-firefox-23 questo articolo] (in inglese).
{warning}'''Potenziali rischi legati ai contenuti misti''': un malintenzionato potrebbe sostituire i contenuti HTTP della pagina per poter sottrarre credenziali di accesso, impossessarsi dell'account, acquisire dati sensibili, modificare i contenuti della pagina o installare malware sul computer in uso.{/warning}
=Come determinare se in una pagina sono presenti contenuti misti=
Vi sono due tipi di contenuti misti: quelli misti passivi/di visualizzazione e quelli attivi; la differenza risiede nel pericolo che possono rappresentare. La presenza di contenuti misti in una pagina è indicata dall'icona di un lucchetto nella Barra degli indirizzi:
{for not fx89}[[Image:FF70 Gray Padlock]]{/for}{for fx89}[[Image:Fx89AddressBarPadlock]]{/for}
{note}'''Nota''': l'icona che rappresenta uno scudo {for not fx89}[[Image:Address bar shield]]{/for}{for fx89}[[Image:Fx89ShieldIcon]]{/for} nella barra degli indirizzi, consente di conoscere quali elementi traccianti sono stati bloccati su un sito web. Per ulteriori dettagli, leggere l'articolo [[Enhanced Tracking Protection in Firefox for desktop]].{/note}
==Nessun contenuto misto: pagina sicura==
*{for not fx89}[[Image:Gray padlock - Firefox 70]]{/for}{for fx89}[[Image:Fx89Padlock]] {/for}: l'icona di un lucchetto {for not fx89}grigio{/for} indica che la pagina che si sta visitando è completamente sicura (HTTPS). Per sapere se vi sono elementi della pagina non sicuri che sono stati bloccati, fare clic sull'icona del lucchetto grigio. Per ulteriori informazioni, leggere più avanti alla sezione [[#w_disattivare-il-blocco-dei-contenuti-misti|Disattivare il blocco dei contenuti misti]].
==Contenuti misti non bloccati: pagina non sicura==
*{for not fx89}[[Image:unblocked mixed content 42]]{/for}{for fx89}[[Image:Fx89Padlock-RedLine]]{/for}: l'icona di un lucchetto attraversato da una barra rossa indica che nella pagina visitata sono presenti contenuti misti attivi e che gli elementi non sicuri non vengono bloccati. Quella pagina è potenzialmente vulnerabile a tentativi di intercettazione ed eventuali malintenzionati potrebbero sottrarre dati personali dal sito web. A meno che non si sia scelto di disattivare il blocco dei contenuti non sicuri, questa icona non dovrebbe essere mai visualizzata in presenza di una connessione sicura (HTTPS).<br>'''Nota''': a volte può essere visualizzato un lucchetto con barra rossa quando si visitano i siti HTTP o FTP su connessione non cifrata.
*{for not fx89}[[Image: orange triangle grey lock 42]]{/for}{for fx89}[[Image:Fx89Padlock-Triangle]]{/for}: l'icona di un lucchetto con un segnale triangolare di avvertimento indica che i contenuti non sicuri passivi della pagina (ad esempio immagini) non vengono bloccati. Per impostazione predefinita i contenuti misti passivi non vengono mai bloccati in Firefox e l'avviso indica semplicemente che la pagina non è completamente sicura. Eventuali malintenzionati sono in grado di manipolare parti della pagina, ad esempio facendo visualizzare contenuti ingannevoli o inappropriati, ma non saranno in grado di sottrarre informazioni sensibili dal sito web.
Per ulteriori informazioni relativi ai contenuti misti attivi e passivi, si rimanda a [https://developer.mozilla.org/docs/Web/Security/Mixed_content questo articolo] del Mozilla Developer Network.
=Disattivare il blocco dei contenuti misti=
Non è raccomandabile disattivare il blocco degli elementi non sicuri, ma questa operazione può essere effettuata in caso di necessità:
#Fare clic sull'icona del lucchetto {for not fx89}[[Image:Fx70GreyPadlock]]{/for}{for fx89}[[Image:Fx89Padlock]]{/for} nella barra degli indirizzi.
#Fare clic sulla freccia del pannello [[Site Information panel|Informazioni sul sito]] :
#;{for not fx87}[[Image:Mixed Content FF70]]{/for}{for =fx87,=fx88}[[Image:Fx87MixedContent]]{/for}{for fx89}[[Image:Fx89MixedContent]]{/for}
#Fare clic su {button Disattiva temporaneamente protezione}.
#;{for not fx87}[[Image:Disable Protection FF70]] {/for}{for =fx87,=fx88}[[Image:Fx87MixedContent-Unblock]]{/for}}{for fx89}[[Image:Fx89MixedContent-Unblock]]{/for}
Per attivare la protezione, ripetere i passi precedenti e fare clic su {button Attiva protezione}.
{warning}'''Attenzione''': la disattivazione del blocco dei contenuti misti renderà il sistema maggiormente vulnerabile ad attacchi informatici.{/warning}
{note}'''Nota per gli sviluppatori''': se si riscontra che un sito web sta riportando errori di sicurezza a causa di contenuti non sicuri presenti nelle pagine, leggere l'articolo su MDN per sapere [https://developer.mozilla.org/docs/Security/MixedContent/How_to_fix_website_with_mixed_content come correggere questi errori].{/note}