Certificato SSL: il nuovo tormentone del web.

Lunedì 27/03/2017 19:31

È l’incubo del momento, un trend assoluto. Sui forum, gruppi Facebook e blog il tormentone è sempre lo stesso: il certificato SSL.
L’acronimo SSL sta per Secure Sockets Layer, un metodo di protezione che consente la crittografia dei dati quando vengono trasferiti su un server.
Proteggono il trasferimento di informazioni sensibili e riservate come, ad esempio, credenziali e numeri di carte di credito.
Con il protocollo HTTP i dati inviati tra un browser e un server web sono in genere sotto forma di normale testo, cioè vulnerabili.
Attraverso un algoritmo di cifratura, l’SSL garantisce la sicurezza dei dati trasmessi e ricevuti sul web.

 

Quando va installato un certificato SSL?

Sempre! Per il momento è “obbligatorio” per e-commerce e siti con form di contatto, dove viene messa in pericolo la privacy del dato sensibile, ma io consiglio di muoversi verso questa direzione in tutti i siti web.
Dalla versione 56 di Google Chrome il browser segnalerà all’utente che il sito che si sta per visualizzare non è sicuro: avvertimento sufficiente affinchè un visitatore si allontani immediatamente.

A partire da gennaio 2017, Chrome (versione 56 e successive) contrassegnerà come “Non sicure” le pagine che raccolgono password o dati di carte di credito, a meno che le pagine vengano pubblicate tramite HTTPS (Google Search Console).

I certificati SSL permettono di guadagnare la fiducia dei tuoi clienti, proteggendoti anche da schemi di phishing.

 

Google considera il certificato SSL fondamentale per tutti i siti web e dichiara che sarà un fattore di ranking rispetto a siti senza https. A livello di sicurezza cosa cambia?

Google ne parla dal 2014 e indicizzare i siti in base all’uso di HTTPS o meno ha anche senso, ma il “peso” dato a tale securizzazione delle comunicazioni deve essere giusto, non si deve parlare di “penalizzazione” per chi ancora non riesce ad implementare HTTPS.
E la sicurezza dipende da che lato la si guarda: le comunicazioni fra un client e un server teoricamente non potranno essere lette da terzi, quindi sembrerebbe aumentare la privacy, ma se è puro HTTPS, i client ancora accettano certificati fasulli, quindi alla fine non si risolve molto se prima non si insegna agli utenti a leggere un certificato. Questo è penalizzante: non può (non deve o va scritto meglio il codice di controllo e bypass) leggerlo il browser da solo e l’utente non è preparato.
In una fase successiva gli utenti avranno imparato meglio a capire il significato del “lucchettino” e forse servirà ad aiutarli, ma quanti attacchi hai sentito essere stati portati in HTTP? Pochi. Molto di più sfruttano HTTPS, e qui il rovescio della medaglia: gli attacchi ransomware sono per lo più portati via HTTPS, quindi l’aumento dell’uso di tale protocollo renderà sempre più difficile la caccia al malware.

Per i vendor come Sonicwall c’è un piccolo vantaggio: commercializziamo ottime soluzioni sia adatte a fare SSL offloading e WAF e gestione dell’HTTPS (NDR SRA/SMA/SME) sia Firewall dedicati a fare ispezione dell’HTTPS. È un vantaggio commerciale: a chi ospita uno o più siti possiamo dare la soluzione di protezione e securizzazione rispettando la richiesta di Google, ma al tempo stesso possiamo scansionare il traffico cifrato (sembra un controsenso ma non lo è) per evitare ransomware e malware o navigazione illecita.

Un caso a parte è HSTS. Quando il sito controlla meglio e usa direttive più rigide (più costoso però per l’owner del sito stesso, ma in uso su Google mail, Wikipedia, eccetera), dunque se nel mezzo vi è un sistema di controllo (MITM), la sessione non si instaura e la sicurezza/privacy viene rispettata al 100%. E qui l’amletico dubbio sulla cifratura : privacy o antiterrorismo? Analisi del malware o violazione della privacy? Serve, come sempre, buon senso, policy, formazione e cultura.

Paypal dovrebbe bloccare il pagamento sui siti senza https, potrebbe essere la fine per molti e-commerce?
No, sui pagamenti online ritengo sia il minimo forzare l’uso di HTTPS almeno nei frame di pagamenti e form importanti, ma il costo di implementazione viene facilmente ripagato dal sito stesso e la manutenzione dei certificati non è poi così onerosa.

Come difendersi da attacchi DDos di chi cerca di fare SEO negativa mandando offline il sito non raggiungibile ai robot?
Il cloud risolve il 90% del problema, una soluzione di bilanciamento ben fatta è praticamente già la soluzione, e questo si che invece potrebbe significare una differenziazione fra bih players di Cloud e provider di Housing/Hosting minori, ma anche qui le piccole realtà a volte si muovono più velocemente delle grandi. Vedo spesso piccoli provider implementare soluzioni davvero solide.

IP Condiviso o Dedicato, cosa consigli?
In merito a Ip Condiviso o Dedicato la scelta si basa su molte variabili diverse.
L’ip dedicato da sempre ha dei vantaggi anche per i sistemi di filtraggio contenuti e per la “pulizia della reputazione” stessa, nonostante oggi pare che più di 75 siti su 100 siano ospitati su IP condivisi.
La causa era ed è la scarsità di classi IP pubbliche da acquistare e utilizzare, quindi anche qui il problema a volte sono i costi, ma il costo di un IP dedicato vale bene il non venir bannati per colpa di altri siti-spammer ospitati in modalità condivisa.
Spesso il sistema di reverse proxy usato per pubblicare siti diversi su IP condivisi fa parte della catena vulnerabile, quindi un ulteriore +1 all’IP dedicato in aggiunta a un bel NEXT GEN firewall, una soluzione WAF e un paio di corsi su secure coding e su secure hosting costa, ma ripaga!

Certificato SSL: un incubo dal punto di vista SEO?

Dal punto di vista SEO l’installazione del certificato SSL è un’operazione molto delicata.
Se non si effettuano determinati passaggi, il sito web potrebbe subire bruschi cali di traffico e conseguente perdita di trust.

A livello SEO è una bella botta, la migrazione è un passaggio molto delicato che, se non fatto con la dovuta cura, ti può portare grosse perdite di ranking. Come cambia la visuale di un SEO questo aggiornamento quasi forzato?

In realtà è dal 6 agosto 2014 che dalle parte di Google dicevano che l’https fosse un elemento di ranking.

La corsa all’https odierna è data più che altro all’annuncio di Paypal circa l’obbligatorietà dello stesso entro giugno 2017 per le loro transizioni, oltre che su Chrome i siti non sicuri saranno segnalati con ovvie conseguenze sulla percezione del sito da parte degli utenti.

Insomma, un altro elemento da tenere da conto 

Con il redirect 301 da url in http a url in https verrà trasferito completamente il juice?

Pare che Google consideri questo 301 “soft”, quindi dovrebbe essere completamente trasferito. Già quasi due anni fa se ne parlava anche dalle parti di MOZ.

Parliamo di link building. Su questo argomento è fondamentale capire determinate dinamiche. Una volta effettuata la migrazione del sito, si andrà a richiedere il cambio di link a tutti i siti con backlink “conquistati” nel tempo?

Sento da più fonti che sarebbe la cosa migliore da fare, ma con il redirect “soft” dovrebbe andare tutto apposto: certo, se si hanno i link sotto il proprio controllo meglio iniziare a effettuare il cambio nella nuova forma.

E come considera Google i siti da cui riceviamo link che ancora non installano un certificato SSL?

Fino a oggi non c’è stata nessuna comunicazione in merito, e sebbene qualche collega dica che questo porterà a beccare i link forzati, resto dell’idea che il livello medio non è così elevato da fare in modo che TUTTI passeranno all’https.

Quindi, succo di link come sempre, cambia giusto un po’ il sapore come dalla Coca Cola alla Pepsi.

Adesso che abbiamo un pò più chiara la situazione sia a livello di sicurezza sia a livello SEO andiamo a scoprire i vari tipi di certificato SSL.

  • Un certificato SSL di un dominio convalidato è un certificato con un basso livello di garanzia considerato lo standard tra i certificati rilasciati.
    Effettuando una conferma via mail o configurando un record DNS per il sito otteniamo la validità del certificato. Questo fa si che il dominio venga registrato con tanto di approvazione da parte dell’aministratore.
  • Un certificato di organizzazione convalidato, detto anche certificato OV, rispetto al dominio convalidato richiede ulteriori documentazioni. È di livello superiore rispetto alla convalida del dominio.
    Molti di questi certificati con livelli di crittografia fino a 256 bit incorporano il nome dell’azienda nei loro sigilli aumentando la fiducia nell’utente.
  • Un certificato EV, o certificato di convalida estesa, offre la fiducia massima all’utente garantendo protezione contro gli attacchi di phishing. È il top per i siti con shopping online.
    Questo certificato indica la società proprietaria del sito mostrandola in modo chiaro nei browser.
    Ha una caratteristica esclusiva: nella barra del browser viene visualizzato un lucchetto verde, indice di grande fiducia per gli utenti pronti ad acquistare con le carte di credito.
    I certificati SSL standard non certificano che il tuo sito è gestito da un’azienda legittima e verificata.

Quali sono i passaggi per la migrazione?

È la fase più delicata e importante. Sbagliare qualcosa significa compromettere il posizionamento ottenuto con il tempo del tuo sito web.
Vediamo insieme i passaggi principali per effettuare al meglio la migrazione da HTTP a HTTPS:

  • Imposta i redirect 301 di tutti gli url HTTP alla versione HTTPS.
    Esegui controlli incrociati (verifica immagini e link interni). Usa Screaming Frog per fare un’analisi dettagliata.
  • Aggiungi alla Search Console e nella Bing Webmaster Tools la versione del tuo sito in HTTPS.
    Setta come dominio preferito la versione in HTTPS (ovviamente è possibile farlo se al tempo avevi già aggiunto la versione in HTTP).
  • Controlla che gli evantuali Canonical puntino alla versione in HTTPS.
  • Segnala la nuova sitemap Xml con la versione in HTTPS.
  • Modifica il file robots.txt impostando la nuova sitemap corretta.
  • Verifica che la proprietà di Google Analytics sia aggiornata alla versione con il certificato SSL.
  • Tutti i link al tuo sito web dei canali social devono puntare alla versione HTTPS.

Dopo aver effettuato tutti i passaggi puoi verificare se il tuo certificato SSL sia correttamente impostato sul tuo sito collegandoti al sito https://www.ssllabs.com/ssltest/.
Ti aiuterà a capire se ci sono problemi di configurazione o altre problematiche.

Hai gia fatto la migrazione?

In conclusione consiglio, non solo per le categorie più a rischio bensì per tutti i siti web, di effettuare il passaggio in HTTPS. Google lo considera un fattore di ranking, dandogli per ora una bassa rilevanza, ma non si esclude che in futuro rafforzi in modo consistente questo elemento. La conferma arriva anche da Moz con una previsione di crescita intorno a Maggio/Giugno 2017.

 

Fonte: Webhouse

12 film che ogni programmatore dovrebbe guardare (per trovare ispirazione e creatività)

12 film che ogni programmatore dovrebbe guardare (per trovare ispirazione e creatività)

Lunedì 16/01/2023 18:30
Una raccolta di film dedicati al mondo dell'informatica e della programmazione, organizzati per genere. Ogni film è accompagnato dalla trama ed una brevissima recensione.

Fonte: blog.mrwebmaster.it
NAS QNAP TS-1655, elevata capacità di archiviazione e prestazioni. Ideale per backup aziendale e virtualizzazione

NAS QNAP TS-1655, elevata capacità di archiviazione e prestazioni. Ideale per backup aziendale e virtualizzazione

Mercoledì 18/01/2023 18:00
Progettato con un'architettura di storage ibrida che bilancia prestazioni e costi, QNAP ha presentato oggi il suo NAS tower TS-1655.
Si tratta di un dispositivo che può ospitare ben 12 dischi rigidi da 3,5 pollici e 4 unità a stato solido da 2,5 pollici: il suo design consente di approntare un sistema di archiviazione formato da hard disk e SSD con supporto RAID 50/60.

Il NAS TS-1655, ultimo arrivato nel catalogo QNAP, si presenta come la scelta ideale per gli utenti che necessitano di soluzioni per lo storage dei dati con elevata capacità, una maggiore protezione dei dati e un utilizzo ottimale dello spazio di archiviazione.
Inoltre, se da un lato TS-1655 è la risposta alle esigenze dei backup aziendali, dall'altra si propone come un solido sistema per gestire tutte le necessità legate alla virtualizzazione.
Grazie al sistema operativo QNAP QTS, comune anche agli altri prodotti dell'azienda, e alle applicazioni installabili, TS-1655 può migliorare l'efficienza aziendale, semplificare la collaborazione in team e al tempo stesso può dimostrarsi un baluardo contro gli attacchi informatici più efficaci grazie anche agli strumenti di disaster recovery.


TS-1655 utilizza un processore Intel Atom C5125 a 8 core da 2,8 GHz che supporta la tecnologia Intel QuickAssist ed è dotato di quattro slot UDIMM DDR4 (8 GB preinstallati) che possono essere aggiornati a 128 GB per supportare carichi di lavoro più impegnativi.

QuickAssist (QAT) è una soluzione che permette di velocizzare e ottimizzare le operazioni di compressione e crittografia sui dispositivi dotati di funzionalità per il networking, come appunto sono i NAS QNAP.

Fonte: www.ilsoftware.it
Automerge: cos'è e come funziona la sincronizzazione dei dati tra dispositivi senza usare un server centralizzato

Automerge: cos'è e come funziona la sincronizzazione dei dati tra dispositivi senza usare un server centralizzato

Venerdì 03/02/2023 11:31
Nel corso degli ultimi anni gli sviluppatori hanno dovuto in gran parte scegliere tra la creazione di software cloud e la realizzazione di applicazioni più tradizionali installate sui singoli dispositivi. Il cloud semplifica la condivisione dei dati tra gli utenti e semplifica l'accesso da qualunque client che possa essere collegato alla rete Internet.

Automerge è un progetto pubblicato su GitHub già da alcuni anni ma che solo in questi giorni ha raggiunto la sua veste più matura.
Gli autori di Automerge hanno messo a punto un modello per lo sviluppo software chiamato local-first software con l'obiettivo di combinare il meglio di entrambi i mondi: software affidabile eseguito localmente abbinato a un'infrastruttura di collaborazione scalabile offline.

Il progetto prende le mosse dal concetto di CRDT (Conflict-free Replicated Data Type) che descrive una struttura di dati che semplifica la realizzazione di soluzioni di archiviazione di dati distribuiti nell'ambito di applicazioni multiutente.
Automerge consente di registrare le modifiche apportate ai dati e quindi riprodurle in altri luoghi in maniera tale che lo stesso risultato venga riprodotto in modo affidabile su ciascun dispositivo.

Con una soluzione come Automerge il programmatore può abilitare senza stress meccanismi di collaborazione in tempo reale all'interno delle applicazioni senza dover implementare complicati algoritmi lato server.

È possibile avere una copia dello stato dell'applicazione in locale su più dispositivi che possono appartenere allo stesso utente o a utenti diversi.

Fonte: www.ilsoftware.it
Database completo regioni, province e comuni italiani (in formato SQL)

Database completo regioni, province e comuni italiani (in formato SQL)

Venerdì 20/01/2023 14:01
Da questa pagina puoi scaricare il database completo delle regioni, province e comuni italiani in formato SQL e pronto all'uso (contiene tre tabelle relazionate tra loro)

Fonte: blog.mrwebmaster.it
Google sfida ChatGPT con il suo chatbot: annuncio l’8 febbraio

Google sfida ChatGPT con il suo chatbot: annuncio l’8 febbraio

Domenica 05/02/2023 08:30

Dopo il grande successo riscosso da ChatGPT, Google non è rimasta certo a guardare: l’8 febbraio è atteso l’annuncio di Apprentice Bard, il suo nuovo chatbot.

(...)
Continua a leggere Google sfida ChatGPT con il suo chatbot: annuncio l’8 febbraio su Androidiani.Com


© niccoloproietti for Androidiani.com, 2023. | Permalink |

Tags del post: ,



Fonte: feeds.feedburner.com
Installare Windows 11 su Mac con qualsiasi processore, Intel o Apple Silicon

Installare Windows 11 su Mac con qualsiasi processore, Intel o Apple Silicon

Sabato 28/01/2023 09:00
Eseguire Windows o Linux su un sistema Mac senza abbandonare macOS si può fare ricorrendo alla virtualizzazione.

UTM 4.1 è l'ultima versione del software gratuito e open source che consente anche l'installazione di Windows 11 su qualsiasi sistema Mac, sia quelli basati su processore Intel che quelli costruiti intorno al 'nocciolo' di un nuovo processore Apple Silicon (SoC M1 o M2).

Apple consentiva l'utilizzo della funzione Boot Camp per consentire l'installazione e l'utilizzo di Microsoft Windows sui sistemi Mac. Con l'avvento dei nuovi sistemi basati su SoC di derivazione ARM questa possibilità non è al momento più disponibile.

UTM offre sostanzialmente le stesse funzionalità di un software per la virtualizzazione come Parallels Desktop ma rispetto a quest'ultimo si presenta come un'applicazione open source e completamente gratuita se la si aggiorna manualmente.
Se si desiderano aggiornamenti automatici o semplicemente si vuole supportare il progetto, è possibile investire 10 dollari acquistando UTM sull'App Store.

Nato come fork di QEMU, altra nota piattaforma per la virtualizzazione, UTM è stato sviluppato nello specifico per macOS e iOS: utilizzando UTM si possono eseguire macchine virtuali anche su un iPhone.

Diversamente rispetto ad altri prodotti software, UTM - il cui sorgente è pubblicato su GitHub - permette di scegliere tra virtualizzazione ed emulazione: in un altro articolo abbiamo visto le differenze tra emulazione e virtualizzazione.
Optando per l'emulazione, UTM può supportare altre architetture di CPU seppur con prestazioni nettamente inferiori rispetto alla virtualizzazione.

Grazie a UTM, quindi, i nuovi Mac basati su chip Apple M1 e M2 possono quindi eseguire non soltanto versioni di Windows e Linux destinate alla piattaforma ARM ma anche macchine virtuali x86-64.
È anche possibile eseguire software sviluppato per altre architetture come MIPS, PPC e RISC-V aprendo all'utilizzo di qualunque sistema operativo, compresi quelli più vecchi.

UTM integra anche una galleria all'interno della quale si possono macchine virtuali pienamente funzionanti e pronte per il download.

Il download di UTM nella versione più aggiornata può essere effettuata dal sito ufficiale in formato .dmg mentre questa è la pagina per scaricare il programma dall'App Store di Apple..

Fonte: www.ilsoftware.it