“È sufficiente usare HTTPS per essere sicuri: protegge la comunicazione cifrando il traffico e usando certificati validati da CA riconosciute”. SBAGLIATO. Spesso si sente pronunciare questa frase, ma non è del tutto vero: ho recentemente letto con molta attenzione un paper presentato alla conferenza CCS 2012, una conferenza dedicata alla Computer Security. Il paper ha un … Continue reading HTTPS e le applicazioni di terze parti: attenzione!
Tag: https
Python: scriviamo un HTTPS downloader simile a wget (con urllib2, optparse e getpass)
Per ragioni di semplicità di utilizzo e immediatezza (e anche per imparare qualcosa di nuovo), la settimana scorsa ho dovuto scrivere un downloader da linea di comando simile a GNU wget, ma con alcuni requisiti personalizzati: l’accesso alla pagina di download è protetto da userid e password (autenticazione HTTPDigestAuth); il protocollo di accesso è HTTPS; una … Continue reading Python: scriviamo un HTTPS downloader simile a wget (con urllib2, optparse e getpass)
Twitter via HTTPS: da abilitare!
Dopo aver fatto la segnalazione per quanto riguarda Facebook, segnalo che anche Twitter ha aggiunto un’opzione per usufruire del servizio via HTTPS: è sufficiente visualizzare i settings e poi selezionare l’opzione HTTPS. Ovviamente io consiglio di abilitare l’opzione per i “soliti” motivi di sicurezza e privacy.
Facebook e la navigazione HTTPS da abilitare
Mi sono accorto che Facebook offre un’opzione molto utile e assolutamente da abilitare. Infatti, sotto Account > Impostazioni Account > Protezione dell’Account troviamo un’opzione per abilitare la navigazione HTTPS quando possibile. Io l’ho abilitata subito, per proteggermi da sniffer indiscreti durante la mia navigazione su Facebook, e consiglio di abilitarla anche a voi. Personalmente, … Continue reading Facebook e la navigazione HTTPS da abilitare
Ubuntu: Apache2 con certificati self-signed e senza password all’avvio
Recentemente mi è capitato di dover installare apache [in particolare, apache2] su una macchina Ubuntu. In particolare, mi è stato chiesto di installare la versione con ssl, ovvero che implementa il protocollo cifrato https. Apache2+ssl richiede l’utilizzo di un certificato firmato da un’autorità [es. Thawte, Verisign, etc.]. Se non vogliamo pagare una CA per ottenere … Continue reading Ubuntu: Apache2 con certificati self-signed e senza password all’avvio