1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
|
---
title: Password insicure
slug: Web/Security/Password_insicure
translation_of: Web/Security/Insecure_passwords
---
<p class="summary"><span id="result_box" lang="it"><span>I dialoghi di Login tramite HTTP sono particolarmente pericolosi a causa della vasta gamma di attacchi che possono essere utilizzati per estrarre la password di un utente.</span> <span>Gli intercettatori della rete potrebbero rubare la password di un utente utilizzando uno "sniffing" della rete o modificando la pagina in uso.</span> <span>Questo documento descrive in dettaglio i meccanismi di sicurezza che Firefox ha messo in atto per avvisare gli utenti e gli sviluppatori dei rischi circa le password insicure e il furto delle stesse.</span></span></p>
<p>Il protocollo <a href="https://mdn.mozillademos.org/files/5951/insecure_page2_with_arrows_cropped.jpeg" title="https://en.wikipedia.org/wiki/HTTP_Secure">HTTPS</a> <span id="result_box" lang="it"><span>è progettato per proteggere i dati degli utenti da intercettazioni (riservatezza) e da modifiche (integrità) sulla rete.</span></span> <span id="result_box" lang="it"><span>I siti web che gestiscono i dati degli utenti devono utilizzare l'HTTPS per proteggere i loro utenti dagli aggressori.</span> <span>Se un sito Web utilizza HTTP anziché HTTPS, è banale rubare le informazioni dell'utente (come le credenziali di accesso).</span> <span>Questo è stato notoriamente dimostrato da</span></span> <a href="https://codebutler.github.io/firesheep/" title="http://codebutler.com/firesheep/">Firesheep</a>.</p>
<p><span id="result_box" lang="it"><span>Per risolvere questo problema, installa e configura un certificato SSL / TLS sul proprio server.</span> <span>Ci sono vari fornitori che offrono certificati gratuiti e a pagamento.</span> <span>Se si utilizza una piattaforma cloud, potrebbero essere in uso propri metodi per abilitare l'HTTPS.</span></span></p>
<h2 id="Indicatori_di_sicurezza_password_di_Firefox"><span class="short_text" id="result_box" lang="it"><span>Indicatori di sicurezza password di Firefox</span></span></h2>
<p><span id="result_box" lang="it"><span>Per avvisarti della minaccia di cui sopra, Firefox implementa molti meccanismi di avviso:</span></span></p>
<ol>
<li>
<p><span id="result_box" lang="it"><span>Firefox 51+ mostra un'icona a forma di lucchetto barrato in rosso nella barra degli indirizzi quando una pagina non ha una connessione sicura, come mostrato di seguito.</span></span></p>
<p style="text-align: center;"><img alt="Lock Icon" src="https://support.cdn.mozilla.net/media/uploads/gallery/images/2015-11-17-12-13-18-2faa61.png" style="height: 25px; width: 25px;"></p>
</li>
<li>
<p><span id="result_box" lang="it"><span>Firefox 52+ mostra un avviso chiaro nella barra degli URL e sotto un campo di richiesta password in qualsiasi dialogo non protetto:</span></span></p>
<p style="text-align: center;"><img alt="Warning" src="https://support.cdn.mozilla.net/media/uploads/gallery/images/2017-04-21-23-52-53-ba340d.png" style="height: 133px; width: 328px;"></p>
</li>
<li>
<p><span id="result_box" lang="it"><span>Firefox 52+ disabilita il riempimento automatico in dialoghi di accesso non sicuri.</span> <span>Gli utenti possono comunque eseguire manualmente il completamento automatico degli accessi salvati dal menu a discesa.</span></span></p>
</li>
<li>
<p><span id="result_box" lang="it"><span>Avvertenze sui dialoghi di accesso non sicuri sono disponibili anche nel pannello di sicurezza della console per sviluppatori in tutte le versioni di Firefox, come descritto nella prossima sezione.</span></span></p>
</li>
</ol>
<h2 id="Messaggi_della_console_Web"><span class="short_text" id="result_box" lang="it"><span>Messaggi della console Web</span></span></h2>
<p><span id="result_box" lang="it"><span>Questa sezione descrive i messaggi di sicurezza visualizzati nella console di sviluppo di Firefox DevTools, in risposta a password non sicure.</span></span></p>
<h3 id="Effettuando_un_login_in_ambiente_HTTP"><span class="short_text" id="result_box" lang="it"><span>Effettuando un login in ambiente HTTP</span></span></h3>
<p><span id="result_box" lang="it"><span>Anche se il login richiesto è ad un URL HTTPS, il dialogo di login non è protetto; un utente malintenzionato può modificare la pagina in uso (ad esempio, gli autori di attacchi possono modificare la destinazione per inviare i dati sensibili a un server che essi controllano,</span> <span>oppure possono inserire uno script keylogging che cancella la password mentre viene digitata).</span> <span>La scheda di sicurezza della console Web avvisa gli sviluppatori e gli utenti del problema di sicurezza:</span></span></p>
<p style="text-align: center;"><img alt="Insecure login form shown with the Web Console and contextual warning on the password field." src="https://mdn.mozillademos.org/files/14783/Insecure_Password_Console_Contextual_sm.png" style="height: 566px; width: 790px;"></p>
<div class="note">
<p><strong>Nota</strong>: <span id="result_box" lang="it"><span>Inoltre, non è sicuro incorporare una pagina di accesso HTTPS in un documento HTTP: un utente malintenzionato potrebbe modificare l'URL del frame in modo che punti a un sito dannoso</span></span>.</p>
</div>
<h3 id="Utilizzando_un_URL_HTTP_in_un_dialogo"><span class="short_text" id="result_box" lang="it"><span>Utilizzando un URL HTTP in un dialogo</span></span></h3>
<p><span id="result_box" lang="it"><span>In questo caso, qualsiasi dato inserito dall'utente viene inviato attraverso la rete come testo normale.</span> <span>La password dell'utente è chiaramente visibile a chiunque faccia "sniffing" sulla rete dal momento in cui la password lascia il computer dell'utente al momento in cui raggiunge i server del sito web.</span></span></p>
<p style="text-align: center;"><img alt="Insecure login form action shown with the Web Console and contextual warning on the password field." src="https://mdn.mozillademos.org/files/14785/Insecure_Action_Password_Console_Contextual_sm.png" style="height: 566px; width: 790px;"></p>
<h2 id="Nota_sul_riutilizzo_delle_password"><span class="short_text" id="result_box" lang="it"><span>Nota sul riutilizzo delle password</span></span></h2>
<p><span id="result_box" lang="it"><span>A volte i siti web richiedono nome utente e password, ma in realtà non memorizzano dati coì sensibili.</span> <span>Ad esempio, un sito di news può salvare quegli articoli che un utente potrebbe tornare a leggere, ma non salvare alcun altro dato riguardante l'utente.</span> <span>Gli sviluppatori Web del sito di news potrebbero perciò essere poco motivati a proteggere il proprio sito e le credenziali dell'utente.</span></span></p>
<p><span id="result_box" lang="it"><span>Sfortunatamente</span></span>, <a href="https://www.lightbluetouchpaper.org/2011/02/09/measuring-password-re-use-empirically/">il riutilizzo di una password è un grande problem</a>. <span id="result_box" lang="it"> <span>Gli utenti utilizzano la stessa password su più siti (siti Web di news, social network, provider di posta elettronica, banche).</span> <span>Quindi, anche se l'accesso al nome utente e alla password di un sito non ti sembra un grosso rischio, è un grosso rischio per gli utenti che hanno utilizzato lo stesso nome utente e password per accedere ai loro conti bancari.</span> <span>Gli aggressori stanno diventando più intelligenti;</span> <span>rubano le coppie nome utente / password da un sito e poi tentano di riutilizzarle su siti più redditizi.</span></span></p>
<h2 id="Vedi_anche">Vedi anche</h2>
<ul>
<li class="entry-title"><a href="https://blog.mozilla.org/tanvi/2016/01/28/no-more-passwords-over-http-please/">No More Passwords over HTTP, Please!</a> — <span class="short_text" id="result_box" lang="it"><span>post sul blog dettagliato con ulteriori informazioni e FAQ</span></span>.</li>
</ul>
<p class="entry-title">{{QuickLinksWithSubpages("/en-US/docs/Web/Security")}}</p>
|
