Forse conoscete già l’Heartbleed bug, quel problema di sicurezza SSL che nei giorni scorsi ha seminato il terrore per il web e ci ha costretti a modificare tutte le nostre password più importanti. Il bug ha colpito circa il 17% di tutti i web server SSL, e ha potenzialmente permesso agli hackers di violare dati sensibili degli utenti, decriptare il traffico criptato tra i server, o fingersi per il server stesso. E non si tratta di un problema teorico: attacchi pratici sono effettivamente stati portati a segno rubando dati personali.
Nonostante il bug sia stato ormai risolto, e la tecnologia OpenSSL aggiornata all’ultima versione, un sito web che è stato precedentemente vulnerabile al bug oggi non è necessariamente sicuro. Se la vulnerabilità è stata utilizzata prima dell’aggiornamento, infatti, il certificato di sicurezza potrebbe essere stato compromesso. E se tale certificato non è ancora stato rimpiazzato con uno nuovo, un hacker potrebbe continuare a portare avanti attacchi informatici.
Netcraft, per questo, ha rilasciato un’estensione per Chrome, Firefox e Opera che mostra all’utente se il sito che sta visitando è ancora potenzialmente vulnerabile ad attacchi sfruttando i problemi di Heartbleed. Le estensioni utilizzano i dati provenienti da un SSL Survey operato da Netcraft per capire se un sito sia ancora vulnerabile o meno. Se è vulnerabile, l’estensione controllerà lo stato del certificato SSL, guardando se sia stato sostituito o meno; e se non è stato sostituito, allora il sito è considerato non sicuro, visto che la sicurezza potrebbe essere compromessa.
Ma anche se il certificato è stato sostituito, non è detto che il sito non possa essere ancora vulnerabile, magari utilizzando una copia del vecchio certificato, a meno che il vecchio non sia stato ufficialmente revocato… E anche se fosse stato revocato, non è detto che la cosa sia infallibile.
Quindi, insomma, è una questione un po’ complicata.
Per scaricare l’estensione potete seguire questo link.
