HTTPS sanguina ancora: 148.000 siti web ancora affetti da Heartbleed

HTTPS sanguina ancora: 148.000 siti web ancora affetti da Heartbleed

Sono trascorsi diversi anni dalla prima segnalazione di Heartbleed, una falla informatica che aveva colpito alcune versioni di OpenSSL, un protocollo open source tra i più utilizzati per fornire il servizio di HTTPS ai siti ed ai servizi web in generale. Da qualche tempo, del resto, è in corso una forte campagna di sensibilizzazione ad HTTPS sotto WordPress da qualche tempo, soprattutto da parte di Google che a brevissimo (questione di giorni, ormai) avviserà mediante la nuova versione Chrome che tutti i siti web con HTTP in chiaro sono da considerarsi indifferentemente “insicuri”.

La cosa preoccupante, a questo punto, è che secondo il rapporto pubblicato dalla società Shodan ci sono numeri impressionanti relativi all’attuale diffusione della falla, ancora non patchata, di OpenSSL, anche a distanza di anni. In sostanza ci sono molti siti in SSL che sfruttano una versione non aggiornata o comunque fallata di SSL, e questo mette a rischio il protocollo stesso rischiando di non essere abbastanza sicuro per gli utenti.

Nel dettaglio, i numeri riportati sono i seguenti:

  • oltre 42 mila siti americani, 14 cinesi, 14 mila tedeschi e quasi 6500 inglesi ne sono affetti;
  • circa 4800 siti web italiani ne sono, a quanto risulta, interessati.

Di tutti i casi in esame, sono stati contati oltre 148 mila con supporto HTTPS affetti da questo genere di falla che, ricordiamo, è un problema che interessa alcune versioni non aggiornate della libreria crittografica OpenSSL, per cui è possibile che possa avvenire un furto di username, password e dati delle carte di credito. Ricordiamo, inoltre, che SSL viene utilizzata anche da alcuni tipi di applicazioni per cui la sua diffusione è molto più comune di quanto si possa pensare, e non riguarda solo i siti web.

TheHackerNews ricorda i tre passi indispensabili perchè si possa patchare Heartbleed:

  1. aggiornare il software di sistema all’ultima versione di OpenSSL;
  2. creare nuove chiavi private per l’accesso al servizio, per evitare abusi;
  3. rigenerare i certificati per invalidare i vecchi, cosa che ad esempio ha fatto di recente l’hosting GoDaddy su alcuni servizi di sua gestione.

La speranza, a questo punto, è che la recentemente incentivata diffusione di HTTPS possa andare a sopperire indirettamente questi passi.

Photo by theglobalpanorama

Tophost
Ti piace questo articolo?

1 voto

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.

HTTPS sanguina ancora: 148.000 siti web ancora affetti da Heartbleed

Sono trascorsi diversi anni dalla prima segnalazione di Heartbleed, una …
6 1 utenti hanno votato questa pagina

Ti potrebbero interessare (Sicurezza informatica):

Cerca altro nel sito

Clicca sul box, e scegli la sezione per vederne i contenuti.

HTTPS sanguina ancora: 148.000 siti web ancora affetti da Heartbleed

Sono trascorsi diversi anni dalla prima segnalazione di Heartbleed, una …
6 1 utenti hanno votato questa pagina