I servizi della grande G sono ormai patrimonio di milioni di persone, vuoi per la relativa semplicità di utilizzo, vuoi perché nell’immaginario collettivo Google è diventato sinonimo di affidabile.
Ma non tutto è oro quel che luccica e soprattutto chi lavora nell’ambito della sicurezza IT ha imparato a diffidare delle apparenze ed a valutare pragmaticamente quel che c’è sotto, la sostanza insomma.
Con il traffico raggiunto dalle applicazioni web nel portfolio Google, la prima priorità dev’essere l’integrità dei dati sensibili.
A questo proposito, un gruppo di trentasette persone formato da ricercatori, avvocati ed accademici ha formalmente inviato una missiva ad Eric Schmidt, attuale CEO della società creata da Brin e Page nel 1998, dove si richiede l’uso di default del protocollo HTTPs.
Definito nelle specifiche RFC 2818, l’HTTPS è l’unione del protocollo comunemente usato per il recupero di una risorsa all’interno del WorldWideWeb con un meccanismo di crittazione dell’informazione, originariamente fu il Secure Socket Layer (SSL per gli amici), creatura della Netscape che fu, ed in seguito con l’evoluzione Transport Layer Security.
Attualmente è una tecnologia che già protegge Google Voice, Health ed i servizi di advertising Adsense ed Adwords.
E’ disponibile anche per Gmail, Google Docs e Calendar ma il problema è che la connessione non viene impostata come predefinita.
L’utente ha infatti a disposizione due strade, o l’impostazione nelle opzioni di Gmail o nella scrittura manuale del protocollo all’inizio della digitazione dell’URL.
Una pratica effettivamente non molto comoda e soprattutto non adatta ai milioni di persone che semplicemente non conoscono la differenza tra una comunicazione via HTTP o via HTTPs.
Con la diffusione esponenziale in questi ultimi anni di infrastrutture di rete wireless e di dispositivi mobili i quali accedono alla Rete proteggersi da malintenzionati che possono sniffare i pacchetti trasmessi da connessioni in chiaro e da attacchi Man-in-The-Middle diventa una delle priorità se non LA priorità più importante.
“Vi esortiamo fermamente“, recita parte della lettera inviata,”a seguire le best practice utilizzate nel mondo IT e finanziario ed abilitare la criptazione HTTPS come predefinita per gli utenti Gmail, GDocs e GCalendar. Dato che Google possiede banche dati tra email, blocchi note ed altro materiale contenente dati estremamente sensibili, con la continua minaccia dei furti d’identità e credenziali è vitale che Google stessa si attivi per prevenirli e proteggere i propri utenti dai potenziali cui quotidianamente possono incorrere”.
La risposta non si è fatta attendere ed Alma Whitten, software engineer del teamGoogle Security & Privacy, dalle pagine dell’Online Security Blog scrive: “Il costo addizionale dell’uso dell’HTTPs non ci sta frenando nelle nostre intenzioni, vogliamo semplicemente analizzare tutte le possibili variabili e l’impatto che questa scelta può avere nell’esperienza utente, analizzandone i dati ed assicurandoci non ci siano effetti collaterali negativi“.
Negli Stati raggiunti in modo massiccio dalla banda larga la fase di codifica e decodifica del messaggio criptato può non risultare in evidenti problemi, ma nei Paesi in via di sviluppo il lag derivato dalle operazioni aggiuntive del protocollo HTTPs potrebbe non essere trascurabile.
Vedremo nei prossimi mesi l’evoluzione della vicenda.
[image courtesy of Google]