Chrome, il browser di Google, cercherà di darci una mano a non cadere nei tranelli. Dalla versione 86, infatti, il programma avviserà gli utenti quando staranno per compilare dei moduli non sicuri, vale a dire che trasmettono le informazioni sfruttando una connessione http benché su siti sicuri https.
Stop al completamento automatico
Di cosa si tratta esattamente? Di un doppio avviso che scatterà quando si staranno per inserire informazioni in quei “mixed form”, quelle finestre di testo che ci paiono innocue ma che invece possono trasformarsi in buchi neri per le informazioni che ci inseriamo. E trasmettiamo senza affidarci all’HyperText Transfer Protocol over Secure Socket Layer, il protocollo per la comunicazione sicura progettato addirittura all’epoca di Netscape e da anni lo standard sulla stragrande maggioranza di siti. Eppure, intorno alla sua assenza – o alle sue falle – continuano a svilupparsi frodi di ogni genere.
Avviso a tutto schermo
Possibili aggressori possono dunque intercettare ed estrarre, oppure modificare, le informazioni inserite in queste “finestre” sulla nostra privacy poco presidiate. Così il team di Google Chrome ha messo in cantiere alcune modifiche. Nella versione 86 verrà anzitutto disabilitato il completamento automatico dei moduli non protetti da connessioni https, a meno che non si tratti di campi destinati al login, cioè al collegamento a una certa piattaforma o applicazione. Poi sarà mostrato un banner con una scritta in rosso: “This form is not secure, Autofill has been turned off”, “il form non è sicuro, l’autocompletamento è stato disabilitato”.
“Nei mixed forms con richieste di login e password, il password manager di Chrome continuerà a funzionare – ha spiegato Shweta Panditrao del Chrome Security Team – il gestore delle password di Chrome aiuta gli utenti a inserire password uniche, ed è più sicuro usare password uniche anche su moduli inviati in modo insicuro, piuttosto che riutilizzare le password”. Non solo: quando verranno comunque inserite delle informazioni, Chrome mostrerà un avviso a schermo intero, dunque ben più invasivo ed evidente, che chiederà una conferma all’utente sull’invio del modulo.
Blocco anche per i contenuti
Sempre dalla versione 86 Chrome concluderà il rilascio di una funzionalità già distribuita a partire dalla versione 81 dello scorso marzo: bloccherà tutti i download di tipo “mixed content”, cioè appunto scaricamenti di immagini o altri contenuti forniti con connessioni non protette pur su siti “blindati” dall’https. Perché vulnerabili ad attacchi cosiddetti “man in the middle”. Stesso discorso al contrario, cioè per i contenuti caricati: i contenuti che non saranno caricabili con questo tipo di connessione sicura saranno bloccati.
