Visto l’interesse per l’argomento, riassumo lo stato dell’accesso protetto da crittografia di 5 siti web di partiti politici.
\nDi questi, solo il sito web del Partito Democratico ha un accesso crittografato in maniera sicura. Accettabile con riserva.
\nIl Movimento 5 Stelle ha un ottimo sistema, Rousseau, ma non tutto \u00e8 in sicurezza. Fratelli d’Italia, Forza Italia e Lega Nord, totalmente assente.<\/p>\n
Unico pensiero politico da parte mia (prendetelo in maniera costruttiva): mi aspettavo maggiore cura dal Movimento 5 Stelle considerando che la rete<\/i> \u00e8 il suo cavallo di battaglia.<\/p>\n
Immaginate ad esempio che un utente visiti quei siti web da un accesso pubblico (wifi pubblico, albergo, aeroporto etc). Un attaccante potrebbe:<\/p>\n
Questi ESEMPI di potenziali attacchi valgono per tutti, PD compreso, dato che non ha attivato alcuna forzatura alla versione sicura nei form di credenziali.<\/p>\n
La maggior parte di produttori di browser hanno piani a lungo termine per l’abolizione delle connessioni in chiaro (es. Firefox<\/a>), e i primi passi imminenti sono l’implementazione di warning di sicurezza (es. FireFox<\/a>, Chrome<\/a>).<\/p>\n Chrome pubblico usato dalla gente comune \u00e8 la versione 55. La versione che notificher\u00e0 che i siti web sopra-citati sono insicuri sar\u00e0 la 56. E’ davvero molto imminente, imho.<\/p>\n Rousseau https:\/\/rousseau.movimento5stelle.it<\/a> \u00e8 ottimamente configurato. Una pesante pecca: l’iscrizione punta ad un’altra macchina, malmessa a livello di configurazione:<\/p>\n L’iscrizione quindi \u00e8 obbligatoriamente in chiaro, perch\u00e8 usare un accesso scarso di rating ssl-labs: T<\/a> equivale a non usarlo.<\/p>\n Vedo ottime premesse, a spanne basta che il team di Rousseau prenda in carico anche l’altra macchina malconfigurata.<\/p>\n Buono, non ottimo.<\/p>\n Accesso crittografato https:\/\/www.partitodemocratico.it\/<\/a> \u00e8 OK.<\/p>\n La pecca \u00e8 che la versione in chiaro<\/a> funziona, potrebbe redirigere direttamente alla versione crittografata, o meglio ancora implementare HSTS come Rousseau. Piccola pecca, https:\/\/partitodemocratico.it restituisce ERR_BAD_SSL_CLIENT_AUTH_CERT. Pare solo mal-configurato il terzo livello “www.”.<\/p>\n Certificato SSL, ok per sha256. ssl-labs: B<\/a> migliorabile, degli accessi con cipher weak andrebbero chiusi. Rousseau \u00e8 configurato meglio.<\/p>\n Pare usino Apache 2.2.22 su FreeBSD. Non conosco decentemente FreeBSD.<\/p>\n Curiosit\u00e0: Dal sito web, cliccare Accedi<\/i> porta a un url da 3228 caratteri\/bytes. Tutti fondamentali eh. (ironico).<\/p>\n In http:\/\/www.fratelli-italia.it<\/a> praticamente l’accesso cifrato non esiste.<\/p>\n Tesseramento<\/a> e login<\/a> solo in chiaro.<\/p>\n La versione cifrata del tesseramento<\/a> mostra un 503 Service Unavailable, con un certificato self-signed che non corrisponde neanche come common-name.<\/p>\n ssl-labs: F<\/a>. Vulnerabile al POODLE attack, weak cipher, etc.<\/p>\n Se non altro, nascondono che software web-server usano.<\/p>\n http:\/\/www.forzaitalia.it<\/a> \u00e8 solo in chiaro, l’accesso crittografato per il sito principale non risponde.<\/p>\n La login<\/a> \u00e8 in chiaro. ssl-labs: F<\/a> Tutto weak. Due diverse vulnerabilit\u00e0, POODLE e CVE-2016-2107<\/a>.<\/p>\n Praticamente l’accesso crittografato non esiste.<\/p>\n Apache\/2.2.25 Amazon.<\/p>\n http:\/\/www.leganord.org\/<\/a> tutto in chiaro. L’accesso crittografato non esiste.<\/p>\n Apache 2.4.10 su Fedora.<\/p>\n","protected":false},"excerpt":{"rendered":" Visto l’interesse per l’argomento, riassumo lo stato dell’accesso protetto da crittografia di 5 siti web di partiti politici. Di questi, solo il sito web del Partito Democratico ha un accesso crittografato in maniera sicura. Accettabile con riserva. Il Movimento 5 Stelle ha un ottimo sistema, Rousseau, ma non tutto \u00e8 in sicurezza. Fratelli d’Italia, Forza … Continue reading Accesso crittografato in siti web di partiti politici<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":466,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[8,4],"tags":[],"uagb_featured_image_src":{"full":["https:\/\/www.clodo.it\/blog\/wp-content\/uploads\/2017\/01\/feature_ssl_partiti.jpg",750,422,false],"thumbnail":["https:\/\/www.clodo.it\/blog\/wp-content\/uploads\/2017\/01\/feature_ssl_partiti-150x150.jpg",150,150,true],"medium":["https:\/\/www.clodo.it\/blog\/wp-content\/uploads\/2017\/01\/feature_ssl_partiti-300x169.jpg",300,169,true],"medium_large":["https:\/\/www.clodo.it\/blog\/wp-content\/uploads\/2017\/01\/feature_ssl_partiti.jpg",660,371,false],"large":["https:\/\/www.clodo.it\/blog\/wp-content\/uploads\/2017\/01\/feature_ssl_partiti.jpg",660,371,false],"1536x1536":["https:\/\/www.clodo.it\/blog\/wp-content\/uploads\/2017\/01\/feature_ssl_partiti.jpg",750,422,false],"2048x2048":["https:\/\/www.clodo.it\/blog\/wp-content\/uploads\/2017\/01\/feature_ssl_partiti.jpg",750,422,false],"post-thumbnail":["https:\/\/www.clodo.it\/blog\/wp-content\/uploads\/2017\/01\/feature_ssl_partiti.jpg",750,422,false]},"uagb_author_info":{"display_name":"Clodo","author_link":"https:\/\/www.clodo.it\/blog\/author\/clodo\/"},"uagb_comment_info":0,"uagb_excerpt":"Visto l’interesse per l’argomento, riassumo lo stato dell’accesso protetto da crittografia di 5 siti web di partiti politici. Di questi, solo il sito web del Partito Democratico ha un accesso crittografato in maniera sicura. Accettabile con riserva. Il Movimento 5 Stelle ha un ottimo sistema, Rousseau, ma non tutto \u00e8 in sicurezza. Fratelli d’Italia, Forza…","_links":{"self":[{"href":"https:\/\/www.clodo.it\/blog\/wp-json\/wp\/v2\/posts\/216"}],"collection":[{"href":"https:\/\/www.clodo.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.clodo.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.clodo.it\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.clodo.it\/blog\/wp-json\/wp\/v2\/comments?post=216"}],"version-history":[{"count":6,"href":"https:\/\/www.clodo.it\/blog\/wp-json\/wp\/v2\/posts\/216\/revisions"}],"predecessor-version":[{"id":467,"href":"https:\/\/www.clodo.it\/blog\/wp-json\/wp\/v2\/posts\/216\/revisions\/467"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.clodo.it\/blog\/wp-json\/wp\/v2\/media\/466"}],"wp:attachment":[{"href":"https:\/\/www.clodo.it\/blog\/wp-json\/wp\/v2\/media?parent=216"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.clodo.it\/blog\/wp-json\/wp\/v2\/categories?post=216"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.clodo.it\/blog\/wp-json\/wp\/v2\/tags?post=216"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\nMovimento 5 Stelle \/ Beppe Grillo<\/h3>\n
\nCertificato hash algorithm sha256 ok, rating ssl-labs: A+<\/a> altissimo (il massimo, abbastanza raro),
\nottimo l’uso di HSTS che garantisce a monte che il sito sia interamente sotto crittografia. Versione web-server nascosta.<\/p>\n\n
\nPu\u00f2 essere che alcune vulnerabilit\u00e0 siano chiuse (ad esempio come i package debian in repo stable su distro LTS), non ho investigato sulle singole vulnerabilit\u00e0.
\nDei penetration-testing sono pi\u00f9 impegnativi di questa mia ricerca da tempo libero.<\/li>\n
\nPartito Democratico<\/h3>\n
\nE’ una pecca importante perch\u00e8 la versione di login funziona anche da accesso non crittografato<\/a>.
\nObiettivamente se un accesso \u00e8 insicuro e la versione sicura esiste, non \u00e8 possibile venire incontro alla vita agli utenti che non conoscono la differenza o manco sanno che possono scegliere?<\/p>\n
\nFratelli d’Italia<\/h3>\n
\nForza Italia<\/h3>\n
\nL’accesso crittografato per il login<\/a> spara pagina non trovata (HTTP 404).
\nCertificato SSL self-signed, scaduto 3 anni fa. 1024 bits. In pratica come se non ci fosse.<\/p>\n
\nLega Nord<\/h3>\n