Migrare ad HTTPS, una scelta di sicurezza e di rispetto verso i lettori

La sicurezza non è mai troppa e i malintenzionati sono sempre dietro l’angolo.
Circa tre anni fa, questo blog subì  un attacco piuttosto pesante: la pagina principale fu sovrascritta, il suo contenuto fu  reso inaccessibile e le email violate. Per fortuna avevo a disposizione tutti i backup in locale e su altri server remoti e non mi fu difficile poi ripristinare il sito.
Colsi all’epoca l’occasione anche per studiare diverse strategie anti intrusione, alcune migliorie che avrebbero irrobustito il sistema e così via.
Ma un sistema in rete non può mai essere al sicuro da attacchi informatici e altre operazioni illecite; l’unico modo per rendere inaccessibile un computer è quello di non usarlo proprio.

affbg Ovviamente questo non è possibile, ma si può tentare di rendere il proprio sito web assai meno vulnerabile agli attacchi informatici usando un protocollo di cifratura HTTPS.
Tutte le informazioni server-client che fanno uso di questo protocollo sono criptate: qui ogni informazione è protetta  dagli attacchi esterni a da intercettazioni esterne. Dati sensibili come password o di altra specie sono garantiti da un protocollo di cifratura SSL che garantisce anche l’autenticità del sito.
In un universo telematico sempre più complesso la necessità di un sistema di navigazione sicuro si è fatta sempre più importante. Per questo Google, Mozilla Foundation e Electronic Frontier Foundation si stanno prodigando per questo obbiettivo. Da gennaio Google inizierà a penalizzare il ranking dei siti che non si saranno adeguati ai nuovi standard di sicurezza e sottolineerà la navigazione nei siti non protetti mostrando un simbolino colorato (probabilmente una X rossa) nella barra degli indirizzi.
Già comunque ora tutti i browser più usati evidenziano se si sta visitando un sito che non aderisce agli standard previsti nell’HTTPS, e questo può essere di stimolo a implementare l’uso della cifratura nel proprio sito, se se ne  gestisce uno, o a fare pressioni perché sia adottata da chi per ora non ne fa uso.

Implementare HTTPS

aaaNon è stato poi così difficile fare in modo che questo dominio adottasse il nuovo standard.
Innanzitutto occorre avere installato un certificato SSL sull’host di riferimento. In genere quando si acquista uno spazio web vengono anche forniti dei certificati gratuiti precaricati ma è sempre possibile acquistarne uno più forte o sceglierne uno esterno a seconda delle necessità. Per un sito come questo non emerge il bisogno di una grande chiave crittografica come un sito di e-commerce, quindi i certificati preinstallati vanno benissimo per garantire la sicurezza nelle comunicazioni.
I passaggi di configurazione sono sostanzialmente due.
Una volta accertato che il sito potesse usare il protocollo HTTPS (basta comporre l’indirizzo col prefisso https://) correttamente, occorre indicare al sistema di gestione dei contenuti (CMS Content Management System), in questo caso WordPress, di utilizzare l’estensione https:// al posto della canonica http:// nelle impostazioni generali, come dalla figura qui accanto e poi istruire il file di configurazione .htaccess presente nella radice del CMS (di solito accessibile tramite ftp) di riscrivere ogni richiesta in entrata e in uscita da http:// a https://.

[sourcecode language=”plain”]
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://dominio.com/$1 [R=301,L]
[/sourcecode]

Così la terza riga di codice controlla se la risorsa è richiesta in HTTPS, e in tal caso reindirizza le richieste HTTP verso il protocollo HTTPS eseguendo la quarta riga di codice; se invece la richiesta è corretta,  questa riga viene ignorata.
Alcune chiamate improprie a risorse esterne legittime (immagini o script espliciti in http://)  possono causare qualche problema. In genere questi si annidano nei diversi plugins usati o quando vengono fatte caricare immagini o altri  simboli da siti terzi che ancora non supportano la crittografia, ma spesso basta togliere il prefisso http:// dalle chiamate dirette perché il sistema adotti lo standard più sicuro automaticamente (chiamate relative, sempre preferibile) o chiamare direttamente https:// (chiamate assolute, quando è necessario) quando si scrivono le chiamate esterne.
Un’altra modifica importante assolutamente da fare riguarda il file wp-config.php anch’esso accessibile via ftp alla radice del CSM.
Si tratta dell’aggiunta del comando che forza l’uso del protocollo HTTPS nella pagina di amministrazione del sito:

[sourcecode language=”plain”]
define(‘FORCE_SSL_ADMIN’, true);
[/sourcecode]

Questo imporrà una connessione criptata ogni volta che si vorrà accedere al CMS coi privilegi di amministratore, garantendo così che questa non possa essere intercettata o rubata.

Adesso questo blog e il suo fratello TuttiDentro.eu adottano questa strategia rivolta ad assicurare i loro lettori l’integrità e la qualità della connessione.


Note:

Siccome si andranno a toccare alcuni files importanti del CMS di riferimento, mi raccomando di fare prima una copia di backup del sistema e del database. Non dovreste avere problemi ma declino ogni responsabilità se qualcosa dovesse andarvi storto.

La Notte Europea dei Ricercatori 2016

This European Researchers’ Night project is funded by the European Commission under the Marie Skłodowska-Curie actions

This European Researchers’ Night project is funded by the European Commission under the Marie Skłodowska-Curie actions

L’altro giorno Marcel Fratzscher, docente di macroeconomia all’Università di Humboldt di Berlino e presidente dell’importante istituto di ricerca tedesco Diw Berlin, suggeriva a margine del Forum The European House tenutosi a Cernobbio una via per rilanciare l’Europa in vista delle sfide dei prossimi decenni. <<Credo che la necessità sia ancora quella di riconoscere che la crescente disuguaglianza sociale non sia solo una sfida politica, ma anche una sfida economica che deve essere indirizzata attraverso migliori istituzioni, migliore educazione, accesso all’educazione; queste devono essere le chiavi importanti per l’Europa.>>
Difficile dar torto ad un simile pensiero: l’accesso a una migliore educazione è senz’altro il modo migliore e più efficace per avviare una reale redistribuzione della ricchezza nella società. Una migliore educazione non deve per forza limitarsi alla semplice scolastica. Servono programmi di ben più ampio respiro che comprendono l’educazione civica, il rispetto verso le altre culture e per gli altri, la divulgazione mediale e così via.
Si sente spesso – e a sproposito, secondo me – parlare di europeismo e di anti-europeismo. Lasciammo perdere per un attimo le logiche delle tifoserie partitiche e ricordiamoci per un attimo le tante entità politiche che dividevano il continente europeo fino alla II Guerra Mondiale: tanti Stati in guerra tra loro dai tempi della fine della Pax Romana. Quasi 2000 anni di guerre fratricide, di eterne lotte che variavano continuamente fronte, nome e improbabili alleanze ma sempre con lo stesso denominatore comune: la guerra. Alla fine fu chiaro che non  ci sarebbe mai stato un  vincitore mentre ogni singolo stato poteva aspirare a dominare gli altri con la forza come le dittature nazifasciste avevano dimostrato. Questo fu il motivo che spinse a concepire l’Unione Europea. Una unione democratica di Popoli e non di Stati, dove le risorse economiche e umane sarebbero state dedicate al benessere di tutti i sui cittadini e non alle guerre intestine. Per questo preferisco sentirmi Cittadino Europeo ancora prima che Italiano.
La Notte Europea dei Ricercatori è solo una piccolissima parte di questo lunghissimo percorso. 2000 anni di guerra hanno creato una diffidenza atavica tra le diverse culture europee che spesso non sono sono limitate neppure dai confini geografici delle nazioni. Per superare questa diffidenza occorrerà ben più che 70 anni di storia. Ma questo è già un piccolo e importante passo, una minuscola ma non insignificante tessera del mosaico europeo che dobbiamo faticosamente costruire giorno dopo giorno superando le barriere culturali e nazionali che ancora dividono i Popoli di questo continente.
Il contributo di Frascati Scienza al grande disegno europeo non è indifferente; sono anni che si cimenta nella preziosa opera di organizzazione delle manifestazioni scientifiche nazionali ed europee coinvolgendo in questo le varie entità di ricerca scientifica e università italiane , come dimostrano la prossima Settimana della Scienza (24 – 30 Settembre 2016) e la  Notte Europea dei Ricercatori 2016 (30 Settembre 2016).

È possibile scovare i diversi programmi e le manifestazioni più vicine seguendo questo link messo a disposizione dalla Commissione Europea, dove vengono indicati tutti gli eventi si svolgeranno simultaneamente il prossimo 30 Settembre in più di 250 città in Europa e nei Paesi limitrofi (Ucraina e Turchia, ad esempio), intitolati alla memoria delle opere di Maria Slodowska-Curie.

Gocce nel mare? Forse lo sono ma come dicevano i nostri antenati latini gutta cavat lapidem, ossia la goccia perfora la pietra. E a ben guardare, l’ostilità che più o meno artificiosamente è indotta da coloro che vedono come ostacolo l’Europa Unita è un macigno che deve essere sgretolato per il bene di tutti i Popoli Europei.