Sicurezza Web: la protezione SSL

by Antonello Camilotto

Gli attacchi informatici sono ormai notizia di tutti i giorni e la cybersecurity rappresenta un aspetto cruciale per il business moderno. Quali sono le minacce più comuni? Come proteggere il proprio sito?

Chi, oggi, si trova a gestire e manutenere un sito web è certamente chiamato ad avere un occhio di riguardo per la protezione dell’infrastruttura usata e dei dati contenuti. Lo stesso vale per la sicurezza delle connessioni stabilite con le pagine che compongono il portale.


Un sito Internet deve infatti essere costantemente aggiornato e monitorato al fine di garantire continuità d’esercizio e un elevato grado di sicurezza per gli utenti finali.


La presenza di minacce e attacchi è ormai una costante. Parliamo di attività mirate o ad ampio spettro, che vanno a colpire settori specifici o categorie eterogenee di siti.

Per i malintenzionati, sviluppare soluzioni in grado di infettare e aggredire un portale Web è sempre più facile. Malware as-a-Service e vulnerabilità di piattaforma possono fare leva sui punti critici del sistema e generare instabilità o, peggio, agevolare l’ingresso dei cybercriminali.


Non solo, occorre fare molta attenzione alla configurazione del server su cui è ospitato il sito web. Molte spesso, configurazioni errate, l’assenza di manutenzione e aggiornamenti tempestivi possono determinare vulnerabilità gravi.

Nello specifico, un malware è un software progettato per agevolare attività fraudolente da parte degli hacker, che possono bloccare le attività in corso, danneggiare o prendere il controllo di un dato sistema. Molto spesso, questo tipo di codice è usato per appropriarsi dei dati sensibili trasmessi verso il sito.


Sono ancora molto diffuse le tecniche di reindirizzamento malevolo (phishing). In questo modo chi mette in atto un attacco informatico è in grado di reindirizzare gli utenti che stanno visitando un determinato sito. La pagina di atterraggio si troverà su un altro server e conterrà link e software che potrebbero mettere a rischio la sicurezza dei dati e la privacy del visitatore.

Un’altra modalità di attacco è quella denominata “defacement”. In questo caso, il malware è usato per alterare la pagina principale del sito target. L’attacco può avvenire eseguendo uno script da computer remoto senza accedere al sistema operativo. Il risultato può consistere nella modifica di una o più pagine Web con altre completamente diverse e composte da contenuti di vario tipo non inseriti originariamente dal gestore del sito web.


Furto, controllo e manipolazione delle informazioni


Sussistono poi tecniche particolarmente “raffinate”, come il cross-site scripting. Si poggia su alcune vulnerabilità dei siti Web dinamici: l’attaccante utilizza codice malevolo per raccogliere, manipolare e reindirizzare informazioni riservate.
L’iniezione di codice dannoso può avvenire tramite ActiveX, Flash, HTML, Java, Script Visual Basic.
All’atto pratico, inserendo per esempio del codice java script, un malintenzionato potrebbe sottrarre dati sensibili contenuti nei cookie e nei token di sessione.
Disponendo di dati specifici dell’utente, il criminale può quindi impersonificare l’utente e utilizzare vari servizi in sua vece.

Con SQL injection, invece, si intende un tipo di minaccia ampiamente utilizzata da tempo. Gli attaccanti sfruttano alcuni errori nella programmazione di pagine web per inserire un codice non previsto all’interno di moduli di inserimento dati.
In pratica, un hacker esperto di sintassi SQL invia valori falsi in risposta ai moduli delle pagine, con l’intento di ottenere un accesso diretto ed esteso al database di back-end.

Le informazioni così inserite in quei campi possono essere facilmente sottratte e usate per scopi illeciti.
Da qui, si sviluppano attività illecite di intercettazioni di dati. I malintenzionati e le associazioni fraudolente riescono così a disporre di informazioni altamente sensibili, quali per esempio: indirizzi di posta elettronica, recapiti telefonici, indirizzi di domicilio o informazioni su carte di credito e sistemi di pagamento.
Un fiorente mercato nero si è sviluppato negli anni attorno alla rivendita di queste informazioni.


BREACH e MITB


Esistono inoltre attacchi ad elevata complessità come quelli BREACH, o Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext.

Questa tecnica sfrutta molteplici meccanismi, come attacchi a forza bruta e algoritmi “divide et impera”. In questo modo, gli hacker possono usare exploit BREACH per accedere ai dati sensibili e altre informazioni personali presenti sui siti Web.
Tali attacchi colpiscono tutte le versioni del protocollo SSL/TLS ma possono essere efficaci solo in alcune condizioni specifiche. Per esempio, quando l’attaccante porta l’utente a visitare un sito Web contenente script infetti e riesce a introdurre un MITB (Man-in-the-Browser) capace di inviare richieste al sito Web target.

MITB è una formula di attacco particolarmente pericolosa perché capace di colpire il client della vittima per intercettare e modificare il traffico dati da/verso il server; per questo motivo è di fondamentale importanza non navigare su siti di dubbia affidabilità.


Protezione SSL


La tecnologia SSL / TLS è ampiamente usata per irrobustire la sicurezza degli scambi di dati su Internet. Si occupa di crittografare e proteggere le informazioni trasmesse tramite protocollo HTTPS. L’SSL garantisce ai visitatori del sito Web che i dati non siano intercettati illegalmente.

L’architettura di base prevede la cifratura dei dati scambiati. Solo l’utente che stabilisce il collegamento e il server sul quale il sito Web è ospitato avranno accesso alle informazioni.

Il processo operativo include la disponibilità di un certificato, l’autenticazione dello stesso e la generazione di chiavi numeriche.
La chiave privata è installata sul server e permette la generazione di cache di certificazione per il sito in oggetto.
La chiave pubblica, l'altra parte del certificato SSL, viene installata sul sito.

Tutto questo consente ai visitatori uno scambio di dati cifrato, un aspetto importante soprattutto se si devono inserire informazioni private e sensibili, come numeri di carte bancarie, PIN, e-mail, recapiti personali.


© ๐—ฏ๐˜† ๐—”๐—ป๐˜๐—ผ๐—ป๐—ฒ๐—น๐—น๐—ผ ๐—–๐—ฎ๐—บ๐—ถ๐—น๐—ผ๐˜๐˜๐—ผ

Tutti i diritti riservati | All rights reserved

๏ปฟ

Informazioni Legali

I testi, le informazioni e gli altri dati pubblicati in questo sito nonché i link ad altri siti presenti sul web hanno esclusivamente scopo informativo e non assumono alcun carattere di ufficialità.

Non si assume alcuna responsabilità per eventuali errori od omissioni di qualsiasi tipo e per qualunque tipo di danno diretto, indiretto o accidentale derivante dalla lettura o dall'impiego delle informazioni pubblicate, o di qualsiasi forma di contenuto presente nel sito o per l'accesso o l'uso del materiale contenuto in altri siti.

Il linguaggio del Web ha trasformato il nostro modo di comunicare

Autore: by Antonello Camilotto 28 ottobre 2025
Negli ultimi trent’anni, la rivoluzione digitale ha modificato profondamente non solo le nostre abitudini quotidiane, ma anche il modo in cui ci esprimiamo. Il linguaggio del Web — fatto di abbreviazioni, emoji, hashtag e neologismi — ha introdotto un nuovo codice comunicativo, capace di fondere oralità e scrittura in una forma del tutto inedita. Con l’avvento dei social network, la comunicazione è diventata più immediata, sintetica e visiva. Le parole si accompagnano a immagini, gif e simboli che sostituiscono intere frasi o stati d’animo. Un semplice “๐Ÿ˜‚” può raccontare più di una battuta ben scritta, mentre un hashtag come #mood racchiude in poche lettere una sensazione condivisa. È il trionfo della comunicazione rapida, dell’istantaneità, dove l’importante non è solo cosa si dice, ma come lo si rappresenta. La rete ha anche favorito la nascita di un linguaggio globale, ibrido e in continua evoluzione. Termini inglesi, abbreviazioni e sigle — da LOL a DM, da follower a streaming — sono entrati nel lessico quotidiano di milioni di persone, superando barriere linguistiche e culturali. Tuttavia, questa evoluzione non è priva di critiche: secondo molti linguisti, la semplificazione del linguaggio online rischia di ridurre la complessità del pensiero e di appiattire le sfumature emotive. D’altro canto, la rete ha anche dato voce a chi prima non ne aveva. Forum, blog e piattaforme social hanno permesso a individui e comunità di esprimersi, raccontarsi e costruire nuove forme di identità collettiva. Il linguaggio del Web non è dunque solo una questione di parole, ma anche di partecipazione, di democrazia comunicativa, di libertà espressiva. In definitiva, il linguaggio del Web è lo specchio di un’epoca in costante mutamento: dinamico, fluido, inclusivo, ma anche frammentato e veloce. Come ogni linguaggio, riflette la società che lo usa — e oggi quella società è sempre più connessa, globale e digitale. La sfida sarà imparare a usare questo nuovo codice senza perdere la profondità e la ricchezza che da sempre caratterizzano la comunicazione umana. ๏ปฟ

L’AI può sostituirsi allo psicologo?

Autore: by Antonello Camilotto 28 ottobre 2025
I chatbot basati sull’intelligenza artificiale stanno diventando sempre più sofisticati e accessibili, tanto che molte persone iniziano a chiedersi se possano davvero sostituire un professionista della salute mentale. La risposta, tuttavia, è no: non è una buona idea sostituire il proprio psicologo con un’intelligenza artificiale, almeno con le tecnologie attualmente disponibili. L’AI, per quanto avanzata, rimane priva di empatia reale. Può simulare comprensione ed elaborare risposte coerenti, ma non prova emozioni, non percepisce il tono della voce, lo sguardo o la postura dell’interlocutore, tutti elementi fondamentali nella relazione terapeutica. La psicoterapia non è solo scambio di parole, ma un processo complesso che si fonda sulla fiducia, sull’intuizione e sulla capacità umana di cogliere segnali sottili, spesso inconsci. Ciò non significa che i chatbot non possano avere un ruolo nel campo del benessere psicologico. In contesti di emergenza o in aree dove i servizi di salute mentale sono carenti o inaccessibili, gli strumenti di AI “terapeutici” possono offrire un supporto temporaneo, una sorta di “primo soccorso emotivo”. Possono aiutare a gestire momenti di ansia, solitudine o stress, fornendo strategie di coping o spunti di riflessione. Tuttavia, si tratta di un sostegno limitato e non paragonabile a un percorso psicologico guidato da un esperto. I rischi aumentano quando si utilizzano chatbot “generici”, come ChatGPT, per scopi terapeutici. Questi modelli non sono progettati per affrontare problemi di salute mentale e, in alcuni casi, hanno mostrato comportamenti problematici: risposte inappropriate, rafforzamento di convinzioni pericolose o addirittura incoraggiamento involontario di pensieri dannosi. In definitiva, l’intelligenza artificiale può essere un valido strumento di supporto o di orientamento, ma non un sostituto del contatto umano. Il dialogo con uno psicologo resta insostituibile perché basato sull’empatia, sulla comprensione profonda e sulla capacità di adattarsi alla complessità unica di ogni individuo.

Figure note dell'hacking: Gary McKinnon, l'autore del più grande attacco informatico militare di tutti i tempi

Autore: by Antonello Camilotto 8 ottobre 2025
Gary McKinnon, noto anche come "Solo" (Glasgow, 10 febbraio 1966), è un programmatore e hacker britannico accusato dalle autorità statunitensi di aver compiuto "la più grande intrusione informatica mai registrata nei sistemi di difesa". ๏ปฟ Catturato nel Regno Unito dopo una richiesta di estradizione dagli Stati Uniti — considerata da alcuni una persecuzione nei confronti di un capro espiatorio —, nel 2012 il Regno Unito negò l’estradizione verso gli USA. Affetto dalla sindrome di Asperger, McKinnon è ritenuto da molti una delle menti informatiche più brillanti dei nostri tempi. Ha dichiarato di essere motivato dalla ricerca di prove sull’esistenza degli UFO, sostenendo di essere certo che i militari statunitensi detenessero tecnologia per l’antigravità e che il governo americano cercasse di sopprimere la diffusione della cosiddetta "energia libera". Da solo, McKinnon scansionò migliaia di computer governativi e individuò gravi falle di sicurezza in molti di essi. Tra febbraio 2001 e marzo 2002 violò quasi un centinaio di macchine appartenenti all’Esercito, alla Marina, all’Aeronautica, alla NASA e al Dipartimento della Difesa. Per mesi si muovette all’interno di quei sistemi, copiando file e password; in un episodio paralizzò la rete dell’esercito americano a Washington, DC, rendendo inutilizzabili circa 2.000 computer per tre giorni. Nonostante le sue competenze, non riuscì a nascondere le tracce e fu individuato in un piccolo appartamento a Londra. Nel marzo 2002 la National Hi-Tech Crime Unit del Regno Unito lo arrestò: all’epoca era un tranquillo scozzese di 36 anni, con tratti che qualcuno descriveva come elfico e sopracciglia pronunciate in stile Spock. Era stato amministratore di sistema, ma al momento dell’arresto non aveva un impiego fisso e trascorreva le giornate coltivando la sua ossessione per gli UFO. A quattordici anni imparò da autodidatta a programmare videogiochi ambientati nello spazio sul suo computer Atari. Entrò nella British UFO Research Association e trovò una comunità di appassionati con interessi simili; sua madre ricorda che lo interrogò sul patrigno, cresciuto a Bonnybridge, località nota per avvistamenti UFO. Dopo aver lasciato la scuola secondaria, alternò diversi lavori di supporto tecnico. Dopo aver letto The Hacker’s Handbook, manuale degli anni Ottanta, iniziò a sperimentare le tecniche suggerite e nel 2000 decise di cercare prove sugli UFO nei sistemi informatici governativi statunitensi. Concentrato e ossessivo, mise a punto metodi per introdursi nelle macchine. Con Perl scrisse uno script che gli consentiva di scansionare fino a 65.000 computer in meno di otto minuti e scoprì che molti impiegati federali non avevano cambiato le password predefinite. Sorpreso dalla scarsa sicurezza, installò su quegli apparecchi il software RemotelyAnywhere, che permette l’accesso e il controllo remoto; in questo modo poteva spostarsi tra i sistemi, trasferire o cancellare file e interrompere l’attività quando rilevava altri accessi. Si spostò virtualmente da Fort Meade fino al Johnson Space Center della NASA in cerca di tracce di vita extraterrestre; raccontò di aver trovato un elenco di "ufficiali non terrestri" della Marina e una foto di un oggetto a sigaro con cupole geodetiche, foto che però non riuscì a salvare perché in JavaScript. Alimentò la sua ossessione e il piacere dell’hacking: come disse al Guardian nel 2005, era diventato una dipendenza, simile al desiderio di affrontare sfide di sicurezza sempre più complesse. La sua attività venne però scoperta: il Dipartimento di Giustizia statunitense non ha reso pubblici i dettagli su come sia stato rintracciato, ma McKinnon sostiene che la sua intrusione fu individuata quando si collegò al Johnson Space Center in un momento sfortunato; l’accesso fu subito interrotto e, secondo la sua ricostruzione, il ritrovamento del software RemotelyAnywhere sul sistema avrebbe portato agli acquisti associati al suo indirizzo e-mail.

Brendan Eich: il creatore di JavaScript e pioniere del web moderno

Autore: by Antonello Camilotto 8 ottobre 2025
Brendan Eich è una delle figure più influenti nella storia dell’informatica moderna. Nato nel 1961 a Pittsburgh, in Pennsylvania, è conosciuto soprattutto per aver creato JavaScript, uno dei linguaggi di programmazione più utilizzati al mondo. Tuttavia, la sua carriera va ben oltre questo contributo: Eich è anche uno dei fondatori di Mozilla e, successivamente, il creatore del browser Brave e della criptovaluta Basic Attention Token (BAT). Gli inizi e la creazione di JavaScript Dopo aver conseguito una laurea in matematica e informatica alla Santa Clara University e un master all’Università dell’Illinois a Urbana-Champaign, Eich lavorò per Silicon Graphics e MicroUnity. Nel 1995 entrò in Netscape Communications, dove gli fu affidato un compito che avrebbe cambiato per sempre il web: sviluppare un linguaggio di scripting da integrare nel browser Netscape Navigator. Incredibilmente, Eich scrisse la prima versione di JavaScript in soli dieci giorni. L’obiettivo era creare un linguaggio facile da apprendere per gli sviluppatori web, capace di rendere le pagine dinamiche e interattive senza la necessità di compilazione. Il risultato fu un linguaggio flessibile, interpretato e basato su concetti del linguaggio Scheme e della sintassi di Java. Nel giro di pochi anni, JavaScript divenne uno standard del web, adottato da tutti i principali browser e poi formalizzato come ECMAScript dal consorzio ECMA International. L’era Mozilla Dopo la fusione di Netscape con AOL, Eich continuò a lavorare sul progetto Mozilla, un’iniziativa open source nata per creare un browser libero e indipendente. Nel 2003 fu tra i fondatori della Mozilla Foundation, che avrebbe poi dato vita a Firefox, uno dei browser più popolari e apprezzati per la sua attenzione alla privacy e alla libertà dell’utente. Nel 2014 Eich fu nominato CEO di Mozilla, ma la sua permanenza durò solo pochi giorni a causa di polemiche legate a una sua donazione politica del 2008. Dopo le dimissioni, si allontanò temporaneamente dai riflettori, per poi tornare con un nuovo progetto che avrebbe combinato tecnologia blockchain e navigazione web. Brave e la rivoluzione della privacy Nel 2015 Eich fondò Brave Software, l’azienda dietro il browser Brave. L’obiettivo era ambizioso: creare un browser veloce, sicuro e attento alla privacy, capace di bloccare di default la pubblicità invasiva e i tracciatori. Allo stesso tempo, Brave proponeva un nuovo modello economico basato sulla criptovaluta Basic Attention Token (BAT), che consente agli utenti di essere ricompensati per l’attenzione prestata agli annunci pubblicitari. Brave rappresenta una risposta concreta ai problemi di privacy e sostenibilità economica del web moderno, incarnando la visione di Eich di un internet più equo e rispettoso dell’utente. Eredità e impatto Il contributo di Brendan Eich va ben oltre la creazione di un linguaggio di programmazione: ha influenzato profondamente la struttura stessa del web. JavaScript è oggi la base dello sviluppo front-end, presente in milioni di siti e applicazioni. Allo stesso tempo, attraverso Mozilla e Brave, Eich ha promosso un’idea di internet aperto, trasparente e orientato alla libertà individuale. In definitiva, Brendan Eich è una figura complessa e visionaria: un innovatore tecnico, un sostenitore dell’open source e un imprenditore che continua a ridefinire i confini del web.

Data Breach: i miti da sfatare

Autore: by Antonello Camilotto 2 ottobre 2025
Il termine data breach è ormai entrato nel linguaggio comune, spesso associato a scenari catastrofici e notizie di cronaca legate alla perdita o al furto di dati sensibili. Tuttavia, intorno a questo fenomeno circolano ancora molti luoghi comuni che rischiano di far abbassare la guardia o, al contrario, di alimentare panico ingiustificato. Facciamo chiarezza, sfatando alcuni miti diffusi. Mito 1: “Un data breach riguarda solo le grandi aziende” La realtà è opposta: anche le piccole e medie imprese sono bersaglio frequente di attacchi informatici. Spesso, anzi, risultano più vulnerabili perché non dispongono delle stesse risorse per la sicurezza informatica di una multinazionale. Nessuna organizzazione è troppo piccola per essere presa di mira: i criminali cercano opportunità, non dimensioni. Mito 2: “I data breach avvengono solo dall’esterno” Non sempre le violazioni derivano da hacker esterni. Una parte significativa dei data breach è dovuta a errori interni, negligenze o comportamenti scorretti da parte di dipendenti e collaboratori. Anche una semplice e-mail inviata al destinatario sbagliato può costituire un data breach. Mito 3: “Se i dati non sono sensibili, non c’è pericolo” Ogni informazione ha valore. Anche dati apparentemente innocui, come indirizzi e-mail o numeri di telefono, possono essere utilizzati per campagne di phishing, furto di identità o social engineering. Minimizzare l’importanza delle informazioni può favorire l’esposizione a rischi seri. Mito 4: “Un data breach si risolve con la tecnologia” Gli strumenti tecnologici sono indispensabili, ma da soli non bastano. La sicurezza è anche una questione di processi, formazione del personale e cultura aziendale. La prevenzione richiede un approccio integrato che includa procedure chiare, consapevolezza degli utenti e piani di risposta agli incidenti. Mito 5: “Se non si parla del problema, sparisce” Ignorare o sottovalutare un data breach è un errore grave. La normativa, come il GDPR in Europa, impone obblighi stringenti in materia di notifica e gestione delle violazioni. Tentare di nascondere un incidente può comportare sanzioni pesanti e danni reputazionali difficili da recuperare. I data breach non sono eventi rari né circoscritti a contesti specifici: rappresentano una minaccia concreta per qualsiasi realtà, indipendentemente dalla dimensione o dal settore. Per difendersi è necessario superare i falsi miti, adottare un approccio consapevole e proattivo e considerare la sicurezza dei dati come una responsabilità condivisa da tutta l’organizzazione.

La posta dei municipi: chi gestisce davvero le email dei comuni italiani?

Autore: by Antonello Camilotto 2 ottobre 2025
Chi scrive ai comuni italiani, spesso non ci pensa: dietro ogni indirizzo di posta elettronica istituzionale c’è un fornitore di servizi che garantisce la consegna, la sicurezza e la gestione dei messaggi. Ma quali provider dominano davvero la corrispondenza digitale dei municipi del nostro Paese? Secondo un’analisi condotta su un campione rappresentativo di indirizzi istituzionali, il panorama è meno variegato di quanto ci si potrebbe aspettare. Gran parte delle amministrazioni si affida ancora a soluzioni tradizionali, spesso centralizzate a livello regionale o fornite da società pubbliche e partecipate. In prima linea ci sono infatti i servizi legati a Aruba, Microsoft e Google, che negli ultimi anni hanno guadagnato terreno anche grazie a convenzioni Consip e gare pubbliche. Non mancano però le eccezioni: alcuni comuni, soprattutto i più piccoli, utilizzano ancora provider locali o servizi gestiti da consorzi intercomunali, spesso legati a società informatiche regionali. Questa scelta, se da un lato garantisce vicinanza e assistenza personalizzata, dall’altro può tradursi in una minore capacità di aggiornamento tecnologico rispetto ai grandi player. Il tema non è secondario: l’adozione di un provider piuttosto che un altro influisce su sicurezza, interoperabilità e costi. Nel pieno delle politiche di digitalizzazione promosse dal PNRR e dall’AgID, la scelta del servizio di posta elettronica diventa anche un tassello strategico. In particolare, la PEC (Posta Elettronica Certificata), strumento fondamentale per le comunicazioni ufficiali, resta saldamente in mano ad Aruba e ad altri operatori italiani accreditati, in linea con la normativa nazionale ed europea. La fotografia che emerge è quindi quella di un’Italia a più velocità: grandi città e capoluoghi sempre più orientati verso infrastrutture cloud internazionali, piccoli comuni che faticano a staccarsi da provider storici e soluzioni su misura. La sfida, nei prossimi anni, sarà garantire a tutti i municipi un’infrastruttura sicura, efficiente e interoperabile, senza lasciare indietro nessuno.
Mostra Altri