by Antonello Camilotto

Sicurezza Web: la protezione SSL

Gli attacchi informatici sono ormai notizia di tutti i giorni e la cybersecurity rappresenta un aspetto cruciale per il business moderno. Quali sono le minacce più comuni? Come proteggere il proprio sito?

Chi, oggi, si trova a gestire e manutenere un sito web è certamente chiamato ad avere un occhio di riguardo per la protezione dell’infrastruttura usata e dei dati contenuti. Lo stesso vale per la sicurezza delle connessioni stabilite con le pagine che compongono il portale.

Un sito Internet deve infatti essere costantemente aggiornato e monitorato al fine di garantire continuità d’esercizio e un elevato grado di sicurezza per gli utenti finali.

La presenza di minacce e attacchi è ormai una costante. Parliamo di attività mirate o ad ampio spettro, che vanno a colpire settori specifici o categorie eterogenee di siti.

Per i malintenzionati, sviluppare soluzioni in grado di infettare e aggredire un portale Web è sempre più facile. Malware as-a-Service e vulnerabilità di piattaforma possono fare leva sui punti critici del sistema e generare instabilità o, peggio, agevolare l’ingresso dei cybercriminali.

Non solo, occorre fare molta attenzione alla configurazione del server su cui è ospitato il sito web. Molte spesso, configurazioni errate, l’assenza di manutenzione e aggiornamenti tempestivi possono determinare vulnerabilità gravi.

Nello specifico, un malware è un software progettato per agevolare attività fraudolente da parte degli hacker, che possono bloccare le attività in corso, danneggiare o prendere il controllo di un dato sistema. Molto spesso, questo tipo di codice è usato per appropriarsi dei dati sensibili trasmessi verso il sito.

Sono ancora molto diffuse le tecniche di reindirizzamento malevolo (phishing). In questo modo chi mette in atto un attacco informatico è in grado di reindirizzare gli utenti che stanno visitando un determinato sito. La pagina di atterraggio si troverà su un altro server e conterrà link e software che potrebbero mettere a rischio la sicurezza dei dati e la privacy del visitatore.

Un’altra modalità di attacco è quella denominata “defacement”. In questo caso, il malware è usato per alterare la pagina principale del sito target. L’attacco può avvenire eseguendo uno script da computer remoto senza accedere al sistema operativo. Il risultato può consistere nella modifica di una o più pagine Web con altre completamente diverse e composte da contenuti di vario tipo non inseriti originariamente dal gestore del sito web.

Furto, controllo e manipolazione delle informazioni

Sussistono poi tecniche particolarmente “raffinate”, come il cross-site scripting. Si poggia su alcune vulnerabilità dei siti Web dinamici: l’attaccante utilizza codice malevolo per raccogliere, manipolare e reindirizzare informazioni riservate.
L’iniezione di codice dannoso può avvenire tramite ActiveX, Flash, HTML, Java, Script Visual Basic.
All’atto pratico, inserendo per esempio del codice java script, un malintenzionato potrebbe sottrarre dati sensibili contenuti nei cookie e nei token di sessione.
Disponendo di dati specifici dell’utente, il criminale può quindi impersonificare l’utente e utilizzare vari servizi in sua vece.

Con SQL injection, invece, si intende un tipo di minaccia ampiamente utilizzata da tempo. Gli attaccanti sfruttano alcuni errori nella programmazione di pagine web per inserire un codice non previsto all’interno di moduli di inserimento dati.
In pratica, un hacker esperto di sintassi SQL invia valori falsi in risposta ai moduli delle pagine, con l’intento di ottenere un accesso diretto ed esteso al database di back-end.

Le informazioni così inserite in quei campi possono essere facilmente sottratte e usate per scopi illeciti.
Da qui, si sviluppano attività illecite di intercettazioni di dati. I malintenzionati e le associazioni fraudolente riescono così a disporre di informazioni altamente sensibili, quali per esempio: indirizzi di posta elettronica, recapiti telefonici, indirizzi di domicilio o informazioni su carte di credito e sistemi di pagamento.
Un fiorente mercato nero si è sviluppato negli anni attorno alla rivendita di queste informazioni.

BREACH e MITB

Esistono inoltre attacchi ad elevata complessità come quelli BREACH, o Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext.

Questa tecnica sfrutta molteplici meccanismi, come attacchi a forza bruta e algoritmi “divide et impera”. In questo modo, gli hacker possono usare exploit BREACH per accedere ai dati sensibili e altre informazioni personali presenti sui siti Web.
Tali attacchi colpiscono tutte le versioni del protocollo SSL/TLS ma possono essere efficaci solo in alcune condizioni specifiche. Per esempio, quando l’attaccante porta l’utente a visitare un sito Web contenente script infetti e riesce a introdurre un MITB (Man-in-the-Browser) capace di inviare richieste al sito Web target.

MITB è una formula di attacco particolarmente pericolosa perché capace di colpire il client della vittima per intercettare e modificare il traffico dati da/verso il server; per questo motivo è di fondamentale importanza non navigare su siti di dubbia affidabilità.

Protezione SSL

La tecnologia SSL / TLS è ampiamente usata per irrobustire la sicurezza degli scambi di dati su Internet. Si occupa di crittografare e proteggere le informazioni trasmesse tramite protocollo HTTPS. L’SSL garantisce ai visitatori del sito Web che i dati non siano intercettati illegalmente.

L’architettura di base prevede la cifratura dei dati scambiati. Solo l’utente che stabilisce il collegamento e il server sul quale il sito Web è ospitato avranno accesso alle informazioni.

Il processo operativo include la disponibilità di un certificato, l’autenticazione dello stesso e la generazione di chiavi numeriche.
La chiave privata è installata sul server e permette la generazione di cache di certificazione per il sito in oggetto.
La chiave pubblica, l'altra parte del certificato SSL, viene installata sul sito.

Tutto questo consente ai visitatori uno scambio di dati cifrato, un aspetto importante soprattutto se si devono inserire informazioni private e sensibili, come numeri di carte bancarie, PIN, e-mail, recapiti personali.

< Post meno recente

Post più recente >

Informazioni Legali

I testi, le informazioni e gli altri dati pubblicati in questo sito nonché i link ad altri siti presenti sul web hanno esclusivamente scopo informativo e non assumono alcun carattere di ufficialità.

Non si assume alcuna responsabilità per eventuali errori od omissioni di qualsiasi tipo e per qualunque tipo di danno diretto, indiretto o accidentale derivante dalla lettura o dall'impiego delle informazioni pubblicate, o di qualsiasi forma di contenuto presente nel sito o per l'accesso o l'uso del materiale contenuto in altri siti.

Gli italiani e la privacy online: tra consapevolezza e contraddizioni digitali

Autore: Educazione Digitale • 26 maggio 2026

Negli ultimi anni, il rapporto tra gli italiani e la privacy online è cambiato profondamente. Da tema percepito come tecnico e distante, la protezione dei dati personali è diventata una questione quotidiana, intrecciata con l’uso dei social network, dell’e-commerce, delle app bancarie e perfino dei servizi sanitari digitali. Tra crescente consapevolezza e abitudini spesso contraddittorie, emerge il ritratto di un Paese che vuole più tutela, ma che fatica ancora a rinunciare alla comodità del mondo digitale. Secondo diverse ricerche europee sul comportamento digitale, gli italiani mostrano una diffidenza superiore alla media verso la raccolta dei dati personali. La paura di truffe informatiche, furti d’identità e utilizzi impropri delle informazioni private è aumentata soprattutto dopo la diffusione massiccia dello smart working e dei pagamenti online. Episodi di cyberattacchi contro aziende, enti pubblici e piattaforme digitali hanno contribuito a rafforzare l’idea che la sicurezza informatica non riguardi più soltanto gli esperti. Eppure, alla preoccupazione non corrisponde sempre una reale attenzione ai comportamenti quotidiani. Password deboli, autorizzazioni concesse senza leggere le condizioni d’uso e condivisione eccessiva di informazioni sui social restano pratiche diffuse. È il grande paradosso della privacy contemporanea: gli utenti dichiarano di voler proteggere i propri dati, ma continuano a cederli in cambio di servizi gratuiti, personalizzazione e immediatezza. Il ruolo dei social network è centrale in questa trasformazione culturale. Piattaforme come Meta, TikTok e Google hanno modificato il concetto stesso di riservatezza, spingendo milioni di persone a condividere aspetti della propria vita privata un tempo considerati intimi. Foto, posizione geografica, preferenze personali e persino dati biometrici entrano ogni giorno in un enorme ecosistema economico fondato sull’analisi delle informazioni degli utenti. In Italia, il dibattito sulla privacy è stato influenzato anche dall’azione del Garante per la protezione dei dati personali, che negli ultimi anni ha intensificato controlli e sanzioni nei confronti di aziende e piattaforme digitali. Il regolamento europeo GDPR ha rappresentato un punto di svolta importante, imponendo maggiore trasparenza nella gestione dei dati e introducendo nuovi diritti per i cittadini. Tuttavia, molti utenti continuano a percepire le informative sulla privacy come lunghe, complesse e difficili da comprendere. Le nuove generazioni mostrano un atteggiamento ancora più sfumato. I giovani sono generalmente più abituati alla condivisione online, ma anche più consapevoli dei rischi legati alla reputazione digitale. Cresce, ad esempio, l’uso di account privati, messaggi temporanei e strumenti di autenticazione avanzata. Parallelamente, aumenta l’interesse verso applicazioni di messaggistica considerate più sicure, come Signal e Telegram. Anche il mondo del lavoro contribuisce a ridefinire il rapporto con la privacy. La diffusione dell’intelligenza artificiale, dei software di monitoraggio e dell’analisi dei dati apre interrogativi delicati sul confine tra sicurezza, produttività e sorveglianza. Molti lavoratori temono un controllo sempre più invasivo delle proprie attività digitali, mentre le aziende cercano di bilanciare efficienza e rispetto della normativa. Nel frattempo, il mercato della cybersecurity cresce rapidamente. Antivirus, VPN e sistemi di autenticazione a due fattori stanno entrando nell’uso comune, segnale di una maggiore attenzione alla protezione individuale. Tuttavia, gli esperti sottolineano che la tecnologia da sola non basta: serve soprattutto educazione digitale. Il futuro della privacy online in Italia dipenderà proprio da questo equilibrio. Da una parte, cittadini sempre più connessi e desiderosi di servizi digitali semplici e veloci; dall’altra, la necessità di difendere diritti fondamentali in un ecosistema in cui i dati personali rappresentano una delle risorse economiche più preziose. La sfida non sarà soltanto tecnologica o normativa, ma culturale: imparare a considerare la privacy non come un ostacolo all’innovazione, ma come una condizione essenziale per una società digitale più consapevole e libera.

Google rivoluziona la ricerca: il cambiamento più importante degli ultimi 25 anni

Autore: Web e Social • 25 maggio 2026

Tra le principali novità presentate da Google c’è il rinnovamento di Google Search, il motore di ricerca utilizzato — secondo l’azienda — da oltre 3 miliardi di persone in tutto il mondo. La nuova funzione Intelligent Search, alimentata dall’intelligenza artificiale, consentirà agli utenti di formulare richieste in modo più naturale e dettagliato, senza dover ricorrere alle classiche parole chiave. Google definisce questa evoluzione «il più importante aggiornamento della ricerca degli ultimi 25 anni». In un esempio condiviso sul blog ufficiale dell’azienda, un utente scrive direttamente nella barra di ricerca di voler iniziare un hobby legato alla ceramica, chiedendo suggerimenti per corsi disponibili il martedì sera o nel weekend nelle vicinanze. Il sistema restituisce così risultati più pertinenti e personalizzati, offrendo anche la possibilità di continuare la conversazione con ulteriori domande tramite la modalità IA di Google. In questo modo, spiega l’azienda, il contesto della ricerca viene mantenuto durante tutta l’esplorazione.

Carte di pagamento e attacchi “brute force”: come sono cambiate le minacce e le difese

Autore: Educazione Digitale • 25 maggio 2026

Gli attacchi di tipo “brute force” contro le carte di pagamento restano una minaccia nel panorama della sicurezza digitale, ma oggi il contesto tecnologico e le misure di protezione hanno reso questo tipo di attacco molto meno efficace rispetto al passato. Il principio alla base rimane lo stesso: tentare automaticamente un numero enorme di combinazioni di numeri di carta e codici di sicurezza fino a trovare quella corretta. In teoria, se un sistema non avesse limiti o controlli, un computer potrebbe testare milioni o miliardi di combinazioni in tempi molto brevi. Tuttavia, il funzionamento reale dei circuiti di pagamento moderni rende questo scenario molto più difficile da realizzare. Perché gli attacchi brute force oggi sono meno efficaci Le carte di pagamento non sono sistemi “aperti” a tentativi illimitati. I principali circuiti e le banche hanno introdotto diversi livelli di protezione: limitazione del numero di tentativi di inserimento dati; blocco automatico delle transazioni sospette; sistemi antifrode basati su intelligenza artificiale e analisi comportamentale; autenticazione forte del cliente (SCA), richiesta in molte operazioni online; notifiche in tempo reale per ogni transazione. Inoltre, molte transazioni online non utilizzano più direttamente i dati statici della carta, ma sistemi come tokenizzazione e carte virtuali temporanee, che riducono drasticamente il valore dei dati rubati. Il ruolo del dark web e dei dati rubati Nonostante le difese, i dati delle carte possono ancora comparire nel dark web a seguito di violazioni di siti e servizi poco sicuri. In questi casi, però, il problema principale non è tanto il brute force, quanto: furti di database già compromessi; phishing e ingegneria sociale; malware su dispositivi infetti. Gli attacchi moderni tendono quindi a colpire più spesso l’utente o i servizi intermedi, piuttosto che “indovinare” i numeri della carta. Cosa può fare l’utente per proteggersi La sicurezza non dipende solo dai sistemi bancari, ma anche da alcune buone pratiche: controllare frequentemente i movimenti del conto; attivare notifiche per ogni transazione; utilizzare carte virtuali o temporanee per gli acquisti online; mantenere saldo limitato sulle carte usate per il commercio elettronico; evitare di salvare i dati della carta su siti non affidabili. Gli attacchi brute force non sono scomparsi, ma sono oggi fortemente limitati dalle misure di sicurezza dei circuiti di pagamento. Il rischio principale si è spostato verso furti di dati, phishing e vulnerabilità dei servizi online, rendendo la prevenzione e il monitoraggio continuo più importanti della semplice protezione del numero della carta.

L’uso del Bluetooth in auto può comportare rischi informatici legati a vulnerabilità come il cosiddetto “PerfektBlue”

Autore: Educazione Digitale • 25 maggio 2026

L’utilizzo del Bluetooth nei sistemi di infotainment delle automobili è ormai una funzione quotidiana per milioni di automobilisti. Consente di effettuare chiamate in vivavoce, ascoltare musica e collegare lo smartphone al veicolo in modo rapido e senza cavi. Tuttavia, proprio questa comodità potrebbe nascondere alcune insidie per la sicurezza informatica. Secondo diversi esperti di cybersecurity, le connessioni wireless integrate nei veicoli moderni possono rappresentare un possibile punto d’ingresso per attacchi informatici, soprattutto quando vengono sfruttate vulnerabilità non ancora corrette dai produttori. Tra queste, viene talvolta citato un insieme di falle ribattezzato “PerfektBlue”, che riguarderebbe debolezze nei protocolli o nelle implementazioni Bluetooth utilizzate in alcuni sistemi automobilistici. In scenari teorici, un attaccante sufficientemente vicino al veicolo potrebbe tentare di sfruttare tali vulnerabilità per ottenere accesso non autorizzato a determinate funzioni del sistema infotainment, con possibili conseguenze che vanno dal furto di dati personali fino, nei casi più estremi, all’interferenza con alcune funzionalità del veicolo. Gli esperti sottolineano però che non tutti i veicoli sono necessariamente esposti e che molto dipende dal modello dell’auto, dalla versione del software installato e dalla rapidità con cui i produttori rilasciano aggiornamenti di sicurezza. Inoltre, nella maggior parte dei casi, le vulnerabilità vengono individuate in ambienti controllati e corrette prima che possano essere sfruttate su larga scala. Per ridurre i rischi, gli specialisti consigliano alcune buone pratiche: mantenere sempre aggiornato il sistema multimediale dell’auto, disattivare il Bluetooth quando non è necessario e prestare attenzione all’associazione con dispositivi sconosciuti. Il tema della sicurezza delle auto connesse resta comunque centrale in un’epoca in cui i veicoli sono sempre più integrati con smartphone e servizi digitali. La sfida per i produttori sarà garantire innovazione e connettività senza compromettere la protezione dei dati e la sicurezza degli utenti.

Meta presenta Forum, la nuova app pensata per i gruppi Facebook

Autore: Web e Social • 23 maggio 2026

Disponibile per il momento soltanto negli Stati Uniti, la nuova applicazione punta a introdurre strumenti basati sull’intelligenza artificiale per la gestione e la moderazione delle conversazioni online. Sull’App Store americano di Apple è comparsa una nuova app sviluppata da Meta. Si chiama Forum e nasce con l’obiettivo di offrire un accesso dedicato ai gruppi di Facebook, permettendo agli utenti di seguire le attività dei gruppi amministrati o a cui sono iscritti senza dover utilizzare l’app principale del social network. La piattaforma introduce anche nuove funzionalità basate sull’IA. Tra queste c’è “Chiedi”, uno strumento progettato per raccogliere e sintetizzare risposte provenienti contemporaneamente da più gruppi, facilitando così la ricerca di informazioni specifiche. L’altra novità è un assistente virtuale destinato agli amministratori, pensato per semplificare le attività quotidiane di moderazione e gestione delle community. Non è la prima volta che Meta sperimenta una soluzione di questo tipo: in passato l’azienda aveva già lanciato un’app dedicata ai gruppi, successivamente ritirata nel 2017. Al sito TechCrunch, Meta ha spiegato che Forum è ancora in fase sperimentale, motivo per cui al momento è disponibile solo negli Stati Uniti e soltanto per iPhone. Un portavoce dell’azienda ha aggiunto che rientra nella normale strategia della società testare pubblicamente nuovi prodotti per valutarne utilità e gradimento da parte degli utenti.

Microsoft ha deciso di abbandonare la verifica tramite SMS

Autore: Flash News • 22 maggio 2026

Microsoft ha deciso di abbandonare la verifica tramite SMS perché i messaggi di testo non sono più considerati un sistema affidabile per proteggere l’identità digitale degli utenti. L’azienda di Redmond ha annunciato l’eliminazione progressiva dell’autenticazione via SMS per gli account Microsoft personali. In un avviso ufficiale, riportato anche da Windows Latest, Microsoft ha spiegato che “l’autenticazione tramite SMS è oggi una delle principali fonti di frode” e che il futuro della sicurezza sarà “senza password, più sicuro e più intuitivo”. Gli SMS, infatti, non sono mai stati progettati per rispondere alle esigenze della moderna sicurezza informatica. I messaggi vengono trasmessi attraverso reti cellulari vulnerabili e possono essere intercettati con relativa facilità. A questo si aggiungono gli attacchi di SIM swap, una tecnica con cui i criminali convincono l’operatore telefonico a trasferire il numero della vittima su una SIM controllata da loro. In questo modo riescono a ricevere i codici di autenticazione e ad accedere agli account protetti. Per contrastare questi rischi, Microsoft punta sulle passkey, chiavi di accesso crittografate considerate molto più sicure rispetto a password tradizionali e codici SMS. Le passkey sfruttano i sistemi biometrici integrati nei dispositivi, come il riconoscimento facciale di Windows Hello, il lettore di impronte digitali o un PIN locale. Quando l’utente effettua l’accesso, viene generata una coppia di chiavi crittografiche: la chiave privata rimane sempre salvata all’interno del dispositivo e non viene mai trasmessa online, rendendo estremamente difficile qualsiasi tentativo di phishing o intercettazione remota. A seconda della configurazione scelta, le passkey possono restare legate a un singolo dispositivo oppure essere sincronizzate tra più dispositivi tramite servizi come Portachiavi iCloud di Apple o Google Password Manager. Questo consente di recuperare l’account in modo sicuro anche in caso di smarrimento dello smartphone.

Mostra Altri