Chrome 72 pensa alla sicurezza

Il team di Google ha annunciato l'arrivo della stable release di Chrome 72. Questa nuova build si focalizza principalmente sull'introduzione di nuove Web API e sull'aggiornamento dei protocolli supportati. Ad tal proposito è stato completamente rimosso il supporto all'HTTP-Based Public Key Pinning (HPKP) e sono stati deprecati TLS 1.0 e 1.1.

L'HTTP Public Key Pinning è un meccanismo di sicurezza fornito tramite un'intestazione HTTP che consente ai siti Web HTTPS di resistere agli attaccanti da parte di malintenzionati che cercano di mascherare la propria identità, tentando in questo modo di accedere ai dati dell'utente con metodi di impersonation e certificati digitali non corretti o fraudolenti. HPKP lavora fornendo un insieme di chiavi pubbliche al client (come un Browser web) che dovrebbero essere le uniche fidate per le future connessioni allo stesso domain name.

Un attaccante potrebbe ad esempio compromettere un'autorità di certificazione e quindi emettere certificati fraudolenti. Come contromisura il server Web HTTPS pubblica un elenco di hash delle chiavi pubbliche "pinned", valide per un determinato periodo di tempo. Nelle connessioni successive, durante il periodo di validità, i client si aspettano che il server utilizzi una o più di queste chiavi pubbliche nella certificate chain. In caso contrario, viene visualizzato un messaggio di errore che non può essere (facilmente) bypassato dall'utente.

Tale meccanismo di sicurezza è stato però valutato inadatto all'uso su larga scala a causa della sua complessità e dei pericolosi effetti collaterali derivati dalla sua adozione. Il team di Chrome consiglia infatti di utilizzare Expect-CT come alternativa più sicura. Google aveva già annunciato la fine del supporto ad HPKP nell'ottobre del 2017, dunque i gestori dei siti Web che facevano affidamento sull'HTTP-Based Public Key Pinning hanno avuto ben 2 anni di tempo per adattarsi.

Altra novità riguarda il blocco del rendering delle risorse FTP. Questo perché FTP è da tempo considerato un protocollo troppo poco sicuro e dunque si è deciso di consentire unicamente la visualizzazione della lista delle directory ma non il caricamento dei contenuti presenti in un server FTP. Tali contenuti potranno però essere scaricati dall'utente.

Per quanto concerne TLS 1.0 e TLS 1.1, l'utente potrà comunque continuare a visualizzare i siti Web che adottano versioni cosi datate di TLS, ma Chrome segnalerà tali risorse come "insicure".

Ufficialmente sarà impedito all'utente di visualizzare siti Web sotto TLS 1.0 e 1.1 a partire da Chrome 81, previsto per il 2020. Anche Mozilla si sta muovendo in tale direzione e l'anno scorso Apple ha deciso di deprecare questi due vecchi protocolli dal suo motore di rendering Webkit.

Con questa iniziativa i vari produttori di browser Web vogliono promuovere la diffusione di protocolli di sicurezza più moderni e robusti come ad esempio TLS 1.4. Inoltre l'adozione di versioni di TLS più recenti assicura:

• la resistenza agli attacchi di tipo BEAST (Browser Exploit Against SSL/TLS);
• la rimozione delle funzioni di hash obbligatorie ed insicure con SHA-1 e MD5;
• la resistenza agli attacchi downgrade-related come i LogJam e i FREAK.