Dovresti sempre proteggere tutti i tuoi siti web con HTTPS, anche se non gestiscono comunicazioni sensibili. Oltre a fornire sicurezza critica e integrità dei dati sia per i tuoi siti web che per le informazioni personali dei tuoi utenti, HTTPS è un requisito per molte nuove funzionalità del browser, in particolare quelle necessarie per le app web progressive.
Riepilogo
- Gli intrusi, sia maligni che benigni, sfruttano ogni risorsa non protetta tra i tuoi siti web e gli utenti.
- Molti intrusi esaminano i comportamenti aggregati per identificare gli utenti.
- HTTPS non blocca solo l'uso improprio del tuo sito web, È inoltre un requisito per molte funzionalità all'avanguardia e una tecnologia abilitante per funzionalità simili alle app come i service worker.
HTTPS protegge l'integrità del tuo sito web
HTTPS aiuta a impedire a intrusi di manomettere le comunicazioni tra i tuoi siti web e i browser degli utenti. Gli intrusi includono utenti malintenzionati intenzionale e aziende legittime ma invasive, come ISP o hotel che inseriscono annunci nelle pagine.
Gli intrusi sfruttano le comunicazioni non protette per indurre con l'inganno gli utenti a fornire informazioni sensibili o a installare malware oppure a inserire i propri annunci nelle tue risorse. Ad esempio, alcune terze parti inseriscono pubblicità in siti web che potrebbero rompere l'esperienza utente e creare vulnerabilità per la sicurezza.
Gli intrusi sfruttano ogni risorsa non protetta che si sposta tra i tuoi siti web e i tuoi utenti. Immagini, cookie, script, HTML... sono tutti sfruttabili. Le intrusioni possono verificarsi in qualsiasi punto della rete, inclusi il computer di un utente, un hotspot Wi-Fi o un ISP compromesso, solo per citarne alcuni.
HTTPS protegge la privacy e la sicurezza dei tuoi utenti
HTTPS impedisce agli intrusi di ascoltare passivamente le comunicazioni tra i tuoi siti web e i tuoi utenti.
Un equivoco comune sul protocollo HTTPS è che gli unici siti web che necessitano di questo protocollo siano quelli che gestiscono comunicazioni sensibili. Ogni richiesta HTTP non protetta può potenzialmente rivelare informazioni sui comportamenti e sulle identità dei tuoi utenti. Sebbene una singola visita a uno dei tuoi siti web non protetti possa sembrare benigna, alcuni intrusi esaminano le attività di navigazione aggregate dei tuoi utenti per dedurre i loro comportamenti e le loro intenzioni e per anonimizzare le loro identità. Ad esempio, i dipendenti potrebbero inavvertitamente divulgare informazioni su condizioni di salute sensibili al proprio datore di lavoro semplicemente leggendo articoli medici non protetti.
HTTPS è il futuro del web
Le nuove e potenti funzionalità della piattaforma web, come la registrazione di foto o la registrazione di audio con getUserMedia(), l'attivazione di esperienze con le app offline con i lavoratori dei servizi o la creazione di app web progressive, richiedono l'autorizzazione esplicita dell'utente prima dell'esecuzione. Anche molte API meno recenti vengono aggiornate in modo da richiedere l'autorizzazione per l'esecuzione, ad esempio l'API Geolocation. HTTPS è un componente chiave dei flussi
di lavoro delle autorizzazioni per queste nuove funzionalità e API aggiornate.