Addon per sapere se un sito è stato colpito da Heartbleed, Chrome e Firefox

Estensioni e addon per Chrome e Firefox per sapere se un sito internet è afflitto da Heartbleed la falla di sicurezza dell’HTTPS

Qualche giorno fa abbiamo visto nel dettaglio la falla di sicurezza Heartbleed che sta facendo tremare internet. Per chi si è perso l’articolo, consultabile su questa pagina, riassumendo rapidamente Heartbleed è un bug del software OpenSSL il quale ha la funzione di cifrare il protocollo HTTPS utilizzato dai siti web al fine di proteggere l’autenticazione con password e i dati sensibili immessi dagli utenti in maniera tale che queste informazioni private non possano essere intercettate e interpretate da terzi (hacker e cybercriminali vari). In parole povere ciò (questa falla di sicurezza) significa che che la password e i dati sensibili digitati dagli utenti non vengono criptati bensì teoricamente risultano essere in chiaro e intercettabili da terzi.

Heartbleed affligge ormai da due anni OpenSSL versione 1.0.1 e quest’ultimo è utilizzato da due terzi dei siti internet fra i quali tanti noti siti visitati e adoperati ogni giorno da milioni di utenti. Tale falla di sicurezza è stata risolta con la recente nuova versione del software OpenSSL ovvero OpenSSL 1.0.1g. Svariati siti hanno dunque rimediato al bug di sicurezza installando OpenSSL 1.0.1g, ma il problema è che tanti altri siti ancora non hanno provveduto in tal senso in quanto questa procedura richiede tempo e mezzi. Di conseguenza è altamente probabile che si possa finire su qualche sito web che ancora usa OpenSSL versione 1.0.1 non sicura, quindi le password e i dati personali immessi in tali domini sono a rischio intercettazione da parte di terzi.

Va da se che se ci si ritrova su siti che utilizzano ancora OpenSSL 1.0.1, non si deve assolutamente immettere password e interagire con essi digitando dati privati; possibilmente evitare di interagirci del tutto. Ma come si fa a sapere se un sito internet utilizza OpenSSL 1.0.1? Alcune aziende si sono mobilitate tempestivamente in tal senso; infatti come riportato nell’articolo dedicato a Heartbleed sono già disponibili alcuni servizi online che consentono di verificare, immettendo il dominio di proprio interesse, se un sito internet è afflitto o meno da Heartbleed. Fra essi:
In questi ultimi giorni sono state sviluppati e resi disponibili anche alcuni componenti aggiuntivi per i browser internet, anch’essi con la medesima funzione di informare l’utente se il sito internet che si sta visitando è colpito da Heartbleed o meno. Soluzione più comoda in quanto i domini visitati vengono automaticamente scansionati per tale proposito senza che l’utente debba intervenire manualmente copiando e incollando l’indirizzo su i servizi sopra citati. A seguire andiamo a vedere tre componenti aggiuntivi per Chrome e Firefox con i quali sapere subito se un sito internet è afflitto dalla falla di sicurezza Heartbleed.

Chromebleed (per Google Chrome)
Chromebleed (una volta installato la sua icona del cuore sanguinante, che appunto è il significato del gioco di parole heart+bleed, verrà aggiunta accanto alla barra indirizzi del browser) utilizza un servizio web sviluppato da Filippo Valsorda e controlla l’URL della pagina che si sta visitando. Se il sito è afflitto da Heartbleed, verrà visualizzata una notifica su Chrome che informa l’utente che quel dominio non è sicuro.

Come spiegato in questa guida, l’estensione Chromebleed può essere installata e adoperata anche sul browser internet Opera Next.

Download Chromebleed 

Heartbleed-Ext (per Mozilla Firefox)
Come Chromebleed anche Heartbleed-Ext utilizza il servizio web sviluppato da Filippo Valsorda e controlla l’URL della pagina appena caricata. Se il sito/pagina è colpito da Heartbleed, verrà visualizzata una notifica di avviso su Firefox. Inoltre l’icona del cuore sanguinante sarà di colore verde se il sito web che si sta visitando è sicuro, viceversa sarà di colore rosso se è afflitto da Heartbleed.

Download Heartbleed-Ext

FoxBleed (per Mozilla Firefox)
Anche FoxBleed si basa sul servizio web Filippo scansionando automaticamente le pagine visitate dall’utente. Quest’ultimo nel caso in cui sta visitando un sito afflitto da Heartbleed verrà informato in merito con una notifica su Firefox. FoxBleed non richiede il riavvio del browser.

Download FoxBleed

Nel caso in cui un sito web venisse segnalato come colpito dalla falla di sicurezza Heartbleed, per evitare falsi positivi fare un’ulteriore scansione del dominio verificando il link con i tre servizi web sopra linkati.