I6-5_3ST HTTPS

PREMESSA

Questa non è un'esercitazione di laboratorio, ma un file di Istruzioni che ti spiega come realizzare alcune cose. Siccome il lavoro richiesto deve essere effettuato sul sito web di gruppo, se sei in gruppo con un compagno, devi svolgere il lavoro insieme a lui.

Il file non contiene domande a cui bisogna rispondere né schermate o immagini da incollare. Alla fine il file Word NON deve essere consegnato.

ATTENZIONE: molte richieste contenute in questo file verranno verificate in laboratorio al termine del modulo, nelle successive verifiche pratiche e nelle prossime esercitazioni individuali. NON saltate nessun punto!

Alcune parti prevedono operazioni che è necessario compiere su tutti i PC del gruppo. In questi casi troverai il simbolo della doppia manina, per indicare che la stessa operazione deve essere fatta dappertutto:

indica un'operazione da ripetere su tutti i PC del gruppo

Altre parti invece possono essere svolte solo una volta, su un unico PC. In questo caso troverai il solito simbolo della manina "singola".

indica un'operazione da svolgere su un solo PC

B) HTTPS

HTTPS sta per Hypertex Transport Protocol Secure ed è un protocollo (standard di comunicazione) che permette il trasferimento dei dati in maniera sicura fra il server e il browser dell'utente.

I siti che adottano questo protocollo di comunicazione si riconoscono perché l'url inizia con https (invece di http) ed hanno il simbolo del lucchetto e la scritta Sicuro visualizzata da Chrome:

In pratica in presenza di https tutte le comunicazioni fra il browser e il server che ospita la pagina sono cifrate con un sistema di cifratura asimmetrico a chiave pubblico.

Questo garantisce la sicurezza dei dati trasmessi. Inoltre il motore di ricerca di Google tende a mostrare prima i siti che adottano https. Dal 2017 Google indica come non sicuri tutti i siti che non adottano https.

C) CLOUDFLARE

Fra poco ti mostrerò la procedura per attivare https sul tuo sito su Altervista. Come vedremo, per poter attivare https, Altervista richiede obbligatoriamente di attivare un altro servizio, che si chiama Cloudflare. Di cosa si tratta?

CloudFlare è un caching reverse proxy, ovvero un server che si interpone tra il server dove risiede il tuo sito e il visitatore, svolgendo anche funzioni di caching dei contenuti (salva temporaneamente in memoria i contenuti per poterli servire più velocemente).

Quindi CloudFlare funziona da ponte tra il visitatore ed il sito:

In pratica il visitatore non accede direttamente al sito, ma a una copia cache memorizzata su uno dei server di Cloudflare sparsi per il mondo.

In questo modo, quando arriva una richiesta, CloudFlare controlla se il visitatore è affidabile, e solamente in caso positivo, dopo aver prelevato i contenuti (immagini, CSS e JavaScript) in cache e dopo aver applicato varie ottimizzazioni sui contenuti, li restituisce al visitatore stesso che non si accorgerà di niente.

I VANTAGGI DI CLOUDFLARE

Oltre a essere necessario per poter usufruire di https su Altervista, Cloudflare offre tutta una serie di vantaggi. I principali sono:

1) Velocizza i tempi di accesso al sito

CloudFlare ha molti server sparsi per il mondo nei quali salva in cache i contenuti. Quindi, quando l'utente richiede una pagina, questa gli viene inviata dal server Cloudflare più vicino (invece che direttamente dal server che ospita il sito, cioè Altervista nel nostro caso). In questo modo i tempi necessari alla comunicazione si riducono.

2) Protegge il sito da accessi malevoli

Grazie al fatto che CloudFlare si pone tra il sito ed il visitatore, ha la grande potenzialità di filtrare gli utenti indesiderati, aumentando la sicurezza del tuo sito, proteggendolo dagli attacchi dei malintenzionati.

D) ATTIVARE CLOUDFLARE SU ALTERVISTA

Cloudflare è gratuito e può essere facilmente attivato sul tuo sito su Altervista. Ecco la procedura che devi segure.

D1) Entra con le tue credenziali su Altervista e accedi al pannello RISORSE:

D2) Clicca su Attiva CloudFlare:

D3) Metti la spunta su Accetto i termini e le condizioni di Cloudflare e clicca di nuovo su Attiva CloudFlare:

D4) La schermata successiva ti informa del fatto che CloudFlare sarà attivato nelle prossime 24 ore (probabilmente occorrerà meno tempo, ma devi comunque attendere l'attivazione del servizio prima di poter procedere con la richiesta di https):

D5) Dopo l'attivazione di Cloudflare potrai gestire il servizio cliccando su Gestisci CloudFlare:

D6) La schermata successiva ti mostra le diverse opzioni:

GESTIRE CLOUDFLARE

Dalla schermata precedente è possibile:

1) Impostare il livello di protezione

Una volta attivato CloudFlare è possibile impostare il livello di protezione per adattarlo alle esigenze del sito. Un livello di protezione più alto aumenta la sensibilità del sistema che riconoscerà come sospetti un numero maggiore di visitatori e visualizzerà loro una pagina di verifica. Il livello medio è il compromesso migliore quando il sito non è particolarmente preso di mira.

2) Azzerare la Cache

Come detto prima, Cloudflare memorizza nella propria memoria (cache) alcuni contenuti del sito, per fornirli più rapidamente all'utente evitando di doverli prelevare ogni volta dal sito. Questo comportamento può creare difficoltà quando un webmaster è alle prese con aggiornamenti grafici o revisione di contenuti perché continuerà a visualizzare le vecchie versioni.

In particolare i contenuti che vengono salvati in cache sono le immagini, i fogli stili css e gli script in javascript.

Ci sono alcuni casi (per esempio quando si modifica il foglio stile sul sito) che può essere necessario svuotare la cache di Cloudflare. In caso contrario, finché Cloudflare non aggiorna la propria cache, gli utenti continuerebbero a vedere i contenuti vecchi.

La cache non memorizza le pagine HTML. Perciò se hai modificato solo i file html (senza fare modifiche ai file css), non hai bisogno di azzerare la cache.

3) Attivare la modalità di sviluppo

Quando viene attivata la modalità di sviluppo, la cache viene temporaneamente disabilitata per 3 ore. Questo è utile per sospendere la cache quando si fanno modifiche ai fogli stile o alle immagini salvate sul sito.

E) ATTIVARE HTTPS

E1) Dopo l'attivazione di Cloudflare, per attivare HTTPS devi fare clic sul pulsante Attiva HTTPS nella scheda RISORSE del Pannello di Controllo di Altervista:

E2) Tieni un telefono a portata di mano (dovrai inviare un sms di conferma) e poi clicca su Procedi con l'identificazione:

E3) Invia il codice che ti viene fornito al numero indicato tramite sms:

E4) Dopo breve, viene visualizzato un messaggio di conferma di ricezione del codice. Clicca su Prosegui:

E5) E infine clicca ancora su Attiva il servizio HTTPS:

E6) La schermata successiva ti chiede se vuoi attivare la Riscrittura automatica link HTTP. Puoi cliccare su Attiva (leggi prima il box di spiegazioni sotto):

RISCRITTURA AUTOMATICA LINK HTTP

Se il tuo sito è sicuro (funziona con il protocollo http) ma contiene al proprio interno risorse caricate su un server non sicuro (http), il tuo browser segnalerà comunque un problema di sicurezza.

Ti faccio un esempio. Supponiamo che tu abbia una pagina

https://www.miosito.altervista.org/pippo.html

La pagina è ospitata su un server sicuro, come testimonia il protocollo https all'inizio dell'url. Tuttavia all'interno della pagina potrebbero essere utilizzate risorse ospitate su un server http. Per esempio potresti fare riferimento a un video in questo modo:

http://www.sitoesterno.it/video.mp4

In questo caso http segnala un server non sicuro (e dunque il browser ti avvisa di potenziali problemi di sicurezza).

Se attivi la riscrittura automatica dei link HTTP, ogni volta che in una pagina viene trovato un link http, questo viene automaticamente convertito in https (se possibile). Cosa significa? Significa che se ti sei semplicemente sbagliato a scrivere http e invece il server è https, attivando la riscrittura automatica il link viene automaticamente reindirizzato su https. Se invece il link è ospitato su un server che non permette il protocollo https, in questo caso la riscrittura automatica non ha nessun effetto (rimane tutto invariato).

In pratica attivare la riscrittura automatica può, in alcuni casi, risolvere problemi di sicurezza legati a url presenti sul tuo sito senza https e dunque male non fa. In ogni caso tieni presente che il tuo codice HTML non viene modificato. Il reindirizzamento da http a https viene fatto su Cloudflare, cioè sulla copia cache del tuo sito e non sull'originale.

F) CONTROLLIAMO CHE TUTTO FUNZIONI CORRETTAMENTE

F1) Prova a digitare l'url del tuo sito anteponendo https come mostrato in figura. Dovresti visualizzare correttamente la pagina e vedere il messaggio che ti conferma che il sito è Sicuro:

F2) È possibile che il tuo sito venga visualizzato correttamente, ma non compaia la scritta Sicuro:

F3) Quando succede questo, la ragione è che la tua pagina contiene al proprio interno delle risorse (esempio video o immagini) ospitate su server non sicuri, in quanto usano http invece di https. Puoi controllare (e correggere) gli eventuali problemi di questo tipo, aprendo gli Strumenti per Sviluppatori e quindi la Console degli errori:

ATTENZIONE: la riscrittura automatica dei link può risolvere alcuni di questi problemi, nel caso in cui la risorsa possa essere reindirizzata con https. Se però la risorsa è ospitata su un server non sicuro (cioè che non ammette https) l'unico modo per risolvere il problema è eliminare il link o caricare la risorsa stessa sul proprio sito sicuro.