La prima volta che ho messo il becco su queste pagine, sono già cose che risalgono a gennaio, parlai dello strano e complicato matrimonio tra web design e sicurezza. Come promesso al tempo, ritorno sul discorso.
Dando per morto e sepolto Explorer 8 in Windows XP (con un paletto di frassino nel cuore, servisse), oggi finalmente tutti i browser in uso supportano lo standard SNI. Per chi non mastica protocolli e sistemi operativi: possiamo mettere HTTPS su tutti i siti del mondo, senza dover dedicare loro un numero IP ciascuno, quindi in modo economicissimo. In soldoni, mantenere un qualsiasi sito HTTPS oggi come oggi costa pochissimo al provider, basta che usi certificatori come StartSSL (che è addirittura gratis ma scomodo) o NameCheap.
Il popolo del Net non se n’è ancora accorto, ma quando questo accadrà i consumatori capiranno che qualsiasi registrazione sul web (anche solo a una newsletter) va negata se il sito non è HTTPS, in quanto misura efficace ma banale e dunque doverosa di tutela della privacy. Povera NSA, non c’è pace per gli ingiusti. Scrisse Fred Langa, a lungo direttore di Byte ben prima della Rete:
Come gli autisti che condividono la strada condividono la responsabilità della sua sicurezza, noi tutti condividiamo la rete globale e pertanto dobbiamo considerare la sicurezza informatica come responsabilità sociale necessaria. Ai miei occhi, chiunque rifugga dall’adottare almeno semplici precauzioni di sicurezza costituisce parte attiva e significativa del problema.
Una considerazione più subdola tocca chi ha messo in piedi un commercio elettronico in economia, demandando alla propria banca la pagina del pagamento con carta di credito. Se volete vendere anche fuori dai confini nazionali dovete far parlare al sito la lingua dei consumatori di tutto il mondo e specialmente quelle nazioni che non masticano l’inglese, russi e cinesi innanzitutto. I più svegli ci sono già arrivati. Ma la vostra banca non ha le schermate in quelle lingue, quindi? Ci si può appoggiare al multinazionale PayPal, che però diciamoci la verità chiede provvigioni non proprio leggere, fino al 3,4 percento. Va benissimo se producete gioielli e siete abituati a lasciare tre quarti del prezzo sul cartellino nelle tasche del negoziante che commercia al dettaglio il prodotto, anzi è tutto grasso che cola. Ma per chi vende merce con margini ridotti è una fucilata.
Quindi bisogna mettere mano al codice, tenere tutta l’interfaccia di pagamento sul proprio sito servito via HTTPS (comprese le versioni cinese e russa), comunicare sottotraccia (server to server) col sito della banca o dell’ente che valida la carta di credito, sedersi comodi e attendere che i milioni atterrino nel conto corrente. Banca Sella, con tutti i suoi difetti, questa cosa la permette da un pezzetto, qui c’è un decente bigino. Chiederebbero il tre percento, che non è poco, ma a litigarci scendono, anche di tanto se il sito lavora bene.
Gran lavoro per il web designer e per il programmatore, lo so, ma considerate i vantaggi per acquirente e venditore. Sarebbe poi bello che lo stato facesse qualcosa per sostenere il comparto, ché ogni carta di credito in giro in più significa 500 euro in più di gettito fiscale (perché una vendita ecommerce in più è spesso una vendita al nero in meno).
L'autore
Iscriviti alla newsletter
Novità, promozioni e approfondimenti per imparare sempre qualcosa di nuovo
