Migrare un sito Web su HTTPS è sicuramente la scelta migliore dal punto di vista della tutela dei dati. Questo protocollo non solo garantisce un livello di sicurezza superiore al tradizione HTTP, ma è divenuto ormai uno standard di fatto per diversi browser Internet che, di base, segnalano la mancanza di una protezione tramite SSL notificando le pagine "non sicure".
Ovviamente, il solo fatto di effettuare una migrazione ad HTTPS non assicura una protezione al 100% di tutti gli elementi che costituiscono una pagina Web, ecco perché sono nati tool come InsecRes, che rendono più semplice l'identificazione degli elementi non protetti. InsecRes è un piccolo tool open source da shell scritto interamente in linguaggio Go, soluzione Open Source basata sulla programmazione concorrente e sviluppata da Google.
InsecRes sfrutta la potenza del "multi-threading" (tramite le goroutines) per analizzare le pagine di un sito Web, andando quindi ad individuare tutti gli elementi (video, immagini, file audio, object, iframe..) che sono richiamati tramite HTTP e fanno dunque riferimento a degli URL insicuri. Oltre a poter visualizzare i report finali generati direttamente via shell, è possibile impostare InsecRes per salvare tali report in un file CSV, cosi da poter sempre disporre dei dati prodotti dall'analisi effettuata.
Il codice di InsecRes è disponibile tramite un comodo repository su Github, installarlo è davvero semplice:
go get github.com/kkomelin/insecres
Fatto questo possiamo avviare una scansione a carico del sito che ci interessa analizzare:
$GOPATH/bin/insecres https://sitodiesempio.it
Per salvare il report su un file CSV basta aggiungere il flag "-f":
$GOPATH/bin/insecres -f="/path/to/scan_report.csv" https://sitodiesempio.it
Via InsecRes