Errore HTTP 403 Forbidden (Accesso negato)

Introduzione

Il server Web utilizzato per la gestione del sito Web riconosce come valido il flusso di dati HTTP inviato dal client, ad esempio il Web browser o il nostro robot CheckUpDown, ma l'accesso alla risorsa identificata dall'URL è vietato per qualche motivo.

Questo errore segnala la presenza di un problema di base a livello di accesso che potrebbe essere difficile da risolvere perché il protocollo HTTP consente al server Web di fornire questa risposta senza specificare alcun motivo. L'errore 403 equivale pertanto a un "NO" generico da parte del server Web, senza la possibilità di ottenere ulteriori informazioni.

La causa più comune di questo errore è il divieto di esplorare le directory nel sito Web. La maggior parte dei siti Web prevede l'utilizzo degli URL disponibili nelle pagine Web del sito per l'esplorazione del contenuto e spesso non consente di esplorare la struttura di directory. Provare ad esempio a visitare l'URL seguente, quindi fare clic sul pulsante "Indietro" del browser per tornare a questa pagina:

http://www.checkupdown.com/accounts/grpb/B1394343/

Dovrebbe essere visualizzato l'errore 403 "Forbidden: You don't have permission to access /accounts/grpb/B1394343/ on this server" (Accesso negato: non si dispone dell'autorizzazione per accedere a /accounts/grpb/B1394343/ in questo server). Questo perché il sito Web di CheckUpDown non consente di esplorare le directory. Per passare da una pagina Web a un'altra, è necessario utilizzare i collegamenti ipertestuali disponibili. Questa situazione si presenta nella maggior parte dei siti Web, per i quali l'esplorazione delle directory è disattivata nel server Web.

Ciclo di operazioni HTTP per gli errori 403

Qualsiasi client, ad esempio il Web browser o il nostro robot CheckUpDown, effettua il ciclo di operazioni seguente:

• Ottiene un indirizzo IP in base al nome IP del sito, ovvero l'URL del sito senza il prefisso "http://". Questa ricerca, o conversione del nome IP in un indirizzo IP, viene eseguita dai server DNS (Domain Name Server).
• Apre una connessione socket IP a tale indirizzo IP.
• Scrive un flusso di dati HTTP tramite il socket.
• Riceve un flusso di dati HTTP dal server Web in risposta. Questo flusso di dati contiene codici di stato i cui valori sono determinati dal protocollo HTTP. Analizza il flusso di dati per rilevare i codici di stato e altre informazioni utili.

Questo errore si verifica durante il passaggio finale sopra indicato, quando il client riceve un codice di stato HTTP che identifica come "403".

Correzione degli errori 403 - Informazioni generali

È innanzitutto necessario controllare se si è verificato un problema di esplorazione negata delle directory, caratterizzato dalla presenza di una barra "/" alla fine dell'URL anziché il nome di una pagina Web specifica con estensione htm o html. In tal caso, l'unica soluzione possibile è accedere alle singole pagine Web del sito direttamente.

È possibile che nella directory non sia ancora presente alcun contenuto. Se ad esempio il provider di servizi Internet crea una "home page", è necessario specificare il contenuto da visualizzare, in genere sotto forma di file HTML, nella directory corrispondente assegnata dal provider. Fino a quando il contenuto non viene creato, chiunque tenti di accedere alla home page potrebbe ricevere un errore 403. La soluzione consiste nel caricare il contenuto mancante, direttamente oppure tramite il provider di servizi Internet. Una volta che il contenuto è presente nella directory, è inoltre necessario autorizzare l'accesso pubblico tramite Internet. Questa operazione deve essere eseguita dal provider di servizi Internet. Se non è stato fatto, si tratta di una svista.

Se l'intero sito Web è protetto, ovvero non accessibile a utenti casuali di Internet, dovrebbe essere visualizzato un messaggio 401 - Not authorized (401 - Autorizzazione negata). Per quanto improbabile, è possibile che il server Web generi invece un messaggio 403.

Alcuni server Web potrebbero inoltre generare un errore 403 se hanno ospitato in precedenza il sito che successivamente è stato spostato senza fornire un reindirizzamento al nuovo URL. In tal caso, è possibile che venga restituito l'errore 403 anziché uno più specifico. Se di recente è stata modificata la configurazione del sito Web, ad esempio si è cambiato il provider di servizi Internet, è possibile che venga visualizzato il messaggio 403. Questo messaggio naturalmente scompare con il passare del tempo, in genere nell'arco di una o due settimane, man mano che le modifiche apportate vengono riflesse su Internet.

Se si ritiene che l'URL Web debba essere accessibile a tutti su Internet e di recente non sono state apportate modifiche sostanziali alla configurazione del sito Web, un messaggio 403 segnala la presenza di un problema più grave. La prima operazione da eseguire è provare ad accedere all'URL utilizzando un Web browser. Per questa verifica utilizzare un browser in esecuzione in un computer in cui non si è mai stati identificati e non eseguire l'autenticazione tramite password o altro utilizzata in precedenza. Se possibile, utilizzare una connessione a Internet completamente diversa rispetto alle precedenti, ad esempio una connessione remota tramite un diverso provider di servizi Internet. L'obiettivo, in breve, è tentare di riprodurre la stessa situazione che si presenterebbe a un utente sconosciuto che visita l'URL della pagina Web su Internet.

Se da questa verifica tramite il browser non emergono problemi a livello di autorizzazione, è possibile che il server Web o i sistemi circostanti siano stati configurati in modo da non consentire determinati tipi di traffico HTTP. In altre parole, le comunicazioni HTTP da un Web browser conosciuto sono consentite, mentre le comunicazioni automatiche da altri sistemi vengono rifiutate con il codice di errore 403. Si tratta di una circostanza insolita, ma che può indicare criteri di sicurezza particolarmente restrittivi nel server Web.

Correzione degli errori 403 - CheckUpDown

La prima domanda da porsi è se la pagina Web dell'URL è disponibile per tutti su Internet. In caso contrario, se nel sito viene utilizzata l'autenticazione di base HTTP, potrebbe essere necessario specificare due dati, ovvero 2. l'ID utente del sito Web e 3. la password del sito Web per l'account CheckUpDown. Per informazioni sul tipo di sicurezza e autenticazione utilizzato nel sito, contattare il webmaster o il personale addetto al supporto IT.

Se invece la pagina Web è accessibile a tutti i visitatori e di recente non sono state apportate modifiche sostanziali al tipo di hosting e alla modalità di accesso del sito Web, il messaggio 403 dovrebbe essere visualizzato solo se il server Web non convalida qualche aspetto dell'accesso al sito Web. Poiché segnala la presenza di un problema di base a livello di autorizzazione, l'unico modo per risolverlo è contattare i responsabili della sicurezza del sito Web. Le trattative possono richiedere del tempo, ma spesso è possibile giungere a una soluzione amichevole. Per agevolare la procedura, è possibile promuovere il nostro servizio presso il personale addetto alla sicurezza. In caso di errori 403 persistenti, contattare la nostra società, preferibilmente tramite e-mail, per concordare la migliore soluzione possibile.