Ciao,
Il 17 febbraio 2016 17:29, Roberto Resoli <roberto@xxxxxxxxxxxxxx> ha scritto:
Ma l'assunto è che se si pretendono delle cose, si deve essere disposti a
pagare il giusto per ottenerle.
Nè una nè l'altra. Io credo che la cosa migliore sarebbe unirsi tra utenti e
chiedere ciò che serve a fornitori locali, che sono gli unici sui quali ci
possa essere un minimo di controllo.
Ho notato che i loro servizi su HTTPS non hanno il certificato,
"certificato" da nessuna autority...
Ceto, dalla loro.
"Il certificato SSL/TLS dell'autorità certificatrice di XT3, necessario ad
autenticare i vari certificati utilizzati dai differenti servizi, è
disponibile in formato [http://www.xt3.it/XT3_CA.pem PEM].";
(terzo paragrafo nella sezione "Servizi")
Dov'è il problema? Pensi che scegliere di fidarsi della loro Certification
Authority sia meno sicuro che scegliere di fidarsi di Verisign, per dire,
la quale essendo negli US deve obbedire a ordini segreti di tribunali
inaccessibili?
...e comunque questo ti garantisce solo che la comunicazione tra te e
quello specifico sito sia sicura; ciò che il sito farà con i tuoi dati una
volta che glie li hai mandati, ovviamente, è un altro paio di maniche e
nessun certificato ti dà garanzie, né uno fatto in casa, né un certificato
Extended Validation rilasciato dalla CA più seria del pianeta.