[Linuxtrent] Re: sicurezza eccessiva

From: Antonio Galea <antonio.galea@xxxxxxxxx>
To: linuxtrent <linuxtrent@xxxxxxxxxxxxx>
Date: Thu, 29 Apr 2021 12:35:12 +0200

On Thu, Apr 29, 2021 at 12:03 PM Gianguido Piani
<dmarc-noreply@xxxxxxxxxxxxx> wrote:

Non capisco perche' non debba piu' funzionare e come farlo funzionare.
Passare a HTTPS e richiedere un certificato e' decisamente eccessivo.

Perché non debba funzionare ho provato a spiegartelo: le richieste in
chiaro sono troppo facili da sovvertire - qualsiasi attaccante le può
usare per scopi malevoli con sforzo nullo. Passare ad un certificato
autofirmato richiede un paio di comandi, non è chiedere troppo:
certamente ti avrebbe portato via molto meno tempo dello scrivere
queste email.

Su Internet finora ho potuto appurare che (1) il problema e' conosciuto, (2)
Firefox non lo documenta e (3) non c'e' proprio modo di
dire "fidati, conosco quel sito, mi prendo io i rischi, limitati a piazzarmi
sullo schermo quello che ti invia".

Mah, che ci sia gente che si lamenta non ne dubito; Firefox però non
solo lo documenta per benino, ma dice anche che il modo esiste.

Almeno noi interessati a Linux dovremmo concordare che in ultima istanza non
spetta a chi mette a disposizione un programma decidere
direttamente o indirettamente l'uso che ne facciamo, specie se non c'e' nulla
di illegale.
Forse il prossimo passo sara' disabilitare 'sudo'? Cosi' corriamo ancora meno
rischi...

Su molte distribuzioni sudo non è installato, ed è compito
dell'amministratore decidere se aggiungerlo e quali utenti abilitare.
Secure by default è una buona politica.

Ma qui andiamo fuori dal seminato.

La documentazione ufficiale di Mozilla che ti ho linkato dichiara di
essere valida anche per Firefox 88. Se è sbagliata non lo posso
controllare (ho Firefox versione ESR), ma dice esplicitamente che
quello che chiedi tu si può fare. Sarei ESTREMAMENTE stupito che
questa funzione sia stata tolta - anche perché purtroppo di siti in
solo HTTP ce ne sono in giro moltissimi (ad esempio, un certificato
SSL su governo.it è stato aggiunto solo dopo l'insediamento governo
Draghi... non aggiungo altro).

Forse c'è un bug da qualche parte: ma se una funzione è documentata
correttamente e a me non funziona, in prima istanza mi aspetto che il
problema sia mio e non del resto del mondo. Se verifico che così non
è, apro una issue.

Antonio
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx

Follow-Ups:
- [Linuxtrent] Re: sicurezza eccessiva
  - From: Gianguido Piani

References:
- [Linuxtrent] Identita' digitale, articolo su 'Salto'
  - From: Gianguido Piani
- [Linuxtrent] Re: Identita' digitale, articolo su 'Salto'
  - From: Roberto Resoli
- [Linuxtrent] Re: Identita' digitale, articolo su 'Salto'
  - From: Marco Ciampa
- [Linuxtrent] sicurezza eccessiva
  - From: Gianguido Piani
- [Linuxtrent] Re: sicurezza eccessiva
  - From: Antonio Galea
- [Linuxtrent] Re: sicurezza eccessiva
  - From: Gianguido Piani
- [Linuxtrent] Re: sicurezza eccessiva
  - From: Antonio Galea
- [Linuxtrent] Re: sicurezza eccessiva
  - From: Gianguido Piani

[Linuxtrent] Re: sicurezza eccessiva

Other related posts: