[Linuxtrent] Re: sicurezza eccessiva
- From: Antonio Galea <antonio.galea@xxxxxxxxx>
- To: linuxtrent <linuxtrent@xxxxxxxxxxxxx>
- Date: Thu, 29 Apr 2021 12:35:12 +0200
On Thu, Apr 29, 2021 at 12:03 PM Gianguido Piani
<dmarc-noreply@xxxxxxxxxxxxx> wrote:
Non capisco perche' non debba piu' funzionare e come farlo funzionare.
Passare a HTTPS e richiedere un certificato e' decisamente eccessivo.
Perché non debba funzionare ho provato a spiegartelo: le richieste in
chiaro sono troppo facili da sovvertire - qualsiasi attaccante le può
usare per scopi malevoli con sforzo nullo. Passare ad un certificato
autofirmato richiede un paio di comandi, non è chiedere troppo:
certamente ti avrebbe portato via molto meno tempo dello scrivere
queste email.
Su Internet finora ho potuto appurare che (1) il problema e' conosciuto, (2)
Firefox non lo documenta e (3) non c'e' proprio modo di
dire "fidati, conosco quel sito, mi prendo io i rischi, limitati a piazzarmi
sullo schermo quello che ti invia".
Mah, che ci sia gente che si lamenta non ne dubito; Firefox però non
solo lo documenta per benino, ma dice anche che il modo esiste.
Almeno noi interessati a Linux dovremmo concordare che in ultima istanza non
spetta a chi mette a disposizione un programma decidere
direttamente o indirettamente l'uso che ne facciamo, specie se non c'e' nulla
di illegale.
Forse il prossimo passo sara' disabilitare 'sudo'? Cosi' corriamo ancora meno
rischi...
Su molte distribuzioni sudo non è installato, ed è compito
dell'amministratore decidere se aggiungerlo e quali utenti abilitare.
Secure by default è una buona politica.
Ma qui andiamo fuori dal seminato.
La documentazione ufficiale di Mozilla che ti ho linkato dichiara di
essere valida anche per Firefox 88. Se è sbagliata non lo posso
controllare (ho Firefox versione ESR), ma dice esplicitamente che
quello che chiedi tu si può fare. Sarei ESTREMAMENTE stupito che
questa funzione sia stata tolta - anche perché purtroppo di siti in
solo HTTP ce ne sono in giro moltissimi (ad esempio, un certificato
SSL su governo.it è stato aggiunto solo dopo l'insediamento governo
Draghi... non aggiungo altro).
Forse c'è un bug da qualche parte: ma se una funzione è documentata
correttamente e a me non funziona, in prima istanza mi aspetto che il
problema sia mio e non del resto del mondo. Se verifico che così non
è, apro una issue.
Antonio
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a
mailto:linuxtrent-request@xxxxxxxxxxxxx
Other related posts: