Ripeto....il login è in SSO via terze parti e in https. Il form è inutilizzato. Elimino personalmente tutte le registrazioni tramite form e il mio wordpress non è configurato per essere modificabile
Non c'è davvero alcun motivo per portarlo in https, oltre al fatto che non posso, come già detto. -- Guerrisi Antonio sito: http://antonio.guerrisi.info Il giorno 31 marzo 2016 16:07, Francesco Frassinelli <[email protected]> ha scritto: > Il giorno gio, 31/03/2016 alle 15.06 +0200, Guerrisi Antonio ha > scritto: > > Il mio sito non è su un server privato e non ho la possibilità di > > configurare SSL. > > Inoltre si tratta di un blog. Per quale motivo dovrei crittare degli > > articoli? > > L'autenticazione serve solo per postare dei commenti pubblici e viene > > fatta attraverso SSO di terze parti in https. > > Aldilà della possibilità che qualcuno crei un falso blog spacciandolo > per tuo, il login viene effettuato in chiaro. Appena qualcuno sniffa i > pacchetti sulla rete ala quale sei connesso legge la tua password e può > entrare nel tuo blog, e dato che spesso Wordpress è configurato in modo > tale che i temi possano essere modificati via web, qualcuno potrebbe > inserire un codice malevolo, eseguirlo, ottenere i dati del tuo > database, comprometterti il sito, magari il server e via dicendo. > Giusto per dire le prime cose che mi passano in mente ;-) > > > Inoltre riprendendo la mail precedente, non voglio dire che le CA che > > offrono certificati SSL (anche) senza > > validazione estesa non siano professionali, ma che non lo sono quelle > > che offrono SOLO certificati non EV, perchè se non fornisci la EV > > significa che non hai l'autorità per farlo. > > ...o che semplicemente non è un servizio che interessa fornire. > > > Anche StarCom offre i certificati non EV in maniera gratuita, quindi > > anche il risparmio non è un punto a favore di Let's Encrypt. > > StartSSL Free di StartCom è molto limitato e non sempre gratuito: non è > per utilizzo commerciale, si paga la revoca (quante persone avranno > dovuto versare 25 $ per rigenerare i certificati dopo heartbleed?), e > lo si può utilizzare solo per un dominio di secondo livello più un suo > sottodominio. > Il tutto con una interfaccia poco intuitiva, la possibilità di > ritrovarsi il sito down per ore perché non si sa quanto ci voglia a > rigenerare un certificato, ecc. > > > L'unico punto a favore è l'agent che fa tutto in automatico, ma è > > davvero utile? Quanti sono quelli in grado di tirare in piedi un > > apache > > ...chiunque sia in grado di installare un pacchetto su GNU/Linux (ad > esempio). > > > e configurarlo correttamente per lavorare in ssl > > ...non è necessario, perché Let's Encrypt modifica la configurazione di > Apache in automatico. > > > ma non sono capaci di insallare un certificato? > > ...generarlo, rinnovarlo, ed utilizzarlo in maniera *appropriata*? In > tanti direi. > > > L'unico plauso che potrebbero meritarsi è per la divulgazione. Ma non > > è ne un servizio innovativo, ne professionale. My 2 cent. > > 's/ne/né/g' > > Non concordo; fortunatamente molte aziende ed enti no-profit ritengono > questo progetto importante. Le comunicazioni su HTTP non dovrebbero più > avvenire, non ci sono più scuse per non passare ad HTTPS. > > _______________________________________________ > BrigX Linux Users Group > [email protected] > http://brigx.it/mailman/listinfo/ml_brigx.it >
_______________________________________________ BrigX Linux Users Group [email protected] http://brigx.it/mailman/listinfo/ml_brigx.it
