Curl e fsockopen() rimuovere restrizione

Secondo me nn è corretto dire che per rimuovere la restrizione nn occorre pagare niente. Infatti per farlo bisogna inviare un sms a un numero.....

E poi questo messaggio per identificarsi nn è completamente inutile??
Quando si accede al pannello di controllo si è già loggati !!

Ma il costo del SMS non è corrisposto ad AV!
Una persona potrebbe avere anche gli SMS gratuiti.


Ciaoo!!

Potrebbe avere!!

Inoltre il sistema con l'sms nn ha nessuna utilità.....

Il log da pannello di controllo nn ha valore???

Funziona così: quando un'azienda offre un servizio tramite il quale non ricava nulla (in termini di denaro) da parte del "cliente", dicesi servizio gratuito.
Le spese accessorie che non dipendono direttamente dall'azienda non sono ovviamente prese in considerazione, proprio perchè non sono imposte dall'azienda.

Altrimenti, dovrebbero scrivere: Il servizio è gratuito se avete attiva una qualche offerta per cui l'invio di SMS non vi costa nulla, eslcuso il costo di attivazione dell'offerta stessa. Se invece non avete nessuna possibilità di inviarli gratuitamente, sappiate che pagherete il vostro SMS, non a noi, ma all'operatore del vostro numero telefonico.




Ciaoooooo!

[saitfainder]

Visto che mettiamo in mano alle persone uno strumento con cui si potenzialmente si potrebbero fare dei gravi danni non mi sembra tanto strano l'inserimento di un'ulteriore verifica dell'identità per recuperare le generalità in caso di abuso del servizio.

Inoltre dice chiaramente che non costa alcun AlterCent, ma solo il normale invio di un SMS verso un numero Vodafone.

Si ma continuo a nn capire l'utilità della procedura:

perchè altervista vuole l'identificazione tramite SMS ???

[saitfainder]

Perché la SIM è registrata a nome di un maggiorenne?

Allora il login dal pannello di controllo nn serve a niente??

Serve per gestire il tuo account! :D


Ciao!

.........spiegati meglio DEBUG, tutti i dati relativi al mio account nn sono disponibili già nel mio profilo ???

ACCEDENDO AL PANNELLO di controllo nn sono identificato al pari di un SMS ??

Perché la SIM è registrata a nome di un maggiorenne?

Inoltre è un ulteriore controllo, come già spiegato.


Ciaoooo!!

[saitfainder]

Allora il login dal pannello di controllo nn serve a niente??

Serve per una sicurezza soprattutto del tuo sito, ma i dati personali che si mettono nel profilo non sono verificati in nessun modo e anche l'eMail non è purtroppo sempre affidabile.

Ma allora spiegami a cosa serve questo ulteriore controllo... potrei aggirare il sistema inviando l'SMS da un cell di un amico !!

[darkwolf]

Beh se lo staff ha intrapreso questa scelta ci sarà senza dubbio un valido motivo.
Non conosco la "pericolosità" di fsockopen (non conosco fsockopen a dire il vero) so solo (purtroppo... cioè mi piacerebbe saperne di più) che mi permette di comunicare con i server esterni e quindi di mantenere sempre aggiornati gli script/plugin ecc del mio sito.
Per ottenere questo credo che il "costo" di un sms sia assolutamente giustificato!
Inoltre da quanto leggo in giro sono pochissimi gli host (anche quelli a pagamento) che permettono l'uso di fsockopen (probabilmente proprio per badare alla sicurezza) quindi come sempre
AV rulez

Ma allora spiegami a cosa serve questo ulteriore controllo... potrei aggirare il sistema inviando l'SMS da un cell di un amico !!

In quel caso il tuo amico, se dovessi commettere qualcosa di grave, passerebbe non pochi guai giudiziari.


Ciao!

[saitfainder]

Ma allora spiegami a cosa serve questo ulteriore controllo... potrei aggirare il sistema inviando l'SMS da un cell di un amico !!

In questo modo manderai la Polizia Postale a casa del tuo amico che poi te la inoltrerà a casa tua :-D

A parte gli scherzi è sicuramente un dato personale un pò più difficile da falsificare rispetto a un indirizzo email e in ogni caso è un elemento in più che permette di rintracciare, in un modo o nell'altro, l'autore di eventuali azioni criminose.

@Tonino:
Prima ci si lamenta delle connessioni bloccate. AV si impegna a sbloccarle e che succede?? ci si lamenta per un sms.

Probabilmente il problema non è il costo dell'sms stesso, ma il fatto che dai il numero di telefono a "chissà chi"...

Personalmente considero una "informazione (stettamente) personale" anche il mio IP, ma nessuno obbliga nessuno a dare queste informazioni; potremmo non navigare o non attivare il nuovo servizio di AV.

[miki92]

@toninosite Per dire anche io la mia voglio dirti che uno nel pannello di AlterVista può anche aver immesso dati falsi e quindi AlterVista non saprebbe che pesci prendere mentre con l'sms viene inviato dal tuo numero la quale nella maggior parte dei casi è sempre registrato e poi come hanno già detto che sarà mai un piccolo sms? Hai paura di spendere 15 centesimi?

Inoltre ti ricordo che i cellulari TIM hanno 5 sms gratis al giorno, Vodafone 100, 3 mi sembra 50...puoi utilizzare uno di quegli sms per questo motivo.

cut...
A parte gli scherzi è sicuramente un dato personale un pò più difficile da falsificare rispetto a un indirizzo email e in ogni caso è un elemento in più che permette di rintracciare, in un modo o nell'altro, l'autore di eventuali azioni criminose.

Ho letto la novità del curl & Co e sono felice che anche AV metta a disposizione questi strumenti, però, come espresso anche da altri in questo topic, sono dubbioso sulla questione sms.

Chi vuole commettere "azioni criminose" (a meno che non sia il solito 12enne, che si atteggia ad "hakker", in possesso di qualche giocattolino prefatto) in un paio di gg può recuperare sia una sim registrata con dati completamente fasulli che un cellulare "pulito" (imei clonato & Co).

C'è da dire, inoltre, che una persona, che vuole utilizzare i server di AV come testa di ponte, non si mette di certo ad inviare SMS, ma prende possesso di un account già creato passando per la casella di posta del malcapitato (quindi ci andrebbero di mezzo sempre i "poverelli" che in buona fede hanno attivato il servizio e si ritrovano con una falla nel cms non ancora chiusa e sfruttata da qualcuno oppure i "tonti" che mettono come risposta super segreta per il recupero della password il nome, il cognome, la data di nascita etc etc).

Se si vuole avere realmente maggior sicurezza di chi abbia registrato l'account, gli si dovrebbe chiedere di faxare la carta d'identità (almeno turchi, russi, cinesi & Co sono maggiormente scoraggiati...) anche se questo comporterebbe poi un carico di lavoro supplementare per lo staff.

L'avere un cellulare con una sim, inoltre, non è neanche una prova della consapevolezza dei rischi, che si corrono con la piena libertà di utilizzo di fsckopen & Co, dato che, oggi, addirittura anche ai bambini delle elementari viene regalato il cellulare...

Pertanto, cui prodest?

PS:
Se poi avete stretto un accordo con l'operatore che gestisce il numero utilizzato per poter avere un piccolo ritorno economico su ogni sms ricevuto, allora il discorso è un altro.
Anche se, in questo caso, penso non ci sia niente di male a dirlo, molti utenti credo non abbiano problemi a "spendere" 10c per un sms, soprattutto se, ad esempio, ritornano a voi 2/4c per sms che potreste utilizzare per la gestione.

Bye.

[darkwolf]

PS:
Se poi avete stretto un accordo con l'operatore che gestisce il numero utilizzato per poter avere un piccolo ritorno economico su ogni sms ricevuto, allora il discorso è un altro.
Anche se, in questo caso, penso non ci sia niente di male a dirlo, molti utenti credo non abbiano problemi a "spendere" 10c per un sms, soprattutto se, ad esempio, ritornano a voi 2/4c per sms che potreste utilizzare per la gestione.
Bye.

Direi decisamente di no anche perchè non è obbligatorio inviare l'sms da x operatore (difatti può essere inviato da qualunque op) quindi se hanno un contratto ce l'hanno con "tutti" gli operatori e non credo sia una cosa tanto realizzabile considerando "l'esiguo" rientro economico (2 cent per ogni sms ricevuto su una percentuale degli utenti AV...)

Direi decisamente di no anche perchè non è obbligatorio inviare l'sms da x operatore (difatti può essere inviato da qualunque op) quindi se hanno un contratto ce l'hanno con "tutti" gli operatori e non credo sia una cosa tanto realizzabile considerando "l'esiguo" rientro economico (2 cent per ogni sms ricevuto su una percentuale degli utenti AV...)

Errato, ad esempio la H3G con alcune tariffe ti ricarica di 2c (prima erano 4c) per ogni sms, di altro operatore, ricevuto. Questo perché le varie tim, wind, vodafone pagano dei costi di interconnessione alla H3G per recapitare l'sms ; in passato la H3G proprio grazie a queste tariffe si è arricchita, dando i contentino ai suoi clienti (i 2/4c).

Per quanto riguarda l'esiguo rientro economico... per una azienda tutto quello che entra in più è oro (su 600k di utenti se 100k attivassero il servizio sarebbero già 2000€ "regalati" che potrebbero reinvestire per qualche altro piccolo servizio ).

Comunque sia non ci vedo niente di male in ciò, se, invece, con un sms si pensa realmente di identificare lapersona che userà curl & Co, allora lì ci sarebbe da preoccuparsi .

Bye.

Identificare con assoluta certezza una persona secondo me è impossibile...
Vedi i prestanome

Penso che la scelta dell'sms sia motivata dal fatto che si ha una certezza in più rispetto ad un semplice indirizzo email...

Poi se è come ha detto AngelinoAnt, anche io non ci vedo nulla di male...

Identificare con assoluta certezza una persona secondo me è impossibile...
Vedi i prestanome

Penso che la scelta dell'sms sia motivata dal fatto che si ha una certezza in più rispetto ad un semplice indirizzo email...

Poi se è come ha detto AngelinoAnt, anche io non ci vedo nulla di male...

Si parte sempre dal presupposto che la certezza in più (non assoluta) dei dati sia per perseguire l'eventuale persona che commette illeciti con l'account.
In questo caso, il dato del numero di cellulare puoi ritenerlo veritiero solo se una persona attiva il servizio per non commettere reati e fare un uso corretto della feature.
Ripeto, una persona, che vuol "far danno", dopo aver sfruttato un pc zombie cinese o taiwanese per registrare un eventuale account, prende una sim registrata a persone fittizie, un cellulare "ripulito" ed invia il famoso sms (in seguito dà una martellata sulla sim e la brucia per eliminare ulteriori tracce).

In questo caso:

• Il numero telefonico non serve a nulla, dato che l'intestatario è fittizio (e vi assicuro che non ci vuole nulla a procurarsi schede del genere, basta fare un giro su ebay);
• Il cellulare ha un imei modificato (ci si mette poco a cambiare anche questo) = non puoi risalire a chi lo ha acquistato;
• Non te ne fai nulla di sapere da quale cella GSM è partito il messaggio, basta andare nel centro di una città, accendere il cell, spedire, spegnere subito e togliere la batteria.

Partendo da questi presupposti, a cosa serve sapere un numero di cellulare fittizio?

Se ci sono dei ritorni a livello di marketing (ritorno economico diretto, creazione di un DB di numeri per l'invio di pubblicità & Co) allora potrebbe utile (dato che chi invia il messaggio è potenzialmente un utente che ha inserito dati corretti) altrimenti la vedo come una inutile complicanza .

Bye.

[dapeco]

Se ci sono dei ritorni a livello di marketing (ritorno economico diretto, creazione di un DB di numeri per l'invio di pubblicità & Co) allora potrebbe utile (dato che chi invia il messaggio è potenzialmente un utente che ha inserito dati corretti) altrimenti la vedo come una inutile complicanza .

Bye.

Se poi avete stretto un accordo con l'operatore che gestisce il numero utilizzato per poter avere un piccolo ritorno economico su ogni sms ricevuto, allora il discorso è un altro.
Anche se, in questo caso, penso non ci sia niente di male a dirlo, molti utenti credo non abbiano problemi a "spendere" 10c per un sms, soprattutto se, ad esempio, ritornano a voi 2/4c per sms che potreste utilizzare per la gestione.

Non è il caso, anzi il servizio ha per AlterVista dei costi vivi, inoltre una qualunque opzione di ricarica sarebbe inutile visto il solo utilizzo in ricezione.

Per quanto riguarda invece la possibiltà di utilizzare il servizio per azioni criminali, non è da escludere, ma sicuramente con questo metodo di verifica si sfronda una buona parte di utenza dannosa quanto impreparata: procurarsi un cellulare clonato ed una sim card fantasma/clonata/rubata non è semplice quanto impossessarsi di un indirizzo email. Altro discorso è la presenza di account compromessi, su cui è chiaramente focalizzata la maggiore attenzione.

Il fornire la carta di identità è un'idea interessate, ma già scartata per l'impossibiltà di verifica del documento prodotto (ricordo di qualcuno che invio la carta di identita di Umberto Saba per richiedere il reset manuale di un account...) e benché la sostituzione di persona sia reato penale mi pare semplice farla franca.

Ora per farla breve, si può oggettivamente discutere sull'efficacia a 360° della verifica via sms, ma non c'è da discutere sulla fruizione gratuita del servizio, visto che tale supporto viene effettuato senza richieste di denaro o AC ai fruitori.

[Gianluca]

Premesso che AlterVista non ha la necessità nè il dovere di giustificare le modalità di tariffazione o meno di qualsiasi servizio che offre, la convalida sms non produce per noi alcun ricavo ma anzi un costo nel noleggio del gateway sms, della numerazione e ovviamente i costi di sviluppo connessi.

Se lo scopo fosse stato avere un qualche ritorno economico da questo servizio si sarebbe semplicemente chiesto di fare una ricarica a pagamento da telefono fisso o mobile http://it.altervista.org/faq_ac.php utilizzando le numerazioni a valore aggiunto già in funzione con risparmio di lavoro e medesimo risultato in termini di validazione.

Stessa cosa per quello che concerne il direct marketing, forse non tutti sanno che esistono normative in merito all'uso che si può fare dei dati che la gente comunica, ed obblighi di legge ben precisi in merito alle informazioni che si devono dare, non è una questione lasciata alla serietà o meno dell'azienda, è la legge.
Se nell'informativa c'è scritto questo:

Ai sensi del Decreto Legislativo 196/2003 ti informiamo che il numero telefonico mittente sarà registrato in maniera automatica esclusivamente per ragioni di sicurezza e per adempiere ad eventuali obblighi di legge, tale dato non sarà utilizzato per scopi commerciali o comunque differenti da quelli sopra descritti.

Significa che questo è l'uso che si fa di tali dati, altrimenti ci sarebbe scritto qualcosa di diverso e ugualmente accettabile sul piano legale.

Non c'è inoltre nessun problema per noi ad affermare che qualora, per qualsiasi ragione, domani o tra due anni si riterrà opportuno o necessario avere un ritorno economico da tale servizio il numero Vodafone verrebbe rimosso e messo al suo posto uno dei numeri a valore aggiunto che già usiamo in altri ambiti (vedi sopra), ovviamente informando tutti, a priori, dei costi, come impone la legge.


Infine le argomentazioni addotte a sostenere la tesi che tale meccanismo non possa essere considerato al 100% attendibile per l'identificazione individuale mi vedono certamente d'accordo ma mi fa sorridere il contesto in cui sono calate.

Su ebay e sul web in generale si trovano anche kit per aprire le serrature, ma questo non significa che le serrature siano inutili nè che sia opportuno abolirle, trovo profondamente illogico spendere anche solo 10 minuti del proprio tempo nel trafugare o falsificare una sim quando il web purtroppo brulica di servizi di hosting gratuito, con un ciclo di vita spesso breve e generalmente collocati in zone quali l'ex Unione Sovietica o il sud-est asiatico, che per disattenzione o, peggio, disinteresse, lasciano abilitate tutte queste funzionalità di default e su cui si può aprire in relativo anonimato un account in pochi secondi.

La whitelist è comunque ampia, è stata gradualmente ampliata e lo sarà ancora, sul medio lungo termine ritengo che il 70-80% delle persone non avrà nemmeno bisogno di eliminarla anche per usufruire delle funzionalità più avanzate del propri applicativi, quindi chiunque non ritenesse opportuno procedere allla validazione sms potrebbe già adesso avere con grande probabilità quello che gli serve.

Scusate l'ignoranza, mi spiegate cosa potrebbe fare un utente malintenzionato con questa funzione attiva e quali rischi si corrono a togliere le restrizioni?

Grazie mille!!!

Prima di tutto, non è mia intensione fare polemica (e penso di aver dimostrato in questi anni di non essere stato un sovversivo aizza flame ).

IMHO penso che il successo di AV sia prima di tutto dovuto alla grande stabilità del servizio erogato da anni a questa parte e, proprio per questo motivo, dato che ho avuto esperienza diretta con problemi come quelli precedentemente esposti, ho esposto le mie perplessità sul metodo adottato.


Di seguito rispondo in ordine ad entrambi.

Non è il caso, anzi il servizio ha per AlterVista dei costi vivi, inoltre una qualunque opzione di ricarica sarebbe inutile visto il solo utilizzo in ricezione.

Premesso che AlterVista non ha la necessità nè il dovere di giustificare le modalità di tariffazione o meno di qualsiasi servizio che offre, la convalida sms non produce per noi alcun ricavo ma anzi un costo nel noleggio del gateway sms, della numerazione e ovviamente i costi di sviluppo connessi.

Qui la domanda sorge spontanea, vale la pena di spendere soldi per fare il check?

Stessa cosa per quello che concerne il direct marketing, forse non tutti sanno che esistono normative in merito all'uso che si può fare dei dati che la gente comunica, ed obblighi di legge ben precisi in merito alle informazioni che si devono dare, non è una questione lasciata alla serietà o meno dell'azienda, è la legge.
cut....

So benissimo la materia legale in merito, non preoccuparti. Forse non mi sono spiegato bene nel post precedente, nel quale volevo affermare che se non c'è un minimo di ritorno (come poteva essere, ad esempio, l'invio di pubblicità al numero recuperato), dato che, comunque, lo "sms check" non apporta alcuna sicurezza reale in più sul reale intestatario dell'account, mi sembra inutile effettuarlo.

Per quanto riguarda invece la possibiltà di utilizzare il servizio per azioni criminali, non è da escludere, ma sicuramente con questo metodo di verifica si sfronda una buona parte di utenza dannosa quanto impreparata: procurarsi un cellulare clonato ed una sim card fantasma/clonata/rubata non è semplice quanto impossessarsi di un indirizzo email.

Modificare un imei è alla portata di tutti ormai, come anche procurasi la sim farlocca... non voglio addentrarmi oltre nel discorso , chi vuole far danno già sa cosa fare (purtroppo).

Altro discorso è la presenza di account compromessi, su cui è chiaramente focalizzata la maggiore attenzione.

Questo è un problema che non si può evitare, dato che nella maggior parte dei casi la colpa è della persona che presta poca attenzione a ciò che usa sull'account. Se si potesse fare anche il riconoscimento dell'utente con impronte digitali o scansione dell'iride... se viene bucato un cms causa bug alla fin fine l'utente è nel 99% dei casi in buona fede e non vuole di certo che gli buchino il sito.

Il fornire la carta di identità è un'idea interessate, ma già scartata per l'impossibiltà di verifica del documento prodotto (ricordo di qualcuno che invio la carta di identita di Umberto Saba per richiedere il reset manuale di un account...) e benché la sostituzione di persona sia reato penale mi pare semplice farla franca.

Questo sarebbe, IMHO, l'unico deterrente reale (dato che il check con sms alla fin fine questo è), purtroppo, come ho scritto e come hai confermato, non è una strada percorribile perché non automatizzabile.

Ora per farla breve, si può oggettivamente discutere sull'efficacia a 360° della verifica via sms, ma non c'è da discutere sulla fruizione gratuita del servizio, visto che tale supporto viene effettuato senza richieste di denaro o AC ai fruitori.

Non mi sembra di aver messo in dubbio la cosa . Mica è colpa vostra se wind, tim & Co fan pagare gli sms :)

Infine le argomentazioni addotte a sostenere la tesi che tale meccanismo non possa essere considerato al 100% attendibile per l'identificazione individuale mi vedono certamente d'accordo ma mi fa sorridere il contesto in cui sono calate.

Tutto dipende da quale tipologia di "rompiscatole" "corteggia" Altervista: se sono al 90% dodicenni che cercano di hackerare una versione vecchia di phpbbug è un conto, se ci sono, invece, attacchi apportati da persone che sanno un pelino in più il fatto loro allora è un altro conto .

Con il curl, ad esempio, si potrebbero affinare i tentativi di phishing... tutto sta alla fantasia di chi vuole far danno e, devo dire che, col passare degli anni, ne ho vista di gente "fantasiosa" (se così possiamo definirla).

Su ebay e sul web in generale si trovano anche kit per aprire le serrature, ma questo non significa che le serrature siano inutili nè che sia opportuno abolirle, trovo profondamente illogico spendere anche solo 10 minuti del proprio tempo nel trafugare o falsificare una sim quando il web purtroppo brulica di servizi di hosting gratuito, con un ciclo di vita spesso breve e generalmente collocati in zone quali l'ex Unione Sovietica o il sud-est asiatico, che per disattenzione o, peggio, disinteresse, lasciano abilitate tutte queste funzionalità di default e su cui si può aprire in relativo anonimato un account in pochi secondi.

Dipende dal tipo di serratura, tutte son violabili, ma ci sono serrature e serrature .
Per quanto concerne la questione degli hosting gratuiti "alla buona" (se per questo anche alcuni a pagamento in quanto a sicurezza molte volte fan ribrezzo) la differenza tra questi ultimi ed altervista sta proprio nella fama che AV ha: di sicuro un sys admin bloccherebbe in tronco un hosting gratuito piccolino, ma ci penserebbe 2 volte prima di bloccare le richieste prevenute da una realtà che conta oltre 500k di utenti.

La whitelist è comunque ampia, è stata gradualmente ampliata e lo sarà ancora, sul medio lungo termine ritengo che il 70-80% delle persone non avrà nemmeno bisogno di eliminarla anche per usufruire delle funzionalità più avanzate del propri applicativi, quindi chiunque non ritenesse opportuno procedere allla validazione sms potrebbe già adesso avere con grande probabilità quello che gli serve.

Questa è la cosa importante, per come la vedo io forse sarebbe stato meglio non offrire proprio la possibilità di aprire curl & Co al mondo.

Al limite si potrebbe implementare una whitelist per utente, in modo tale da poter comunque tenere sotto controllo i siti sbloccati e non permettere a malintenzionati di sfruttare un bug di una app. e caricare files che usano curl.
In questo modo chi vuole dialogare con un altro server non in whitelist può farlo (chi vuole fare una cosa del genere penso che abbia un briciolo di know-how per aggiungere un url in un campo), mentre un aggressore, a meno di non recuperare in tronco la pwd dell'utente, non può fare nulla .


Concludo dicendo che non ho alcun problema in futuro a farmi i fatti miei, basta solo avvertire con un MP , non sono il tipo che se la prende .

Bye.

PS: mi scuso per l'italiano un pò indecente, ma son fuso dopo la luuunga giornata di oggi.

[Gianluca]

Il forum in generale è fatto per discutere, se questo fosse interpretato come "rompere le scatole" non avremmo aperto questa sezione, il fatto che ci sia un'evoluzione nei servizi offerti sta proprio in construttive "rotture di scatole".

Concludo dicendo che non ho alcun problema in futuro a farmi i fatti miei, basta solo avvertire con un MP , non sono il tipo che se la prende

Non so se sia il mio post o quello di dapeco a farti pensare questo, se è riferito al mio questa interpretazione è decisamente differente dai miei intenti, non ho peraltro l'abitudine a mandare MP (li ho disabilitati ), nè mai farei una cosa simile perchè ritengo che le discussioni che nascono qui debbano morire qui di morte naturale, anche perchè non vedo una ragione per cui questo non possa accadere.

Uno dei valori primari che da sempre sono alla base della fornitura dei servizi di AlterVista e che forse ne hanno contribuito anche al buon nome, è la tutela dei dati personali e la trasparenza nel loro impiego, questo già anni prima che andassero in vigore le normative in merito, di qui l'energia usata per ribadire determinati concetti, per una corretta informazione soprattutto dei lettori più "giovani".

Tornando al nocciolo della questione mi limito a dire che questa è una soluzione nata sulla base di determinate riflessioni e osservazioni, questo non implica che sia la migliore di quelle possibili ma probabilmente è meritevole di essere almeno testata.

Sono state presentate altre soluzioni e questa è cosa buona e molto apprezzata, perchè nessun suggerimento è mai scartato a priori ed è ovvio che ogni strada rimane aperta, fermo restando che alla fine una è quella che bisogna prendere e deve essere il miglior compromesso tra una moltitudine di fattori e teste che pensano in modo diverso.

[miki92]

Gianluca io non per fare spam o cross posting ma nel topic tuo su curl e fsockopen() ancora non ho avuto risposta al mio problema, non riesco a far funzionare nessuno script verso altri server nonostante non abbia la restinzione.

Tornando al nocciolo della questione mi limito a dire che questa è una soluzione nata sulla base di determinate riflessioni e osservazioni, questo non implica che sia la migliore di quelle possibili ma probabilmente è meritevole di essere almeno testata.

Sono state presentate altre soluzioni e questa è cosa buona e molto apprezzata, perchè nessun suggerimento è mai scartato a priori ed è ovvio che ogni strada rimane aperta, fermo restando che alla fine una è quella che bisogna prendere e deve essere il miglior compromesso tra una moltitudine di fattori e teste che pensano in modo diverso.

Voglio solo specificare che, quella della whitelist lato utente, non è una soluzione che risolve i problemi alla radice, ha il solo scopo di far dormire sogni tranquilli a coloro che:
- usano il curl,
- vogliono dialogare con altro server non in whitelist (ad es. di un amico che gestisce un sitarello tematico non molto conosciuto)
- non vogliono passare guai se qualcuno gli buca il cms o il forum sfruttando un bug (che sia o non sia ancora stato reso pubblico/patchato).

Mi fa inoltre piacere sapere che non siete mira di attacchi apportati ad hoc , dato il successo che riscuote AV pensavo che ci fossero statisticamente più persone (perché no... anche "assoldate" da altri) che cercassero di minare la stabilità del servizio dato che nel free hosting la concorrenza italiana ed europea/USA si fa sempre più accesa (penso che AV, come peso nel settore del free hosting, si possa paragonare alla società ar*ba, pertanto è possibile considerare come concorrenti anche i free hoster europei/USA senza limitazioni di lingua ).

Per quanto riguarda l'ultima frase del mio precedente post, effettivamente mi era sembrata un pò dura la tua risposta precedente; mi rendo conto, comunque, che la platea che legge il forum, potendo non essere a conoscenza di determinate cose, avrebbe potuto travisare le mie ipotesi e mettere in giro voci false e, per questo motivo, penso tu abbia fatto bene a ribadire cose che mi sembravano scontate.

Se ho fatto determinati esempi è perché reputo inutile il check (troppo facilmente aggirabile) e cercavo una spiegazione alla sua introduzione (non volevo di certo dire che AV non tratta i dati sensibili degli utenti come da policy specificata).
E' normale che, se AV riceve il 99% degli attacchi da persone che utilizzano tools prefatti, che vedono in quel check un qualcosa di difficilmente superabile, allora il check ha valenza di deterrente

Bye.