Sto configurando un’installazione di Discourse per un’attivista comunitaria. La privacy è fondamentale: non siamo terroristi, pedofili o criminali, ma semplici cittadini preoccupati e attivi – legalmente! – su questioni ambientali e simili. Tuttavia, le nostre attività sono di quel tipo che può attirare l’attenzione di governi, grandi aziende e forze di polizia. Il forum sarà ospitato su un VPS con accesso root privato e, sotto questo aspetto, è ragionevolmente sicuro, anche se capisco che una sicurezza al 100% è più o meno impossibile. Del resto, ormai quasi tutto viene intercettato, come ha ampiamente dimostrato Edward Snowden.
Devo definire la mia strategia per la gestione della posta elettronica. Questo aspetto mi sembra il punto debole della catena. Dobbiamo far transitare le informazioni degli utenti attraverso: 1) il metodo che sceglieremo per il nostro server di posta e 2) il server di posta degli utenti stessi.
Ieri ho aperto un account con Mailjet, ma sono stato bloccato dalla richiesta di passaporto, patente o documento d’identità. Non ricordo di aver mai dovuto fornire questi dati per un servizio che non fosse legato a transazioni finanziarie. Ovviamente, non mi è piaciuto e non li ho forniti. Inoltre, come faccio a sapere cosa fanno Mailjet o qualsiasi altro servizio simile con i dati dei nostri utenti? Installerò iRedmail per avere maggiore controllo su questo aspetto.
I nostri utenti utilizzeranno una vasta gamma di provider di posta elettronica. Sto valutando come questo influisca sulla sicurezza complessiva del sistema.
Non ho ancora effettivamente avviato l’installazione, quindi potrei scoprire che esistono già soluzioni integrate per questo aspetto…?
Qualcuno ha qualche riflessione in merito? Grazie.
Le password sono crittografate nel database e, a condizione che si utilizzi HTTPS, vengono criptate durante la trasmissione. Grazie alla funzione ‘blocca password comuni’, gli utenti non possono utilizzare password deboli e ovvie; oltre a ciò, tutto dipende da come si configurano ‘minima lunghezza password’ e ‘caratteri unici password’.
Vale anche la pena menzionare che offriamo un supporto completo per l’autenticazione a due fattori (2FA), che include sia app di autenticazione per smartphone sia chiavi di autenticazione hardware. Questa funzionalità può anche essere imposta tramite le impostazioni del sito.
Grazie @codinghorror, risposto da Stephen
Grazie @Stephen, ho capito.
Sto davvero amando Discourse e non è nemmeno ancora installato.
Server iRedmail installato e in esecuzione…
Domani Discourse.
L’auto-hosting della posta elettronica non è un compito facile. Inoltrare email da un nuovo dominio può già essere impegnativo; gestendo il proprio server di posta, è probabile che si faccia un corso intensivo sulla deliverability delle email. I grandi provider di email ospitati non si fidano inizialmente di nuovi domini o indirizzi IP di origine, e la situazione diventa significativamente più difficile se il precedente proprietario del tuo IP ha fatto qualcosa di anche solo leggermente inappropriato.
A seconda di quanto tempo puoi dedicare a questo, ti consiglio di riflettere meglio sulla questione.
Ho anche realizzato di non aver menzionato la modalità anonima, i messaggi personali criptati e il supporto U2F. A seconda della tua propensione alla complessità, la dimensione del “cappello di stagnola” include molti modi per proteggere sia il tuo sito che i tuoi utenti.
Grazie @Stephen, apprezzo molto il tempo che hai dedicato e tutto il resto…
Ok, sì, non ho mai gestito un server di posta prima (ci ho provato una volta qualche anno fa e ho rinunciato) e non avevo considerato i tuoi punti in merito. Ci rifletterò. Forse ora che iRed è installato e in esecuzione, e ha consegnato con successo la mia e-mail di prova finora, potrei mettermelo alla prova seriamente. I miei punteggi su www.mail-tester stanno migliorando mentre ci lavoro.
Queste ulteriori funzionalità per la privacy sembrano eccellenti. Indosso un cappello di stagnola quando è appropriato Personalmente utilizzerei le funzionalità di sicurezza in modo esteso… ma gli utenti del sito non sono tutti così esperti di tecnologia e, naturalmente, bisognerà trovare un equilibrio.
Personalmente utilizzerei le funzionalità di sicurezza in modo esteso… ma gli utenti del sito non sono tutti così esperti di tecnologia e, naturalmente, bisognerà trovare un equilibrio.