evilaliv3
commented
4 years ago @LaserRomae @laser-dev-support @PaoloRollo: ci sono aggiornamenti in merito a questo?
Open evilaliv3 opened 4 years ago
evilaliv3
commented
4 years ago @LaserRomae @laser-dev-support @PaoloRollo: ci sono aggiornamenti in merito a questo?
Buongiorno,
Dopo una attenta analisi siamo a segnalare importante insicurezza della configurazione TLS adottata nel software e di fatto utilizzata in produzione da ANAC. I cifrari al momento utilizzati sembrerebbero non essere stati nel tempo aggiornati in materia e non sono al momento implementate le politiche di HSTS preloading necessarie per limitare possibili intercettazioni.
https://www.ssllabs.com/ssltest/analyze.html?d=servizi.anticorruzione.it https://securityheaders.com/?q=servizi.anticorruzione.it&followRedirects=on
Suggerisco che quanto prima le configurazioni vengano aggiornate a quelle presenti nel corrente software GlobaLeaks il cui stato di revisione in materia di configurazione TLS sicura è visualizzabile ai seguenti indirizzi:
https://www.ssllabs.com/ssltest/analyze.html?d=registrazione.whistleblowing.it https://securityheaders.com/?q=registrazione.whistleblowing.it&followRedirects=on
Di seguito le evidenze di quanto segnalato: