Ultimo aggiornamento: aprile 2026
Una community di cybersecurity deve mostrare, non dichiarare. Questa pagina è il "perché del come": elenca le scelte difensive del sito, gli strumenti per verificarle, e dove puoi segnalarci un problema.
Sito PHP minimale: nessun database utente, nessun login, nessuna sessione, nessun upload. La superficie di attacco lato applicativo è ridotta al minimo (solo l'endpoint analytics, isolato). Il codice sarà open source su GitHub (link nel footer quando il repo sarà pubblico).
HTTPS obbligatorio (HSTS con max-age di 2 anni). Il dominio salentosec.dev è già in HSTS preload list per default (TLD .dev). Il dominio salentosec.dev ha HSTS attivo e sarà sottomesso a hstspreload.org dopo periodo di stabilità.
Il sito invia: Content-Security-Policy strict (default-src self, niente inline), X-Content-Type-Options nosniff, X-Frame-Options DENY, Referrer-Policy strict-origin-when-cross-origin, Permissions-Policy che disabilita API non necessarie (camera, mic, GPS, ecc.), Cross-Origin-Opener-Policy same-origin. Header emessi da PHP per non collidere con altri siti dello stesso virtualhost. Verifica live: securityheaders.com/?q=salentosec.dev
Niente CDN esterni: tutti gli asset (font, JS, CSS) sono serviti dal nostro dominio. Niente librerie front-end esterne (no jQuery, no Bootstrap, no Tailwind runtime).
Il dominio salentosec.dev è configurato con SPF, DKIM e DMARC (politica reject) per impedire spoofing. Verifica live: dmarcian.com/dmarc-inspector/ inserendo salentosec.dev.
Se trovi una vulnerabilità nel sito o nei nostri servizi, scrivici a ciao@salentosec.dev. Pubblichiamo un security.txt secondo RFC 9116 con i contatti aggiornati. Non perseguiamo penalmente chi segnala in buona fede e secondo principi standard di responsible disclosure (no esfiltrazione massiva di dati, no DoS, no pubblicazione prima della patch).
Le persone che ci aiuteranno a chiudere problemi di sicurezza saranno citate qui (con il loro consenso). Per ora la lista è vuota — speriamo lo rimanga il meno possibile.
Strumenti pubblici per verificare che quanto detto sopra sia vero: securityheaders.com (header HTTP), ssllabs.com/ssltest (configurazione TLS), observatory.mozilla.org (security overview), dnsviz.net (DNSSEC e DNS health), mxtoolbox.com (SPF/DMARC).
security.txt (RFC 9116): /.well-known/security.txt