Stellina82 ha scritto:Scusate l'ignoranza, ma non avendo la firma e stando su intenret c'è la possibilità da parte di qualche malintenzionato di mettere virus e quant'altro nel file che si và a scaricare? La paura mia è solo quella, io mi fido di voi se no non sarebbe mia intenzione di fare acquisti sul vostro sito.
Siccome quì stiamo parlando di dati sensibili che vanno su internet la cosa mi lascia un pò perplessa.
Cerco di darti qualche informazione utile a chiarirti le idee (sono quello che lavora alla programmazione del client e rilascia le nuove versioni
).
Lo schema crittografico su cui si basa la firma digitale consente, opportunamente usato, di avere la sicurezza, come dici tu, che nessuno possa alterare un file firmato da noi senza invalidare la firma.
L'uso di tale tecnica per garantire l'integrià dei files che vengono scaricati e installati tramite Zodiac è già sulla nostra "road map" di sviluppo, quindi la cosa verrà implementata prossimamente.
Questo però è un discorso a parte da quello dell'alert che dà Windows quando vai ad eseguire il programma, e che ti preoccupa tanto: per evitare quello, per fartela semplice, è necessario sganciare soldi alla Microsoft, ma non si ottiene una sicurezza concretamente maggiore rispetto all'uso di un sistema di firma "auto-gestito".
Sicuramente valuteremo di farlo, ma bisogna vedere se il gioco vale la candela.
A ogni modo, la sicurezza al 100% non esiste.
Attualmente, tu ipotizzi che qualcuno, accedendo abusivamente ai server di Zodiac, sostituisca il client con uno "infetto".
Ma allo stesso modo, qualcuno potrebbe accedere abusivamente al mio computer ospitante l'ipotetica chiave crittografica "segreta" che userei per applicare la firma digitale al client. Potrebbe rubarla e firmare la sua versione infetta del client, per poi sostituirla sul server. Più difficile, si', ma sempre possibile.
*edit*
Vorrei chiarire che sto estremizzando, proponendo scenari molto molto improbabili (ai limiti dello spy movie) che al 99.9% non si verificheranno mai. Il messaggio che intendevo trasmettere (mi rendo conto rileggendo che potrei aver ottenuto l'effetto contrario) è che se è bene stare attenti, è controproducente andare in paranoia per avvisi - come quello di Windows - che non per forza implicano un livello realmente maggiore di sicurezza. Non conoscendo tutti i dettagli tecnici relativi, va bene dubitare e chiedere, ma se come dicevi "ti fidi" di noi, spero tu possa credere che (proprio essendo coscienti di queste problematiche), faremo tutto il possibile per evitare che accada mai nulla di male.
*fine edit*
Per quanto riguarda l'invio di dati sensibili, il pagamento avviene tramite servizi esterni (paypal, ad esempio). E se non ti "fidi" del client e del suo browser integrato (che comunque usa https, anche se non ci sono "lucchetti" in vista nell'interfaccia), puoi tranquillamente acquistare dal sito utilizzando il tuo browser "fidato", e poi usi il client solo per gestire i giochi.
A ogni modo, ho appena rilasciato la versione 0.9.1.3 del client, che tra l'altro contiene cambiamenti significativi, quindi invito chiunque stia leggendo ad aggiornare.
Riporto qui gli hash SHA1 delle due versioni del client:
bfaf82d9ee87db51cbad47e5dc51b23878cd985a ZodiacSetup.exe
d2eb9eda0390721b397a76b3a6499de45b5c4a27 Zodiac.zip
Se calcoli tali valori sui file che scarichi dal sito di Zodiac (tramite utility di pubblico dominio che calcolino l'hash SHA1, che è uno standard spesso utilizzato anche negli schemi di firma digitale), e corrispondono, hai la garanzia che siano esattamente gli stessi file che ho caricato io.
E anche in questo caso, potenzialmente qualcuno potrebbe modificare il mio messaggio qui sul forum per alterare tali valori. Soprattutto se hai i servizi segreti di qualche superpotenza addosso, altrimenti scaricherei e installerei senza cedere troppo alla paranoia
Ciao, se hai altri dubbi/domande dimmi pure!
D.