WhatsApp, crittografia su chiamate vocali e chat di gruppo in poche settimane

[matteop3]

Quote:

Originariamente inviato da Erotavlas_turbo

Domanda: conosci la licenza GPL? Se no studiala e poi torna a rispondere...

https://whispersystems.org/blog/whatsapp/

Today we’re excited to publicly announce a partnership with WhatsApp, the most popular messaging app in the world, to incorporate the TextSecure protocol into their clients and provide end-to-end encryption for their users by default.

[calabar]

Quote:

Originariamente inviato da Erotavlas_turbo

Non mi pare se rileggi tutto il thread.

Te l'ho scritto proprio perchè ho letto tutto il thread e la sua posizione mi è parsa palese.
Non capisco come tu faccia ancora a sostenere che i suoi interventi erano in difesa di Whatsapp.

Quote:

Originariamente inviato da Erotavlas_turbo

Può essere...non c'è un'analisi valida di Telegram oltre che la EFF. Puoi riportarla...

Perchè, quella di EFF è valida? É stata criticata come una metodologia fallace, che risulta sicura nel contesto della prova che però è ben lontano dalle possibilità che si hanno in una situazione reale.
Per il link, già ti ho scritto che non intendo cercarli, ma puoi farlo tu se vuoi, trovi sicuramente qualcosa nei miei post passati sull'argomento.

Quote:

Originariamente inviato da Erotavlas_turbo

No questo non è possibile. ...

Certo che è possibile. O è possibile come dicevo prima rilasciare il software sotto altra licenza.
Senza contare che stai ignorando il piccolo particolare che è stato fatto. Il che ti pone in torto al di la di ogni possibile discussione sulle licenze.

Quote:

Originariamente inviato da Erotavlas_turbo

Mi dovrei fidare di questo privato che chiede soldi e non della EFF?

Perdonami ma... cosa ci sarebbe di male nel farsi pagare il proprio lavoro ad hoc su software di terze parti? Siccome osano chiedere soldi allora non sono affidabili?
Francamente certe affermazioni mi lasciano basito... e questo per cosa poi? Per poter ignorare tutto il resto che è scritto nell'articolo linkato?

Quote:

Originariamente inviato da cdimauro

Il senso del discorso mi era chiaro, ma io sono intervenuto sulla parte strettamente tecnica.

Parte tecnica che però non aveva nulla a che fare con il discorso che si stava facendo. Sembra un tentativo mal riuscito di sviare il discorso su quello che invece era il vero nocciolo della questione.

Quote:

Originariamente inviato da cdimauro

Premesso questo, non è vero che il software closed non si possa verificare. Intanto c'è il reverse engineering che ho citato prima. Poi ci sono società di analisi della sicurezza che possono accedere ai sorgenti e validarli.

E chi ci assicura della veridicità del resoconto della società di analisi? Altro non stai facendo che spostare il problema della fiducia da una società ad un'altra... di fatto non cambia nulla.
E il reverse engineering? Suvvia, già non è semplice esaminare il codice in chiaro, figuriamoci cercare di dedurre tutto in reverse engineering. Come se questo poi consentisse di rivedere il codice come viene scritto... in buona parte dei casi (soprattutto se si adottano tecniche di offuscamento) è già tanto se si riesce a capire abbastanza da riprodurre le funzionalità, ma esaminare i sorgenti è ben altra cosa.

Per quanto ci giri intorno, solo il codice in chiaro può dare garanzie in questo senso.

Quote:

Originariamente inviato da cdimauro

E' un'asserzione che rimane falsa, per quanto già detto.

Non cercare di spacciare le tue conclusioni (basate sulle tue opinabili considerazioni precedenti) come verità incontrovertibile.
La sua affermazione a mio parere è vera, e la spiega bene quando dice, riferendosi all'implementazione closed source: "La seconda è inaffidabile per definizione. Ti devi fidare di chi la implementa".

Diamine, questo è il primo e ultimo WoT che faccio in questo topic.

[cdimauro]

Quote:

Originariamente inviato da Erotavlas_turbo

Si non è dimostrato, ma è un dato di fatto.

No che non lo è: è una tua assunzione.

Quote:

In un codice closed source le falle vengono fuori molto più difficilmente o non vengono mai fuori...

Come già detto, il codice closed è closed soltanto per la gente comune. Ecco perché vengono ugualmente trovate tante falle.

Quote:

Cioé?

Cioé ci sono tante persone che hanno accesso al codice.

Quote:

Un paragone che calza perfettamente per la trasparenza tra codice open source e codice closed source è quello tra un prodotto alimentare con etichetta dove vengono dichiarati gli ingredienti e la loro provenienza e un prodotto alimentare dove compare solo il nome del prodotto.
Per il secondo tipo di prodotto alimentare ci sono persone:
- che ci lavorano (banale e ovvio);
- ci fanno reverse engineering (cercando di capire gli ingredienti);
- ci fanno analisi (capendo il contenuto chimico se alterato, nocivo, etc.).
Alla fine rimane sempre un prodotto per cui il consumatore deve avere fiducia del produttore.
Open source -> trasparenza anche se non esente da bug
Closed source -> fiducia

Su questo concordo.

Quote:

Dopo lo scandalo Prism in cui NSA utilizzava le falle e le back door volutamente lasciate aperte dai maggiori protagonisti del software Google, Microsoft, Apple, Facebook, Yahoo, non c'è molto da fidarsi del codice closed source.

Questa è la classica fallacia logica della generalizzazione.

Quote:

Questo è sbagliato. Direttamente dalla licenza GPLv2-GPLv3
The fourth section for version 2 of the license and the seventh section of version 3 require that programs distributed as pre-compiled binaries are accompanied by a copy of the source code, a written offer to distribute the source code via the same mechanism as the pre-compiled binary, or the written offer to obtain the source code that the user got when they received the pre-compiled binary under the GPL
Informati...

Sono abbastanza informato. Infatti questa parte non si applica a quello che avevo detto. Rileggila con più attenzione.

D'altra parte ti sei guardato bene dallo spiegare come farebbe nVidia a mantenere closed i sorgenti dei suoi driver, pur distribuendo i binari.

[cdimauro]

Quote:

Originariamente inviato da calabar

Parte tecnica che però non aveva nulla a che fare con il discorso che si stava facendo.

Dillo a chi ha affermato quelle cose, allora.

Quote:

Sembra un tentativo mal riuscito di sviare il discorso su quello che invece era il vero nocciolo della questione.

Ma anche no. Dalle opinioni che può avere chiunque si è passati a fatti di stampo prettamente tecnico, che però non collimano con la realtà. Da cui il mio intervento.

Le altre polemiche non m'interessano.

Quote:

E chi ci assicura della veridicità del resoconto della società di analisi? Altro non stai facendo che spostare il problema della fiducia da una società ad un'altra... di fatto non cambia nulla.

In tal caso che un codice sia aperto o chiuso non ha alcuna importanza, perché dell'analisi di entrambi uno può non avere fiducia a prescindere.

Quote:

E il reverse engineering? Suvvia, già non è semplice esaminare il codice in chiaro, figuriamoci cercare di dedurre tutto in reverse engineering.

Beh, è proprio quello che viene ampiamente fatto sia da ricerca falle di sicurezza, sia dai pirati/cracker.

Non è una possibilità remota. Tutt'altro.

Quote:

Come se questo poi consentisse di rivedere il codice come viene scritto... in buona parte dei casi (soprattutto se si adottano tecniche di offuscamento) è già tanto se si riesce a capire abbastanza da riprodurre le funzionalità, ma esaminare i sorgenti è ben altra cosa.

Ma anche no: esaminare i binari può portare a far emergere cose che non sono subito visibili nel codice originale.

Quote:

Per quanto ci giri intorno, solo il codice in chiaro può dare garanzie in questo senso.

Non c'è nessuna garanzia del genere.

Quote:

Non cercare di spacciare le tue conclusioni (basate sulle tue opinabili considerazioni precedenti) come verità incontrovertibile.

In tal caso le si potrà smontare, no?

Quote:

La sua affermazione a mio parere è vera, e la spiega bene quando dice, riferendosi all'implementazione closed source: "La seconda è inaffidabile per definizione. Ti devi fidare di chi la implementa".

E' la prima parte che è del tutto sbagliata.

Sulla seconda non ho problemi ad accettarla. Ma d'altra parte se non ci si può fidare dell'analisi del codice di aziende specializzate, è un problema che nemmeno si pone.

Quote:

Diamine, questo è il primo e ultimo WoT che faccio in questo topic.

Benvenuto.

[ComputArte]

Leggo sempre con ilarità affermazioni che tentano ( senza riuscirci ) di "affumicare" l'ambiente per non far emergere verità inequivocabili...
Si vuole far passare per sicuro un sw con fonte chiusa ( e BLINDATA ) e quindi migliore, più leale e trasparente di un sw con fonte aperta....siamo al negazionismo che non riuscirebbe a convincere nemmeno un bimbo della terza elementare secondo trimestre!

E poi, ripeto, vogliamo credere alla favoletta della buona notte sulla sicurezza intesa come incapacità di leggere in chiaro tutti i contenuti sui quali TUTTE le OTT e compagnucce di merendine varie in ICT, stanno facendo i soldini con la profilazione degli utenti?!?!

O ancora: "la criptazione end-to-end" è sicura al 100% e l'utente è CERTO che nessuno sarà in grado di leggerla!!!! ....BHUAHAHAHAHAHAHAHAHAHAHAHA!!!!

MA se basta una singola, piccina, porticina di servizio implementata nel kernel del SO ( chiaramente a FONTE CHIUSA )!
...quando e se i proprietari dei sistemi operativi metteranno in CHIARO tutto il codice , allora si può iniziare a ragionare SE e QUANTO il sistema possa essere robusto e a prova di lettura da un "terzo"....fino a prova contraria, vista la raccolta massiva di dati è "naturale" pensare il contrario , con buona pace di chi si impegna con sforzi erculei a negare evidenze di magnitudo incelabile!

QUOTONE per Erotavlas_turbo !!!

[cdimauro]

E non poteva mancare il complottista mistificatore, ovviamente.

Io non mai voluto far passare alcunché. Al solito, mi assumo la responsabilità di quello che IO ho detto, e non quello che un bugiardo mistificatore vorrebbe far passare per mio.

Precisato questo, ribaltare la frittata non regge: non sono io ho che ho fatto certe affermazioni. Io ne ho "soltanto" chiesto conto e ragione. E, dunque, che chi le ha fatte ne portasse le prove/dimostrazione. Come scienza comanda: l'onere della prova è e rimane, infatti, di chi ha proposto una tesi.

Cosa che, manco a dirlo, non è mai avvenuta: finora si sono lette soltanto parole e basta, quando l'argomento è prettamente tecnico. Se poi è "talmente evidente", dovrebbe essere di una banalità sconcertante dimostrare le suddette tesi.

In ogni caso non è un problema mio: non sono io che ho fatto quelle affermazioni. Tocca agli altri dimostrarle.

[ComputArte]

Come al solito offendi e perdi le staffe infarcendoti la bocca di parole che visto il contesto, nemmeno conosci e comprendi ( complottista, bugiardo mistificatore)
Capisco che l'educazione non è il tuo forte, ma mantieni le distanze.
Anche se mostri non avere educazione, impara a non offendere ...è e rimane una manifestazione di debolezza ed incapacità di affrontare i problemi, troppo evidente per sfuggire anche a te!
Quindi sei caldamente invitato a rivolgerti in questa maniera verso qualcun altro che ha la tua stessa sensibilità sociale.

Visto che non è la prima volta che lanci il sasso e nascondi la mano :

Allora Erotavlas_turbo scrive:
Un codice open source è affidabile proprio perché tutti possono controllare la sua implementazione.

E tu

Quote:

Originariamente inviato da cdimauro

Falso. Lo dimostra il caso OpenSSH.

Lo dimostrano pure le recentissime falle venite fuori dopo diversi anni esclusivamente grazie al lavoro di review di Google e Red Hat (che sono aziende che hanno precisi interessi).

….dall’alto della tua presupponenza autoreferenziale, parzializzi l’affermazione andando ad riportare che sono stati scoperti dei bug da Google e Red Hat….come se questo cambiasse il senso dell’affermazione di cui sopra, che qualsiasi persona in BUONA FEDE ed a conoscenza della dinamica che si instaura sui codici aperti , sa che sono in CONTINUA analisi per migliorarli e trovare proprio quei difetti SFUGGITI e NON VOLUTI !
La frase “tutti possono controllare la sua implementazione” ha un solo significato: constatare la correttezza del codice nel caso di errori casuali e controllare se qualcuno ha aggiunto delle porte si servizio …
Quello che non puoi fare su un codice chiuso…perché….E’ CHIUSO e PROTETTO da controlli indipendenti.

MA TU NO , ancora che racconti la pizellacchera del reverse engineering, come se questo fosse AFFIDABILE al 100%....o anche qui vuoi affermare che il grado di accuratezza, precisione e trasparenza di uno operazione di ingegneria inversa sia UGUALE a quella di analizzare il codice aperto?!
…e ti hanno anche citato le tecniche di offuscamento che sono solo una variabile!!!!

Originariamente inviato da: Erotavlas_turbo:
Un codice closed source è inaffidabile per definizione.

E tu con il solito approccio da maghetto

Quote:

Originariamente inviato da cdimauro

Falso. Il fatto che non siano disponibili i sorgenti non è, logica alla mano, dimostrazione che un software sia inaffidabile. Può benissimo essere affidabilissimo. Semplicemente il codice che lo genera non è disponibile a tutti.

MA veramente pensi che fare lo slalom sulle problematiche di cui si disquisisce per accendere il “tuo faretto” su caratteristiche limitrofe ed insignificanti, sia efficace?!?!
L’affidabilità qui è tirata in ballo non per l’azienda che ha scritto il codice per fare il suo profitto!
Certo che deve essere affidabile per lei, altrimenti andrebbe a zappare la terra, invece di stare in ICT….
Qui si disquisisce sulla affidabilità PER L’UTENTE e nello specifico nella CERTEZZA DI NON ESSERE SPIATI.
Alias, che nel codice CHIUSO non sia implementata una “porticina di servizio” che renda fruibile all’azienda la chiave e l’algoritmo di criptazione ALIAS, che protegga la comunicazione dall’intrusione dell’ “omino di mezzo” , ma che lei le informazioni se le CIUCCIA TUTTE IN CHIARO!

Cosa di questa ipotesi non ti va bene?!?!?!?!

E te lo ha scritto anche Calabar che non hai colto l’elemento del disquisire!!!!
E tu che rispondi fischi per fischi tirando in ballo la “parte tecnica”

Quote:

Originariamente inviato da cdimauro

Il senso del discorso mi era chiaro, ma io sono intervenuto sulla parte strettamente tecnica.

Ma di quale parte tecnica ti gorgheggi?!?!?!?!
Ancora che tenti di sviare la conversazione, aggiungendo:

Quote:

Originariamente inviato da cdimauro

Poi ci sono società di analisi della sicurezza che possono accedere ai sorgenti e validarli.

Ma pensi veramente che con la mala fede e le azioni poste in essere dalle OTT e le varie condanne che si sono viste comminare dalla autorità , la gente normale ( e soprattutto chi ci lavora in ICT ) si andrebbe a fidare di un società PRIVATA che accede ai sorgenti per validarli, dietro un compenso?!?
Allora, invece di pagare qualcuno per fare questa verifica, perché le grandi OTT non lasciano aperti e verificabili i loro codici a TUTTI?!
Mi sbaglio o il mantra che LORO utilizzano è 2.0 a gogo e condivisione di TUTTO ….ha già è VALIDO solo per gli utenti, che sono territorio di scorribande, e non per i loro dati!

Poi non contento fai pure questa domanda

Quote:

Originariamente inviato da cdimauro

Allora mi daresti una definizione oggettiva e incontrovertibile di software "sicuro"?

Perché non rispondi tu a questa domanda viste le tua affermazioni perentorie e stonate, ma alla luce di un elemento che porto alla tua attenzione che sembra girare a senso UNICO: per sicurezza si intende quella dell’utente a non essere spiato da chiunque ( inclusa la società che gestisce la piattaforma “gratuita” che sta utilizzando per comunicare !)

Ancora : Originariamente inviato da: Erotavlas_turbo
Un codice open source è affidabile proprio per questo motivo. Se ci sono falle inserite volutamente o meno prima o poi vengono fuori...

Quote:

Originariamente inviato da cdimauro

Questo non è affatto dimostrato: possono benissimo rimanere non scoperte.

…qui tocchi il picco di ilarità tentando goffamente di equiparare un problema presente per un eventuale errore di buona fede che poi viene scoperto su un codice APERTO, ad una “potenziale” falla APPOSITAMENTE CREATA per scopi tutt’altro che alti ed in definitiva, constatato che il CODICE è CHIUSO, lasciare l’eventuale scoperta al reverse engineering o ad una società di consulenza che valida il sw…..ma per favore !!!!

Ma non finisce qui:
: Originariamente inviato da: Erotavlas_turbo :Il codice closed source non ti garantisce questo aspetto.
E tu cosa rispondi?!?!

Quote:

Originariamente inviato da cdimauro

Anche questo non è affatto dimostrato. Dimentichi che quello che per te è codice closed, per tante altre persone non lo è, perché:
- ci lavorano (banale e ovvio);
- ci fanno reverse engineering;
- ci fanno analisi (vedi sopra).

Stai tirando in ballo i DIPENDENTI della stessa società che spaccia per SICURO 100% la piattaforma, stai parlando di eventuali soggetti che devono “accontentarsi” di fare ingegneria inversa su quello che appare ( E NON SU QUELLO CHE E’ NELLA SUA INTEREZZA ), e/o delle fantomatiche società private che dietro compenso “VALIDANO” il sw….
Lo vedi che questi sforzi erculei non sfiorano nemmeno lontanamente la soluzione MIGLIORE e VERAMENTE più efficace: lasciare controllare a chiunque voglia la natura del codice , andando ad escludere quelle famose porticine che ti ostini a non voler nemmeno citare nelle tua autoreferenziali e poco sostanziose “difese di ufficio” per soggetti che se “CHIUDONO”, celano!

Ma la tua posizione surreale continua quando commenti la seguente affermazione ( condivisa ! )
Originariamente inviato da: Erotavlas_turbo
Il punto focale è la trasparenza che un codice chiuso non fornisce e non potrà mai fornire e per questo è intrinsecamente inaffidabile.

Quote:

Originariamente inviato da cdimauro

E' un'asserzione che rimane falsa, per quanto già detto.

Ma puoi sempre dimostrare il contrario, se ci riesci.

Ma dimostra TU , (se mai ci riuscirai … forse nel tuo mondo immaginario ) che un codice aperto e verificato possa essere equiparato ad un sw CHIUSO….ma non ti rendi conto di che cosa significa l’aggettivo in maiuscolo….o vuoi impegnarti a riscrivere la grammatica, la semantica e perché no anche la letteratura italiana?!?!

E Erotavlas_turbo ti ha anche fatto l’esempio dell’etichettatura alimentare…. Che strano qui non hai commentato!



Sono costretto a riportare l’affermazione che hai definito “fallace”
Erotavlas_turbo:
Dopo lo scandalo Prism in cui NSA utilizzava le falle e le back door volutamente lasciate aperte dai maggiori protagonisti del software Google, Microsoft, Apple, Facebook, Yahoo, non c'è molto da fidarsi del codice closed source.

[quote=cdimauro;43483269
Questa è la classica fallacia logica della generalizzazione.
[/QUOTE]

Ma illuminaci: cosa intendi?
Per caso Prism non esiste , l NSA non esiste, la notizie sull’accesso continuativo nei server delle OTT da parte delle agenzie di intelligence sono tutte bugie e falsità?!


[quote=cdimauro;43483269
In tal caso che un codice sia aperto o chiuso non ha alcuna importanza, perché dell'analisi di entrambi uno può non avere fiducia a prescindere.
[/QUOTE]

?....BUHAHAHAHAHAHAHAHA!
Sono proprio curioso: ma che hai scritto!?

PS. Accendi l’educazione per come ti è stata suggerita, prima di rispondere!

[matteop3]

Quote:

Originariamente inviato da ComputArte

(enorme cut)

Posto che cdimauro mi è sembrato tutt'altro che arrogante e, sebbene non sia d'accordo con tutto quel che ha scritto, non si può certo dire che sia stato maleducato. In tutta onestà ho trovato molto più nauseantemente borioso questo tuo post.

In merito alla questione open vs closed non entrerò più nel merito - dato che non ne ho più la forza - e mi sembra di aver già fatto capire che per me open source e cybersecurity hanno un legame*. Nonostante questo smettetela di dire che Telegram è più sicuro di Whatsapp tirando in ballo l'apertura/chiusura del codice, perché palesemente non è così! Affermarlo significa non riuscire a capire un tubo dell'architettura delle due applicazioni.
Telegram è completamente centralizzato e sia conversazioni che chiavi di cifratura sono completamente in mano ai loro server, mentre WA è completamente decentralizzato, le conversazioni risiedono solamente sui terminali e le chiavi di cifratura (effimere) non lasciano mai il dispositivo (l'apertissimo e liberissimo protocollo TextSecure che WA adopera funziona proprio così), quindi nemmeno Whatsapp Inc. in persona ha modo di accedere ai contenuti delle conversazioni dei propri utenti, visto che TextSecure non glielo permette (e TextSecure è open source, eh). Basta anche guardare ai guai che ha avuto WA in Brasile di recente - e che Telegram non ha avuto.
Supponiamo, per pura assurdità, che ci sia un enorme complotto da parte di Whatsapp o qualche ente governativo a tua scelta e che in realtà Whatsapp Inc. abbia integrato in maniera malevola il protocollo TextSecure e che quindi possegga una serie di server segreti con tutte le conversazioni in chiaro di tutti. Beh, in questo caso Whatsapp non si potrebbe proprio definire tecnicamente meno sicuro di Telegram (quello reale ed attuale).

*: mi trovo sostanzialmente d'accordo con questo post di Schneider: https://www.schneier.com/crypto-gram...rceandSecurity

[Erotavlas_turbo]

Quote:

Originariamente inviato da matteop3

https://whispersystems.org/blog/whatsapp/

Today we’re excited to publicly announce a partnership with WhatsApp, the most popular messaging app in the world, to incorporate the TextSecure protocol into their clients and provide end-to-end encryption for their users by default.

Cosa significa? Non puoi includere un codice open source con licenza GPL dentro un codice closed source. E' la base della licenza GPL. Un conto è utilizzare il protocollo algoritmo di Signal dentro Whatsapp, un'altra è utlizzare il codice.

Leggere e poi parlare

1. Mi piacerebbe incorporare del software coperto dalla GPL nel mio sistema proprietario. Non ho permessi su quel software al di là di quelli concessi dalla GPL. Lo posso fare?
2. Tu hai un programma sotto GPL a cui vorrei linkare del mio codice per costruire un programma proprietario. Il fatto che io sfrutti il tuo programma mi obbliga a usare la GPL per il mio programma?
3. Il fatto che un certo programma GNU sia rilasciato sotto GPL non ci permette di usarlo nel nostro progetto di sviluppo di software proprietario. Potete fare un'eccezione per noi? Questo potrebbe significare allargare il bacino di utenza per quel programma.

[Erotavlas_turbo]

Quote:

Originariamente inviato da calabar

Te l'ho scritto proprio perchè ho letto tutto il thread e la sua posizione mi è parsa palese.
Non capisco come tu faccia ancora a sostenere che i suoi interventi erano in difesa di Whatsapp.

Si perché è palese se continua ad affermare che whatsapp è sicuro quando in realtà non lo è. Lo afferma l'unica analisi valida e imparziale disponibile.

Quote:

Originariamente inviato da calabar

Perchè, quella di EFF è valida? É stata criticata come una metodologia fallace, che risulta sicura nel contesto della prova che però è ben lontano dalle possibilità che si hanno in una situazione reale.
Per il link, già ti ho scritto che non intendo cercarli, ma puoi farlo tu se vuoi, trovi sicuramente qualcosa nei miei post passati sull'argomento.

Prego riportare i link e sarò il primo a cambiare idea, però non mi riportare link di un privato che dice: "Want to make sure your code never ends up on Crypto Fails? I provide an inexpensive security auditing service, with discounts for free software!"
In breve se mi paghi non ti critico.

Quote:

Originariamente inviato da calabar

Certo che è possibile. O è possibile come dicevo prima rilasciare il software sotto altra licenza.
Senza contare che stai ignorando il piccolo particolare che è stato fatto. Il che ti pone in torto al di la di ogni possibile discussione sulle licenze.

Leggere e poi parlare

1. Mi piacerebbe incorporare del software coperto dalla GPL nel mio sistema proprietario. Non ho permessi su quel software al di là di quelli concessi dalla GPL. Lo posso fare?
2. Tu hai un programma sotto GPL a cui vorrei linkare del mio codice per costruire un programma proprietario. Il fatto che io sfrutti il tuo programma mi obbliga a usare la GPL per il mio programma?
3. Il fatto che un certo programma GNU sia rilasciato sotto GPL non ci permette di usarlo nel nostro progetto di sviluppo di software proprietario. Potete fare un'eccezione per noi? Questo potrebbe significare allargare il bacino di utenza per quel programma.

Quote:

Originariamente inviato da calabar

Perdonami ma... cosa ci sarebbe di male nel farsi pagare il proprio lavoro ad hoc su software di terze parti? Siccome osano chiedere soldi allora non sono affidabili?
Francamente certe affermazioni mi lasciano basito... e questo per cosa poi? Per poter ignorare tutto il resto che è scritto nell'articolo linkato?

"Want to make sure your code never ends up on Crypto Fails? I provide an inexpensive security auditing service, with discounts for free software!"
In breve se mi paghi non ti critico. Non mi piace e non mi fido di una persona che scrive questo può essere anche un genio della crittografia.

Quote:

Originariamente inviato da calabar

E chi ci assicura della veridicità del resoconto della società di analisi? Altro non stai facendo che spostare il problema della fiducia da una società ad un'altra... di fatto non cambia nulla.
E il reverse engineering? Suvvia, già non è semplice esaminare il codice in chiaro, figuriamoci cercare di dedurre tutto in reverse engineering. Come se questo poi consentisse di rivedere il codice come viene scritto... in buona parte dei casi (soprattutto se si adottano tecniche di offuscamento) è già tanto se si riesce a capire abbastanza da riprodurre le funzionalità, ma esaminare i sorgenti è ben altra cosa.

Per quanto ci giri intorno, solo il codice in chiaro può dare garanzie in questo senso.

Esatto!

Quote:

Originariamente inviato da calabar

Non cercare di spacciare le tue conclusioni (basate sulle tue opinabili considerazioni precedenti) come verità incontrovertibile.
La sua affermazione a mio parere è vera, e la spiega bene quando dice, riferendosi all'implementazione closed source: "La seconda è inaffidabile per definizione. Ti devi fidare di chi la implementa".

Dopo lo scandalo Prism non mi fido più del codice chiuso...è come fidarsi di chi ti dice questo cibo è buono, ma non ti dice da dove provienere e cosa ha messo dentro...

[Erotavlas_turbo]

Quote:

Originariamente inviato da cdimauro

No che non lo è: è una tua assunzione.
Come già detto, il codice closed è closed soltanto per la gente comune. Ecco perché vengono ugualmente trovate tante falle.

Cosa stai dicendo? Stai affermando che fare il reverse engineering è come avere il codice sorgente?

Quote:

Originariamente inviato da cdimauro

Questa è la classica fallacia logica della generalizzazione.

Contento tu, io non mi fido del codice chiuso dopo lo scandalo Prism specialmente se stiamo parlando di riservatezzza e di comunicazioni sicure.

Quote:

Originariamente inviato da cdimauro

Sono abbastanza informato. Infatti questa parte non si applica a quello che avevo detto. Rileggila con più attenzione.

Quello che avevi detto non ha nulla a che fare con la mia affermazione e con la questione che Whatsapp proprietario non può includere codice di Signal GPL.

Quote:

Originariamente inviato da cdimauro

D'altra parte ti sei guardato bene dallo spiegare come farebbe nVidia a mantenere closed i sorgenti dei suoi driver, pur distribuendo i binari.

Leggi prima di parlare.

1. Mi piacerebbe incorporare del software coperto dalla GPL nel mio sistema proprietario. Non ho permessi su quel software al di là di quelli concessi dalla GPL. Lo posso fare?
2. Tu hai un programma sotto GPL a cui vorrei linkare del mio codice per costruire un programma proprietario. Il fatto che io sfrutti il tuo programma mi obbliga a usare la GPL per il mio programma?
3. Il fatto che un certo programma GNU sia rilasciato sotto GPL non ci permette di usarlo nel nostro progetto di sviluppo di software proprietario. Potete fare un'eccezione per noi? Questo potrebbe significare allargare il bacino di utenza per quel programma.

Certo che può installare binari proprietari dentro un sistema operativo prevalentemente GPL. Non puoi fare il contrario cioè includere codice GPL dentro un codice proprietario.

[Erotavlas_turbo]

Quote:

Originariamente inviato da ComputArte

Leggo sempre con ilarità affermazioni che tentano ( senza riuscirci ) di "affumicare" l'ambiente per non far emergere verità inequivocabili...
Si vuole far passare per sicuro un sw con fonte chiusa ( e BLINDATA ) e quindi migliore, più leale e trasparente di un sw con fonte aperta....siamo al negazionismo che non riuscirebbe a convincere nemmeno un bimbo della terza elementare secondo trimestre!

E poi, ripeto, vogliamo credere alla favoletta della buona notte sulla sicurezza intesa come incapacità di leggere in chiaro tutti i contenuti sui quali TUTTE le OTT e compagnucce di merendine varie in ICT, stanno facendo i soldini con la profilazione degli utenti?!?!

O ancora: "la criptazione end-to-end" è sicura al 100% e l'utente è CERTO che nessuno sarà in grado di leggerla!!!! ....BHUAHAHAHAHAHAHAHAHAHAHAHA!!!!

MA se basta una singola, piccina, porticina di servizio implementata nel kernel del SO ( chiaramente a FONTE CHIUSA )!
...quando e se i proprietari dei sistemi operativi metteranno in CHIARO tutto il codice , allora si può iniziare a ragionare SE e QUANTO il sistema possa essere robusto e a prova di lettura da un "terzo"....fino a prova contraria, vista la raccolta massiva di dati è "naturale" pensare il contrario , con buona pace di chi si impegna con sforzi erculei a negare evidenze di magnitudo incelabile!

QUOTONE per Erotavlas_turbo !!!

Per fortuna c'è qualcuno che ogni tanto ragione e accende il cervello...

[Erotavlas_turbo]

Quote:

Originariamente inviato da ComputArte

Come al solito offendi e perdi le staffe infarcendoti la bocca di parole che visto il contesto, nemmeno conosci e comprendi ( complottista, bugiardo mistificatore)
Capisco che l'educazione non è il tuo forte, ma mantieni le distanze.
Anche se mostri non avere educazione, impara a non offendere ...è e rimane una manifestazione di debolezza ed incapacità di affrontare i problemi, troppo evidente per sfuggire anche a te!
Quindi sei caldamente invitato a rivolgerti in questa maniera verso qualcun altro che ha la tua stessa sensibilità sociale.

Visto che non è la prima volta che lanci il sasso e nascondi la mano :

Allora Erotavlas_turbo scrive:
Un codice open source è affidabile proprio perché tutti possono controllare la sua implementazione.

E tu

….dall’alto della tua presupponenza autoreferenziale, parzializzi l’affermazione andando ad riportare che sono stati scoperti dei bug da Google e Red Hat….come se questo cambiasse il senso dell’affermazione di cui sopra, che qualsiasi persona in BUONA FEDE ed a conoscenza della dinamica che si instaura sui codici aperti , sa che sono in CONTINUA analisi per migliorarli e trovare proprio quei difetti SFUGGITI e NON VOLUTI !
La frase “tutti possono controllare la sua implementazione” ha un solo significato: constatare la correttezza del codice nel caso di errori casuali e controllare se qualcuno ha aggiunto delle porte si servizio …
Quello che non puoi fare su un codice chiuso…perché….E’ CHIUSO e PROTETTO da controlli indipendenti.

MA TU NO , ancora che racconti la pizellacchera del reverse engineering, come se questo fosse AFFIDABILE al 100%....o anche qui vuoi affermare che il grado di accuratezza, precisione e trasparenza di uno operazione di ingegneria inversa sia UGUALE a quella di analizzare il codice aperto?!
…e ti hanno anche citato le tecniche di offuscamento che sono solo una variabile!!!!

Originariamente inviato da: Erotavlas_turbo:
Un codice closed source è inaffidabile per definizione.

E tu con il solito approccio da maghetto


MA veramente pensi che fare lo slalom sulle problematiche di cui si disquisisce per accendere il “tuo faretto” su caratteristiche limitrofe ed insignificanti, sia efficace?!?!
L’affidabilità qui è tirata in ballo non per l’azienda che ha scritto il codice per fare il suo profitto!
Certo che deve essere affidabile per lei, altrimenti andrebbe a zappare la terra, invece di stare in ICT….
Qui si disquisisce sulla affidabilità PER L’UTENTE e nello specifico nella CERTEZZA DI NON ESSERE SPIATI.
Alias, che nel codice CHIUSO non sia implementata una “porticina di servizio” che renda fruibile all’azienda la chiave e l’algoritmo di criptazione ALIAS, che protegga la comunicazione dall’intrusione dell’ “omino di mezzo” , ma che lei le informazioni se le CIUCCIA TUTTE IN CHIARO!

Cosa di questa ipotesi non ti va bene?!?!?!?!

E te lo ha scritto anche Calabar che non hai colto l’elemento del disquisire!!!!
E tu che rispondi fischi per fischi tirando in ballo la “parte tecnica”



Ma di quale parte tecnica ti gorgheggi?!?!?!?!
Ancora che tenti di sviare la conversazione, aggiungendo:



Ma pensi veramente che con la mala fede e le azioni poste in essere dalle OTT e le varie condanne che si sono viste comminare dalla autorità , la gente normale ( e soprattutto chi ci lavora in ICT ) si andrebbe a fidare di un società PRIVATA che accede ai sorgenti per validarli, dietro un compenso?!?
Allora, invece di pagare qualcuno per fare questa verifica, perché le grandi OTT non lasciano aperti e verificabili i loro codici a TUTTI?!
Mi sbaglio o il mantra che LORO utilizzano è 2.0 a gogo e condivisione di TUTTO ….ha già è VALIDO solo per gli utenti, che sono territorio di scorribande, e non per i loro dati!

Poi non contento fai pure questa domanda


Perché non rispondi tu a questa domanda viste le tua affermazioni perentorie e stonate, ma alla luce di un elemento che porto alla tua attenzione che sembra girare a senso UNICO: per sicurezza si intende quella dell’utente a non essere spiato da chiunque ( inclusa la società che gestisce la piattaforma “gratuita” che sta utilizzando per comunicare !)

Ancora : Originariamente inviato da: Erotavlas_turbo
Un codice open source è affidabile proprio per questo motivo. Se ci sono falle inserite volutamente o meno prima o poi vengono fuori...


…qui tocchi il picco di ilarità tentando goffamente di equiparare un problema presente per un eventuale errore di buona fede che poi viene scoperto su un codice APERTO, ad una “potenziale” falla APPOSITAMENTE CREATA per scopi tutt’altro che alti ed in definitiva, constatato che il CODICE è CHIUSO, lasciare l’eventuale scoperta al reverse engineering o ad una società di consulenza che valida il sw…..ma per favore !!!!

Ma non finisce qui:
: Originariamente inviato da: Erotavlas_turbo :Il codice closed source non ti garantisce questo aspetto.
E tu cosa rispondi?!?!


Stai tirando in ballo i DIPENDENTI della stessa società che spaccia per SICURO 100% la piattaforma, stai parlando di eventuali soggetti che devono “accontentarsi” di fare ingegneria inversa su quello che appare ( E NON SU QUELLO CHE E’ NELLA SUA INTEREZZA ), e/o delle fantomatiche società private che dietro compenso “VALIDANO” il sw….
Lo vedi che questi sforzi erculei non sfiorano nemmeno lontanamente la soluzione MIGLIORE e VERAMENTE più efficace: lasciare controllare a chiunque voglia la natura del codice , andando ad escludere quelle famose porticine che ti ostini a non voler nemmeno citare nelle tua autoreferenziali e poco sostanziose “difese di ufficio” per soggetti che se “CHIUDONO”, celano!

Ma la tua posizione surreale continua quando commenti la seguente affermazione ( condivisa ! )
Originariamente inviato da: Erotavlas_turbo
Il punto focale è la trasparenza che un codice chiuso non fornisce e non potrà mai fornire e per questo è intrinsecamente inaffidabile.



Ma dimostra TU , (se mai ci riuscirai … forse nel tuo mondo immaginario ) che un codice aperto e verificato possa essere equiparato ad un sw CHIUSO….ma non ti rendi conto di che cosa significa l’aggettivo in maiuscolo….o vuoi impegnarti a riscrivere la grammatica, la semantica e perché no anche la letteratura italiana?!?!

E Erotavlas_turbo ti ha anche fatto l’esempio dell’etichettatura alimentare…. Che strano qui non hai commentato!



Sono costretto a riportare l’affermazione che hai definito “fallace”
Erotavlas_turbo:
Dopo lo scandalo Prism in cui NSA utilizzava le falle e le back door volutamente lasciate aperte dai maggiori protagonisti del software Google, Microsoft, Apple, Facebook, Yahoo, non c'è molto da fidarsi del codice closed source.



Ma illuminaci: cosa intendi?
Per caso Prism non esiste , l NSA non esiste, la notizie sull’accesso continuativo nei server delle OTT da parte delle agenzie di intelligence sono tutte bugie e falsità?!




?....BUHAHAHAHAHAHAHAHA!
Sono proprio curioso: ma che hai scritto!?

PS. Accendi l’educazione per come ti è stata suggerita, prima di rispondere!

Sei un grande per la tua risposta sia come forma sia come sostanza. Spero almeno tu sia riuscito a far capire di cosa stiamo parlando. Grazie

[matteop3]

Quote:

Originariamente inviato da Erotavlas_turbo

Prego riportare i link e sarò il primo a cambiare idea, però non mi riportare link di un privato che dice: "Want to make sure your code never ends up on Crypto Fails? I provide an inexpensive security auditing service, with discounts for free software!"
In breve se mi paghi non ti critico.

Ora è ufficiale. Stai trollando.

[matteop3]

Quote:

Originariamente inviato da Erotavlas_turbo

Cosa significa? Non puoi includere un codice open source con licenza GPL dentro un codice closed source. E' la base della licenza GPL. Un conto è utilizzare il protocollo algoritmo di Signal dentro Whatsapp, un'altra è utlizzare il codice.

Leggere e poi parlare

1. Mi piacerebbe incorporare del software coperto dalla GPL nel mio sistema proprietario. Non ho permessi su quel software al di là di quelli concessi dalla GPL. Lo posso fare?
2. Tu hai un programma sotto GPL a cui vorrei linkare del mio codice per costruire un programma proprietario. Il fatto che io sfrutti il tuo programma mi obbliga a usare la GPL per il mio programma?
3. Il fatto che un certo programma GNU sia rilasciato sotto GPL non ci permette di usarlo nel nostro progetto di sviluppo di software proprietario. Potete fare un'eccezione per noi? Questo potrebbe significare allargare il bacino di utenza per quel programma.

Mi risponderesti, per favore, una volta per tutte, alla seguente domanda?

Tu dunque ritieni che Whatsapp non integri e sfrutti il protocollo TextSecure realizzato da Open Whisper Systems?
[ ] Esattamente (non lo integra)
[ ] No (lo integra)

Per pietà, non scrivermi altri muri di testo, limitati a quotarmi mettendo una "x" nella risposta che ritieni corretta, sto disperatamente cercando in tutti i modi di capire quella che per te è l'evidenza concreta dei fatti.

[Erotavlas_turbo]

Quote:

Originariamente inviato da matteop3

Posto che cdimauro mi è sembrato tutt'altro che arrogante e, sebbene non sia d'accordo con tutto quel che ha scritto, non si può certo dire che sia stato maleducato. In tutta onestà ho trovato molto più nauseantemente borioso questo tuo post.

In merito alla questione open vs closed non entrerò più nel merito - dato che non ne ho più la forza - e mi sembra di aver già fatto capire che per me open source e cybersecurity hanno un legame*. Nonostante questo smettetela di dire che Telegram è più sicuro di Whatsapp tirando in ballo l'apertura/chiusura del codice, perché palesemente non è così! Affermarlo significa non riuscire a capire un tubo dell'architettura delle due applicazioni.
Telegram è completamente centralizzato e sia conversazioni che chiavi di cifratura sono completamente in mano ai loro server, mentre WA è completamente decentralizzato, le conversazioni risiedono solamente sui terminali e le chiavi di cifratura (effimere) non lasciano mai il dispositivo (l'apertissimo e liberissimo protocollo TextSecure che WA adopera funziona proprio così), quindi nemmeno Whatsapp Inc. in persona ha modo di accedere ai contenuti delle conversazioni dei propri utenti, visto che TextSecure non glielo permette (e TextSecure è open source, eh). Basta anche guardare ai guai che ha avuto WA in Brasile di recente - e che Telegram non ha avuto.
Supponiamo, per pura assurdità, che ci sia un enorme complotto da parte di Whatsapp o qualche ente governativo a tua scelta e che in realtà Whatsapp Inc. abbia integrato in maniera malevola il protocollo TextSecure e che quindi possegga una serie di server segreti con tutte le conversazioni in chiaro di tutti. Beh, in questo caso Whatsapp non si potrebbe proprio definire tecnicamente meno sicuro di Telegram (quello reale ed attuale).

*: mi trovo sostanzialmente d'accordo con questo post di Schneider: https://www.schneier.com/crypto-gram...rceandSecurity

Direttamente dal link che hai citato:
In the cryptography world, we consider open source necessary for good security; we have for decades. Public security is always more secure than proprietary security. It's true for cryptographic algorithms, security protocols, and security source code. For us, open source isn't just a business model; it's smart engineering practice.
Sono d'accordo ed è esattamente quello che sto dicendo dal primo messaggio.

Proprio per questo Whatsapp essendo a sorgente chiuso non è affidabile anche se adotta tutti i migliori algoritmi di crittografia del mondo.

Telegram: le chat segrete sono sicure essendo con crittografia end-to-end e il codice open source. Naturalmente fino a prova contraria con falle nel codice o nell'algoritmo.

Telegram: le chat private utilizzano la crittografia client/server alla pari di tutti i servizi email come gmail, outlook, yahoo, etc. (escluso protonmail). Per questo il server volendo potrebbe leggere i messaggi, magari su richiesta della polizia. Inoltre al momento il codice del server è a sorgente chiuso e per questo non affidabile.

Inoltre dalle FAQ di Telegram
D: Perché non rendere tutto open source?
Tutto il codice sarà rilasciato alla fine. Abbiamo iniziato con le parti più utili- un'API ben documentata che permette agli sviluppatori di creare nuove applicazioni per Telegram, e client open source che possono essere verificati da esperti di sicurezza.

Cloud chat
All data is stored heavily encrypted and the encryption keys in each case are stored in several other DCs in different jurisdictions. This way local engineers or physical intruders cannot get access to user data.

Io preferisco una trasparenza di Telegram dove è chiaro quali siano i dati leggibili (chat pubbliche su richiesta attivià giudiziaria) e quali non leggibili (chat segrete) rispetto alla fiducia che devi avere nel caso di Whatsapp.

[Erotavlas_turbo]

Quote:

Originariamente inviato da matteop3

Mi risponderesti, per favore, una volta per tutte, alla seguente domanda?

Tu dunque ritieni che Whatsapp non integri e sfrutti il protocollo TextSecure realizzato da Open Whisper Systems?
[ ] Esattamente (non lo integra)
[ ] No (lo integra)

Per pietà, non scrivermi altri muri di testo, limitati a quotarmi mettendo una "x" nella risposta che ritieni corretta, sto disperatamente cercando in tutti i modi di capire quella che per te è l'evidenza concreta dei fatti.

Non lo so. Suppongo che integri il protocollo Signal/TextSecure dato che lo affermano quelli di Open Whisper Systems. Allo stesso tempo so per certo che il codice GPL di Signal/TextSecure sia stato riscritto non essendo possibile includerlo in Whatsapp a causa della licenza GPL.

[Erotavlas_turbo]

Quote:

Originariamente inviato da matteop3

Ora è ufficiale. Stai trollando.

Io? Ma cosa stai dicendo? Mi pare tu stia dicendo molte inesattezze e che ti faccia fatica a leggere e imparare.

Ribadisco di riportarmi i link e sarò il primo a cambiare idea, però non mi riportare link di un privato che dice: "Want to make sure your code never ends up on Crypto Fails? I provide an inexpensive security auditing service, with discounts for free software!"
Il messaggio in breve è se mi paghi non ti critico e ti riporto sul mio blog. Che persona degna di fiducia...

Segnalami pure ai moderatori e se mi bannano per questo sarò felicissimo...

[calabar]

Quote:

Originariamente inviato da Erotavlas_turbo

"Want to make sure your code never ends up on Crypto Fails? I provide an inexpensive security auditing service, with discounts for free software!"
In breve se mi paghi non ti critico. Non mi piace e non mi fido di una persona che scrive questo può essere anche un genio della crittografia.

Perdonami ma... sei proprio sicuro sicuro sicuro di aver tradotto correttamente il periodo riportato?

Quote:

Originariamente inviato da Erotavlas_turbo

Cosa significa? Non puoi includere un codice open source con licenza GPL dentro un codice closed source. E' la base della licenza GPL.

Perdonami ancora ma... chi ha mai parlato di utilizzare il codice di TextSecure dentro WhatsApp?
Si sta parlando di integrare il protocollo dentro WhatsApp, che non implica necessariamente l'uso del codice dentro il programma (cdimauro ha difatti subito portato l'esempio di Nvidia, che è calzante).
Oltre al fatto che, come dicevo prima, nulla impedisce a Open Whisper Systems di rilasciare Signal sotto una diversa licenza appositamente per questa applicazione.

Del resto questa integrazione è stata fatta ed è ufficiale, quindi il fatto che ci sia direi che è un fatto non sindacabile.

Quote:

Originariamente inviato da Erotavlas_turbo

Io preferisco una trasparenza di Telegram dove è chiaro quali siano i dati leggibili (chat pubbliche su richiesta attivià giudiziaria) e quali non leggibili (chat segrete) rispetto alla fiducia che devi avere nel caso di Whatsapp.

Io non preferisco nessuno dei due, e dato che esistono alternative migliori (Signal, Tox, ecc...) non vedo perchè preferire Telegram che per come la vedo io soffre dello stesso problema di WA (dato che lato server il codice non è disponibile ne verificabile) e per di più utilizza un'architettura di sicurezza meno "sicura" (a detta di diverse analisi che ho letto, e che sono sicuro che se cerchi potrai trovare anche tu).

[Erotavlas_turbo]

Quote:

Originariamente inviato da calabar

Perdonami ma... sei proprio sicuro sicuro sicuro di aver tradotto correttamente il periodo riportato?

Io sono abbastanza sicuro, di cose sicure ce ne sono solo due: la morte e che dobbiamo pagare le tasse.

Quote:

Originariamente inviato da calabar

Perdonami ancora ma... chi ha mai parlato di utilizzare il codice di TextSecure dentro WhatsApp?
Si sta parlando di integrare il protocollo dentro WhatsApp, che non implica necessariamente l'uso del codice dentro il programma (cdimauro ha difatti subito portato l'esempio di Nvidia, che è calzante).

L'integrazione del protocollo è ammissibile solo con nuovo codice o codice diverso senza licenza GPL.
L'esempio di Nvidia è diverso. E' possibile installare dei file binari proprietari dentro un codice prevalentemente GPL. Il viceversa è vietato dalla licenza GPL.

Un esempio calzante è quello di Chromium e Chrome. Chromium è rilasciato sotto molte licenze BSD license, MIT License, LGPL, MS-PL and MPL/GPL/LGPL. Alcune di queste come BSD consentono di prendere il codice e trasformarlo in codice chiuso proprietario cosa che accade con Chrome.

Quote:

Originariamente inviato da calabar

Oltre al fatto che, come dicevo prima, nulla impedisce a Open Whisper Systems di rilasciare Signal sotto una diversa licenza appositamente per questa applicazione.

Tutto è possibile. Al momento non è possibile integrare il codice open source GPL di Signal dentro qualunque applicazione proprietaria come Whatsapp. Rileggi il thread e vedi che era stata posta questa questione.

Quote:

Originariamente inviato da calabar

Del resto questa integrazione è stata fatta ed è ufficiale, quindi il fatto che ci sia direi che è un fatto non sindacabile.

Questo è sbagliato leggi la licenza di Signal...

Quote:

Originariamente inviato da calabar

Io non preferisco nessuno dei due, e dato che esistono alternative migliori (Signal, Tox, ecc...) non vedo perchè preferire Telegram che per come la vedo io soffre dello stesso problema di WA (dato che lato server il codice non è disponibile ne verificabile) e per di più utilizza un'architettura di sicurezza meno "sicura" (a detta di diverse analisi che ho letto, e che sono sicuro che se cerchi potrai trovare anche tu).

Certo anch'io preferisco Signal, ma è meno diffuso di Telegram e ha molte funzionalità in meno. Telegram client è open source e quindi le chat private sono affidabili. Telegram server è closed source al momento e quindi le chat pubbliche non sono affidabili. Whatsapp è closed source e quindi non è affidabile. Riportarmi le analisi fatte da enti terzi meglio se no profit e sarò felice di cambiare idea.