Sicurezza

Ultimo aggiornamento: 15 marzo 2026

La sicurezza di questo sito e la privacy dei suoi utenti sono importanti per noi. Accogliamo la responsible disclosure di vulnerabilità di sicurezza da parte di ricercatori, sviluppatori e membri del pubblico.

Questa pagina descrive la nostra politica di responsible disclosure — come segnalare una vulnerabilità, cosa rientra nell'ambito (scope) e come risponderemo. Ti chiediamo di seguire queste linee guida quando indaghi e segnali potenziali problemi di sicurezza.

Segnalare una vulnerabilità

Se hai scoperto una vulnerabilità di sicurezza, segnalacela via email. Non divulgare pubblicamente la vulnerabilità finché non avremo avuto un tempo ragionevole per investigare e risolvere.

contact@freeonlinenosignup.com

Includi "Security Vulnerability Report" nell'oggetto e fornisci il più possibile tra i seguenti elementi:

  • Una descrizione chiara della vulnerabilità e del suo potenziale impatto
  • L'URL, l'endpoint o il componente interessato
  • Istruzioni passo passo per riprodurre il problema
  • Eventuale codice proof-of-concept, screenshot o esempi di request/response
  • Il tuo nome o handle se desideri essere citato (opzionale)

Ambito (scope)

Le seguenti categorie sono considerate nell'ambito della responsible disclosure:

  • Cross-site scripting (XSS)
  • Cross-site request forgery (CSRF)
  • Vulnerabilità di server-side injection (SQL injection, command injection, ecc.)
  • Bypass di autenticazione o autorizzazione
  • Esposizione di dati sensibili o fuga di informazioni
  • Misconfigurazioni di sicurezza sfruttabili da un attaccante
  • Open redirect utilizzabili in attacchi di phishing
  • Insecure direct object references
  • Remote code execution

Fuori ambito

Le seguenti categorie sono considerate fuori ambito e non saranno accettate come segnalazioni valide:

  • Attacchi o test di denial of service (DoS o DDoS)
  • Attacchi brute force contro qualsiasi parte del sito
  • Scansioni automatizzate senza preventiva autorizzazione scritta
  • Social engineering o phishing rivolti ai nostri utenti o al nostro staff
  • Problemi di sicurezza fisica
  • Vulnerabilità in servizi, librerie o infrastrutture di terze parti non sotto il nostro controllo diretto — segnalale al fornitore competente
  • Header di sicurezza mancanti che non rappresentano una vulnerabilità dimostrabile ed effettivamente sfruttabile in questo contesto specifico
  • Vulnerabilità teoriche senza proof of concept funzionante o impatto dimostrato
  • Problemi che richiedono che l'utente abbia già compromesso il proprio dispositivo o browser

Cosa aspettarsi

Quando invii una segnalazione di vulnerabilità, ecco cosa puoi aspettarti da noi:

1

Conferma

Confermeremo la ricezione del tuo report entro 3 giorni lavorativi.

2

Indagine

Indagheremo sulla segnalazione e valuteremo validità e gravità del problema. Potremmo contattarti con domande se abbiamo bisogno di più informazioni.

3

Risoluzione

Per le vulnerabilità confermate, lavoreremo per risolvere il problema il più rapidamente possibile, dando priorità in base alla gravità. Ti terremo aggiornato sui progressi.

4

Divulgazione

Una volta risolto il problema, saremo felici di coordinare la divulgazione pubblica con te, se lo desideri. Ti chiediamo di concederci un periodo ragionevole per la remediation prima di pubblicare dettagli.

I nostri impegni

Quando segnali una vulnerabilità in buona fede e in conformità con questa politica, ci impegniamo a:

  • Non intraprendere azioni legali contro di te in relazione alla tua ricerca
  • Trattare la tua segnalazione in modo confidenziale e non condividere i tuoi dati personali senza il tuo consenso
  • Tenerti informato sullo stato della segnalazione
  • Riconoscerti il merito della scoperta se lo desideri e se la segnalazione viene confermata
  • Lavorare per risolvere le vulnerabilità confermate in tempi ragionevoli

In cambio, ti chiediamo di non accedere, modificare o eliminare dati che non ti appartengono; di non compromettere la disponibilità del sito; e di non eseguire test su account o dati appartenenti ad altri utenti.

Contatti

Per domande generali su questa politica che non sono segnalazioni di vulnerabilità, usa la pagina contatti. Per segnalazioni di bug non legate alla sicurezza, usa la pagina segnala un problema.