Domande frequenti

Risposte sintetiche alle domande più comuni su natura, limiti e privacy dell'analisi.

Che cos'è VelqTest?

Uno strumento automatico che valuta la configurazione di sicurezza pubblica di un sito — header HTTP, applicazione di HTTPS e record DNS di posta — e ne sintetizza l'esito in un voto da A a F con indicazioni di rimedio.

I controlli sono invasivi?

No. L'analisi è interamente passiva: ispezioniamo risposte e record già pubblici. Non tentiamo accessi, non inviamo payload di attacco e non sollecitiamo l'infrastruttura oltre le normali richieste che farebbe un browser.

Conservate i miei dati?

No. L'analisi è stateless: non richiediamo registrazione e non memorizziamo il dominio analizzato né i risultati. Ogni scansione è indipendente e non lascia traccia persistente.

Che differenza c'è con un penetration test?

Un penetration test è un'attività attiva e approfondita, condotta da specialisti, che cerca vulnerabilità sfruttabili anche nella logica applicativa. VelqTest è una valutazione di superficie della configurazione osservabile dall'esterno: individua carenze comuni, non sostituisce un audit completo.

In cosa differite dagli strumenti specializzati sul TLS?

Esistono strumenti che analizzano in profondità la sola configurazione TLS (versioni di protocollo, cipher suite, catena del certificato). VelqTest ha un raggio più ampio ma meno profondo: copre HTTPS, header di sicurezza ed autenticazione della posta, con un linguaggio orientato alla decisione più che al dettaglio crittografico. I due approcci sono complementari.

Perché alcuni controlli risultano "non verificabili"?

Quando una richiesta fallisce per motivi tecnici (timeout, errore di rete), non inferiamo un esito. Preferiamo dichiarare il controllo "non verificabile" piuttosto che restituire un falso superato o un falso fallito. Un errore tecnico non penalizza il voto.

Il voto è definitivo?

È una fotografia del momento della scansione. La configurazione di un sito cambia nel tempo: un nuovo deploy o una modifica DNS possono alterare l'esito. Per questo il monitoraggio continuo è previsto tra le funzioni Premium.

Posso analizzare un sito non mio?

L'analisi si basa esclusivamente su informazioni pubbliche ed è non invasiva, quindi non interferisce con il sito. Resta però buona pratica eseguirla su domini di cui si ha titolo o legittimo interesse.

← Torna alla home