L’autore del popolare editor per Windows ha deciso di sganciarsi da quella che definisce l’inutile industria dei certificati per le firme digitali. Meglio impiegare il tempo per sviluppare e correggere il codice.
L’ultima versione di Notepad++ porta in dote un’importante modifica sul fronte della sicurezza: il popolare editor di testo, usato dai programmatori come anche dagli utenti comuni, non sarà più firmato digitalmente tramite un apposito certificato di sicurezza cifrato. E’ inutile, costoso ed è parte di un business che fa sprecare tempo che può essere sfruttato molto più proficuamente, dice lo sviluppatore del tool.
Don Ho, autore e programmatore di Notepad++, ha confermato l’eliminazione della firma digitale sul sito ufficiale del progetto: dopo la scadenza del certificato precedente donato da DigiCert 3 anni fa, Ho dice di aver passato “ore e ore” nel tentativo di acquistare un nuovo certificato di sicurezza a un prezzo “ragionevole”.
Ma “Notepad++” non esiste ufficialmente come società od organizzazione formale, ha detto ancora Ho, e alla fine lo sviluppatore si è convinto del fatto che i certificati digitali rappresentano solo un “giocattolo” – o per dirla con le sue parole testuali, “un costoso giocattolo masturbatorio degli autori di software” – che non serve a niente. Notepad++ ha fatto a meno delle firme digitali per più di 10 anni, quindi può continuare a esistere anche senza questo orpello.
I certificati digitali integrati nei file e nei componenti eseguibili permettono di verificare la legittimità dei suddetti file e componenti, fornendo all’utente la ragionevole sicurezza del fatto che nessun attore malevolo ha manomesso il codice binario all’interno. Per ottenere il “privilegio” di una firma valida, però, occorre spendere almeno $500 all’anno secondo le recenti offerte di Digicert.
Usare software non firmato su Windows può portare, nel migliore dei casi, alla comparsa di un allarme dell’UAC che chiede autorizzazione per eseguire codice potenzialmente insicuro. Nei fatti, Notepad++ è progettato per verificare sempre l’hash crittografico dei suoi componenti e così possono fare gli utenti scegliendo tra algoritmi MD5, SHA-1 ed SHA-256.