Trasparenza · Costruito in pubblico
Stato del sito
Applico al mio stesso sito lo stesso standard che fisso per i prodotti che costruisco. Questa pagina è la prova, non un'affermazione: i numeri di performance qui sotto vengono misurati live nel tuo browser proprio ora, e gli header di sicurezza vengono recuperati live da questo sito. Ogni area include inoltre il ragionamento di prodotto dietro la decisione, perché il modo in cui pensi è ciò che conta.
Stato di API e servizi
Controlli di raggiungibilità live, eseguiti dal tuo browser proprio ora, per i servizi da cui dipende questo sito. Perché: uno stato onesto e in tempo reale batte uno statico 'everything's fine'.
Controllo dei servizi…
Sito web
Vercel edge / static hosting
Controllo…
API Moduli & Newsletter
Supabase Edge Functions
Controllo…
Protezione anti-bot
Google reCAPTCHA
Controllo…
Traduzione
14 lingue · Precompilato, nessuna chiamata in tempo reale
Controllo…
Raggiungibilità e tempo di andata e ritorno dalla tua posizione, ricontrollati ogni minuto. Un punto rosso significa che il tuo browser non è riuscito a raggiungere quel servizio.
Performance
Pagine statiche pre-renderizzate (SSG), un sottoinsieme dei font ospitato in proprio, suddivisione dei bundle per lingua e script di terze parti (reCAPTCHA) caricati solo su richiesta. Perché: la velocità è una funzionalità e un segnale di fiducia; la richiesta più veloce è quella che non fai mai.
LCP
…
Buono: ≤ 2500 ms
CLS
…
Buono: ≤ 0.1
FCP
…
Buono: ≤ 1800 ms
TTFB
…
Buono: ≤ 800 ms
Core Web Vitals live dal caricamento della tua pagina attuale (verde = buono, ambra = da migliorare, rosso = scarso). I numeri variano in base al dispositivo e alla rete.
Sicurezza
Una Content-Security-Policy basata su hash, senza script inline o eval, HSTS con preload, protezioni contro clickjacking e cross-origin, e un backend in cui il browser non tocca mai il database. Perché: difesa in profondità e controlli che falliscono in chiuso, non in aperto.
Controllo degli header live…
Recuperato live da questo sito. L'irrobustimento del backend (reCAPTCHA verificato lato server che fallisce in chiuso, honeypot, limitazione del traffico tramite hash dell'IP, link di eliminazione firmati con HMAC, tabelle bloccate tramite RLS) non è mostrato qui ma è sottoposto ad audit.
Privacy & GDPR
Nessun visitatore viene tracciato prima di aver dato il consenso, e per impostazione predefinita non si carica nulla che divulgherebbe i suoi dati a terzi. Perché: la privacy non è un'impostazione da aggiungere dopo, è un valore predefinito da progettare fin dall'inizio.
Vincolato al consenso. Solo l'essenziale per impostazione predefinita; l'analitica si carica solo dopo l'opt-in. Nessun tracker si attiva al primo caricamento.
Font ospitati in proprio. I font vengono serviti da questo dominio, così gli IP dei visitatori non raggiungono mai Google Fonts.
Nessun IP grezzo memorizzato. I controlli anti-abuso di moduli e newsletter usano un hash unidirezionale con sale dell'IP, mai l'indirizzo grezzo.
Vero diritto alla cancellazione. Un flusso di cancellazione dei dati funzionante e verificato via email rimuove i tuoi dati in modo permanente (GDPR Art. 17).
Affermazioni oneste. I badge di fiducia dicono 'Ready / Managed', non 'Compliant', a meno che non ci siano prove a supporto.
Divulgazione. Un contatto security.txt e una clausola sulla lingua prevalente nelle pagine legali.
Accessibilità
Realizzato in conformità a WCAG 2.2 AA (pronto, non certificato esternamente): utilizzabile da tastiera, screen reader e per le persone che hanno bisogno di movimento ridotto. Perché: un'esperienza che esclude le persone non è finita.
Tastiera & focus. Anelli di focus visibili ovunque e un link salta-al-contenuto su ogni pagina.
Movimento ridotto. Ogni animazione, inclusi i diagrammi dei casi di studio, rispetta prefers-reduced-motion.
Struttura semantica. Landmark, intestazioni, etichette e testi alternativi adeguati per le tecnologie assistive.
Contrasto & target. Il contrasto del testo e le dimensioni dei target tattili soddisfano lo standard AA sia nel tema chiaro sia in quello scuro.
Affidabilità & processo
Niente va in produzione senza essere testato, e i moduli sono irrobustiti contro gli abusi senza penalizzare le persone reali. Perché: l'affidabilità è una decisione di prodotto, ed è dal processo che nasce davvero la qualità.
Deploy vincolati ai test. I test di rotte e di parità delle traduzioni devono passare prima di ogni build; la promozione va da dev a qa a prod.
Difesa anti-abuso a livelli. Punteggio reCAPTCHA + honeypot + validazione lato server + limitazione del traffico tramite hash dell'IP, tutto a prova di errore.
Doppio opt-in. Le iscrizioni alla newsletter vengono confermate via email; ogni messaggio contiene un link di annullamento funzionante.
Errore graduale. I moduli ripiegano su messaggi chiari e specifici (incluso 'too many attempts') invece di rompersi.
Vuoi verificare tu stesso qualcosa di tutto questo? Apri gli strumenti per sviluppatori del tuo browser ed esamina gli header di risposta, esegui Lighthouse, oppure percorri il sito con la tastiera. È proprio questo il senso di costruire in pubblico.