nostr.blog
StudioGlossario
Ottieni il tuo @nostr.blog→
nostr.blog

La tua identità decentralizzata su Nostr. Un indirizzo, zap e un reader pulito.

ProdottoHomeOttieni il tuo @nostr.blogDashboard
ImparaStudyGlossario
LegaleTerminiPrivacy
© 2026 nostr.blog. Identità a protocollo aperto per il web decentralizzato.
Home›Study›Primi passi›Nostr è sicuro? Privacy e sicurezza, onestamente
Primi passi

Nostr è sicuro? Privacy e sicurezza, onestamente

Cosa protegge Nostr, cosa divulga, e i modelli di minaccia specifici che gestisce bene o male. Una valutazione di sicurezza sincera nel 2026.

byEgor·23 dic 2025·8 min di lettura

"Nostr è sicuro" è una domanda carica di significato perché "sicuro" significa cose diverse. Sicuro dal fatto che il tuo account venga bannato? Sì. Sicuro dagli spammer? Solo parzialmente. Sicuro da un governo che traccia i tuoi post? Dipende da cosa fai. Sicuro dal perdere l'account? Solo se fai il backup della chiave privata correttamente.

Questa guida è la valutazione sincera. Copriamo cosa protegge Nostr, cosa divulga, e come usarlo se specifiche minacce ti interessano.

Risposta breve. Nostr è crittograficamente solido; il protocollo stesso non è hackerabile da remoto. La tua chiave privata è l'unica superficie di attacco che vale la pena preoccuparsi. I post pubblici sono pubblici per design. I DM sono crittografati ma non protetti nei metadati. Nostr è più sicuro della maggior parte delle piattaforme contro i blocchi, e comparabile o peggio contro lo spam e le molestie.

Quando sei pronto, prendi il tuo indirizzo @nostr.blog →

Cosa Nostr protegge crittograficamente

Tre cose, con forti garanzie.

Contraffazione dei tuoi post. Ogni event che firmi è firmato con la tua chiave privata. Nessun'altra parte può produrre un event che si verifica rispetto alla tua chiave pubblica senza avere la chiave privata. Qualsiasi client che vede un event contraffatto con una firma non valida lo scarta silenziosamente. Questa è la stessa crittografia che Bitcoin usa per le transazioni; ha resistito sotto pressione avversaria per oltre un decennio.

Manomissione dei tuoi post in transito. Un relay non può modificare uno dei tuoi event firmati; la firma si romperebbe. Possono rifiutarsi di servire i tuoi event, ma non possono alterarli. Ogni client verifica le firme prima di visualizzare qualsiasi cosa.

La tua identità essere "chiusa" da una piattaforma. Non c'è una piattaforma che possa chiuderla. La tua identità è una coppia di chiavi sul tuo dispositivo. Nessuno ha l'autorità di disattivarla.

Questi tre sono ermetici. I punti deboli sono altrove.

Cosa Nostr non protegge

Diverse cose, con gradi di esposizione variabili.

I post pubblici sono pubblici

Se scrivi un event kind:1 (un post breve), è intenzionalmente leggibile da chiunque sia connesso a qualsiasi relay che lo contiene. Niente privacy. Questa è una caratteristica di un social network, non un bug, ma gli utenti al primo accesso a volte dimenticano che "decentralizzato" non significa "privato".

Il tuo indirizzo IP si divulga ai relay

Quando il tuo client apre una connessione WebSocket a un relay, il relay vede il tuo IP. Nel corso di una sessione di lettura, il relay vede a quali filtri ti sei iscritto, il che dice loro quali account segui, quali hashtag osservi, quali thread di messaggi diretti leggi. Questi sono metadati sui tuoi interessi, e sono visibili a ogni relay a cui ti connetti.

Mitigazioni: esegui Nostr attraverso una VPN o Tor. Usa relay diversi per leggere e scrivere. Scegli relay di cui ti fidi. Alcuni client (Amethyst, Coracle) gestiscono questo meglio di altri.

I metadati dei messaggi diretti sono visibili

I DM di Nostr crittografano il contenuto del messaggio. Secondo lo standard NIP-04 legacy, il mittente e il destinatario sono chiaramente visibili nei tag dell'event. Secondo il più nuovo NIP-44 (con gift-wrap NIP-17), i metadati sono offuscati ma l'adozione è parziale nel 2026.

Cosa significa praticamente: un relay può vedere che alice@nostr.blog sta parlando con bob@nostr.blog anche se non può leggere quello che stanno dicendo. Per comunicazione veramente privata, usa uno strumento dedicato come Signal; i DM di Nostr vanno bene per un ordinario scambio di battute ma non per il whistleblowing.

Il tuo modello di posting può deanonimizzarti

Anche se gestisci un'identità Nostr pseudonima, i modelli in quando posti, cosa posti e con chi interagisci possono restringere la tua identità. Questo è vero per ogni social network; Nostr non ha un'esposizione peggiore o migliore qui.

La deanonimizzazione nel mondo reale di solito viene dal cross-posting. Se posti una foto sul tuo account Nostr pseudonimo e la stessa foto appare su un account Twitter nominato, i due sono ora collegati. La disciplina di mantenere un rigoroso pseudonimato è il lavoro dell'utente, non del protocollo.

La minaccia più grande: perdere la tua chiave privata

In pratica, l'attacco che conta di più per gli utenti tipici di Nostr non è un hacker, un governo o una piattaforma. È la loro stessa perdita dell'nsec.

Scenari che accadono settimanalmente in tutto l'ecosistema:

  • L'utente genera le chiavi, assume che iOS Keychain le abbia, non le esporta mai. Il dispositivo viene cancellato; account scomparso.
  • L'utente salva nsec su iCloud Notes "temporaneamente". Dimentica. iCloud Notes sono leggibili da Apple, quindi tecnicamente l'nsec è sottoposto a backup, ma su un provider violato. Peggio, l'utente dimentica dove si trova.
  • L'utente incolla nsec in un nuovo sito web Nostr che ha promesso di "farlo accedere". Il sito era un sito di phishing. Account compromesso.

La difesa è un password manager con un'etichetta chiara, un backup cartaceo in un luogo sicuro, e non incollare mai l'nsec in niente se non in un client Nostr di cui ti fidi. La nostra guida al backup ha il playbook completo.

Inizia

Rivendica la tua identità Nostr in 2 minuti

  • •Il tuo indirizzo @nostr.blog, verificato ovunque
  • •Wallet Lightning integrato per inviare e ricevere zap
  • •Client completo in un posto solo: feed, notifiche, DM, media, relay

Da 2,99 $/anno.I nomi premium più corti costano di più.

Inizia con nostr.blog→

Spam e molestie su Nostr

Valutazione onesta: lo spam e le molestie sono problemi reali su Nostr, a livelli comparabili o leggermente peggiori rispetto alle piattaforme centralizzate.

Perché: Nostr non ha un team di moderazione centrale. Ogni relay e client applica i propri filtri. Il rilevamento dello spam è costruito dalla comunità, non fornito dalla piattaforma. I nuovi utenti ne vedono più di quanto farebbero su una piattaforma curata.

Difesa: mute list, filtri dei contenuti, punteggio della tela di fiducia. Ogni client mainstream ha questi. La loro configurazione richiede pochi minuti e rende l'uso quotidiano molto più pulito. Le impostazioni predefinite nei buoni client (Damus, Primal, Amethyst, il nostro client) vengono spedite con il filtro dello spam sensato abilitato.

Il compromesso: un utente che vuole esposizione zero a contenuti non filtrati è leggermente peggio su Nostr rispetto a una piattaforma pesantemente moderata. Un utente che vuole il controllo su ciò che viene filtrato sta meglio.

Chi non dovrebbe usare Nostr

Certi profili di minaccia non sono ben serviti.

Utenti che necessitano di privacy completa dei metadati per la comunicazione. Signal è lo strumento giusto; Nostr non lo è. I DM di Nostr nascondono il contenuto ma non chi sta parlando con chi.

Utenti che devono essere impossibili da tracciare a un'identità del mondo reale in condizioni altamente avversariali. Se un attore di livello stato-nazione sta attivamente cercando di deanonimizzarti, Nostr da solo non è sufficiente. Combinare con Tor, usare dispositivi dedicati, mantenere l'igiene dei posting rigorosa.

Utenti che si affidano alla moderazione a livello di piattaforma per sentirsi al sicuro online. Nostr mette gli strumenti di moderazione nelle tue mani; se non vuoi quella responsabilità, una piattaforma con moderazione professionale è una scelta migliore.

Utenti con requisiti normativi specifici. Certi settori regolamentati richiedono trail di audit, moderazione dei contenuti, o garanzie di residenza dei dati che un protocollo decentralizzato non può fornire per impostazione predefinita.

Passaggi concreti per usare Nostr in sicurezza

Per un utente tipico che si importa di una privacy e sicurezza ragionevole:

  1. Fai il backup dell'nsec in un password manager con crittografia E2E non appena lo generi.
  2. Non incollare mai l'nsec in un modulo di sito web o in una chat. Usa le estensioni del browser NIP-07 per i client web; usa Amber o l'archiviazione Keychain integrata per i client mobili.
  3. Scegli relay di cui hai almeno una fiducia minima. Gli elenchi predefiniti nei client principali sono ragionevoli; evita relay loschi trovati su un sito web dubbioso.
  4. Abilita mute list dalle impostazioni del tuo client nel primo giorno, in modo che il filtro dello spam predefinito sia attivo.
  5. Tratta i DM come "contenuto privato, metadati pubblici" fino a quando i gift wrap NIP-17 non saranno universali. Per conversazioni sensibili, usa Signal.
  6. Assumi che ogni post pubblico sia permanente. I post su Nostr non possono essere completamente eliminati; le richieste di eliminazione raggiungono i relay con efficacia variabile. Pensa prima di postare.

Con queste abitudini, Nostr è più sicuro della maggior parte delle piattaforme per la maggior parte degli utenti. Non è uno strumento di privacy a livello di stanza del panico, e non è mai stato commercializzato come tale.

Cosa sta migliorando nel 2026

Lavoro attivo nell'ecosistema:

  • NIP-44 + NIP-17 gift wrap per nascondere i metadati DM, con adozione in aumento.
  • Standardizzazione della mute list tra i client in modo che il tuo lavoro di filtro si trasporti in modo pulito.
  • Opzioni Tor-by-default in più client.
  • Integrazione del signer hardware per mantenere l'nsec fuori dal tuo dispositivo principale.

Nessuno di questi sono mandati del protocollo; sono sforzi della comunità in corso. La posizione di sicurezza di Nostr nel 2026 è migliore rispetto al 2024 e continuerà a migliorare.

Il verdetto realistico

Nostr è sicuro per quello che la maggior parte degli utenti lo usa. Postare, leggere, seguire, zappare, messaggiare casualmente. La tua identità non può essere presa, i tuoi post non possono essere contraffatti, la tua chiave privata è l'unica cosa che devi proteggere.

Non è una panacea, uno strumento di anonimizzazione a livello di film di spionaggio, o un sostituto per la messaggistica crittografata di Signal. È un protocollo social ben progettato con proprietà di sicurezza reali e limiti reali, e uno di entrambi gli insiemi di proprietà potrebbe interessarti a seconda di quello che stai facendo.

Inizia

Rivendica la tua identità Nostr in 2 minuti

  • •Il tuo indirizzo @nostr.blog, verificato ovunque
  • •Wallet Lightning integrato per inviare e ricevere zap
  • •Client completo in un posto solo: feed, notifiche, DM, media, relay

Da 2,99 $/anno.I nomi premium più corti costano di più.

Inizia con nostr.blog→

Domande frequenti

Qualcuno può hackerare il mio account Nostr?
Solo se ottiene la tua chiave privata. L'nsec è l'unica cosa che può firmare gli event per conto tuo. Chiunque abbia accesso fisico a un dispositivo sbloccato dove sei collegato, o che ti inganni nel incollare l'nsec in un sito dannoso, può prendere il controllo dell'account. Altrimenti, gli attacchi remoti non sono possibili contro la crittografia stessa.
I miei post Nostr sono privati?
No. I post pubblici sono intenzionalmente pubblici, visibili a chiunque sia connesso a qualsiasi relay che li contiene. I messaggi diretti sono crittografati (secondo NIP-44) ma i metadati su chi sta messaggiando con chi sono visibili ai relay. Per comunicazione veramente privata al di fuori del sistema DM di Nostr, usa Signal o uno strumento simile dedicato.
I relay possono vedere il mio indirizzo IP?
Sì. Le connessioni WebSocket rivelano il tuo IP al relay a cui ti connetti. Eseguire Nostr attraverso una VPN o Tor nasconde questo; la maggior parte dei client non lo fa per impostazione predefinita. Gli operatori del relay vedono il tuo IP insieme ai tuoi filtri di iscrizione, il che dice loro qualcosa su chi segui e cosa leggi.
La mia identità Nostr può essere collegata al mio nome reale?
Solo se la rendi collegabile. Nulla nel protocollo richiede nomi reali. Un'identità Nostr è una coppia di chiavi generata sul tuo dispositivo; nessuno sa chi sei a meno che non lo dica tu, non effettui cross-post su un account identificato, o i tuoi modelli di post non corrispondano a una persona nota. Molti utenti rimangono pseudonimi indefinitamente.
Nostr è più sicuro di Twitter?
Per alcune minacce sì, per altre no. Nostr è più sicuro contro i blocchi di account, i ban di piattaforma e la moderazione unilaterale. Twitter è più sicuro contro lo spam e le molestie a causa della sua moderazione centralizzata. Scegli le minacce che ti importano.

Continua a leggere

Primi passi

Cos'è Nostr? Una guida in italiano semplice per il 2026

Nostr è un protocollo semplice e aperto per i social media e l'identità. Nessuna azienda lo gestisce, nessun account può essere eliminato da chiunque tranne te. In italiano semplice.

7 min di letturaIdentità e NIP-05

Le chiavi Nostr spiegate: la tua identità digitale in due stringhe

Ogni account Nostr è una coppia di chiavi. Una la condividi, una la proteggi. Cosa sono, cosa fanno, come vengono codificate e come non perderle.

9 min di letturaIdentità e NIP-05

Come fare il backup delle tue chiavi Nostr senza perderle

Opzioni concrete di backup per la tua chiave privata Nostr, classificate per sicurezza. Cosa funziona, cosa no, e gli errori che trasformano un backup in perdita di account.

8 min di letturaAvanzato e tecnico

Sono davvero private le DM su Nostr? La risposta onesta

Le DM su Nostr usano la crittografia ma il modello di privacy ha lacune. Cosa proteggono NIP-04, NIP-44 e NIP-17 gift wraps, e quando usare Signal invece.

8 min di letturaAvanzato e tecnico

Come Nostr gestisce lo spam: le difese pratiche nel 2026

Nostr non ha un team di moderazione, ma lo spam non è un problema irrisolto. Cosa funziona davvero: proof of work, relay a pagamento, filtri web-of-trust, liste di mute.

8 min di lettura