The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Организация EFF представила инициативу STARTTLS Everywhere

26.06.2018 12:02

Некоммерческая правозащитная организация Electronic Frontier Foundation (EFF) выступила с новой инициативой STARTTLS Everywhere, нацеленной на повсеместное использование шифрования трафика почтовых серверов. В рамках инициативы предложен сервис, который позволяет проверить произвольный почтовый сервер на предмет поддержки команды STARTTLS, использования надёжных алгоритмов шифрования и применения заслуживающих доверия сертификатов. В случае выявления проблем выдаются рекомендации по их устранению и корректной настройке.

STARTTLS Everywhere дополняет уже много лет существующий проект HTTPS Everywhere, в рамках которого развиваются дополнения к Firefox и Chrome, позволяющего на всех сайтах, где это возможно, использовать шифрование трафика. В настоящее время благодаря появлению таких сервисов, как Let's Encrypt, удалось устранить преграды при получении сертификатов и для Web использование шифрованного доступа становится нормой. При помощи STARTTLS Everywhere энтузиасты намерены стимулировать повсеместный переход на корректное шифрование коммуникаций и для трафика почтовых серверов.

Несмотря на то, что доля почтовых серверов с поддержкой STARTTLS достаточно велика (по данным Google 89% сеансов устанавливаются с шифрованием), остаётся нерешённой существенная проблема - большинство почтовых серверов, поддерживающих STARTTLS, не выполняет проверку сертификатов при установке сеанса. Более того, около половины всех почтовых серверов с поддержкой STARTTLS используют самоподписанные сертификаты, не заверенные удостоверяющим центром.

Образовался замкнутый круг - с одной стороны администраторы почтовых серверов не спешат использовать полноценные сертификаты для STARTTLS, так как их никто не проверяет, а с другой стороны проверку сертификатов невозможно включить, так как на половине серверов используются самодельные сертификаты. Отсутствие верификации сертификатов делает шифрование номинальным и лишь создаёт иллюзию повышения защиты, так как при наличии контроля над любым транзитным узлом в сети остаётся возможность проведения MITM-атаки с подменой сертификата, в рамках которой можно перехватить и модифицировать трафик.

В случае выявления проблем при проверке сертификатов STARTTLS Everywhere предлагает администраторам почтовых серверов готовый скрипт (плагин к certbot для MTA, пока только для Postfix), запустив который на сервере можно бесплатно получить сертификат Let’s Encrypt для используемых доменов и сгенерировать готовый блок конфигурации. При проверке учитываются такие факторы как отсутствие возможности использования ненадёжных протоколов SSLv2/v3, соответствие имени почтового сервера и хоста в email с указанным в сертификате именем домена, истечение времени жизни сертификата и связь сертификата цепочкой доверия с корректным корневым сертификатом, присутствующим в списке корневых сертификатов Mozilla (можно найти в Debian-пакете ca-certificates).

Кроме того, с целью выявления атак по модификации запросов с откатом на установку сеансов без шифрования, в рамках проекта STARTTLS Everywhere также началось ведение списка почтовых серверов, к которым допустимо обращение с использованием шифрования с корректным сертификатом. Если в процессе взаимодействия с почтовым сервером, который упомянут в списке, зафиксирован отказ установить сеанс STARTTLS или использован сомнительный сертификат, то можно сделать вывод о попытке компрометации сервера.

  1. Главная ссылка к новости (https://www.eff.org/deeplinks/...)
  2. OpenNews: В дополнении HTTPS Everywhere появился режим автоматического обновления правил
  3. OpenNews: Опубликован первый черновик стандарта Strict Transport Security для SMTP
  4. OpenNews: Обновления nginx 1.6.1 и 1.7.4 с исправлением уязвимости в реализации STARTTLS
  5. OpenNews: Релиз FTP-сервера Pure-FTPd 1.0.30 с устранением уязвимости в STARTTLS
  6. OpenNews: Обновление Postfix с исправлением уязвимости в реализации команды STARTTLS
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/48841-starttls
Ключевые слова: starttls, eff
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (101) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 12:21, 26/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –14 +/
    EFF нет доверия, после того как они обосрaлись с уязвимостью в https everywhere и долго её не исправляли (и хз исправили ли в итоге или нет).
    security, my ass.
     
     
  • 2.2, Аноним (-), 12:32, 26/06/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > уязвимостью в https everywhere

    соус? Сабж не пользую, предпочитая настраивать редиректы вручную, но все равно интересно

     
  • 2.4, Аноним (4), 12:35, 26/06/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А к линуксу доверие не потерял ещё? Неужели подобного не было?
     
  • 2.8, Аноним (8), 13:02, 26/06/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А что за уязвимость?
     
     
  • 3.92, Аноним (92), 07:12, 27/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Почему я не вижу информации об этом в гугле? Он в доле?
     
  • 2.14, Аноним (-), 13:58, 26/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    О этот несовершенный мир!!
    Никому нельзя доверять! Может ночью ты встаешь во сне и сливаешь данные врагу!
    Себе тоже не верь! Никому не верь! А эти процессоры, приложения..
    все нужно делать самому и писать под себя (не путать с пИсать)
     

  • 1.3, Аноним (-), 12:33, 26/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    а смысл? Товарищ майор и так имеет доступ к популярным почтовым сервисам. А при шифровании и подписывании пгп можно хоть голубями почту отправлять
     
     
  • 2.5, Ivan_83 (ok), 12:49, 26/06/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Смысл в том, чтобы имея контроль за центрами сертификации можно было выключать любой неугодный сервис просто отозвав его сертификат.
    Пока ещё всё вполне работает если у тебя нет TLS, но лет через 5 браузеры и видимо почта ходить не будут, те тебя тупо лишат свободы публикации информации в сети.
     
     
  • 3.7, Аноним (-), 12:56, 26/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > имея контроль за центрами сертификации можно было выключать любой неугодный сервис

    Ты прав. Но это не отменяет того факта, что последняя миля должна быть защищена по дефолту. Сейчас же, любой какер-борщевик в ИТ отделе какого-нибудь макдональдса имеет непозволительно много возможностей анализа трафика юзеров. Это плохой, негодный дефолт. Возможность связываться с сервером без шифрования должна быть, но пусть это принудительно включается

     
     
  • 4.9, Аноним (9), 13:12, 26/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    верно. должна быть свобода выбора (например в домашней локалке и на локалхосте не вижу смысла в шифромании вообще)
     
     
  • 5.88, Аноним (-), 04:39, 27/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > например в домашней локалке и на локалхосте не вижу смысла в шифромании вообще

    Новость про зараженные роутеры не видели? Китайские устройства или смартфоны тоже на алике не заказываете?

     
     
  • 6.99, Аноним (9), 11:53, 27/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    значит ,если везде будет шифрование, то зараженные у-ва перестанут существовать. ну ок.
     
     
  • 7.101, Аноним (-), 12:53, 27/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Звучит как эти устройства не смогут ничего украсть из локалки.
     
  • 4.10, Ivan_83 (ok), 13:27, 26/06/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Эта возможность была и 20 лет назад и 40.

    Теперь все ходят за сертификатами, а потом им перестанут давать.
    Напомню что отдельные ЦС уже прикрыли, да, они якобы выдавали кому попало сертификаты.
    Но это не отменяет того факта что оставшиеся ЦС выдадут своим локальным силовикам любой сертификат, а поскольку всё ИТ сосредотачивается у амеров, то и рычагов давления у них становится слишком много.

    Вся эта централизация и прибивания этого гвоздями - это бундамент для будущей цифровой диктатуры.
    В инете не должно было централизации и гигантов.

     
     
  • 5.12, 123 (??), 13:41, 26/06/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > а поскольку всё ИТ сосредотачивается у амеров

    Не смешите 金盾工程.

     
     
  • 6.21, Ivan_83 (ok), 14:31, 26/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А что, в ЕС есть свои социалочки или поисковики?
    По странному стечению обстоятельств что то своё есть там, где был коммунизм: россия, кетай, въетнам. (просто наблюдение, не пропаганда)
     
     
  • 7.40, Аноним (40), 16:06, 26/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >социалочки

    зачем это нужно?

    >поисковики

    есть startpage, если глобально. А так - у чехов Seznam какой то. Было бы желание - а импортозамещение найдется

     
     
  • 8.49, Аноним (49), 16:33, 26/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Гoвно твой startpage Есть duckduckgo ... текст свёрнут, показать
     
     
  • 9.89, Аноним (-), 04:43, 27/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Оба они гoвно Лучше федеративного searx ничего нет ... текст свёрнут, показать
     
  • 8.59, Ivan_83 (ok), 17:40, 26/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Я не знаю кто за ними стоит Грош им всем цена если у них манагемент от амеров ... текст свёрнут, показать
     
     
  • 9.93, Аноним (93), 08:01, 27/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    чо за неадекватный антиамериканизм штаны постирал ... текст свёрнут, показать
     
  • 7.58, Аноним (58), 17:38, 26/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > А что, в ЕС есть свои социалочки или поисковики?
    > По странному стечению обстоятельств что то своё есть там, где был коммунизм:
    > россия, кетай, въетнам. (просто наблюдение, не пропаганда)

    searx, startpage (бывший ixquick), fireball и MetaGer (ровесники гугла), Fragfinn, Unbubble, *VZ


     
     
  • 8.64, Аноним (-), 18:23, 26/06/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    И все они ничего не найдут зато свободные ... текст свёрнут, показать
     
     
  • 9.84, Аноним (-), 00:04, 27/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    https searx me q site 3Aopennet ru 20 22 D0 98 20 D0 B2 D1 81 D0 B5 20 D0 BE ... большой текст свёрнут, показать
     
  • 7.69, Gannet (ok), 19:57, 26/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    "что-то своё"? "По странному стечению обстоятельств"? Сразу бы сказал, что это был сарказм.
     
  • 7.91, Вася (??), 07:06, 27/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >был коммунизм: россия, кетай, въетнам

    Ну Китай сейчас лидер по цифровому контролю за населением. Чего стОят их разработки - "социальный рейтинг" +  прогнозирование кем будет ребёнок (тварь дрожащая или творец)

     
     
  • 8.94, Аноним (93), 08:03, 27/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    китайское коммунистическое рабство и нам хотят привить посредством импортозамеще... текст свёрнут, показать
     
  • 5.15, Аноним (-), 14:03, 26/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > В инете не должно было централизации и гигантов.

    И как этому противостоять?

     
     
  • 6.22, Ivan_83 (ok), 14:32, 26/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Не пользоваться и других агитировать.
     
     
  • 7.28, Steve (??), 14:44, 26/06/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Давно бросил затею агитировать родственников. Люди даже не понимают чем плоха блокировка телеграма и зачем им нужно ишфрование, ведь "намнечегоскрывать". Когда спрашиваю почему не живешь в стеклянном доме и не ставишь камеры себе в спальню и унитаз - делают круглые непонимающие глаза.
     
     
  • 8.56, Ivan_83 (ok), 17:36, 26/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Телеграм зло Это централизованный сервис, даже если поверить в то, что крипта т... текст свёрнут, показать
     
     
  • 9.62, Аноним (-), 18:20, 26/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Симка в метро или один из 100500 сервисов виртуальных номеров ... текст свёрнут, показать
     
     
  • 10.70, Аноним (-), 20:23, 26/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Там проблема в архитектуре Весь трафик идет через сервера В теории шифрованный... текст свёрнут, показать
     
  • 10.80, Ivan_83 (ok), 21:48, 26/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Не нужны такие сложности, уж лучше джаббер и токс ... текст свёрнут, показать
     
     
  • 11.87, progserega (ok), 02:50, 27/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    или matrix org - ... текст свёрнут, показать
     
     
  • 12.107, Аноним (-), 13:18, 27/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Фигня это Тогда уж Tor Ring лучше ... текст свёрнут, показать
     
  • 6.41, Аноним (40), 16:08, 26/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    п2п/ф2ф/федерации - вот это вот все. Совсем от централизации не спасут - по опыту биткоина видно, например. Но от монополии - да
     
     
  • 7.55, Ivan_83 (ok), 17:34, 26/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    п2п и федерации они плохо централизуются.
    п2п вообще никак, а федерация только если появится крупный игрок который начнёт диктовать свои условия для пиринга. Примерно как гугл диктует другим условия чтобы принимать от них почту.
     
  • 5.25, Аноним (-), 14:39, 26/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    И ты конечно за Российский кваймен руками и ногами? :)
     
  • 5.51, Аноним (51), 17:18, 26/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Гуглы активно продвигают свою систему мониторинга за сертификатами Насколько я ... большой текст свёрнут, показать
     
     
  • 6.57, Ivan_83 (ok), 17:38, 26/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ну а гугл кому принадлежит и где сидит?
    Так нет разницы между произволом УЦ и произволом силовиков.
     
  • 6.76, пох (?), 21:12, 26/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    слежка, это слово переводится так И еще - как систему шантажа и уничтожения кон... большой текст свёрнут, показать
     
  • 4.85, Аноним (85), 00:44, 27/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >имея контроль за центрами сертификации можно было выключать любой неугодный сервис

    А имея контроль над запросами США в Интерпол, тоже можно выключать любой неугодный сайт, арестовывать его владельцев, выехавших на отдых в Грецию, вывозить в США, судить по сфабрикованным обвинениям.

    А наличие TLS позволяет раскрутить доверие. Сначала через TOFU, а потом через web of trust.

     
  • 3.115, Адекват (ok), 10:10, 28/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > тупо лишат свободы публикации информации в сети.

    они сделают тоньше - с самого детства тебе будут прививать "правильное мышление", ты САМ НЕ ЗАХОЧЕШЬ публиковать ничего, не потому, что это будет опасно, а потому что это будет "неправильно".
    привет 1984.

     
  • 2.16, Аноним (16), 14:04, 26/06/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Товарищ майор и так имеет доступ к популярным почтовым сервисам.

    А товарищ админ промежуточного узла? Или товарищ китайский хакер? Товарищ майор — не единственная угроза в сети.

     
  • 2.30, Аноним (30), 15:16, 26/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Иметь почтовый ящик на территории неподконтрольной тов. майору?
     
  • 2.38, Аноним (38), 15:50, 26/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Шифруй. Подписывай. КТО МЕШАЕТ?
     
     
  • 3.43, Аноним (40), 16:09, 26/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Шифруй. Подписывай. КТО МЕШАЕТ?

    речь не про МЕШАЕТ, а про отсутствие необходимости принуждать к названному в статье

     

  • 1.6, dimcha (??), 12:50, 26/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    не взлетит.
     
     
  • 2.13, anono (?), 13:52, 26/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    я попробовал свой домен проверить. не шмогло. оно пытается подключаться с кучей нестыковок и сразу блочится.
    я даже попробовал в исключения внести их. но они тутже на других косяках снова улетели в блок. забил на красивую проверку с рекомедациями.... =)
     
  • 2.27, Аноним (-), 14:41, 26/06/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Взлетит, димка, взлетит.
     

  • 1.11, Аноним (11), 13:36, 26/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    >Более того, около половины всех почтовых серверов с поддержкой STARTTLS используют самоподписанные сертификаты, не заверенные удостоверяющим центром.

    И правильно делают

     
  • 1.17, Аноним (17), 14:18, 26/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А у STARTTLS есть SNI или что-то вроде этого? Если сервер отвечает за множество доменов, то проверка сертификатов не ломается?
     
     
  • 2.33, Sw00p aka Jerom (?), 15:29, 26/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    по идее нет если прописать все домены, в постфиксе обычно так

    smtp_tls_policy_maps = cdb:/etc/postfix/tls_policy


    /etc/postfix/tls_policy
    gmail.com           secure match=.google.com
    googlegroups.com    secure match=.google.com
    googlemail.com      secure match=.google.com
    hotmail.com         secure match=.hotmail.com:.outlook.com
    live.com            secure match=.hotmail.com:.outlook.com
    outlook.com         secure match=.hotmail.com:.outlook.com
    windowslive.com     secure match=.hotmail.com:.outlook.com
    mail.ru             secure match=mxs.mail.ru
    inbox.ru            secure match=mxs.mail.ru
    bk.ru               secure match=mxs.mail.ru
    list.ru             secure match=mxs.mail.ru

     
  • 2.65, Аноним (65), 18:47, 26/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    In order for your certificate to be valid for your email domain, it should be unexpired, chain to a valid root, and one of the names on the certificate should either match the domain (the part of an email address after the @) or the server’s hostname (the name of the server, as indicated by an MX record). Короче, сертификат должен матчить mx hostname.
     

  • 1.18, Аноним (18), 14:18, 26/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Извините что не по теме, но это просто хохот!!!

    Firefox Setup 60.0.2 проверенный в VirusTotal выдал это: "Trojan/Win32.SGeneric".

     
     
  • 2.36, Аноним (36), 15:48, 26/06/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Видимо ты виндyзятник и скачал файрфокс на ваpезнике. :)
     
     
  • 3.110, Аноним (110), 14:39, 27/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >Видимо ты виндyзятник и скачал файрфокс на вapезнике. :)

    Я и линуксойд и временный виндyзятник, но Вы не правы, я скачал с официального сайта и сначала я даже не хотел проверить на вирусы, но потом взяло верх любопытство (это же GNU) и я проверил.

    Я же специально представил данные, более того сегодня и Waterfox проверил и там вирус. Может это и ложное срабатывание но неразу небыло ложного сраб. у PeaZip. Почему?

    Да и firefox linux64 чист.

     
  • 2.39, НяшМяш (ok), 16:02, 26/06/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Всё правильно написал. Win32 - это Generic Trojan.
     
  • 2.68, тоже Аноним (ok), 19:22, 26/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не позорьте почтенный сервис и столь же почтенную программу.
    Просто назовите движок, который так облажался.
    Ставлю на NOD32, мне клиентам, имеющим неосторожность им защищаться, многократно приходилось объяснять, что у меня ничего, кроме стандартнейшей libcurl, обращающейся исключительно к официальному сайту программы, в "зараженном" дистрибутиве нет и никогда не было.
     
     
  • 3.111, Аноним (110), 14:47, 27/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >Не позорьте почтенный сервис и столь же почтенную программу.
    >Просто назовите движок, который так облажался.
    >Ставлю на NOD32, мне клиентам, имеющим неосторожность им защищаться, многократно приходилось объяснять, >что у меня ничего, кроме стандартнейшей libcurl, обращающейся исключительно к официальному сайту >программы, в "зараженном" дистрибутиве нет и никогда не было.

    Какой антивирус нашёл зловред я не помню и я качал с оффициального сайта.
    Я же не обманываю, убедитесь сами.

    Не обижайтесь, но телеметрия, pocket и будущие нововведения не делают его почтенным.

     

  • 1.19, yet another anonymous (?), 14:22, 26/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Угрозы упомянутые Ivan_83 вполне реальные, а ценность шифрования почтового траффика "от сервера до сервера" выглядит довольно сомнительной.
     
     
  • 2.32, sasasa (?), 15:28, 26/06/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Угрозы упомянутые Ivan_83 вполне реальные, а ценность шифрования почтового траффика "от
    > сервера до сервера" выглядит довольно сомнительной.

    А вы чужую почту хотите читать по работе или просто интересно?

     
     
  • 3.66, yet another anonymous (?), 18:51, 26/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    То, что предлагается в топике, к собственно защите содержимого имеет слабое отношение.

    Если есть необходимость, содержимое можно (и нужно) шифровать/верифицировать
    без предложенного.

     
  • 2.48, Аноним (-), 16:31, 26/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Тов. майор, залогиньтесь!
     
  • 2.95, Аноним (93), 08:09, 27/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    у вас "свобода - это рабство"
     
     
  • 3.100, yet another anonymous (?), 12:45, 27/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Нет. Это у Вас.
     
     
  • 4.106, Кремень (?), 13:17, 27/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А у вас хохлов не так? Чего добились то? А добились цензуры похлеще Рocкомпoзора.

    https://roskomsvoboda.org/39875/

     
     
  • 5.116, Аноним (116), 19:31, 28/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Уже ввели белые списки?
     

  • 1.20, Аноним (-), 14:24, 26/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Норм тема, давно пора!
     
  • 1.23, Александр (??), 14:36, 26/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +17 +/
    Пользоваться чем то кроме ProtonMail в наши дни - былинный идиотизм. В яндексе, жмыле и мейлсру нет GPG шифрования - зато есть майор. Как минимум 2 из них (яндекс и мейлсру) сотрудничают с ФCБ и автоматически блокируют аккаунты по ключевым словам. Помню когда собирались с ребятами на митинг пpотив кoррyпции в Москве, и обсуждали это дело по яндекс почте - аккаунты заблокировали в этот же день по подозрению на якобы "необычную сетевую активность", у кого-то писали что-то про взлом (хотя заходы всегда были с одного девайса). Понятно что это бред и у всех одновременно никто не мог ничего взломать - была блокировка по ключевым словам. После этого потребовали ввести номер телефона для идентификации линости и разблокировки аккаунта. Естественно никто этого делать не стал, ящики так и остались забанеными. С тех пор общаемся через ProtonMail и не **** себе мозги идиотской шпионской почтой.
     
     
  • 2.29, sasasa (?), 14:56, 26/06/2018 [^] [^^] [^^^] [ответить]  
  • –8 +/
    > Пользоваться чем то кроме ProtonMail в наши дни - былинный идиотизм.

    Примерно как доверять чужому пообещавшему их хранить дяде свои секреты или ещё хуже?

     
     
  • 3.74, Аноним (-), 20:37, 26/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >> Пользоваться чем то кроме ProtonMail в наши дни - былинный идиотизм.
    > Примерно как доверять чужому пообещавшему их хранить дяде свои секреты или ещё
    > хуже?

    А кто не чужой?

     
  • 2.34, Аноним (30), 15:30, 26/06/2018 [^] [^^] [^^^] [ответить]  
  • –7 +/
    "Ограничения
    Поддержка POP3/IMAP/SMTP отсутствует."
    Увы, это сводит ценность этого почтового сервера на нет.
     
     
  • 3.35, xxx_stalker (?), 15:47, 26/06/2018 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Бред же, все есть - для платных пользователей.

    https://protonmail.com/bridge/

    алсо читай иногда прежде чем вбрасывать.

    https://protonmail.com/support/knowledge-base/paid-plans/

    > IMAP Support via ProtonMail Bridge

     
  • 2.37, abi (?), 15:50, 26/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Как проверяете, что ProtonMail не отдал вам js с дыркой?
     
     
  • 3.75, Аноним (-), 20:39, 26/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Как найти альтернативу?
     
  • 2.47, Аноним (47), 16:28, 26/06/2018 [^] [^^] [^^^] [ответить]  
  • –16 +/
    Cool story, bro. Такая драма, прямо одновременно рыдаю и пылаю праведным гневом. Но народ уже такими вбросами наелся, пора вам зайти к куратору за новой методичкой.

    Кстати, интересна слаженная работа ботов по голосованию за сообщения в этом треде.

     
     
  • 3.86, Тож аноним (?), 01:44, 27/06/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Кстати, у меня тоже был длительный бокс по переписке с яндексом по поводу блокировки аккаунта аккурат перед митингами. Пароль длинный и сложный. Меняется раз месяц-два. Такая же брехня про взлом и подозртельную активность. На требование представить логи — стухли и разблокировали акк. Но я вообще ни с кем про политику не общался через этот ящик.
     
  • 2.53, 1 (??), 17:33, 26/06/2018 [^] [^^] [^^^] [ответить]  
  • –18 +/
    Алексей, идите воруйте лес. Это у Вас получается лучше !
     
  • 2.83, 2 (?), 23:37, 26/06/2018 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Яндекс и Мэйлру ясен пень сотрудничают с ФСБ, как и Гугл с Яху сотрудничают с АНБ. Но про блокировку аккаунтов по ключевым словам - простите, бред какой-то. Давайте проверим. Я сделаю аккаунт на Яндексе, пошлю письмо с "ключевым словом" и посмотрю, заблокируют ли его. Поделитесь вашим ключевым словом? Или это обычное балабольство было?
     
  • 2.90, Аноним (-), 06:29, 27/06/2018 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Хорошая рекомендация, молодец.

    In April 2017, we received a request from the Swiss Federal Police about an information request coming from a former Soviet republic (not Russia) regarding a case with an immediate threat of bodily harm to innocent civilians. Proton Technologies AG decided to comply immediately with the data request, to the extent that it is possible, given our cryptography, with the understanding that a valid Swiss court order will be immediately delivered to our office as soon as possible.
    https://protonmail.com/blog/transparency-report/

     
  • 2.96, asdfasdf (??), 08:52, 27/06/2018 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Ой, можно подумать, что в яндексе нельзя использовать нормальный дистрибутивный gpg через почтовый клиент. И да, за это почему-то не всех банят.
     
  • 2.108, страпер (?), 14:08, 27/06/2018 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Теперь напейши в протоне, ка ты будешь убивать рокфеллера и сношать Трампа на крыльце белого дома.
    О результатах не сообщай, мы их и так узнаем.

     
     
  • 3.112, mr. horosho (?), 15:53, 27/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И не такое писал. Полет нормальный. :)
     

  • 1.52, Влад (??), 17:33, 26/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это ваше Let's encrypt позволит мне получить сертификат, с помощью которого я смогу подписывать сертификаты для моих нужд в моем домене?
     
     
  • 2.54, 1 (??), 17:34, 26/06/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Это ваше Let's encrypt позволит мне получить сертификат, с помощью которого я
    > смогу подписывать сертификаты для моих нужд в моем домене?

    Да, до первого зелёного свистка вверх

     
     
  • 3.60, Влад (??), 17:43, 26/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    не понял...
     
     
  • 4.98, 1 (??), 10:35, 27/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Сертификат выдаётся на 3 месяца.
    Когда наберётся критическая масса леммингов, он ВНЕЗАПНО, станет платным.

    Со всеми вытекающими.

     
  • 2.61, Аноним (-), 18:18, 26/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Вассал моего вассала... ну ты понел)
     
  • 2.67, yet another anonymous (?), 18:58, 26/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Это ваше Let's encrypt позволит мне получить сертификат, с помощью которого я
    > смогу подписывать сертификаты для моих нужд в моем домене?

    Если я правильно понимаю эту структуру, то нет. (то есть да, но это стоит очень приличных денег).

     
  • 2.78, Аноним (9), 21:34, 26/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Нет. Там пометка стоит, что серт нельзя использовать как СА.
     
     
  • 3.79, Влад (??), 21:44, 26/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Нет. Там пометка стоит, что серт нельзя использовать как СА.

    Прелестно. Вебсервер, smtl, imap, openvpn сервер и все openvpn клиенты - на них всех надо персонально в этом вашем let's encrypt по сертификату делать? Нафига он такой нужен? В 100500 раз проще иметь сертификат, которым ты можешь подписывать все свои сертификаты, которые тебе нужны.

     
     
  • 4.109, страпер (?), 14:10, 27/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >> Нет. Там пометка стоит, что серт нельзя использовать как СА.
    > Прелестно. Вебсервер, smtl, imap, openvpn сервер и все openvpn клиенты - на
    > них всех надо персонально в этом вашем let's encrypt по сертификату
    > делать? Нафига он такой нужен? В 100500 раз проще иметь сертификат,
    > которым ты можешь подписывать все свои сертификаты, которые тебе нужны.

    Ниасилил автоматизацию и мониторинг?

     
  • 2.102, Аноним (-), 13:05, 27/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Не позволит.
     

  • 1.77, Аноним (9), 21:32, 26/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Когда всем серверам навяжут сертификаты и шифрование, то возьмутся за клиентов. Чтобы ходить по сайтикам в инете нужно будет иметь клиентский серт, который будет подписывать и выдавать ваш любимый гугл/провайдер/кто-то другой после проверки вашего паспорта. Это дело конечно не ближайшего будущего, но это будет рано или поздно.
    Впрочем, сейчас во многих европейских странах выдают ИД-карты, у которых используются персональные сертификаты, подписанные правительственными органами. Ну вы поняли :)
     
     
  • 2.103, Аноним (-), 13:07, 27/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Выдыхай, параноик...
     

  • 1.81, Аноним (81), 21:58, 26/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Этим очевидно с продаж сертификатов капает потому как только ненормальный может поверить в надежность публичных сервисов шифрования.
     
     
  • 2.104, Аноним (-), 13:08, 27/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А ты в какой сервис веруешь?
     
     
  • 3.113, Аноним (81), 19:27, 27/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    В тот который пишется исключительно своими ручками...
     

  • 1.82, Аноним (82), 23:21, 26/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "Соответствие имени почтового сервера и хоста в email с указанным в сертификате именем домена"

    Окей, родные, мне на каждый из тысяч клиентских доменов, идущих через мой релей, сертификат получать? Или всем релеям дать одинаковые хостнеймы (HELO одинаковый для всего кластера)?

    В текущем виде - не взлетит.

     
  • 1.97, Аноним (97), 09:41, 27/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Техническую реализацию инициативы, похоже, доверили даже не студентам, а выпускникам младших классов. Их чекалка не шмогла в разбор MX корректно настроенного домена.
     
     
  • 2.105, Kobalt (?), 13:11, 27/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Современные школьники знают только доту, а студенты пьют ягу и играют в пугбе в общаге...
     

  • 1.114, Адекват (ok), 10:00, 28/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Какая же это все-таки бредятина.
    В том же thunderbird можно добавить свой само-подписанный сертификат один раз и он не будет более парить вам мозги по поводу своей самоподписанности, и если случится MITM, то мой почтовый клиент спросит меня - хочу ли я использовать этот сертификат.
    Далее, если сертификат я сделал сам у себя - все закрытые ключи будут ТОЛЬКО У МЕНЯ, а не "еще у добрых дядек".
    Технически можно выпустить валидный сертификат хоть для microsoft и использовать его для MITM (чтобы из своего Усть-перезассанска прикидываться серверами майкрософт), все зависит от подкупаемости и совестливости конкретного сотрудника УЦ.
    ЗЫ: Использование самоподписанных сертификатов - безопаснее, чем чем пользование сертификатами от УЦ.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру