11

Odp: Pytanie o SPF, SSL - STARTTLS

Ciągle mnie zastanawia co miałeś na myśli z tym punktem drugim - nie daje mi to spokoju smile

Co masz na myśli pisząc "własny serwer"?
Czy to znaczy że nawet jeśli ktoś odbiera moją TLS'owaną wiadomość na TLS'owanym porcie to gdzieś po drodze jest ona niezabezpieczona czy raczej masz na myśli, że odbiorca może używać zwykłego połączenia i wtedy cały pomysł z TLS'em szla* trafia?

Czekam z niecierpliwością na odp.

Rozumiem też, że sama idea szyfrowania mimo iż jest ok jest jak drzwi pancerne w domu ze szkła?  Jeśli autoryzacja przebiega w sposób niezabezpieczony i po przejęciu hasła i loginu można wejść na serwer i przeczytać niekasowane listy?

Bądź w najlepszym przypadku jeśli korespondencja byłaby usuwana przez właściciela konta, przy pobieraniu, włamywacz w przyszłości mógłby "podłączyć" się do konta i pobierać korespondencję na równi z właścicielem?

12

Odp: Pytanie o SPF, SSL - STARTTLS

Dokładnie tak jest jak to opisałeś w tych dwóch zdaniach. Oba mają zastosowanie.
Bezpieczeństwo TLS/SSL to tylko zabezpieczenie danej transmisji, czyli obrazując:
Wyobraź sobie najzwyklejszy przewód jednożyłowy. Ma on w środku drucik a na zewnątrz osłonkę np. z jakiegoś tworzywa. Ta osłonka tworzy dla niego barierę ochronną. Bez tej osłonki drucik znajdujący się w środku jest bezpośrednio widoczny i narażony na bezpośrednie działanie. I teraz ten przewód biegnie sobie od twojego komputera do jakiegoś oddalonego od ciebie o setki/tysiące kilometrów przy tym przechodząc przez jakieś inne nieznane dla ciebie pośredniczące serwery.

Rozumiem też, że sama idea szyfrowania mimo iż jest ok jest jak drzwi pancerne w domu ze szkła?  Jeśli autoryzacja przebiega w sposób niezabezpieczony i po przejęciu hasła i loginu można wejść na serwer i przeczytać niekasowane listy?

To ma zastosowanie tylko do szyfrowania połączenia (TLS/SSL). Jeżeli list jest zaszyfrowany (PGP lub S/MIME) to połączenie może być jawne a i tak treść listu jest zabezpieczona.

13 (edytowany przez Pavvel 2008-10-01 18:42:32)

Odp: Pytanie o SPF, SSL - STARTTLS

smile Czy wiecie coś aby dostawcy kont e-mail proponowali opcję szyfrowania wiadomości, które przychodzą na serwer niezaszyfrowane.

Jak miałoby to wyglądać:
1. Użytkownik nie znający się na PGP lub używający tylko bezpiecznej transmisji https wysyła e-maila
2. Na serwerze e-mail zostaje zaszyfrowany hasłem zanim jest dostępny do przeczytania [ustawionym przy np. tworzeniu konta]
3. Pobieranie na klienta, rozszyfrowanie

smile Inne pytanie
Czy wiecie coś o tym aby jakieś portale używały szyfrowania maili do swoich użytkowników pre-definiowanym przy np. zakładaniu konta hasłem.
W końcu wszystkie zabezpieczenia nic nie są warte jeśli ktoś uda, że zapomniał hasła do np. konta "sklepowego" on-line, które może być zmienione za pomocą kliknięcia w link w e-mailu na powiązanym ze sklepem koncie, którego hasło jest już znane dla włamywacza [ w końcu na koncie zapewne dowiedział się jaki to sklep no a e-mail.. jest oczywisty]. A standardowe pytania o adres czy rok urodzenia mogą się okazać daleko niewystarczające [jeśli są].

Np. PayPal stosuje bardziej wyszukane metody zabezpieczenia użytkownika, ale nie wszystkim "sklepom" się chce.

Pozdrowienia.