Здравствуйте, Roman Odaisky, Вы писали:

RO>Меня вообще очень сильно удивляют попытки применения «оффлайнового» законодательства к инету. Из-за 2 вопросов: как доказать и по чьим законам судить?

По законам военного времени. Тогда и Первого вопроса не возникает.

Здравствуйте, akasoft, Вы писали:

A>Э-э-э... Нормальные люди а-ля денежные мешки не подозревают, что есть nslookup, whois и проч.

Да понятно. Мне просто зотелось развенчать миф о том, что "ФСБ всех слушает и мониторит весь трафик"

A>Наверное, ты часто платишь по карточкам и каждый раз мониторишь IP и проч.

Не то, чтобы очень часто плачу. Но при передаче важных сведений типа инфомрации о кредитке или при логине на light.webmoney.ru сертификат проверяю. Но проверка на MITM на случай, если кто-то спёр приватный ключ верисайна — .это уже маразм, конечно

ch00k wrote:

>> > А>Если у тебя есть приватный ключ Thawte,
>> > Если у меня будет приватный ключ Thawhte, я не буду заниматься такими
>> > глупостями Thawte и Verisign держатся исключтельно на том, что им
>> > доверяют, т.е. ни у кого не может "вдруг" оказаться их приватный ключ
> А>Верно, но я описал какие могут проблемы в случае минимального доверия.
> (кто-то там высказывался, что типа по закону все
> А>должны перед ФСБ отчитываться и ключи им отдавать).
> Thawte не обязана отчитываться перед ФСБ — это не российская компания. В
> этом контексте весь разговор вообще не имеет смысла.
Я знаю, просто кто-то так высказывался.

>> > А вообще-то даже если он будет, нужно еще весь трафик, который идет к
>> > гуглу от юзера заворачивать на свой сервер (иначе MITM не осуществляется)
> А>Делается элементарным http-proxy, для недобросовесного провайдера (или
> непосредственно подключиться к сетевому кабелю) —
> А>проще простого. Или DNS-атака — резолвить "google.com" на твой IP.
> http-proxy при работе с SSL не имеет доступа к сессионному ключу.
Я знаю, имеется в виду, что при наличии сертификата, подписывающего "google.com", MITM можно организовать на основе
http-proxy — комар носа не подточит.

> Непосредственное подключение к сетевому кабелю точно так же ничего не
Не подключение, а "включение в разрыв". Залез на чердак, разрезал кабель, быстренько обжал, воткнул в ноут — вуаля. Вряд
ли кто обратит внимание на пропадание сети на <1 минуту.
Можно сделать свой сетевой интерфейс с ip-адресом гугла и рутить обращения от клиента к гугловым IP на свой сервак.

> даст. Резолв google.com в свой IP моментально вычисляется на клиенте.
Как вычисляется? Ты лично хоть раз whois-ил ip перед платежом? Лично я — нет... да и не думаю, что существует много
таких параноиков.

>> > и юзер при желании это может заметить.
> А>Как?
> посмотрев, во что прорезолвился google.com и сделав whois-запрос на
> каком-нибдуь фришком сервере.
Вряд ли кто-то это делает. Обычно смотрят только сертификат в браузере; и браузер выдаёт предупреждение, если что-то не
так, а он whois не делает.

А где хранится ПИН-код? Я всегда считал что на самой карте, проверяется банкоматом и не выходит за его пределы. Однако здесь рассказывается как можно сменить ПИН в онлайне. Значит он хранится в банке?

Здравствуйте, qwertyuiop, Вы писали:

Q>А где хранится ПИН-код? Я всегда считал что на самой карте, проверяется банкоматом и не выходит за его пределы. Однако здесь рассказывается как можно сменить ПИН в онлайне. Значит он хранится в банке?

Да, в банке.

Здравствуйте, qwertyuiop, Вы писали:

Q>А где хранится ПИН-код? Я всегда считал что на самой карте, проверяется банкоматом и не выходит за его пределы. Однако здесь рассказывается как можно сменить ПИН в онлайне. Значит он хранится в банке?

он-то да, хранится в банке, но думаю не сам он, а его хеш (md5 или что-то в этом роде)

Здравствуйте, Smetanin, Вы писали:

KV>>>>Угу. Что такое — "защищенная почта"? Хотелось бы определение...

RO>>>это 220 mail.yourdomain.com ESMTP Exim|Postfix|whatever.

KV>>Угу. Каждому юзеру — по серверу

S>Самое смешное — что это абсолютно бесполезно. Почта до "своего" сервера идет по обычным каналам, соответственно логгируется на куче промежуточных узлов, где к ней имеет доступ кто попало.

По обычным. Но, при желании, зашифрованная. Вот у меня все сертификаты (Exim, Cyrus IMAP) подписаны одним «корневым», и, если б меня охватил приступ паранойи, я бы попросил админов выложить его на свой сервер, чтобы я его взял по HTTPS, после чего убедился бы в no-men-in-the-middle. Здесь канал будет настолько же надежен, насколько надежен алгоритм шифрования и насколько порядочны админы VPS-хостинга.

S>Ну, то есть, еметь свой сервер — это, конечно удобно. Только безопасности электронной почте по сравнению с публичными сервисами типа гмайла не добавляет и добавлять не может.

Ну вот давай проверим. Отправил себе сообщение me@domain.com -> me@isp.net и обратно. Что вижу:

me@isp.net -> me@domain.com:

Return-Path: <мне@optima.com.ua>
Received: from server.qwertty.com ([unix socket])
    by server.qwertty.com (Cyrus v2.1.18-IPv6-Debian-2.1.18-1+sarge2) with LMTP; Sat, 13 Jan 2007 12:55:48 +0000
X-Sieve: CMU Sieve 2.2
Received: from mail.alkar.net ([195.248.191.95])
    by server.qwertty.com with esmtp (Exim 4.50)
    id 1H5iQE-0007df-EJ
    for мне@qwertty.com; Sat, 13 Jan 2007 12:55:46 +0000
Received: from [мой.IP] (HELO homemain)
  by mail.alkar.net (CommuniGate Pro SMTP 5.1.4)
  with ESMTP id 645622532 for мне@qwertty.com; Sat, 13 Jan 2007 14:55:45 +0200
From: "Roman Odaisky" <я@optima.com.ua>
To: "'Roman Odaisky'" <мне@qwertty.com>
Subject: Security test
Date: Sat, 13 Jan 2007 14:55:45 +0200

Шифрования нет нигде.

me@domain.com -> me@isp.net:

Return-Path: <мне@qwertty.com>
Received: from server.qwertty.com ([82.195.149.147] verified)
  by mail.alkar.net (CommuniGate Pro SMTP 5.1.4)
  with ESMTPS id 645622613 for мне@optima.com.ua; Sat, 13 Jan 2007 14:55:57 +0200
Received-SPF: pass
 receiver=mail.alkar.net; client-ip=82.195.149.147; envelope-from=я@qwertty.com
Received: from [мой.IP] (helo=homemain)
    by server.qwertty.com with esmtpsa (TLS-1.0:RSA_ARCFOUR_MD5:16)
    (Exim 4.50)
    id 1H5iQ7-0007db-Rh
    for мне@optima.com.ua; Sat, 13 Jan 2007 12:55:40 +0000
From: "Roman Odaisky" <я@qwertty.com>
To: "'Roman Odaisky'" <мне@optima.com.ua>
Subject: Security test
Date: Sat, 13 Jan 2007 14:55:30 +0200

Сообщение зашифровано по всему пути.

Gmail:

Delivered-To: мне@gmail.com
Received: by 10.82.170.16 with SMTP id s16cs287202bue;
        Sat, 13 Jan 2007 05:35:38 -0800 (PST)
Received: by 10.49.80.12 with SMTP id h12mr1721793nfl.1168695338267;
        Sat, 13 Jan 2007 05:35:38 -0800 (PST)
Return-Path: <мне@qwertty.com>
Received: from server.qwertty.com (qwertty.com [82.195.149.147])
        by mx.google.com with ESMTP id v20si13648661nfc.2007.01.13.05.35.37;
        Sat, 13 Jan 2007 05:35:38 -0800 (PST)
Received-SPF: pass (google.com: domain of я@qwertty.com designates 82.195.149.147 as permitted sender)
Received: from [мой.IP] (helo=homemain)
    by server.qwertty.com with esmtpsa (TLS-1.0:RSA_ARCFOUR_MD5:16)
    (Exim 4.50)
    id 1H5j2k-0007ob-Vi
    for мне@gmail.com; Sat, 13 Jan 2007 13:35:35 +0000

Связь с Гмэйлом зашифрована не была. Очевидно, потому, что Гмэйл не поддерживает STARTTLS.

Так что it depends!

Здравствуйте, vhonest, Вы писали:

KV>>Угу. Что такое — "защищенная почта"? Хотелось бы определение...
V>Была какое-то время назад почта smail.com кажется. Правда им пришлось прикрыть эту инициативу из-за спамеров.

Еще есть hushmail.com.

Здравствуйте, Кес, Вы писали:

Кес> он-то да, хранится в банке, но думаю не сам он, а его хеш (md5 или что-то в этом роде)



Смысл?!

Зная хеш, можно за миллисекунды узнать 4-5-значный PIN.