Я не пойму зачем здесь этот спор. С инструкции к ящику четко написано, что нужно использовать шифрованное соединение.
Тоесть вопросы не к пользователю, а к Gmail.

у меня www. pochta.ru и там вс╦ также настраевал
как у тебя крое POP - IMAP ставил ,а так работает хорошо ящик.

все равно выходит это сообщение,ну его НАХ,я сношу с почтовика этот ящик.СПАСИБО!!!

шла речь не о сервер-сертификате? станет ли обычный пользователь записывать мэйлер в свои друзья? тем более, если сертификат не подтвержден сертифицирующими инстанциями?...
ну да ладно...

сорри. речь шла не о сети как таковой, а о серверных почтовых приложениях в этой сети. Количество обслуживаемых пользователей: порядка 85 тысяч. Разумеется я не один. Разумеется, технически возможно многое, но юридически и фактически ни один из мне знакомых технарей и, разумеется, я сам, не станет злоупотреблять доверием работодателя: это чревато.
И не надо меня убеждать в обратном... хотя возможно где-то и по другому....

да, это мне напоминает мои дискуссии с моим коллегой, который шифровал письма маме, типа: мама, у меня все хорошо, я сегодня кушал сосиску... . На мои вопросы, не паранойа ли это он говорил, что дескать "big brother watch you" (с) и я, такой беспечный, еще узнаю почем фунт лиха.
На сегодняшний день я лично вижу эту тему пока что не так параноидально. Кто знает, что будет завтра.

ну так и я приблизительно о том же. хотя к этой теме есть разные подходы. Вплоть до экстремального пофигизма . Недавно у S. Maischberger в студии обсуждался вопрос защиты данных в Германии. Присутствовали: баварский министр ВД, главный KriPo-дядя, главный ответственный в бундестаге за защиту данных..., а потом пришел некто Andreas Weigend, который раньше занимался банками данных пользовательских профилей на amazon.de. Кроме того он преподает в шанхайском и сан-франциском университетах. Как можно догадаться (см. его страницу), он в интернетовской security разбирается в разы больше чем все МВД в этой стране... Так он очень смешно рассказывал, почему на его HP прописана практически вся его приватная инфа: его телефоны в ФРГ, USA, Китае, его мобильники, его планы на отпуск...
вот тут ссылочки на разговор: http://www.daserste.de/maischberger/sendung_dyn~uid,vx6g77tmxqa6hkmy3a3x9pa6~cm.... и на страницу этого Weigend: http://www.weigend.com/

ну что же ты такой агрессивный, коллега? я же никоим образом не пытаюсь поставить под сомнение твою компетентность. Хотелось бы все таки не сбиваться на взаимные выпады. А то и вправду, дискуссия превращается в перепалку. Как ты насчет уважать собеседника, а?


Строго говоря, конечно же ты прав. К тому же я нигде и не утверждал, что TLS относится к 4му уровню. Имелось всего лишь в виду, что человек, использующий только такое шифроование, должен понимать, что зашифрованным его сообщение остается только на пути от его клиента к его серверу (по пути следования транспорта). В принципе, для такого понимания достаточно просто хотябы открыть википедию, и не штудировать даже учебники. Вот посмотришь на прицепленную картинку и становится понятно, что и где шифруется.

послушай, можно поинтересоваться, нет ли у тебя проблем в коллективе? у меня может быть не очень обычный опыт, но у нас в коллективе так общаться с коллегами не принято.

мы как раз недавно почти на эту тему дискутировали с gendy. И он был совершенно прав, говоря, что галочки, поставленные без малейшего понимания скорее дадут пользователю иллюзию безопасности чем саму безопасность.

знаешь, и все таки твоя позиция грешит противоречиями. С одной стороны ты пропагандируешь шифрование передачи данных и я должен напоминать, что шифрование заканчивается как правило в тот момент, когда твое письмо оказывается в открытом тексте на сервере провайдера (кстати, именно над этим провайдером сейчас сгущаются тучи по поводу выдачи компетентным органам логов и пр.), потом ты рекомендуешь акцептировать неизвестно чей сертификат, токма для того чтобы получить желанныю сессию и то что сертификат не подтвержден никем тебя не смущает. Но самое интерсное, именно ты размещаешь в своем профиле максимум приватной информации, включая твое фото. Конечно, это твое дело, но как то это все не очень согласуется с твоим пониманием защиты персональных данных. Или твои данные в профиле не являются персональной информацией?

если мы постараемся не передергивать, то может получится и вправду интересный разгвор.
Тебе наверняка известно, что естзь различные policy по защите информации на предприятии. В ФРГ они, AFAIK, обозначаются буквами: A, B, C, D... (какието соответствия были и у нас: "ДСП", "Секретно", "Сов. Секретно", итд.)
Так вот, каждый приватный пользователь вправе сам определять, насколько секретна его инфа и присваиваеть ей тот или иной гриф.
я лично информацию, про то как я попил пива, отправлю незашифрованной без всяких угрызений совести. Если ты хочешь, чтобы к твоей такой информации никто нигде не получил никакго доступа, тебе надо обеспечить безопасность по всей цепочке: ты --> сервер, через который ты отправляешь ╜╜--> сервер, с которого твой корреспондент будет письмо забирать --> почтовый клиент твоего корресопондента. Иначе все это не имеет большог смысла.
Хотя, я конечно на настаиваю, и ты можешь обеспечивать безопасность твоих данных только на одном участке, но если ты консультируешь кого нибудь, наверное, надо ему описать полную картину...

нужно или можно? я с Г-мэйлом вчерась спокойно разговаривал по незащищенной линии... Стало быть: можно, но не обязательно.
Кстати, некоторые антивирусные программы "вклиниваются" для сканирования почтового трафика между клиентом и почтовым сервером в качестве SMTP/POP3-Proxy. Немногие из них умеют (если вообще ктото умеет) работать по TSL. Стало быть у пользователя на выбор:
1. шифрованный трафик, по которому могуть приходить (и отправляться) вирусы без того чтобы иметь возможность этот трафи просканировать
или
2. нешифрованный почтовый трафик, за которым "присматривает" антивирусная программа.
и это пользователь должен понимать и сам расставлять свои приоритеты.

Не отвлекай, очень интересно :)

тем более, если сертификат не подтвержден сертифицирующими инстанциями?
А что дает его подтверждение сертифицирующими инстанциями? Кроме того, что не появляется окошка с предупреждением? В принципе, любой может за небольшие деньги (не более $50/год) получить сертификат на любое доменное имя (которое ему принадлежит или к которому он имеет доступ) - и ву-а-ля - сертификат "законный", предупреждения нет - а что изменилось?
но юридически и фактически ни один из мне знакомых технарей и, разумеется, я сам, не станет злоупотреблять доверием работодателя: это чревато.
Тогда я вообще не могу понять, почему возникают злоупотребления, люди совершают преступления, etc - ведь вс╦ это чревато. Но это происходит. Ещ╦ я могу напомнить о такой штуке, как промышленный шпионаж - ты ведь не знаешь, какого рода информацией люди обмениваются по email - может, там есть что искать, а? И лучший способ это сделать - изнутри. Ты не поверишь, может быть, но мне известны случаи, когда документы высокой степени секретности уходили открытым текстом на адрес в hotmail...
На сегодняшний день я лично вижу эту тему пока что не так параноидально.
Хорошо, пока вс╦ хорошо. Скажи, а твой комп без пароля? Ты, когда уходишь с рабочего места, так его и оставляешь? А коллеги?
человек, использующий только такое шифроование, должен понимать, что зашифрованным его сообщение остается только на пути от его клиента к его серверу
Разумеется, он должен это понимать - но для этого не нужно понимать (и разбираться) в OSI, TCP/IP или ч╦м-то ещ╦
послушай, можно поинтересоваться, нет ли у тебя проблем в коллективе? у меня может быть не очень обычный опыт, но у нас в коллективе так общаться с коллегами не принято.
Никаких. Никогда. Я соглашусь, что это необычный способ общения - прямо говорить то, что думаешь, но если это так и есть - зачем молчать или искать другие пути это высказать - если суть вс╦ равно останется?
С одной стороны ты пропагандируешь шифрование передачи данных и я должен напоминать, что шифрование заканчивается как правило в тот момент, когда твое письмо оказывается в открытом тексте на сервере провайдера
Зато мы исключаем всю цепь по дороге - уже лучше, чем ничего, и, как минимум, мы исключаем утечку таких данных как имя и пароль (а провайдер вс╦ равно их знает - так что защищать их там сложнее).
потом ты рекомендуешь акцептировать неизвестно чей сертификат
Э? Что значит "неизвестно чей"? Он известно чей, и это можно проверить - почему не так важна подпись кем-то - см. выше. Весь институт сертификации - это способ отъема денег. В теории (да и на практике) каждый может открыть свою собственную Certfication Authority - это займет время, деньги, но не потребует даже лицензирования от государства. Похоже, ты просто не совсем представляешь, как этот механизм функционирует (только не обижайся опять, а?) - задуман он был хорошо, но его реализация оставляет желать лучшего.
Лучше преставь ситуацию по другому - есть Коля с PGP-ключом, есть Вася - они хотят между собой обменяться данными... PGP-Public-Key - это тоже своего рода сертификат, и он тоже может быть подписан (хотя часто этого не делается) - но ничто не мешает Коле и Васе обменяться ключами, а потом и данными. Вопрос - если это не мешает Коле и Васе в случае с PGP - то чем оно помешает кому-то, кто использует TLS/SSL - если там _абсолютно_ такой же принцип?
Но самое интерсное, именно ты размещаешь в своем профиле максимум приватной информации, включая твое фото.
Вау... Это максимум? Фото, дата рождения и имя... Может, мне ещ╦ ходить с маской на лице по улицам, что бы никто не видел? Тогда бы это была параноя, не находишь? Понимаешь ли, вся информация которую я размещаю о себе (где-либо) - ничего никому не даст. Человек может знать, когда я родился, где живу, где работаю - но он никогда не узнает моих привычек, моего распорядка дня, с кем я общаюсь, в каких с ними отношениями состою, что я ем, etc - если, разумеется, он не будет за мной следить.
Я не призываю скрывать вс╦ - я всего лишь призываю не открывать вс╦, точнее, не делать это легко доступным всем.
Хотя, я конечно на настаиваю, и ты можешь обеспечивать безопасность твоих данных только на одном участке, но если ты консультируешь кого нибудь, наверное, надо ему описать полную картину...
Разумеется, мои клиенты представляют себе полную картину. Но для обычных (бытовых, если можно так выразиться) обменов почтой уже защита даже на одном участке - это своего рода конверт для письма, что-то, что лучше чем ничего. Ещ╦ раз напомню - это абсолютно ничего не стоит, это то же самое, что захлопнуть дверь, закрыть машину.

стало быть, такой брэнд, как google, просто сэкономил полтинник? Просто напросто пожалел ден╦г на сертификацию verisign? Странно. Ну да ладно....

да, я тоже не понимаю. Но ведь мы и не юристы и не социологи

Послушай, давай попробуем отделить зерна от плевел. Изначальный вопрос был о пользовании бета-версии обычного веб-мэйлера, не так ли? Слажи, ты то сам будешь свои бизнес-секреты доверять вебмэйлеру? А тому, который как раз тестируется? А тому, над которым висят сейчас америк. спецслужбы? Для бизнес-секретов есть много всяких способов и goole-мэйлер, думаю √ один из последних

откуда? С почтового ящика на web.de/gmx.de/etc. или все таки с корпоративного groupware-server?
Это важно, потому как работать с sensiblen документами через вебмэйлер √ не самое лучшее решение

Блин, ну откуда ты все знаешь?! Наверное и про пароли к жизненноважным системам знаешь, которые клеятся хлебным мякишем к монитору ? А сами системы, конечно, покупаются на блошином рынке и устанавливаютсяв коридоре, где их постоянно выключает уборщица в целях экономии электроэнергии.... А когда системы устаревают, они продаются через eBay

ну, ОК, это твой коллектив и не мне вмешиваться...
Однако, скажу так: из многих мне знакомых админов именно те, чь╦ KnowHow можно оценить как очень высокое, никогда не позволяют себе подобных выпадов. Скажем так, существует более или менее обратнопорциональная зависимость между KnowHow и arrogance. (Не подумай, ничего личного)

Ой! А я думал, провайдеры хранят мои данные не в открытом тексте а в каком-нибудь hash-варианте? Ты уверен, что админ провайдера в состоянии расшифровать захэшенный пароль? Какие же у них там системы?

* Did you click 'Save Changes' after enabling POP in Gmail? To ensure that Gmail can communicate with your mail client, be sure to click 'Save Changes' on the Gmail 'Mail Settings' page.

Тоже делал,да уже по боку снёс его с почтовика,попробую щя по новой сделать.

Погоди. Мне и вправду неясно. Предположим ты работаешь со своим банковским счетом по SSL. Во время регистрации в твоем эккаунте ты получаешь сообщение, что сертификат твоего банка не заверен/etc.. Вопрос: ты потвердишь получение информации и продолжишь работу или, осторожности ради прекратишь соединение?

Да ну что ты, меня это даже развлекает (чтобы не сказать √ умиляет )

Т.е. еще раз: во время online-banking-session ты стало быть проигнорируешь информацию о нескладушечках с сертификатом?

Встречный вопрос. Пожая ситуация: ты обменялся сервером SSH-ключами. В один прекрасный день тебя твой SSH-клиент предупреждает, что ключ твоего сервера изменен. Каковы будут твои действия?

знаешь, мне известны случаи, когда админы отказывались администрить системы по той простой причине, что username включал в себя часть даты рождения (такова namenskonvention). аргументация была такова: personbezogene Daten (каким бы маразмом это не казалось). однако, инстанции, занимающиеся защитой данных легимитизировали такие отказы... Такой вот подход. (Кстати, ты когда звонишь в какой нибудь каталог, типа Neckermann, тебя аутентифицируют практически, опираясь на дату твоего рождения...)

очевидно, это небольшие фирмы (врачебные практики, адвокатские бютро, итд.) которые не могут себе позволить корпративный сервер (и именно groupware, будь то Exchange, Lotus, или еще чего). Иначе я не понимаю, каким образом и зачем из корпоративной сети можно/нужно коннектиться с каждого отдельно взятого мэйлклиента к серверу ISP.

стало быть, такой брэнд, как google, просто сэкономил полтинник?
Нет, скорее всего, автор The Bat не позаботился внести обе Authority в список "доверенных", или не обновил этот список (он периодически меняется). Я специально проверил оба сертификата gmail - smtp подписан Verisign, pop подписан Equifax (Geotrust) - обе являются достаточно trusted, уже много лет. Так что вопросы - к автору The Bat, ибо гугль не поскупился. Кстати, лишняя иллюстрация, почему система сертификации не так эффективна, как должна быть - вс╦ на усмотрение программы клиента - будь то мылер, браузер или типа того.
Изначальный вопрос был о пользовании бета-версии обычного веб-мэйлера, не так ли? Слажи, ты то сам будешь свои бизнес-секреты доверять вебмэйлеру?
Я - не буду. Но речь не про бизнес-секреты. Речь (хотя бы) про имя и пароль, которые (без шифрования) будут передаваться в открытом тексте. И которые могут быть использованы - бо случаи есть. Как я уже упоминал, ты можешь не верить - пока тебя (твою фирму) это не коснулось. ОК, нет проблем - будем надеяться, что не коснется, как сотни тысяч пользователей hotmail, аккаунты которых однажды оказались похачены - хотя казалось бы - зачем? Ведь никто (теоретически) не должен этим пользоваться для бизне-секретов. А людям было (как минимум) неприятно...
Это важно, потому как работать с sensiblen документами через вебмэйлер √ не самое лучшее решение
Только не все про это знают. Некоторые используют веб-маил именно потому, что корпоративная почта не да╦т им возможности ничего отправить (типа зип-файлов)
Однако, скажу так: из многих мне знакомых админов именно те, чь╦ KnowHow можно оценить как очень высокое, никогда не позволяют себе подобных выпадов.
Видимо, вс╦ дело в том, что я не админ. И не программист. Я консультант.
Скажем так, существует более или менее обратнопорциональная зависимость между KnowHow и arrogance.
Да? Ссылочку на исследование можно? Или это исключительно личный опыт? Человек может быть редкой сволочью, но дело знать исключительно хорошо - этому есть масса примеров в жизни. Так что если тебе попадались случаи, когда связь была, это не значит что она есть всегда. Моя личная позиция - если я что-то знаю хорошо (и могу это доказать) - я не вижу смысла это скрывать, и не вижу смысла смягчать углы в разговоре на эту тему.
Ты уверен, что админ провайдера в состоянии расшифровать захэшенный пароль?
Зачем? Он и так может воспользовать аккаунтом. Или просто на секундочку меняется хэш, делается login, хэш возвращается - а вс╦ выгляди так, как будто пользователь сам вошел. Правда, просто, а? Да и некоторые пароли... Достаточно пройтись по словарю - более 70% находятся за час работы на среднем компе... методом перебора и сравнения с хэшем...

(offtopic) Если тебя не затруднит - не мог бы ты на _одно_ мо╦ сообщение отвечать _одним_ своим? Я буду очень обязан. Спасибо
Предположим ты работаешь со своим банковским счетом по SSL. Во время регистрации в твоем эккаунте ты получаешь сообщение, что сертификат твоего банка не заверен/etc.. Вопрос: ты потвердишь получение информации и продолжишь работу или, осторожности ради прекратишь соединение?
У меня такое было (Dresdner Bank). Правда, сертификат был expired. Я убедился, что он просто expired, позвонил в банк, убедился, что они знакомы с проблемой, и продолжил работу. С другой стороны, если бы мне в банке сразу сказали, что у них свой сертификат - мне было бы начихать, подписан он кем-то или нет. Для меня важно доверие к тому, с кем я работаю - если он уверяет, что это нормально, и я ему верю - третьи лица мне неинтересны.
Т.е. еще раз: во время online-banking-session ты стало быть проигнорируешь информацию о нескладушечках с сертификатом?
См. выше - если банк мне сообщит, что это нормально.
В один прекрасный день тебя твой SSH-клиент предупреждает, что ключ твоего сервера изменен. Каковы будут твои действия?
Я удивлюсь, попробую связаться с администратором сервера, и спрошу, в ч╦м дело. Если мне сообщат, что вс╦ ок (сервер может быть заново инсталлирован, а старый ключ не сохранен) - я это приму как нечто в порядке вещей, возможно, сравню fingerprint. Разумеется, при условии, что я буду уверен, что общаюсь с человеком, которому я доверяю. Но, извини, уровень моего доверия измеряется не Verisign, а мной самим.
Кстати, ты когда звонишь в какой нибудь каталог, типа Neckermann, тебя аутентифицируют практически, опираясь на дату твоего рождения
Что я потом могу оспорить - если захочу. И они окажутся в щекотливом положении. Но это их проблемы.
очевидно, это небольшие фирмы (врачебные практики, адвокатские бютро, итд.) которые не могут себе позволить корпративный сервер
Нет, это очень большие фирмы. С инфраструктурой практически по всему миру. Которые могут себе позволить вс╦ и даже больше чем вс╦.
Иначе я не понимаю, каким образом и зачем из корпоративной сети можно/нужно коннектиться с каждого отдельно взятого мэйлклиента к серверу ISP.
Иногда мне это тоже непонятно. Особенно непонятно, когда люди в email присылают пароли, файлы с описаниями внутренней инфраструктуры... Объяснение простое - "я пробовал отправить корпоративной почтой, но получил сообщение об ошибке - "нельзя отправлять аттачи", поэтому воспользовался своим личным ящиком на ..." (если почта приходит не с ожидаемого адреса, я всегда связывают с оправителем лично). Вот так... А ты говоришь - бизнес-секреты...

если вернуться к behavior, описанному автором ветки, то это доверие еще не возникло при первой попытке соединения. Т.е. не не утверждаю, что тестируя какойнибудь новый сервис google, я стал бы болезненно реагировать на такие штуки. Однако, если мы вели речь о sensibel данных (логины, пароли, тексты сообщений, итд), то предупреждение такого рода меня бы насторожило. Ты прав, говоря, что сертификаты -- одна из методик обеспечения безопасности. Может быть не самая главная. Но имхо, просто так "абкликивать" (сорри за жаргон ) предупреждения о "неправильных" сертификатах -- слегка не вписывается в понятия безопасной работы в сети.

пральна, я чтото такое и имел в виду: ты не просто "абкликиваешь" такое предупреждение, а разбираешься, что происходит, потом обращаешься в банк. А уж потом продолжаешь работу. Было бы беспечностью с твоей стороны, если бы ты не читая предупреждения (или прочитав его и приняв к сведению), не предпринял мер предосторожности (звонок в банк) и продолжил бы работу. К тому же, ты в курсе дела, что такое сертификаты и как это работает. Обычного же пользователя (который может и английским в данном объеме не владеть, не говоря уже о технических подробностях) такое предостережение должно имхо удержать от дальнейшей работы с таким сервером. Если есть возможность, можно поинтересоваться по телефону, что и как. Ну а если это машинка в Америце или Австралии?...

А кто из администрации сервера сообщил автору ветки, что это нормально?

я вообще то имел в виду сервер, который ты сам администришь. я бы в таком случае предположил какую то угрозу безопасности (keyword: IP-spoofing). По крайней мере, я, прежде чем продолжить работу, выяснил бы причины такого предупреждения.
Т.е. любое предупреждение "выбрасывается" системой не для тренировки указательного пальца пользователя ("клик и поехали дальше"), а должно нести в себе какую то инфу.

в случае с каким нибудь вебмэйлером в России или, например, в Америце, я не могу сказать априори доверяю я или нет. А вот verisign я более или менее доверяю и если они мне говорят: да, этот сертификат в порядке, то даже без "личного" доверия я более или менее спокойно продолжу работу.
(Повторюсь, я никогда в приватных целях не пользовался TSL, но если я уже начну шифровать свой траффик, то постараюсь, чтобы это был гарантированно траффик между мной и тем сервером, к которому я обращаюсь).
Кстати, подумалось. Если я после предупреждения не проверив, что там за фигня с сертификатом, продолжаю работу с банком, а потом выясняется, что я захренячил свои данные какой нибудьь другой машине, где ими воспользовались против меня (например, перевели остатки моих денег с моего счета куданибудь в Уганду...)... Имею ли я право предъявлять какие то претензии моему банку, дескать, они прощелкали...? Они, думаю, ответят мне: их системы работают ОК и если бы я не "абкликнул" предупреждение о корявом сертификате, все было бы нормально...

мне рассказывала одна коллега, что от имени ее матери в свое время были заказаны в Neckermann какие то украшения на 800 ДМ (еще до евро). Деньги благополучно сняли со счета, украшения отправили хрен знамо куда, а старушка потом, подключив адвокатов, несколько лет билась за возврат своих денег...

тогда мне не совсем понятно, каким образом почтовые клиенты в таких фирмах могут коннектиться по TSL к серверу ISP.

ну, тут сказать нечего. против глупости не поможет TSL.
хотя, есть куда более эффективные ( не такие рестриктивные) способы удержать юзера от отправки бизнес-секретов в интернет
А против злонамеренности способов вообще нету...

мы кажется ходим по кругу, что наверное еще больше сбивает с толку автора ветки
Итак:
твоя первая сентенция описывает защиту данных при транспортировке, что совершенно не имеет никакого отношения к твоей второй сентенции, т.к. похачены были эккаунты не во время сессии с сервером, а уже на самом сервере.
В действительности, тысячи эккаунтов хотмэйл были похачены. Однако в том числе и тех юзеров, которые для передачи сообщений шифровали свой трафик по TSL. Т.е. шифрование этим юзерам не помогло ни капельки.

и, добавлю, которые должны быть перехвачены гдето по дороге, (что не есть очень просто), ибо в тот момент, когда мессага оказалась на сервере, она уже незашифрована.
Странно, что ты пытаешься сбить меня с толку . Очень просто: есть шифрованное соединение и есть шифрованные данные. твои зашифрованные соединения на хотмэйле не помогут тебе ни капельки, если хакнут весь сервер.

ты не Воланд?

дык никто же и не сомневается в твоей крутости . И никто не пытается доказать, что кто-то круче
Но возникает ощущение, что ты думаешь, что ты самый крутой , а это часто мешает дискуссиям, будь то технические, научные или политические...
Кстати, мне часто приходится иметь дело и с консультантами (из довольно именитых фирм). И KnowHow консультанта тоже можно (и иногда нужно) подвергать сомнению . По крайней мере, мне здесь встречались консультанты, которые у нас здесь кое чему даже учились
Не подумай, ничего личного. это для меня самого было почти откровением (грустным), но это так...

да какие там углы, мы ж не о политике

никто и не спорит, но это уже несколькоо больше, чем "он его (пароль) и так знает", как ты писАл, не так ли? Т.е. провайдер не знает твоего пароля, но может без труда воспользоваться твоим эккаунтом. Для этого он должен нарушить закон, произвестио манипуляции с твоим эккаунтом, итд. Разумеется это так. Однако же это всетаки нечто другое, чем пароли, записанные в открытом тексте, которые "провайдер знает". И шифруя свой трафик по TSL ты защищаешься отнюдь не от провайдера, а от диких и/или организованных кнакеров/хрякеров , которые должны еще каким то образом получить доступ к твоему трафику, что в случае, когда он (трафик) бежит по всяким рутерам возможно, если взломан рутер или на рутере сидят те самые дикие или организованные .

А кто из администрации сервера сообщил автору ветки, что это нормально?
Как я уже писал выше - администрация сервера не смогла бы помочь автору, ибо проблема в The Bat, а не в сертификате сервера.
А вот verisign я более или менее доверяю и если они мне говорят: да, этот сертификат в порядке, то даже без "личного" доверия я более или менее спокойно продолжу работу.
Verisign ничего не гарантирует, как это не прискорбно. Их подпись на сертификате значит только две вещи: 1) сертификат выдан тому, кто в н╦м указан в качестве владельца; 2) имя хоста на сертификате имеет какую-то связь с владельцем сертификата. О том, честный ли владелец сертификата, что он будет делать с данными, etc - Verisign _никаких_ гарантий не да╦т (и не может). Точно также, как ты можешь узнать, существует ли некая фирма X, но сам факт подтверждения е╦ существования не даст тебе никакой информации о е╦ надежности.
Грубо говоря - если я прикинулся веб-шопом, купил у Verisign сертификат (а никто мне не помешает это сделать), "напродавал" кучу всего, собрал денежки и смылся - Verisign претензий не примет и затраты обманутых не компенсирует. Почему? Да потому что пользователь сам должен проверять, может ли он доверять _сервису_. Подпись же Verisign (или любой другой CA) избавляет пользователя от предупреждения в браузере (или другом клиенте - и то не всегда, как мы можем видеть из случая с автором - ибо зависит от клиента) - так что ещ╦ вопрос - что бОльшее зло - предупреждение, или его отсутствие, дающее ложное чувство безопасности.
А теперь вопрос - ты вс╦ ещ╦ доверяешь Verisign? :)
Деньги благополучно сняли со счета, украшения отправили хрен знамо куда, а старушка потом, подключив адвокатов, несколько лет билась за возврат своих денег...
Нереальная история. Деньги, снятые со сч╦та (т.е. не собственноручно отправленные) можно вернуть за 10 минут по звонку в банк (в зависимости от банка - может потребоваться факс или личное присутствие, но у меня достаточно звонка, например), особенно если это сделано без авторизации владельца счета. Если снимающий потом будет заявлять претензии - то снова получить деньги он может только через суд.
твоя первая сентенция описывает защиту данных при транспортировке, что совершенно не имеет никакого отношения к твоей второй сентенции, т.к. похачены были эккаунты не во время сессии с сервером, а уже на самом сервере.
Если исходить из того, что инфраструктура провайдера состоит не из одного хоста, и злобные квакеры захватили только часть из них (например, парочку LB) - то шифрование позволит избежать снифания имен и паролей. Неизвестно, как именно это случилось с хотмаил - увы - вполне возможно, что именно так. В любом случае, шифрование исключает целую цепь возможностей для злоумышленников, хотя, разумеется, далеко не все.
Очень просто: есть шифрованное соединение и есть шифрованные данные. твои зашифрованные соединения на хотмэйле не помогут тебе ни капельки, если хакнут весь сервер.
См. выше - смотря где хакнуть :)
Но возникает ощущение, что ты думаешь, что ты самый крутой
Как это ни нескромно, но между нами двумя, в обсуждаемом вопросе о безопасности, в данной конкретной теме - да, я самый крутой :) Почему - я уже объяснял.
И KnowHow консультанта тоже можно (и иногда нужно) подвергать сомнению
Я в курсе. В отличие от большинства консультантов, которые этим занимаются с нуля (т.е. имея теоретическую подготовку, и не практикуя ничего), я прошел все этапы, включая и админство, и программерство, да и сейчас не гнушаюсь сделать что-то сам, если нужно - это помогает не сходить с дистанции
Т.е. провайдер не знает твоего пароля, но может без труда воспользоваться твоим эккаунтом.
Я именно это и имел в виду, собственно - просто, видимо, неверно сформулировал.
Для этого он должен нарушить закон, произвестио манипуляции с твоим эккаунтом, итд.
Какой закон? Закон не запрещает провайдеру манипуляцию данными пользователей на своих серверах, а уж тем более на бесплатных серверах. Советую иногда читать AUP/AGB - там много мелкого текста, который да╦т провайдерам большую свободу :)
И шифруя свой трафик по TSL ты защищаешься отнюдь не от провайдера, а от диких и/или организованных кнакеров/хрякеров
Я бы не назвал их дикими или неорганизованными... Далеко не всех... Хотя организованных единицы на тысячи, а то и десятки тысяч - но они есть. Увы, многие (в т.ч. большие провайдеры) уверены, что они никому нафиг не нужны, а посему не уделяют достаточно внимания безопасности. К счастью, ситуация меняется в лучшую сторону в последнее время.

а я и не имел это в виду. а всего лишь то, что получая программные сообщения (ошибки, предупреждения, итд) пользователь может их проигнорировать, а может насторожиться. Как ты уже писАл, предупреждение твоего банка тебя насторожило и ты, так сказать, провел собственное расследование. А автору ветки ты предложил просто отмахнуться от предупреждения. Ну и ладно. Пусть будет по твоему. Тебе видней

да я и себе доверяю с оговорками

ну вот, какая есть . Не думаю, что моя коллега эту историю выдумала, хотя я и сам сперва не хотел верить. С другой стороны: если ты не проверяешь свой банковский счет каждый день, обстоятельства могут сложится и вправду не лучшим образом: заказ от твоего имени в каталоге (предпосылки: твоя фамилия, и дата рождения. они, по моему даже KundenNr. не требуют) -> деньги снимаются со счета --> и т.д. С точки зрения же каталога -- все чисто: товар отправлен - деньги получены. И они будут оочень сильно сопротивляться, т.к. не захотят остаться без товара и без денег...

ужас! Просто мурашки по коже, воспоминания о фильмах, типа "Крепкий орешек" и желание перейти обратно на голубиную почту (в надежде на то что голуби не подхватят гдето по дороге грипп ).
На самом то деле все не так страшно: злобные квакеры не очень интересуются приватными эккаунтами на gmx.de, а у босяков, которые уроки прогуливают, не хватит KnowHow; чтобы похакать более или менее приличный сервер.
А те, кстати, у которых (может быть) KnowHow и хватило бы, называют себя CCC и не устраивают никаких гадостей.

нуу..., скажем так: не пытаясь оценить степень твоей крутизны , можно сказать, только, что у тебя незаурядное чувство юмора

т.е. не только здесь и сейчас, но и вообще и везде ты самый крутой?!
Блин, ну почему нам так не везет? Из многих "консультантов", которых приходилось встречать, молча снимаю шляпу только перед парнями из ISS и перед одним конкретным из SBS.
Ну вот еще с тобой пообщался, рука уже сама к пилотке тянется: не то честь отдать, не то тоже шляпу снять

вероятно. однако, я был и остаюсь при своем мнении, что шифровать сообщения про сосиски -- слегка черсчур. Ну, типа ремней безопасности на велосипеде: т.е. в принципе можно, но зачем..?
Думаю, что каждый должен решать это для себя. И, однажды решив, последовательно придерживаться своих policy, а не посылать хлопотно зашифрованный по TLS трафик, с тем, чтобы это письмо забирал получатель в открытом тексте (где нибудь в С. Корее или Китае).
А вообще, было прикольно пообщаться.
Автор ветки, кажется, давным давно уже забИл на этот мэйлер. я б тож так сделал: их по инету как грязи. И не каждый сидит под колпаком у NSA