А автору ветки ты предложил просто отмахнуться от предупреждения.
Я же смотрел скриншот. В данном случае это совершенно безопасно.
С другой стороны: если ты не проверяешь свой банковский счет каждый день, обстоятельства могут сложится и вправду не лучшим образом:
На вовзрат снятых кем-то денег есть несколько месяцев. В общем, там что-то нечисто.
На самом то деле все не так страшно: злобные квакеры не очень интересуются приватными эккаунтами на gmx.de
Они всем интересуются. Зачем? Затем же, зачем и хачат компы обычных юзверей, используя вовсе не KnowHow, а гуляющие по сети эксплойты. Потом из тысяч похаченных компов (среди которых и простые, невинные домохозяйки, и совсем не невинные банки, и даже атомные электростанции - было-было, не сомневайся) строятся сети для... ну допустим... ирк-ботов... или организации DoS... или... много или. Любой похаченный комп - ресурс. Любой похаченный аккаунт - ресурс. Это как возможность продать его, так и возможность злоупотребить.
Это большая ошибка - думать, что кто-то никому не нужен в силу своей незначительности или отсутствия интереса - если бы вс╦ было так, то проблем вообще бы не было, или о них бы никто, кроме профессионалов не слышал.
т.е. не только здесь и сейчас, но и вообще и везде ты самый крутой?!
А хз. Я могу говорить только за здесь и сейчас
Ну, типа ремней безопасности на велосипеде: т.е. в принципе можно, но зачем..?
Затем же, зачем и каска - а она обязательна
Автор ветки, кажется, давным давно уже забИл на этот мэйлер. я б тож так сделал: их по инету как грязи.
Но не каждый - без навязчивой рекламы и с неограниченным (относительно) ящиком. К тому же, исключительно маловероятно, что гугль умр╦т сам, или что его кто-то купит - т.е. это "вечный" сервис. Ах да - у них _очень_ удобный интерфейс (если через веб) - так что для тех, у кого нет возможности иметь что-то сво╦ и уникальное, и нужно простое и надежное решение - самое то.

нельзя ли примерчик, когда в "одной кастрюле" оказались виндовсы всяких домохозяек вместе с банковскими серверами и серверами атомных электростанций. А то я, несмотря на твои заклинания , сомневаюсь. Ссылочку хочу на инфу про такие случаи. эксплойты, кстати, были одни и теже: виндовые с юниксовыми и с прочими другими? эдакие универсальные

человек невиданной скромности ! ОК. Кажется ты меня уже тоже убедил...., что с твоей точки зрения ты -- здесь и сейчас самый крутой . Спорить с этим и вправду сложно

если ты имел в виду не солдатскую каску , а велосипедный шлем, то ты еще раз проиллюстрировал одно из основополагающих качеств крутых консультантов : безаппеляционность суждений, даже если они ничего не имеют общего с действительностью. Главное -- интонация заявления .
В Германии каски обязательны, наверное, для солдат или полицейских во время Einsatz. Велосипедисты же могут наслаждаться ветерком, треплющим их хайера .
Вот здесь глянь, например:
http://www.adfc-bayern.de/helme.htm#Rechtslage
и на следующую велосипедную прогулку можешь свой шлем не надевать

а, дело вкуса. Мне симпатичен, например (кроме прочих) www.mailgate.ru. Возможность иметь адрес, типа: u-menja_at_sigaret.net приятно греет
P.S.
Кстати по теме ветки, вчера в heise:
http://www.heise.de/newsticker/meldung/70296

нельзя ли примерчик, когда в "одной кастрюле" оказались виндовсы всяких домохозяек вместе с банковскими серверами и серверами атомных электростанций.
Зя. Вот: http://www.theregister.co.uk/2003/08/20/slammer_worm_crashed_ohio_nuke/ и вот: http://www.theregister.co.uk/2003/11/25/nachi_worm_infected_diebold_atms/
Обычные черви, попавшие в корпоративные сети. Или ты будешь утверждать, что в них (банк и станцию) целились? А вообще покопайся на SecurityFocus - там таких историй целые пачки...
что с твоей точки зрения ты -- здесь и сейчас самый крутой
Ты можешь опровергнуть это утверждение? Не выходя за рамки обсуждаемой темы (безопасность в IT)?
В Германии каски обязательны, наверное, для солдат или полицейских во время Einsatz. Велосипедисты же могут наслаждаться ветерком, треплющим их хайера
Да ну? Может, это у вас в баварии. А может, информация устарела (Stand 25.8.2004; к тому же, там не ссылок на законодательство). Или меня неверно информировали насчет обязательности - но - мы обсуждали не обязательность, а цель использования - так что не надо насчет "безапеляционности" (где ты только е╦ увидел - это было замечание по ходу) Кстати - может, ты ещ╦ скажешь, что для мотоциклистов каски не обязательны? ;)

не, не буду . Именно это я и имел в виду, собсно: под тупого червя может попасть в принципе кто угодно. (кстати, описанные случаи -- в принципе, пример халатности админов, что разумеется встречается часто).
Однако речь была, по моему немножко о другом: именно о том, кто куда целится. Киберпреступность неоднородна и, если черви могут доставить пару неприятных моментов как домохозяйке, так и большой фирме, то намеренного взлома (прослушанный трафик, итд) домохозяйка может практически не опасаться. в этих областях (написание червей и намеренный взлом) задействованы разные специалисты. И так же, как обычный квартирный вор вряд ли позарится на ограбление банка (равно как и наоборот: медвежатник не станет лезть в форточку к пенсионерке, чтобы утащить у нее какие нибудь шмотки), так же и парни, которые технически в состоянии намеренно навредить большой фирме, вряд ли будут связываться с пользователем mail.ru

Ах, знаешь, коллега, нет в мире, наверное, более неблагодарного и бесцельного занятия, чем переубеждать кого-нибудь, убежденного в своей исключительности, в том, что все в мире относительно
не думаю, что мне охота заниматься какими-нибудь опровержениями и тд. что я TÜV что-ли ?
Главное, что ты чувствуешьж себя в этом форуме исключительным и самым-самым . Вот и хорошо. это прида╦т тебе уверенности в себе. Посему, я вижу это твое убеждение только с положительной точки зрения (не знаю, как перевести, на русский, но есть славное немецкое слово: Selbstbestätigung )

ух ты, блин, в╦рткий !
ты утверждал, что нечто обязательно а не целесообразно. чуйствуешь разницу?
Ты меня с пантелыку-то не сбивай. я и сам кого угодно собью (шутка). А для мотоциклистов (и не только в Баварии, а и у нас в Ганновере ) и вправду шлемы обязательны (хоть это и оффтопик)

обычный квартирный вор вряд ли позарится на ограбление банка
Угу - в целом верно - если только ему вдруг не подвернется возможность - например - окажется, что ограбленная квартира - квартира менеджера этого самого банка, с ключами и прочим Точно также и детишки - крушат вс╦ что смогут, но если среди накрошенного подвернутся пароли/кредитки/аккаунты - не преминут им воспользоваться. Собсно, так оно и случается...
парни, которые технически в состоянии намеренно навредить большой фирме, вряд ли будут связываться с пользователем mail.ru
Нууу... Бывает, что что бы навредить большой фирме, ничего особо не нужно - при такой халатности админов Собственно, об том и речь - поскольку никто не думает, что он кому-то нужен, халатность и проявляется... Что может быть, теоретически, опасно... Смотря кому попад╦тся...
Главное, что ты чувствуешьж себя в этом форуме исключительным и самым-самым
Не-а. Не самым-самым - мне это достоверно неизвестно. А вот насчет уверенности в себе ты прав - есть такое. Но - пока - обоснованно - не подводило - да и ошибки я умею и не боюсь признавать, коли уж совершаю (таки да, случается)

я не криминалист. можно поискать инфу на этот счет. думаю, что любая профессиональная деятельность, даже профессиональная преступность, подчиняется более или менее четким законам: вряд ли профессиональный карманник, вытащив в трамвае ключ от сейфа из кармана банковского клерка, ломанется в банк за деньгами. Так же как и профессиональный жулик, продающий участки земли на дне Марианской впадины , врядли пойдет "щипать" по трамваям. Так же и кибермошенники: scriptkids мастерят из конструкторов всяких червяков, но врядли замахнутся на корпоративную сеть (максимум: просканируют порты).
Но, wie gesagt, если ты убежден в своей правоте, и считаешь, что пользовательские данные и вообще безобидная приватная переписка бета-пользователя вебмэйлера, может стать объектом атаки со стороны профессионалов (именно в сети. я не говорю о недобросовестных админах провайдера, которым TLS сильно до лампочки ), то так тому и быть. У меня, как я уже говорил, другое мнение: способы защиты (кстати, от чего угодно, не только от киберпреступников) должны быть angemessen (блин, сорри, с русским иногда проблема ).
Можно, чисто теоретически, защитить например свое жилье по стандартам американских военных баз ..., но тут вспоминается старый анекдот про неуловимого Джона . я надеюсь, ты помнишь его.

ну и классно: главное, коллега, верить в себя

вряд ли профессиональный карманник, вытащив в трамвае ключ от сейфа из кармана банковского клерка, ломанется в банк за деньгами.
Не ломанется - зато он его кому-нибудь продаст :) А если карманник непрофессиональный (начинающий) - то может и ломануться. В конце концов, как там говорится - "Действия профессионалов предсказуемы, но мир полон любителей"...
способы защиты (кстати, от чего угодно, не только от киберпреступников) должны быть angemessen
Оставляя открытой дверь, ты напрашиваешься на неприятности - разве нет? Или - оставляя кошелек на столе в людном кафе, отворачиваясь при этом - даже если у тебя 10 центов в этом кошельке - ты напрашиваешься. Вот отсюда и пляши - шифруя данные, ставя файрволл, etc - ты просто закрываешь двери и не оставляешь кошелек, не более того. Я же не предлагаю тебе ставить бронированную дверь или привязывать кошелек на цепь Я готов спорить, что ты закрываешь машину, оставляя е╦ на публичной парковке - а зачем? Там ведь нет ничего, а? А от профессионала вс╦ равно не закрыть :P
но тут вспоминается старый анекдот про неуловимого Джона
В наше время анекдот безнадежно устарел... Потому, что для того что бы ловить кого-то, использовать данные кого-то, ничего не нужно - можно спокойно сидеть дома, в кафе, где угодно где есть инет, использовать нарытые в сети тулзы и просто ради скуки лезть во все дыры - авось чего перепад╦т. Увы, так и происходит... Если бы жулики (обычные жулики) могли также спокойно лазить по карманам, будучи уверенными, что их трудно поймать, и что этого никто не заметит - то число неуловимых джонов из анекдота уменьшилось бы в миллионы раз - а интернет дал им именно такую возможность...
Как я уже говорил - считаешь что ты никому не нужен - считай. Скорее всего, так оно и есть - но... От случайности никто не застрахован - если бездумно относится к своим данным

ты как профи должен себе гораздо лучше чем я, любитель , представлять, что для перехвата данных во время клент-сервер-сессии (например почтовой) необходимо обладать некими знаниями и оборудованием. думаю, что модератор нас предупредит, если мы начнем выходить за пределы дозволенного, но тем не менее: есть следующий расклад:
мэйлклиент, который коннектится через своего провайдера к стороннему мэйлеру (скажем так: через provider.com к mailer.net, например)
Между клиентом и мэйлером N хопов. 2 первых из них ---- хопы provider.com, остальные принадлежат сторонним провайдерам (между мной и gmail-ом я насчитал, например, 15). (сеть разумеется организована не на хабах )
Итак, если исключить "прослушку" на узлах (хопах) (зазеркаленные порты и т.д), считаешь ли ты, что перехватить такой трафик несложно и доступно?
(мне известны методики прослушки в засвитчеванной небольшой сети). Скажи мне, плиз как эксперт, известны ли тебе методики, позволяющие это сделать "по пути".
я готов предложить тебе свою кандидатуру (поелику ты утверждаешь, что крут в безопасности, стало быть, должен разбираться и в методиках тех, от кого ты своих подопечных защищаешь).
Итак предлагается тест: я открываю почтовый ящик на том же, например, gmail. Сообщаю тебе (могу даже прямо здесь в форуме) свой мэйладрес. Настраиваю своего TheBat!. Могу тебе сообщить свой IP, если хочешь. Какая инфа тебе еще понадобиться? (номер кредитки, PINы и пароли на служебные сервера просьба не спрашивать ).
Итак, ты говоришь мне, какая инфа тебе нужна для перехвата моих данных, и я тебе эту инфу после короткого обсуждения (можно прямо здесь в форуме) предоставляю в распоряжение.
Проводим минимум 2 Теста:
1. мой клиент коннектится изза рутера (из домашней локалки)
2. я выношу свой PC из локалки в DMZ
Если тебе хотя бы в рамках одного из этих тестов удастся перехватить мой пароль к почтовому ящику, я признаю, что ты не только в этом форуме самый крутой, но и в других тоже
Ну что, сэр, принимаете вызов?
P.S. Ах да, в целях соблюдения профессиональной этики, методики, которыми ты пользуешься не упоминаются и не обсуждаются. цель -- получение тобой пароля из незашифрованного траффика моего клиента с сервером gmail и не больше.

Итак, если исключить "прослушку" на узлах (хопах) (зазеркаленные порты и т.д), считаешь ли ты, что перехватить такой трафик несложно и доступно?
Считаю, что сложно, но не недоступно (см. ниже).
Скажи мне, плиз как эксперт, известны ли тебе методики, позволяющие это сделать "по пути"
Методики - известны. Но увы, в рамках поставленной задачи - это достаточно дорогие методики - мне прид╦тся найти админа одной из сетей по дороге (т.е. между твоим провайдером и гуглем, а может, и их самих), убедить его проснифить траффик (это реально) - а это - время и деньги Другой вариант (увы, маловероятный - поэтому его можно не рассматривать как методику) - найти систему с уязвимостью на одном из хопов.
Исходя из этого - поставленная тобой задача - увы, нереализума в рамках разумных временных и материальных затрат (хотя и реализуема в принципе).
Но, несмотря на это - как я уже говорил, смысл шифрования в рассматриваемом случае - такой же, как и в закрывании двери дома и машины на улице. То есть - исключить возможность того, что кто-то (кто _уже_ имеет возможность - вариант "любопытный админ" или "похаченный хост" по дороге) воспользуется тем, что данные не зашифрованы.
И я нигде не утверждал что перехватить информацию легко _извне_ (т.е. любопытный находится вне пути провайдер-мейлер) - я утверждал, что она легко перехватываемая _изнутри_ (любопытный находится по пути провайдер-мейлер).
Так что, можешь не считать меня крутым вообще - но вызов я не принимаю
Вот когда сможешь гарантировать, что в принципе по дорогое провайдер-мейлер не может быть любопытных (включая, например, даже органы дознания), которые просто от нечего делать (или на всякий случай) снифают вс╦ подряд - тогда будешь вызовы лепить

итак, резюмируем: для выполнения поставленной задачи необходимо располагать деньгами. Технические знания в IT -- более чем необязательны. Стало быть, можно с вероятностью 99,99(9)% сказать, что так называемые "хакеры" чисто технически не в состоянии перехватить мой (даже нешифрованный) трафик (без подкупа админов на узлах).
Если же на перехват моих писем о погоде в Ганновере будут тратиться деньги (и немалые), я должен буду лопнуть от гордости. А если узнаю, кто это (за деньги) делает, то предложу за полцены отправлять им CC
Касаемо органов дознания, то они все раавно в состоянии получить все данные на твоих носителях (если ты им интересен). Так что это я тоже не вижу как угрозу моей частной жизни: если им будет надо, они ко мне обратяться с ордером

видишь ли. мне за последние несколько лет приходилось несколько раз прибегать к таким методам для ведения дискуссий с оппонентами, которые аргументировали приблизительно так: "это шайсе, потому что просто шайсе...". Приходилось приглашать их к столу, строить маленькое тестовое окружение и просить аргументировать технически а не фекально . И надо сказать, фекальная аргументация еще ни разу не была подтверждена технической...

И надо сказать, фекальная аргументация еще ни разу не была подтверждена технической...
А где ты у меня нашел фекальную аргументацию? Перечитай нашу дискуссию с начала - я всегда говорил о возможности только _по дороге_, а не извне. Вот поставь меня внутрь пути "провайдер-мылер" в сво╦м тестовом окружении (именно на этом аргументация и была основана) - тогда и поговорим
И насч╦т адекватности мер защиты... Ты упорно (уже в который раз) уходишь от ответа на вопрос - зачем ты закрываешь двери в квартире и в машине - хотя для профи это не преграда. Обсуждаемый вопрос - из этой же серии. Но если в жизни неадекватные (т.е. ты думаешь, что они неадекватные) меры защиты стоят чего-то (денег, времени, ресурсов) - то в сети (в обсужаемом случае и похожих) они не стоят _ничего_, но исключают одно из звеньев утечки данных.
Если твои данные (имя и пароль) для мылера ничего для тебя не стоят - назови их здесь. Не скажешь? Ну так и не надо ля-ля про неуловимого Джо - был бы ты никому не нужен (как ты говоришь) - то выкладывание данных здесь тебе ничем абсолютно не грозит

да нет, конечно же я не имел в виду твою аргументацию. я имел в виду, что иногда имеет смысл для проверки тех или иных тезисов, просто провести эксперимент.

погоди, не я тебя должен "ставить", а ты должен был бы попробовать туда ""вклиниться"

не ухожу вовсе. закрываю, чтобы отсечь внимание любителей.
поверну по другому:
ок. ты закрываешь свою машину. но я надеюсь, ты понимаешь, что если пользоваться методами, описанными тобой в одном из твоих постингов (подкуп админа итд) и перенести эти методы на автомобили, то машину твою ты закрывай или нет -- для профессионала твой замок -- просто шутка. Т.е., твоя закрытая машина на самом деле тоже не закрыта

не передергивай . речь не шла о публикации данных, или?

погоди, не я тебя должен "ставить", а ты должен был бы попробовать туда ""вклиниться"
Не-а. В моей аргументации я как раз подразумевал (подозревал - если угодно) наличие man-in-the-middle, а не внедрение оного.
машину твою ты закрывай или нет -- для профессионала твой замок -- просто шутка
Это именно то, что я написал выше - а закрываю я е╦ от любопытных. По этой же причине я письма кладу в конверт (а не пишу открытки), и при использовании публичных серверов использую (при наличии возможности) SSL/TLS. Что бы исключить _возможность_ легкой добычи - в случае, если бы я этого не делал.
Впрочем, для меня лично это скорее привычка и образ жизни - не расслабляться - что бы не забыть на работе, так что даже дома у меня комп с паролем, и я автоматом его блокирую если отхожу на кухню, даже если я один дома Смешно? Может быть - зато я вряд ли забуду это сделать тогда, когда это будет не нужно делать - а вовсе не потому, что там есть что-то ценное, или потому что я опасаюсь человека-невидимки
речь не шла о публикации данных, или?
Речь шла о том, что вс╦, что человек не захочет опубликовать, имеет смысл скрывать от публики - в том числе любопытных админов и прочих техников по дороге. Точнее, не принимать все возможные и невозможные меры для этого - а просто _элементарные_ меры. Дома это закрытие двери на защелку, в интернете - использование SSL/TLS. Всего-то.
Вовсе необязательно располагать секретами или ценной информацией, что бы имело смысл е╦ скрывать - но большинству людей, вс╦ же, неприятна мысль, что их _личная_ переписка (пусть даже о том, что было вчера в баре, да ещ╦ при куче свидетелей) будет доступна (_может быть_ доступна) совершенно чужим людям (например тем, кого не было в баре, и кто об этом знать не должен).

ну, может быть, я понял тебя не совсем верно. т.е. исключая man-in-the-middle, можно спокойно говорить о невозможности перехвата трафика. Учитывая же man-in-the-middle и считая это проблематичным для своих данных, нельзя ограничиваться только шифтрованием одной сессии, а надо позаботиться о том, чтобы шифрование было обеспечено на всем пути от отправителя до получателя. Иначе это напоминает рыцаря, одетого до пояса в латы и в семейных трусах

да нет, не смешно. Наверное, для тебя нормально. Для когото другого -- немножко черезчур....

твоя точка зрения имеет столько же права на существования, сколько и моя. Любые меры предосторожности (и не только в IT) можно выстраивать под себя. Можно, например, переходить на шепот, разговаривая с в кафе женой об искусстве Кафки, а можно в блогах под своим именем писать свою почасовую автобиографию. Каждый решает для себя сам....
Кстати, если мы еще в наших философствованиях не забыли с чего началась ветка: я гдето писАл, что некоторые, например, антивирусы "вклиниваются" между клиентом и сервером провайдера в качестве SMTP-Proxy. И вот тут может возникнуть дилемма: с чем я готов мириться -- с тем что ктото, переворачиваясь через жопу, будет подкупать админов на рутерах, чтобы почитать мое письмо про поход в бар или с тем, что по моей шифрованной линии ко мне будут приходить вирусы, отлавливать которых мне надо будет уже другим способом...
А в общем, чтобы дискуссия не превратилась в бесконечную, можно сказать, что каждый должен понимать степень риска и соответственно себя вести. Вот и все. И совсем необязательно, будучи одному дома и отходя по малой нужде лОчить комп, а потом еще, например, запираться на три замка в туалете, только для того чтобы не забыть все эти операции произвести, будучи в общественном месте

нельзя ограничиваться только шифтрованием одной сессии, а надо позаботиться о том, чтобы шифрование было обеспечено на всем пути от отправителя до получателя.
Я и не говорил, что этого достаточно. Но - повторюсь - это исключает уже большую цепь - и - ничего не стоит.
или с тем, что по моей шифрованной линии ко мне будут приходить вирусы, отлавливать которых мне надо будет уже другим способом
Не проще ли просто не открывать ничего (аттачи), пришедшего по почте? Точнее - грубо говоря - тупо сохранить то что хочется открыть - уже во время этой операции сохраняемый файл должен быть проверен антивирусом, и если не проверяется - то сделать это ручками. Сложно? Да нет - просто это операция по предохранению. Неудобно? Ну извини - презерватив тоже неудобно, но ведь сами надевают, ручками, а не ждут что вс╦ само собой наденется :) Я вообще сторонник той точки зрения, что всем, кто желает пользоваться Интернет, нужно сдавать экзамены - как на права... Не знаешь элементарных правил - вс╦, до свидания - тогда бы у вирусов шансов бы не было (точнее, были бы мизерные).
И совсем необязательно, будучи одному дома и отходя по малой нужде лОчить комп
Конечно необязательно. Но это привычка - отходишь - лочишь. И не только комп, вс╦ что лочится и закрывается. Точно также я рефлекторно ставлю блок, если кто-то резко в мо╦м направлении движение сделает - даже если это мой друг и я знаю (на сознательном уровне) что это просто движение...