Вход на сайт
Мышка и Gmail
526 просмотров
Перейти к просмотру всей ветки
в ответ alt-F4 28.02.06 13:45
А кто из администрации сервера сообщил автору ветки, что это нормально?
Как я уже писал выше - администрация сервера не смогла бы помочь автору, ибо проблема в The Bat, а не в сертификате сервера.
А вот verisign я более или менее доверяю и если они мне говорят: да, этот сертификат в порядке, то даже без "личного" доверия я более или менее спокойно продолжу работу.
Verisign ничего не гарантирует, как это не прискорбно. Их подпись на сертификате значит только две вещи: 1) сертификат выдан тому, кто в н╦м указан в качестве владельца; 2) имя хоста на сертификате имеет какую-то связь с владельцем сертификата. О том, честный ли владелец сертификата, что он будет делать с данными, etc - Verisign _никаких_ гарантий не да╦т (и не может). Точно также, как ты можешь узнать, существует ли некая фирма X, но сам факт подтверждения е╦ существования не даст тебе никакой информации о е╦ надежности.
Грубо говоря - если я прикинулся веб-шопом, купил у Verisign сертификат (а никто мне не помешает это сделать), "напродавал" кучу всего, собрал денежки и смылся - Verisign претензий не примет и затраты обманутых не компенсирует. Почему? Да потому что пользователь сам должен проверять, может ли он доверять _сервису_. Подпись же Verisign (или любой другой CA) избавляет пользователя от предупреждения в браузере (или другом клиенте - и то не всегда, как мы можем видеть из случая с автором - ибо зависит от клиента) - так что ещ╦ вопрос - что бОльшее зло - предупреждение, или его отсутствие, дающее ложное чувство безопасности.
А теперь вопрос - ты вс╦ ещ╦ доверяешь Verisign? :)
Деньги благополучно сняли со счета, украшения отправили хрен знамо куда, а старушка потом, подключив адвокатов, несколько лет билась за возврат своих денег...
Нереальная история. Деньги, снятые со сч╦та (т.е. не собственноручно отправленные) можно вернуть за 10 минут по звонку в банк (в зависимости от банка - может потребоваться факс или личное присутствие, но у меня достаточно звонка, например), особенно если это сделано без авторизации владельца счета. Если снимающий потом будет заявлять претензии - то снова получить деньги он может только через суд.
твоя первая сентенция описывает защиту данных при транспортировке, что совершенно не имеет никакого отношения к твоей второй сентенции, т.к. похачены были эккаунты не во время сессии с сервером, а уже на самом сервере.
Если исходить из того, что инфраструктура провайдера состоит не из одного хоста, и злобные квакеры захватили только часть из них (например, парочку LB) - то шифрование позволит избежать снифания имен и паролей. Неизвестно, как именно это случилось с хотмаил - увы - вполне возможно, что именно так. В любом случае, шифрование исключает целую цепь возможностей для злоумышленников, хотя, разумеется, далеко не все.
Очень просто: есть шифрованное соединение и есть шифрованные данные. твои зашифрованные соединения на хотмэйле не помогут тебе ни капельки, если хакнут весь сервер.
См. выше - смотря где хакнуть :)
Но возникает ощущение, что ты думаешь, что ты самый крутой
Как это ни нескромно, но между нами двумя, в обсуждаемом вопросе о безопасности, в данной конкретной теме - да, я самый крутой :) Почему - я уже объяснял.
И KnowHow консультанта тоже можно (и иногда нужно) подвергать сомнению
Я в курсе. В отличие от большинства консультантов, которые этим занимаются с нуля (т.е. имея теоретическую подготовку, и не практикуя ничего), я прошел все этапы, включая и админство, и программерство, да и сейчас не гнушаюсь сделать что-то сам, если нужно - это помогает не сходить с дистанции
Т.е. провайдер не знает твоего пароля, но может без труда воспользоваться твоим эккаунтом.
Я именно это и имел в виду, собственно - просто, видимо, неверно сформулировал.
Для этого он должен нарушить закон, произвестио манипуляции с твоим эккаунтом, итд.
Какой закон? Закон не запрещает провайдеру манипуляцию данными пользователей на своих серверах, а уж тем более на бесплатных серверах. Советую иногда читать AUP/AGB - там много мелкого текста, который да╦т провайдерам большую свободу :)
И шифруя свой трафик по TSL ты защищаешься отнюдь не от провайдера, а от диких и/или организованных кнакеров/хрякеров
Я бы не назвал их дикими или неорганизованными... Далеко не всех... Хотя организованных единицы на тысячи, а то и десятки тысяч - но они есть. Увы, многие (в т.ч. большие провайдеры) уверены, что они никому нафиг не нужны, а посему не уделяют достаточно внимания безопасности. К счастью, ситуация меняется в лучшую сторону в последнее время.
Как я уже писал выше - администрация сервера не смогла бы помочь автору, ибо проблема в The Bat, а не в сертификате сервера.
А вот verisign я более или менее доверяю и если они мне говорят: да, этот сертификат в порядке, то даже без "личного" доверия я более или менее спокойно продолжу работу.
Verisign ничего не гарантирует, как это не прискорбно. Их подпись на сертификате значит только две вещи: 1) сертификат выдан тому, кто в н╦м указан в качестве владельца; 2) имя хоста на сертификате имеет какую-то связь с владельцем сертификата. О том, честный ли владелец сертификата, что он будет делать с данными, etc - Verisign _никаких_ гарантий не да╦т (и не может). Точно также, как ты можешь узнать, существует ли некая фирма X, но сам факт подтверждения е╦ существования не даст тебе никакой информации о е╦ надежности.
Грубо говоря - если я прикинулся веб-шопом, купил у Verisign сертификат (а никто мне не помешает это сделать), "напродавал" кучу всего, собрал денежки и смылся - Verisign претензий не примет и затраты обманутых не компенсирует. Почему? Да потому что пользователь сам должен проверять, может ли он доверять _сервису_. Подпись же Verisign (или любой другой CA) избавляет пользователя от предупреждения в браузере (или другом клиенте - и то не всегда, как мы можем видеть из случая с автором - ибо зависит от клиента) - так что ещ╦ вопрос - что бОльшее зло - предупреждение, или его отсутствие, дающее ложное чувство безопасности.
А теперь вопрос - ты вс╦ ещ╦ доверяешь Verisign? :)
Деньги благополучно сняли со счета, украшения отправили хрен знамо куда, а старушка потом, подключив адвокатов, несколько лет билась за возврат своих денег...
Нереальная история. Деньги, снятые со сч╦та (т.е. не собственноручно отправленные) можно вернуть за 10 минут по звонку в банк (в зависимости от банка - может потребоваться факс или личное присутствие, но у меня достаточно звонка, например), особенно если это сделано без авторизации владельца счета. Если снимающий потом будет заявлять претензии - то снова получить деньги он может только через суд.
твоя первая сентенция описывает защиту данных при транспортировке, что совершенно не имеет никакого отношения к твоей второй сентенции, т.к. похачены были эккаунты не во время сессии с сервером, а уже на самом сервере.
Если исходить из того, что инфраструктура провайдера состоит не из одного хоста, и злобные квакеры захватили только часть из них (например, парочку LB) - то шифрование позволит избежать снифания имен и паролей. Неизвестно, как именно это случилось с хотмаил - увы - вполне возможно, что именно так. В любом случае, шифрование исключает целую цепь возможностей для злоумышленников, хотя, разумеется, далеко не все.
Очень просто: есть шифрованное соединение и есть шифрованные данные. твои зашифрованные соединения на хотмэйле не помогут тебе ни капельки, если хакнут весь сервер.
См. выше - смотря где хакнуть :)
Но возникает ощущение, что ты думаешь, что ты самый крутой
Как это ни нескромно, но между нами двумя, в обсуждаемом вопросе о безопасности, в данной конкретной теме - да, я самый крутой :) Почему - я уже объяснял.
И KnowHow консультанта тоже можно (и иногда нужно) подвергать сомнению
Я в курсе. В отличие от большинства консультантов, которые этим занимаются с нуля (т.е. имея теоретическую подготовку, и не практикуя ничего), я прошел все этапы, включая и админство, и программерство, да и сейчас не гнушаюсь сделать что-то сам, если нужно - это помогает не сходить с дистанции
Т.е. провайдер не знает твоего пароля, но может без труда воспользоваться твоим эккаунтом.
Я именно это и имел в виду, собственно - просто, видимо, неверно сформулировал.
Для этого он должен нарушить закон, произвестио манипуляции с твоим эккаунтом, итд.
Какой закон? Закон не запрещает провайдеру манипуляцию данными пользователей на своих серверах, а уж тем более на бесплатных серверах. Советую иногда читать AUP/AGB - там много мелкого текста, который да╦т провайдерам большую свободу :)
И шифруя свой трафик по TSL ты защищаешься отнюдь не от провайдера, а от диких и/или организованных кнакеров/хрякеров
Я бы не назвал их дикими или неорганизованными... Далеко не всех... Хотя организованных единицы на тысячи, а то и десятки тысяч - но они есть. Увы, многие (в т.ч. большие провайдеры) уверены, что они никому нафиг не нужны, а посему не уделяют достаточно внимания безопасности. К счастью, ситуация меняется в лучшую сторону в последнее время.
If something sounds too good to be true, it probably is (с)