Pull to refresh

Comments 40

А раньше они открытым текстом гоняли всю нашу переписку и файлы? =-О
Тоже просто в осадок выпал. Это как вообще? То есть они считают, что интернет между серверами более безопасный, или как? Ох лол.
Вроде как сеть между их серверами считается внутренней локалкой.
При условии, что они арендуют лямбды, а может быть и волокна — вполне могут считать.

Надо понимать, что «Интернет» для гугла не то же самое, что для одиного пользователя домашнего интернета.
Это вы по наивности думаете, что «Интернет» у всех один. Вот словит ваш провайдер очередной пакистанский ютуб, тогда поймете, что такое «свой» Интернет. Что с маленькой, что с большой.
C этой точки зрения это просто часть Интернета (незаблокированная).
Комментатором выше имелся ввиду именно интернет между серверами Гугла.
Я о том, что у людей с bgp-маршрутизаторами своё восприятие интернета, на которое лучше бытовые представления не проецировать.
Ну я совсем не домохозяйка, и мои представления также не бытовые :)
Любой 3rd-party provider и приватность не совместимы.
И какой процент почты шифруется при передаче по smtp между gmail и иными почтовыми системами?
Сейчас очень многие SMTP сервера поддерживают шифрацию smtp трафика. Я у себя в заголовках писем часто вижу упоминание об этом.
Процент, к сожалению, не знаю, но по моим личным грубым оценкам это значительно больше половины.
В рамках каких стандартов это оговорено? Какие требования для поднятия шифрованного соединения при передаче данных между MTA? Например, у меня postfix (естественно, с настроенным spf+dkim) при пересылке на gmail отправляет сообщения plain text'ом. Правда, специально пока не искал, как настроить tls в mta-to-mta.
spf+dkim это хорошо, но не совсем то. Обычно это называют STARTTLS или просто TLS.
Есть RFC: tools.ietf.org/html/rfc3207 (2002-ой год)
А это как сделать для postfix: www.postfix.org/TLS_README.html
Крайне рекомендую. У меня на моём древнем qmail'е стоит. Я TLS там добавил лет десять назад, наверно.
Тот же postfix по умолчанию при подключении к релею не выдает команду STARTTLS и не пытается подключиться к tcp/587. Сейчас настроил у себя.

Всё оказалось довольно просто. Достаточно добавить
smtp_tls_security_level = may
# path to ca-bundle in rhel/centos 6
smtp_tls_CAfile = /etc/pki/tls/certs/ca-bundle.crt


Как проверить
При корректной работе в MIME-заголовке Received будет появляться протокола SMTPS или ESMTPS вместо SMTP и ESMTP соответственно.

Заголовок будет выглядеть как-то так:
Received: from example.org (...... [xxx.xxx.xxx.xxx])
        by mx.example.com with ESMTPS id 123.456.12.34
        for <user@example.com>
        (version=TLSv1.2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
        Fri, 21 Mar 2014 10:00:00 -0700 (PDT)

Также можно в /etc/postfix/main.cf добавить smtp_tls_loglevel = 1 для более полных логов в /var/log/maillog


Спасибо, что мотивировали меня это таки настроить ,)
Окей.

Компания Google Inc, зарегистрирована в Калифорнии, публичная, торгуется на американской бирже NASDAQ, крупнейшие дата-центры и офисы расположены на территории США, руководство компании американские граждане.

С другой стороны:

Агентство национальной безопасности США, самая большая, самая влиятельная и самая богатая специальная служба мира. Специальная служба подчиняющаяся только National Security Council и президенту США (и которая, например, может спокойно наплевать на Конгресс и Сенат США — не хило, правда?)

И вы, дорогой Сергей и Ларри, мне будете рассказывать о том, как вы им противостоите и какие вы от них независимые? К чему это лицемерие и игры в «don't be evil»?

А то до этого вы не врали, что ничего не знали о слежке?

Your messages are safe, ага, my ass.
UFO just landed and posted this here
То, что они находятся на территории одной страны автоматически значит, что они сотрудничают?! Не слишком ли это балке идущий вывод, граничащий с конспирологией?
Вообще-то тут речь про официальные запросы, которые они обязаны удовлетворять, как и любая другая фирма. Это никак не означает, что они как то «зависят» от «могущественной АНБ» или добровольно с ними сотрудничают, как вы намекаете в оригинальном вашем посте.
Никакого противоречия в своем комментарии не наблюдаете?
Нет. Есть разница между легальными обязательствами и добровольным сотрудничеством.
Звучит как анекдот. Весь трафик сливается напрямую в анб.
Но канал передачи данных в АНБ теперь зашифрован!
Никогда не парился по поводу переписки. Если уж так важно сохранить конфиденциальность, то почему бы не юзать GnuPG к примеру? Настройка занимает не более 5 мин. + время скачивания программ.
Статья наверно неявно подразумевает, что у этого АНБ будут все необходимые ключи для расшифровки этого трафика :)
Теперь АНБ слушает прямо в дата центрах Google, поэтому трафик между ними можно зашифровать.
С другой точки зрения, отправка данных в АНБ чем-то напоминает резервное копирование. Можно на бэкап-серверах сэкономить.
Это даже рядом не похоже на бэкап. Бэкап это состояние некоторого куска данных за определенную временную метку. Бэкап можно востановить, поэтому его восстановление после создания в правильных конторах сразу же проверяется. Бэкап расположен так чтобы его легко было достать для восстановления данных. Теперь про АНБ. Какова гаррантия что они будут ВСЕ данные хранить? Ведь гугл-трафик это сложно представимый по размеру объем данных. Так нужно ли это все это АНБ? Мне кажется, что у них есть BigData-алгоритмы и они хранят только то что их интересует. Другой вопрос, вы уверены что АНБ так легко выдаст данные для восстановления? Сомневаюсь. Скорее всего скажет «А мы не храним такой информации». О том что такое бэкап рекомендую почитать в классической книге для сис.админов Эви Нэмет
Вы просто не уловили сарказм.
Да. Или хотя бы смайлик поставить что Вы не серьезно. А пока видно два предложения с одной запятой и точкой. Как читающему сделать вывод о сарказме?
Странно, однако. Писатели 18-19 веков в своих книгах около сарказмов смайликов не ставили…
Да, но они выражали сарказм стилистически так, что читающий сразу видел сарказм
PR такой PR. Написали, чтобы 99% пользователей перестали напрягаться. При этом шифрование можно даже не включать (впрочем, это несложно сделать, просто уточнить для себя, сколько CPU уйдет на этот процесс, и учитывать это при включении), главное — сказать. Поскольку как они там между ДЦ гоняют — мы как юзеры не видим, для нас это все их локалка. Так сказать, «и овцы целы» с точки зрения ожиданий юзеров своим объявлением они выполняют. Ну а законные требования розыскных товарищей они обязаны удовлетворять, так что условие «и волки цены» также выполняется.

Вот что АНБ не слушает «все-все» — да, будет у АНБ чуть меньше обобщающей статистики (с возможность раскопать, конечно, до нужной глубины), и все.
Google ввел шифрование Gmail-трафика между дата-центрами для того чтобы пользователи были спокойны а также оставил бекдор для АНБ чтобы и они были спокойны :)
Какой IPSec должен был быть между серверами даже в локалке. Anyway -вы хотелт 10 Гб почту на халяву без дырок.
Сыр в мышеловке тоже с дырками :) Налетай…
Сколько процессорного времени и какую долю канала у вас отожрёт IPSec при нормально нагруженном 10GbE линке?

Все ли линки внутри, например, стойки у вас завернуты в IPSec?
Sign up to leave a comment.

Articles