Comments 19
Собственно, интервью.
«которая разбирается не стали»
Проблема в том, что, к сожалению, даже сегодня пользоваться PGP/GPG — зачастую тупо неудобно (phk@ в своей FOSDEM 2014 keynote, кстати, об этом упоминает).
Вот правда же удивительно: всё есть, и алгоритмы, и софт, и элементарные правила безопасности (известные операционки и программы) — секретничай не хочу. Однако, кмк, email-ликов мы еще немало увидим в этом веке.
Вот правда же удивительно: всё есть, и алгоритмы, и софт, и элементарные правила безопасности (известные операционки и программы) — секретничай не хочу. Однако, кмк, email-ликов мы еще немало увидим в этом веке.
Есть вполне удобный ProtonMail. Вообще, что бы с этим покончить, Google, Yahoo, Yandex, Microsoft достаточно ввести поддержку шифрования как у ProtonMail, остальные подтянутся.
У ProtonMail есть фатальный недостаток.
Несмотря на то, что шифрование происходит на стороне пользователя, контролировать это особо не кому. Может быть вы и проверите пару раз, отсылается ли пароль на сервера, но потом каждый раз вы этим заниматься не будете.
Это значит, что в какой-то момент, когда кому-нибудь станет интересна ваша переписка, вам могут отдать «фальшивую» страницу, на которую вы торжественно введете свой секретный пароль. От такой ереси спасло бы приложение, но они приложение не сделали, и, насколько я понял, не собираются.
Хотя идея, конечно, правильная.
Несмотря на то, что шифрование происходит на стороне пользователя, контролировать это особо не кому. Может быть вы и проверите пару раз, отсылается ли пароль на сервера, но потом каждый раз вы этим заниматься не будете.
Это значит, что в какой-то момент, когда кому-нибудь станет интересна ваша переписка, вам могут отдать «фальшивую» страницу, на которую вы торжественно введете свой секретный пароль. От такой ереси спасло бы приложение, но они приложение не сделали, и, насколько я понял, не собираются.
Хотя идея, конечно, правильная.
Во, правильный ход мысли, а самое интересное, что подобные сервисы как раз притягивают к себе потенциально интересных пользователей, а потом…
Там же https, то есть подсунуть страницу, если действует злоумышленник, не получится. От спецслужб или владельцев сервиса это, конечно же, не спасет, но я об этом и не говорю в данном случае. То есть такое шифрование даст защиту от взлома почты со стороны третьих лиц, и это лучше, чем ничего.
Чем почта яндекса хуже? Тоже https. Тоже не спасает от самого яндекса и спецслужб. Тоже нет никакого доступа третьим лицам.
В криптографии надо придерживаться принципа «Все, либо ничего»
Потому что пользуясь сервисом, который почти безопасен, вы не только не получаете безопасности, но и навлекаете на себя внимание, как уже выше написали.
И вообще идея ProtonMail нормальная. Только нужно open source приложение от них же. Вот тогда это будет похоже на безопасность. А отсутствие приложения это очень странно и подозрительно.
P.S. Прочитал ваше сообщение ниже, понял что вы говорите про взлом почтового ящика. Смутно понимаю, как можно посеять первый пароль и не посеять второй.
P.P.S Придумал сценарий от которого спасает ProtonMail. Он спасает от подделывания ssl сертификата. Как по мне, это достоинство компенсируется привлечением внимания к себе.
В криптографии надо придерживаться принципа «Все, либо ничего»
Потому что пользуясь сервисом, который почти безопасен, вы не только не получаете безопасности, но и навлекаете на себя внимание, как уже выше написали.
И вообще идея ProtonMail нормальная. Только нужно open source приложение от них же. Вот тогда это будет похоже на безопасность. А отсутствие приложения это очень странно и подозрительно.
P.S. Прочитал ваше сообщение ниже, понял что вы говорите про взлом почтового ящика. Смутно понимаю, как можно посеять первый пароль и не посеять второй.
P.P.S Придумал сценарий от которого спасает ProtonMail. Он спасает от подделывания ssl сертификата. Как по мне, это достоинство компенсируется привлечением внимания к себе.
В интернете полно предложений по взлому той же Яндекс.Почты за 4-5к. Я не пробовал, но рассказывали, что это вполне реально и работает. И даже пароль не меняется. Как они это делают? Не брутофорсом же.
В случае с двухфакторной авторизацией или шифрованием такое провернуть несколько сложнее, как мне кажется.
По поводу привлечения внимания: честно говоря, я сомневаюсь в этом. В конце концов, реальный злоумышленник вряд ли станет пользоваться ProtonMail, как раз из-за того, что скрыться от спецслужб он вряд ли поможет. Зачем тогда мониторить его пользователей?
В случае с двухфакторной авторизацией или шифрованием такое провернуть несколько сложнее, как мне кажется.
По поводу привлечения внимания: честно говоря, я сомневаюсь в этом. В конце концов, реальный злоумышленник вряд ли станет пользоваться ProtonMail, как раз из-за того, что скрыться от спецслужб он вряд ли поможет. Зачем тогда мониторить его пользователей?
На тему «взломов» почты — линк.
ProtonMail уже стал open source. А что касается приложений, то на данный момент у них приложения для iOS и Android в стадии beta. Может, после смартфонов и до десктопов доберутся, у ребят команда ~10 человек — не все сразу :)
А зачем изобретать велосипед, кто мешает передавать шифрованные сообщения через сети и сервисы общего пользования.
И какой смысл в шифровании каналов связи если не\компетентные органы имеют легальный доступ в хранилища.
Ну гуглят ФБосы и ЦРУшники по моему gmail, а я ведь там прямо открытым текстом переписываюсь с коллегами-рептилойдами :-)
А если включить мозги, конфиденциальную переписку можно вообще вести так, что факта шифрования никто даже и не обнаружит!
Собственно так дела и ведутся ещё с незапамятных времён, конфиденциальные вещи обсуждались через открытые каналы связи, а иногда вообще через СМИ.
И какой смысл в шифровании каналов связи если не\компетентные органы имеют легальный доступ в хранилища.
Ну гуглят ФБосы и ЦРУшники по моему gmail, а я ведь там прямо открытым текстом переписываюсь с коллегами-рептилойдами :-)
А если включить мозги, конфиденциальную переписку можно вообще вести так, что факта шифрования никто даже и не обнаружит!
Собственно так дела и ведутся ещё с незапамятных времён, конфиденциальные вещи обсуждались через открытые каналы связи, а иногда вообще через СМИ.
Я имею ввиду, что подобное шифрование предоставит защиту от взлома третьим лицом, а не от слежки со стороны АНБ.
Передавать шифрованные сообщения через сети общего пользования можно, но это требует некоторых усилий. То есть, когда Вам не нужно на самом деле скрыться, то Вы это использовать не будете.
Передавать шифрованные сообщения через сети общего пользования можно, но это требует некоторых усилий. То есть, когда Вам не нужно на самом деле скрыться, то Вы это использовать не будете.
Отнюдь, в некоторых странах одна только попытка поднять скрытый канал связи вызовет к вам интерес.
А в публикации сэлфи, еды или котика нет ничего предосудительного как ни крути :-)
А если уж мне потребуется скрываясь передать команду на уничтожение семейного фото архива, я сделаю это с помощью дурацкого анонимного комментария на каком-нибудь новостном ресурсе. Туда-же клерки корпораций сливают данные из квартальных отчётов за долго до публикации оных…
Прятаться и скрываться — верный путь оказаться найденным и раскрытым! Неуловим только Джо, которого никто не ловит.
PS.А вот прикладываемые усилия, заметно сократились с появлением портативных вычислительных устройств.
А в публикации сэлфи, еды или котика нет ничего предосудительного как ни крути :-)
А если уж мне потребуется скрываясь передать команду на уничтожение семейного фото архива, я сделаю это с помощью дурацкого анонимного комментария на каком-нибудь новостном ресурсе. Туда-же клерки корпораций сливают данные из квартальных отчётов за долго до публикации оных…
Прятаться и скрываться — верный путь оказаться найденным и раскрытым! Неуловим только Джо, которого никто не ловит.
PS.А вот прикладываемые усилия, заметно сократились с появлением портативных вычислительных устройств.
Взломали почту, сменили пароль от PayPal или другого кошелька, увели деньги. Вот от такого шифрование или двухфакторная авторизация, скорее всего, спасет. Для того, что бы заниматься чем-то незаконным и использовать что-то типа ProtonMail нужно быть полным идиотом, я удивлюсь если такие вообще есть.
Google, Yahoo, Yandex, Microsoft достаточно ввести поддержку шифрования [...]Даже если они ее введут, имхо совершенно очевидно, что никакой приватности это не гарантирует.
Остаются одеяло и какой-нибудь старый (не интересный спецслужбам) проц + такая же открытая (и не интересная) операционка типа Haiku.
При этом, если вдруг завтра объявят об очередной попытке вставить дыру в исходники системы или компилятор, я ничуть не удивлюсь.
На нашей с вами страже стоят только лишь математика и алгоритмы. Все остальное (человеческая лень, реализации в железе) активно эксплуатируются и саботируются частными лицами и организациями с трехбуквенными аббревиатурами.
… подробности о системе охраны посольств, которые, вероятно, были в её [Хиллари Клинтон] письмах...
Ээ, странное смещение вероятности у чувака, и да по факту случай Клинтон разбирала специальная комиссия, а что-бы ни у кого не осталось сомнений большая часть переписки была опубликована, в ней усиленно роются журналисты но пока ничего особо ценного не отрыли…
На мой взгляд, сам факт того что у тётки был личный почтовый сервер, как раз намекает на то, что она в теме зачем это надо, что можно и что нельзя.
И с какого рожна ей отказываться от личной переписки и адреса широко известного в узких кругах, Сноуден типичный американец, в хорошем и тупом смысле этого слова… Он то за демократию страдает, и не ему судить о нравах аристократов. Клинтон не сильно расширила свои круги общения благодаря должности гос.секретаря, а наоборот стала гос.секретарём благодаря своим кругам общения ещё со времён колледжа :-)
Sign up to leave a comment.
Сноуден раскритиковал Хиллари Клинтон за то, что она пользовалась незащищённым почтовым сервером