Во-первых, как мне показалось, обещали публично объявить, а покуда не объявили.
Во-вторых, зависит от определения победы. Мерч обещали 5 участникам. Ещё есть суперприз -- поездка на Байконур. Окей, их вручать надо, и наверное, было бы логично получить об этом письмо для дальнейших согласований. Но есть же ещё варианты победить. 20 свежих статей в космос обещали отправить вместе с 60 старыми. И тут, кажется, ничего согласовывать с победителями не нужно, всё уже в условиях конкурса прописано.
Я как оптимист полон надежд!
Если вы получили какое-то письмо, то похвастайтесь более прямолинейно, пожалуйста! Интересно было бы узнать!
Это написала онлайн-проверялка, поведение которой может отличаться от продовых серверов. Меня всё-таки в первую очередь интересуют последние. Мне Gmail в пользовательском интерфейсе писал, что ничего не зашифровано. А ещё см. закреплённые комментарии: более меня разбирающийся в теме хабравчанин рекомендовал посмотреть на хедеры письма, и согласно ним, шифрования действительно не было.
Вы правы, однако скорее всего, те же самые там сертификаты в таком сценарии. И да, вы правы, проблема при получении почты с gemotest.ru тоже говорит в пользу этой точки зрения.
Ваша правда -- в урезанной мной версии лога не видно, что это всё про SMTP, видно только, что это про TLS. Вот полный лог, раз уж речь зашла: https://pastebin.com/SgbRwsG9
Как я понимаю, нет, этот тест специально заточен под почтовые сервера, соединяется с ними и пытается перевести SMTP-соединение на зашифрованные рельсы (STARTTLS). Об этом написано в справке к проверялке, об этом написано в логе её работы. По HTTPS эти адреса вообще не резолвятся -- проверил вот сейчас в браузере.
Вот он, комментарий моей мечты! Большое спасибо за экспертизу, мне не хватало как раз этой информации, чтобы быть на 100% уверенным!
Нету подстроки "SMTPS" в хэдерах сообщения!
Самое интересное, что по-видимому вы имели в виду в первую очередь:
Return-Path: <info@gemotest.ru>
Received: from mx.gemotest.ru (mx.gemotest.ru. [185.11.199.177])
by mx.google.com with ESMTP id 38308e7fff4ca-330a9246e72si4380551fa.368.2025.07.18.07.16.54
for <мойимэйл@gmail.com>;
Fri, 18 Jul 2025 07:16:55 -0700 (PDT)
Вот это, как я понимаю, самая интересная нам часть, тот самый обмен между двумя серверами по открытой сети. Сравним с хорошим сервером gosuslugi.ru, про который Gmail говорит: "security: Standard encryption (TLS)":
Return-Path: <no-reply@gosuslugi.ru>
Received: from smtp68.gosuslugi.ru (smtp68.gosuslugi.ru. [213.59.254.1])
by mx.google.com with ESMTPS id 2adb3069b0e04-55a35dc53c0si1527328e87.565.2025.07.20.07.24.40
for <мойимэйл@gmail.com>
(version=TLS1_2 cipher=ECDHE-ECDSA-AES128-GCM-SHA256 bits=128/128);
Sun, 20 Jul 2025 07:24:41 -0700 (PDT)
Добавил UPD в конце поста, закрепил ваш комментарий и вот этот мой ответ.
В то же время, даже если рассуждать максимально оптимистично, то проблема ведь всё равно есть. Даже если например Gmail вполне удовлетворится односторонним, это будет означать, что письма в обратном направлении, на домен gemotest.ru, будут незашифрованными, что конечно убирает мой главный поинт про результаты анализов, но для компании Гемотест всё равно является серьёзной уязвимостью. А ещё это означает, что промежуточные узлы в сети всё равно могут получать информацию из писем с домена gemotest.ru, но стоимость атаки увеличивается: нужно провести не пассивную атаку прослушивания канала, а активную атаку имперсонации, т.е. сказать по сети: "Да-да, gemotest.ru это я, но пруфов не будет! Со мной устанавливайте односторонний TLS и мне шлите письма!"
Ваша правда, означает именно это. Однако эту фразу сказала онлайн-проверялка. Целевой сервис, Gmail, сказал что-то более страшное. И кажется, у него (и/или у других почтовых серверов) были основания на такое более страшное поведение.
Даже если перешли, то всё равно могли бы параллельно поддерживать работу с зарубежными серверами по зарубежным алгоритмам. Благо, через Let's Encrypt такие сертификаты вообще бесплатно можно сделать. Сейчас проверялки однозначно говорят: сертификаты есть, сертификаты на иностранных алгоритмах, цепочки идут к иностранным корневым... Короче, всё как надо, только вот просрочились сертификаты.
Подтверждаю ваши наблюдения. Поведение выглядит криво. В их приложении "Инвестиции" то же самое. А вот если не смахивать приложение, не сворачивать, а два раза нажать "Назад" для выхода из приложения, то приложение отображается в активных, как будто бы его свернули, но уже попросит PIN/отпечаток при попытке повторного входа.
Перепроверил за вами. Подтверждаю ваши наблюдения и разделяю ваше мнение, что поведение выглядит криво. В их приложении "Инвестиции" то же самое. А вот если не смахивать приложение, не сворачивать, а два раза нажать "Назад" для выхода из приложения, то приложение отображается в активных, как будто бы его свернули, но уже попросит PIN/отпечаток при попытке повторного входа.
Даже с этой включённой опцией, даже сейчас приложение Т-Банка не пускает без предоставления отпечатка/PIN, если прошло более 5 минут. Так что тут даже инженеры, которых я критикую за недостаточный консерватизм, более консервативны, чем вы!
У опции странный дизайн, на мой взгляд просто плохой, вот я её и критикую. Отключить её конечно можно, вы правы, но непонятно, зачем она вообще родилась и живёт в таком виде.
Простите, не понял, о какой вы стране. Погуглил "страна лосей" -- чаще всего пишут про Швецию, чуть менее часто -- про Канаду. Вы какую страну имели в виду и на основании чего её так исступлённо костерите, позвольте вежливо поинтересоваться?
Защищённость -- это про повышение сложности, стоимости атаки. В статье я показал сценарий, где поведение, которое я ожидал, более защищённое, чем текущее. Конечно, при желании можно много чего сделать с разблокированным телефоном. Я об этом написал в статье изначально. Но вопрос в цене: насколько легко добраться до секретных данных, до ценностей? С текущим поведением в том сценарии, что я описал, достаточно одного тапа. А могло бы быть существенно сложнее.
Если в гетто вас ограбят, то закон будет на вашей стороне. То, что вы говорите, называется "обвинением жертвы". В идеале защищённость должна обеспечиваться в разных сценариях, в том числе таких, которые с мегаосторожным человеком, которого вы описываете как пример для подражания, не случаются. Так уж вышло, что мегаосторожных людей мало. Людей очень тяжело перевоспитывать. В тех сценариях, которыми много людей реально пользуются, следует постараться их защитить по возможности, даже если эти сценарии были бы нерелевантны для мегаосторожного человека.
Спасибо, что зарегистрировались и оставили этот комментарий. Любо-дорого читать. Если душнильски посмотреть на мой текст, то можно заметить, что про рычажок я в курсе. Я-то могу его передвинуть, совершенно справедливо. Но функциональность всё равно странная и небезопасная. Не важно, пользуюсь я ей или нет, могу ли я её отключить или нет, это же ничего не меняет. Она вызывает массу вопросов в своей осмысленности у меня и не только у меня, криво описана в интерфейсе. Поэтому я и написал текст, который вызвал у вас такую бурную реакцию.
Во-первых, как мне показалось, обещали публично объявить, а покуда не объявили.
Во-вторых, зависит от определения победы. Мерч обещали 5 участникам. Ещё есть суперприз -- поездка на Байконур. Окей, их вручать надо, и наверное, было бы логично получить об этом письмо для дальнейших согласований. Но есть же ещё варианты победить. 20 свежих статей в космос обещали отправить вместе с 60 старыми. И тут, кажется, ничего согласовывать с победителями не нужно, всё уже в условиях конкурса прописано.
Я как оптимист полон надежд!
Если вы получили какое-то письмо, то похвастайтесь более прямолинейно, пожалуйста! Интересно было бы узнать!
Ждём-не дождёмся результатов!
Не поверите: они починили! Ура! Вот что Хабр животворящий делает!
Это написала онлайн-проверялка, поведение которой может отличаться от продовых серверов. Меня всё-таки в первую очередь интересуют последние. Мне Gmail в пользовательском интерфейсе писал, что ничего не зашифровано. А ещё см. закреплённые комментарии: более меня разбирающийся в теме хабравчанин рекомендовал посмотреть на хедеры письма, и согласно ним, шифрования действительно не было.
Вы правы, однако скорее всего, те же самые там сертификаты в таком сценарии. И да, вы правы, проблема при получении почты с gemotest.ru тоже говорит в пользу этой точки зрения.
Ваша правда -- в урезанной мной версии лога не видно, что это всё про SMTP, видно только, что это про TLS. Вот полный лог, раз уж речь зашла: https://pastebin.com/SgbRwsG9
Как я понимаю, нет, этот тест специально заточен под почтовые сервера, соединяется с ними и пытается перевести SMTP-соединение на зашифрованные рельсы (STARTTLS). Об этом написано в справке к проверялке, об этом написано в логе её работы. По HTTPS эти адреса вообще не резолвятся -- проверил вот сейчас в браузере.
Вот он, комментарий моей мечты! Большое спасибо за экспертизу, мне не хватало как раз этой информации, чтобы быть на 100% уверенным!
Нету подстроки "SMTPS" в хэдерах сообщения!
Самое интересное, что по-видимому вы имели в виду в первую очередь:
Вот это, как я понимаю, самая интересная нам часть, тот самый обмен между двумя серверами по открытой сети. Сравним с хорошим сервером gosuslugi.ru, про который Gmail говорит: "security: Standard encryption (TLS)":
Добавил UPD в конце поста, закрепил ваш комментарий и вот этот мой ответ.
Ваша правда. Это идеальный сценарий. Но очень сильно сомневаюсь, что они что-то такое проворачивают, судя по моей с ними переписке.
Очень хороший и интересный вопрос! Спасибо!
Не знаю, как настроены конкретные сервера, например сервер Gmail. Возможно, они требуют двустороннего TLS, а без него не работают. Возможно, при неуспехе двустороннего TLS они делают фолбэк на менее безопасный односторонний. Это две разные технологии защиты SMTP, как я нагуглил: https://stackoverflow.com/questions/69527396/does-inter-mail-server-connection-use-mutual-tls-mtls
В то же время, даже если рассуждать максимально оптимистично, то проблема ведь всё равно есть. Даже если например Gmail вполне удовлетворится односторонним, это будет означать, что письма в обратном направлении, на домен gemotest.ru, будут незашифрованными, что конечно убирает мой главный поинт про результаты анализов, но для компании Гемотест всё равно является серьёзной уязвимостью. А ещё это означает, что промежуточные узлы в сети всё равно могут получать информацию из писем с домена gemotest.ru, но стоимость атаки увеличивается: нужно провести не пассивную атаку прослушивания канала, а активную атаку имперсонации, т.е. сказать по сети: "Да-да, gemotest.ru это я, но пруфов не будет! Со мной устанавливайте односторонний TLS и мне шлите письма!"
Ваша правда, означает именно это. Однако эту фразу сказала онлайн-проверялка. Целевой сервис, Gmail, сказал что-то более страшное. И кажется, у него (и/или у других почтовых серверов) были основания на такое более страшное поведение.
Даже если перешли, то всё равно могли бы параллельно поддерживать работу с зарубежными серверами по зарубежным алгоритмам. Благо, через Let's Encrypt такие сертификаты вообще бесплатно можно сделать. Сейчас проверялки однозначно говорят: сертификаты есть, сертификаты на иностранных алгоритмах, цепочки идут к иностранным корневым... Короче, всё как надо, только вот просрочились сертификаты.
Вы совершенно правы! Спасибо, поправил!
Ваш комментарий можно интерпретировать по-разному. Можно поинтересоваться, что вы хотели сказать?
Подтверждаю ваши наблюдения. Поведение выглядит криво. В их приложении "Инвестиции" то же самое. А вот если не смахивать приложение, не сворачивать, а два раза нажать "Назад" для выхода из приложения, то приложение отображается в активных, как будто бы его свернули, но уже попросит PIN/отпечаток при попытке повторного входа.
Перепроверил за вами. Подтверждаю ваши наблюдения и разделяю ваше мнение, что поведение выглядит криво. В их приложении "Инвестиции" то же самое. А вот если не смахивать приложение, не сворачивать, а два раза нажать "Назад" для выхода из приложения, то приложение отображается в активных, как будто бы его свернули, но уже попросит PIN/отпечаток при попытке повторного входа.
Даже с этой включённой опцией, даже сейчас приложение Т-Банка не пускает без предоставления отпечатка/PIN, если прошло более 5 минут. Так что тут даже инженеры, которых я критикую за недостаточный консерватизм, более консервативны, чем вы!
У опции странный дизайн, на мой взгляд просто плохой, вот я её и критикую. Отключить её конечно можно, вы правы, но непонятно, зачем она вообще родилась и живёт в таком виде.
Простите, не понял, о какой вы стране. Погуглил "страна лосей" -- чаще всего пишут про Швецию, чуть менее часто -- про Канаду. Вы какую страну имели в виду и на основании чего её так исступлённо костерите, позвольте вежливо поинтересоваться?
Ничего не показывается по ссылочке, по крайней мере из России без VPN. Можно попросить вас буквами написать название модели, пожалуйста?
Защищённость -- это про повышение сложности, стоимости атаки. В статье я показал сценарий, где поведение, которое я ожидал, более защищённое, чем текущее. Конечно, при желании можно много чего сделать с разблокированным телефоном. Я об этом написал в статье изначально. Но вопрос в цене: насколько легко добраться до секретных данных, до ценностей? С текущим поведением в том сценарии, что я описал, достаточно одного тапа. А могло бы быть существенно сложнее.
Если в гетто вас ограбят, то закон будет на вашей стороне. То, что вы говорите, называется "обвинением жертвы". В идеале защищённость должна обеспечиваться в разных сценариях, в том числе таких, которые с мегаосторожным человеком, которого вы описываете как пример для подражания, не случаются. Так уж вышло, что мегаосторожных людей мало. Людей очень тяжело перевоспитывать. В тех сценариях, которыми много людей реально пользуются, следует постараться их защитить по возможности, даже если эти сценарии были бы нерелевантны для мегаосторожного человека.
Спасибо, что зарегистрировались и оставили этот комментарий. Любо-дорого читать. Если душнильски посмотреть на мой текст, то можно заметить, что про рычажок я в курсе. Я-то могу его передвинуть, совершенно справедливо. Но функциональность всё равно странная и небезопасная. Не важно, пользуюсь я ей или нет, могу ли я её отключить или нет, это же ничего не меняет. Она вызывает массу вопросов в своей осмысленности у меня и не только у меня, криво описана в интерфейсе. Поэтому я и написал текст, который вызвал у вас такую бурную реакцию.