В заключение - ответы на некоторые интересные вопросы, которые позволят яснее
выразить смысл данной статьи. Возможно, я сильно увлёкся примерами, в ущерб
главной мысли.
1) Из форума "клуба hackzone"
Отправитель: REAn, January 13, 2000, 14:59:03 /195.133.82.xxx/:
>- И много ли найдется почт, где не спрашивают старый пароль при установке
>нового,
Увы, много. Да и необязательно менять пароль ( нередко защищённый), достаточно
изменить адрес форвардинга, секретный вопрос или резервный e-mail, которые
крайне редко защищёны. Тут и hotmail.com, увы не исключение.
> да еще разрешены зловредные апплеты?
Не в конкретном теге дело, хотя авторам почтовой WEB-системы их всех быстро не
выловить (есть ведь и недокументированные) без существенного ущерба для
приходящих писем. В конце концов, можно просто дать в письме ссылку на якобы
интересную страничку ( которая содержит ловушку описанную в разделе "3.
Макияж"), и пользователь щелкнувший по ссылке во время сеанса (или открывший её
в новом окне, как большинство из нас делает), рискует остаться без почтового
ящика, практически независимо от типа службы ( hotmail.com , netscape.net,
webber.com и т.д.) Скажите, многие Web-интерфейсы предупреждали Вас, что нельзя
открывать другие сайты во время чтения писем?
IMHO, проблема в том, что отсылка настроек при помощи форм опасна в принципе.
Даже проверку местонахождения формы нетрудно обойти.
2) Из почты -
Отправитель: Рома М.
>- Не считаете же Вы возможным отказываться от использования новой идеи
>потому, что она >небезопасна. Так бы и СЕТИ не было. Может, чем
>подставлять тысячи пользователей mail.ru стоило придумать, как упростить
>им жизнь. А безопасные средства коммуникации рано или поздно появятся.
С рабочими примерами, похоже, погорячился. С другой стороны, кто бы эту статью
читать стал. Посмотрите на печальную статистику посещаемости многих правильных и
более полезных статей.
А безопасные средства уже давно появились. Например тот же Java. Что стоит
написать на нём пользовательский интерфейс, для тех пользователей которые желают
безопасности и анонимности. Ведь по сути, нашу почту читают все кому не лень от
администраторов до провайдеров. Java даёт прекрасные возможности отказаться от
средств CGI и шифровать пересылаемую информацию, благодаря чему
несанкционированная отсылка рез-тов или подмена апплета пресекается в принципе
средствами браузера , т.к. JA разрешено связываться только с сервером откуда он
пришёл. Разместить же свой код на почтовом сервере злоумышленнику вряд ли
удастся.
Вот примерная реализация. Пользователь загружает апплет. Пользуясь открытым
ключём, тот высылает уникальный ( на данный сеанс) случайный ключ и в дальнейшем
весь обмен (включая логин и пароль пользователя) идёт в зашифрованном,
симметричным криптоалгоритмом, виде. Никто, ни провайдер, ни админ, ни
пресловутое ФСБ не смогут установить даже логин пользователя. При желании можно
(пользуясь возможностями Netscape LiveConnect ( частичная поддержка которого уже
введена и в IE) просматривать письма и в HTML -формате. И теги /скрипты/объекты
в них можно разрешить не так ли? Подделать аутентификацию теперь врядли
возможно.
Публикуя эту статью, мы нарушаем какие-то факин правил, так что, если что -
защитите нас :)
Опубликовал Kest
October 26 2008 13:27:02 ·
2 Комментариев ·
10342 Прочтений ·
• Не нашли ответ на свой вопрос? Тогда задайте вопрос в комментариях или на форуме! •
александр August 20 2010 15:47:02
давай ты объяснишь это всё более просто ,орчень прошу. то всё это читать. стучи плиз в аську. я давно искал такого гения как ты
александр August 20 2010 15:47:50
моя аська 570433256. плиз добавься. оченнь прошу
Добавить комментарий
Рейтинги
Рейтинг доступен только для пользователей.
Пожалуйста, залогиньтесь или зарегистрируйтесь для голосования.
Нет данных для оценки.
Гость
Вы не зарегистрированны? Нажмите здесь для регистрации.