информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Spanning Tree Protocol: недокументированное применениеГде водятся OGRыПортрет посетителя
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Sophos открывает Sandboxie 
 Большой вторник патчей от MS 
 И ещё раз об интернет-голосовании 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / theory
Имя Пароль
ФОРУМ
все доски
FAQ
IRC
новые сообщения
site updates
guestbook
beginners
sysadmin
programming
operating systems
theory
web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
S-Mail. Впечатления проверяющего. ч.2. Советы пользователю. 31.05.02 11:21  Число просмотров: 2615
Автор: Komlin Статус: Незарегистрированный пользователь
Отредактировано 01.06.02 14:02  Количество правок: 2
<"чистая" ссылка>
Практические советы по безопасному использованию почты.

Советы пользователю.
Самое главное - ящик для секретной переписки- должен быть ящиком для секретной переписки. Не стоит использовать указывать его при получении сторонней информации: например при регистрации в службах поддержки или давать малознакомым людям. Если Вам всё же лень просматривать несколько почт - откройте ящик на любом сервисе поддерживающем пересылку (mail.ru, pochtamt.ru) и настройте переадресацию на s-mail. Теперь всем посторонним вы даёте открытый ящик.
Начинать беспокоиться о своей безопасности следует уже с момента регистрации:
Помните, что вводимый Вами пароль на самом деле является ключём. Если даже Вас не волнует возможность дешифровки сотрудниками самой почты - всё ограничитесь "снизу" фразой из двух трёх слов, желательно в разных алфавитах. Полностью безопасным можно считать моноалфавитный пароль из 32 букв или смешанный Если Вам трудно набирать её и вы уверенны в недоступности своего компьютера занесите большую часть её в макрос и назначьте какому-нибудь сочетанию клавиш.
Помните говорить о какой-то криптозащите писем можно лишь в случае обмена между двумя пользователями s-mail.
Помните, что из-за особенностей современных браузеров при работе с WWW-интерфейсом почты нельзя открывать предложенные в письмах неизвестные ссылки не выйдя из сервиса. Если ссылка длинная и запоминать не хочется занесите ссылку в буфер обмена правой кнопкой мыши.
Также, с учётом большого числа ошибок выявляемых в любых браузерах необходимо регулярно патчить последние.

Советы параноику.

При заходе на сервис внимательно посмотрите на страничку -нет ли на ней каких изменений, правильна ли подпись апплета.
Недавно в сервисе появилось дополнение- plug-in для работы ч/з Outlook 2000.

Как уже отмечалась - ассиметричная криптография в интернете вещь мало совместимая с адресным контролем. Но не отчаивайтесь. Есть простой способ проверки на применение к Вам подобного приёма: дело в том, что при используемой схеме шифровки (текст шифруется сеансовым
симметричным ключём, последний шифруется открытыми ключами отправителя и получателей), защищённый тест должен:
а) выглядеть одинаково у отправителя и получателя;
б) дешифровываться обеими сторонами;

Это свойство алгоритма ДХ позволяет легко обнаружить подмену ключей.

Применительно к s-mail это означает, что сохранив письмо при отправке в папке Sent (или наоборот получив его), Вы можете

а) просмотреть его и убедиться что письмо дешифровалось Вами;
б) посмотреть исходный HTML в поле письма (В IE это производится щелчком правой кнопки мыши и выбором пункта "просмотреть источник") найти поле <input name="text" value=...>.
в) отослать по другим каналам фрагмент поля value получателю и попросить его сравнить поля. Если они совпали - Вам пока не о чем беспокоиться.

Проще всего реализовать это заведя второй ящик и периодически проводя процедуру проверки.

Разумеется программист может сделать проще - единожды выполнив подобную проверку написать утилитку которая будет запрашивать с public.s-mail.com открытый ключ и сравнивать её с полученным при первом запросе. Если будет время- выложу подобную утилиту сам.

Вроде всё, самое главное сказал.
:)
<theory> Поиск 








Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2019 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach