Безопасность ввода пароля онлайн
Это PGP/MIME – такая кака! Шифровать можно исключительно в онлайне – прямо непосредственно перед отправкой письма вводяgfhjkmye. ahfpe. Иначе никак – аттачи не шифруются! Т.е. зашифровать письмо в оффлайне в формате PGP/MIME – нельзя! И это очень плохо! Вводить пароль в онлайне либо кешировать его на длятельное время – очень неудобно и, самое главное, это является риском для безопасности.
Может я где-то неправ? Просветите плз...
The Bat! V2.10.01
комментариев: 11558 документов: 1036 редакций: 4118
Риск ввода пароля онлайн ничуть не выше, чем в офлайне. Если опасаетесь keylogger'ов, то они функционируют независимо от подключения к Сети, а при подключении могут просто слить свой протокол взломщику. Касаемо кэширования, пароль сохраняется в ОЗУ, даже не попадая на диск. Поэтому вытащить его оттуда без непосредственного доступа к микросхеме оперативной памяти (т.е. удалённо через сеть) не представляется возможным.
Что-то уж очень некомпетентно звучит. Кейлоггеры – это ещё не первоочередная/принципиальная угроза при подключении к сети. Существует целый класс вирусов, эксплуатирующих уязвимости в ОС от Микрософт. Например – всем известный MSBlast/Loveson и т.д. Основанные на переполнении буфера при обработке неправильных TCP/IP пакетов, приходящих на открытый порт. При этом произвольный код получает привилегии как минимум текущего пользователя – или даже Local System. Напомню также, что многие пользователи так и работают в сети под административным аккаунтом. Но и строгое следование правилам безопасности – не ставит непреодолимого барьера на пути такой угрозы.
Вы что, SATtva правда не знаете, что процессы, исполняемые на одном компьютере – в принципе могут читать память друг друга? Они и так имеют этот самый "непосредственный" доступ, о котором вы пишете – так как находятся на той же самой микросхеме памяти.
Ну, подробнее объяснять надо?
Легко представить себе вирус, который, будучи инъектированным через сеть – будет похищать текущие кэшированные пароли и ключи (например, PGPdisk'а) из ОЗУ – и передавать их своим операторам. После чего – мирно самоуничтожаться. Разработчикам такого вируса очень помогут открытые исходники криптографического ПО...
Такой класс угроз давно известен. Именно поэтому и рекомендуют выполнять все криптографические манипуляции в оффлайне – а лучше на компьютере вообще не подключённом к Интернету.
Не обязательно красть пароли, когда комп в сети. Можно запротоколировать их заранее, а отослать потом.
Firewall, между прочим, тоже не повредит.
комментариев: 11558 документов: 1036 редакций: 4118
Вот это действительно решение, Ушк, а говорить о том, что на машине, периодически имющей доступ в Сеть, безопаснее вводить пароли в офлайне, мне кажется чем-то несуразным. Это было моей основной мыслью, а не сосредоточение на технической стороне вопроса. Поэтому ежели Вы выходите с конкретного компьютера в Сеть, не будет иметь принципиального значения, вводить ли пароль в офлайне или онлайн.
Идеологически правильно, товарищ.
Поэтому угроза от ввода пароля в онлайне – весьма и весьма превышает таковую от криптоманипуляций в оффлайне. Просто удивительно слышать обратные утверждения! Моё мнение о компетентности SATtva сильно упало. "Техническая сторона вопроса" – здесь весьма и весьма существенна! Описанный мной гипотетический вирус (а точнее внедряемый агент) – не нуждается в сохранении на диск, повторной активации при включении компьютера, определении момента ввода пароля (когда он в кэше) и т.п. Он просто живёт в памяти, хотя и очень недолго – ровно столько, сколько нужно для выполнения своей функции.
Это подразумевается само собой разумеющимся. Только не спасёт он от всего.
комментариев: 11558 документов: 1036 редакций: 4118
Переживу. Спишите на шесть часов сна за всю рабочую неделю. Оправдывать же свои высказывания и мнения я не собираюсь... (Вообще последняя часть обсуждения — чистый офф-топик.)
Добавлено:
Тема разделена, можно флеймить дальше...
И Вам кажется, что ПЕРВЫЙ сложнее???
Если предполагать, что на компьютер может получить удаленный доступ кто угодно, то предпринимать какие-либо меры защиты БЕССМЫСЛЕННО. Это все равно что в русскую рулетку играть ПМ или ТТ.
Вот "программно-технические" меры противодействия – помимо соблюдения протокола – т.е. минимизации криптоманипуляциий в онлайне – также и хотелось бы здесь обсудить.
Закругляя тему с реализацией PGP-MIME в Bat!'е, хотелось бы подчеркнуть, что в настоящее время реализация эта весьма и весьма корявая. Если не сказать злонамереннонная! :evil: Невозможность защифровать письмо с вложением в оффлайне – это существенный недостаток, кардинально влияющий на удобство и безопасность использовании этой функции программы. Неужели кто-то будет с этим спорить?!!
комментариев: 11558 документов: 1036 редакций: 4118
По поводу функциональности и удобства — нисколько. Но это к разработчикам Мыши.
В точности наоборот. Описанный мной выше гипотетический внедряемый агент именно проще – а потому опасности от него больше.
А вот такой вирус – предназначенный для мониторинга оффлайн-активности – сложнее.
Ну не надо так уж трагично всё воспринимать! ;) Речь идёт исключительно об оценке вероятности и потенциальной опасности различных угроз.
И снова о Bat!'е.
Как раз невозможность использования PGP-MIME в оффлайне – не позволяет развернуть чистую-оффлайн криптографическую рабочую станцию. Т.е. никак не связанную с Интернетом. Между тем, зашифрованные и сохранённые письма например в формате EML/MSG могли бы физически переноситься на компьютер, подключённый к Интернету и отправляться с него. Это я говорю специально для "идеологически правильных товарищей" :twisted:
Просто я изначально, в постинге, который сейчас открывает эту тему, – хотел спросить -действительно ли нельзя зашифровать аттачменты в Bat!'е с помощью PGP-MIME в оффлайне? А то может я что-то недопонял...
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 437 документов: 30 редакций: 15
Возможно, это работает только при включенной опции "хранить прикреплённые файлы в теле письма".
У меня так файлы и хранятся.
Kent, прошу уточнить, аттачменты шифруются именно в оффлайне в формате PGP/MIME? Какой командой: "Зашифровать весь текст", что ли?
Какая реализация PGP используется – внутренняя или внешняя.
Я в курсе, что при желании можно получить тело письма с аттачментами, зашифрованное PGP/MIME в оффлайне – если "отправить" письмо без соединения с Интернетом. Но потом если попытаться реально отправить такое письмо – Bat откажется это сделать.