Где лучше завести почтовый ящик.
Здравствуйте!
Вопрос такой: где лучше завести электронный почтовый ящик?
Уверен, что это довольно важно, ведь надёжный, защищённый ящик – одна из обязательных деталей Вашей целостной системы защиты информации.
Мелочей не бывает. "Мелочи" иногда дорого обходятся.
Если Вы знаете/используете ящик, который отвечает Вашему уровню требований безопасности – пожалуйста, напишите.
Расскажите о преимуществах.
Важен каждый комментарий.
Ссылки
[link1] http://www.pgpru.com/forum/viewtopic.php?p=2352&sid=59f3e3441a146e5e59b487f9044b3054
[link2] http://wh4f.org/
[link3] http://mytrashmail.com/
[link4] http://mailinator.com/
[link5] http://www.mailforspam.com
[link6] http://www.pgpru.com/comment51926
[link7] http://www.pgpru.com/comment49551
[link8] http://www.pgpru.com/comment43506
[link9] http://www.pgpru.com/comment36423
[link10] http://www.pgpru.com/biblioteka/statji/sac
[link11] http://www.pgpru.com/comment52067
[link12] http://www.pgpru.com/comment34163
[link13] http://www.pgpru.com/proekt/poljzovateli?profile=unknown
[link14] http://www.pgpru.com/biblioteka/statji/certifiedlies
[link15] http://www.pgpru.com/comment51736
[link16] http://www.pgpru.com/comment37751
[link17] http://anobox.ru/articles/4-threadedpost2759933
[link18] http://www.pgpru.com/forum/prakticheskajabezopasnostj/gdeluchshezavestipochtovyjjjaschik
[link19] https://www.pgpru.com/novosti/2013/anbsshasleditzapoljzovateljamikrupnejjshihtehnologicheskihkompanijj
[link20] http://polit.ru/article/2013/05/14/al140513/
[link21] https://anonymous-proxy-servers.net/en/help/thunderbird.html
[link22] http://www.pgpru.com/biblioteka/osnovy
[link23] http://www.gpg4win.org/
[link24] http://www.pgpru.com/comment48651
[link25] http://www.pgpru.com/comment51266
[link26] http://www.pgpru.com/novosti/2013/silowikipredlagajutzapretitjposkryvajuscheepoljzovateljavseti
[link27] http://www.pgpru.com/comment31605
[link28] http://docs.law.gwu.edu/facweb/dsolove/
[link29] http://www.pgpru.com/biblioteka/statji/nothingtohide
[link30] http://www.pgpru.com/biblioteka/statji/soloveprivacysecurity
[link31] https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2171018
[link32] http://www.bbc.co.uk/news/technology-23051248?ocid=bncptl
[link33] https://www.freedomboxfoundation.org/
[link34] http://www.pgpru.com/biblioteka/osnovy/fondpoleznyhpostov/raznoe#fppB1IV
[link35] http://www.reuters.com/article/2013/05/10/us-usa-cyberweapons-specialreport-idUSBRE9490EL20130510
[link36] http://www.pgpru.com/comment15522
[link37] http://www.guardian.co.uk/world/2013/jun/17/edward-snowden-nsa-files-whistleblower
[link38] http://www.pgpru.com/comment66529
[link39] http://www.pgpru.com/biblioteka/osnovy/fondpoleznyhpostov/kriptografija#fppA4V
[link40] http://www.pgpru.com/forum/prakticheskajabezopasnostj/bitmessager2rkriptomessendzher
[link41] https://www.pgpru.com/forum/tehnicheskievoprosy/apparatnajazakladkahardwarebackdoor
[link42] https://www.pgpru.com/comment67147
[link43] https://www.pgpru.com/comment66855
[link44] http://www.xakep.ru/post/60851/default.asp
[link45] http://news.netcraft.com/archives/category/hosting/
[link46] http://www.pgpru.com/comment67215
[link47] https://securityinabox.org/ru/vs_main
[link48] http://www.edushkola.ru/docs/index-575268.html?page=22
[link49] http://www.cnews.ru/top/2013/08/14/google_polzovateli_gmail_mogut_ne_rasschityvat_na_taynu_perepiski_539157
[link50] http://www.pgpru.com/comment63405
[link51] http://www.pgpru.com/novosti/2013/fpdetectivevyjavljaetpopytkiopredelenijaprofiljasistemyizpodbrauzera
[link52] http://www.pgpru.com/comment68362
[link53] http://bitmailendavkbec.onion/
[link54] http://www.pgpru.com/comment62240
[link55] http://blog.davidvassallo.me/2011/03/22/squid-transparent-ssl-interception/
[link56] http://www.pgpru.com/novosti/2011/vtorbrowserpomeschenaeksperimentaljnajazaschitaotserjjoznojjstatisticheskojjataki
[link57] http://www.pgpru.com/comment43576
[link58] http://www.pgpru.com/forum/anonimnostjvinternet/kaknastroitjtorithunderbird
[link59] http://www.pgpru.com/comment68317
[link60] http://www.pgpru.com/forum/anonimnostjvinternet/lavabitumerkakiealjternativy
[link61] http://www.wired.com/threatlevel/2013/10/lavabit_unsealed/
[link62] https://freedom-to-tinker.com/blog/felten/silk-road-lavabit-and-the-limits-of-crypto/
[link63] http://arstechnica.com/tech-policy/2013/08/how-might-the-feds-have-snooped-on-lavabit/
[link64] http://www.pgpru.com/biblioteka/osnovy/ssd/dannyevperedache/gosudarstvo/ordernaproslushivanie
[link65] http://www.pgpru.com/biblioteka/osnovy/ssd/kontrrazvedka/fisa
[link66] http://www.pgpru.com/comment68344
[link67] https://www.linux.org.ru/forum/talks/9662999
[link68] http://www.interfax.ru/russia/news.asp?id=334232
[link69] http://digit.ru/business/20130924/405903925.html
[link70] http://habrahabr.ru/post/197756
[link71] http://www.pcworld.com/article/2059840/silent-circle-lavabit-unite-for-dark-mail-encrypted-email-project.html
[link72] http://darkmail.info/
[link73] https://silentcircle.com/web/scimp-protocol/
[link74] https://en.wikipedia.org/wiki/Blackmail
[link75] http://www.fepg.net/foreign.html
[link76] http://www.fepg.net/asia.html
[link77] http://www.theregister.co.uk/2013/11/19/lavabit_analysis/
[link78] http://www.securitylab.ru/news/448208.php
[link79] http://www.pgpru.com/comment74165
[link80] http://www.pgpru.com/comment74180
[link81] http://www.pgpru.com/comment42076
[link82] http://mailtor.net/
[link83] http://mail2tor.com/
[link84] https://www.urssmail.org/
[link85] http://habrahabr.ru/post/197756/
[link86] http://www.dot.tk/
[link87] https://en.wikipedia.org/wiki/.tk
[link88] http://lenta.ru/news/2013/12/23/terabyte/
[link89] https://www.pgpru.com/forum/prakticheskajabezopasnostj/shifrovaniedannyhvoblake
[link90] http://otvet.mail.ru/question/75693072
[link91] https://www.tahina.priv.at/~cm/stats/mlist2.html
[link92] http://mixmaster.sourceforge.net/faq.shtml
[link93] http://www.pgpru.com/comment60064
[link94] https://www.autistici.org/en/services/mail.html
[link95] http://whitewraithe.wordpress.com/2013/11/22/nsa-kills-unseen-is-email-site/
[link96] http://napoveda.seznam.cz/cz/imap-pop3-smtp.html
[link97] http://lavaboom.com/security.html
[link98] http://lavaboom.com/security.html#HTTPS-SSL
[link99] http://venturebeat.com/2014/04/21/google-is-researching-ways-to-make-encryption-easier-to-use-in-gmail/
[link100] http://www.pgpru.com/comment71658
[link101] http://www.securitylab.ru/news/452243.php
[link102] http://www.weiyun.com/act/10t.html?WYTAG=weiyun.portal.index
[link103] https://addons.mozilla.org/en-US/thunderbird/addon/torbirdy/
[link104] https://trac.torproject.org/projects/tor/wiki/torbirdy#TorBirdywithTorandTorLauncher
[link105] https://trac.torproject.org/projects/tor/wiki/torbirdy/preferences
[link106] https://www.google.ru/search?q=site:https://www.pgpru.com%20unseen.is
[link107] http://www.forbes.com/sites/runasandvik/2014/01/31/the-email-service-the-dark-web-is-actually-using/
[link108] https://www.pgpru.com/comment78817
[link109] http://habrahabr.ru/post/225147/
[link110] http://www.opennet.ru/opennews/art.shtml?num=39925
[link111] http://www.pgpru.com/comment80374
[link112] http://www.pgpru.com/forum/rabotaspgp/raskrytieprivatnogopgpkljuchakaksredstvodiskreditacii
[link113] http://www.pgpru.com/biblioteka/osnovy/fondpoleznyhpostov/kriptografija#fppBA7
[link114] http://www.pgpru.com/comment73786
[link115] https://vfemail.net/vfemailaccts.php
[link116] http://www.pgpru.com/comment28114
[link117] https://ru.wikipedia.org/wiki/Потеев,_Александр_Николаевич
[link118] http://www.pgpru.com/comment70532
[link119] http://www.pgpru.com/comment70557
[link120] http://www.pgpru.com/comment70567
[link121] http://www.pgpru.com/comment77513
[link122] http://www.pgpru.com/comment80124
[link123] https://www.pgpru.com/comment80124
[link124] http://www.pgpru.com/comment80715
[link125] http://pixs.ru/showimage/1jpg_5634609_12677511.jpg
[link126] https://lists.torproject.org/pipermail/tor-talk/2012-July/024989.html
[link127] http://mirnov.ru/rubriki-novostey/obshchestvo/tainye-obschestva-kto-pravit-mirom.html
[link128] http://tech.onliner.by/2014/08/04/abuse/
[link129] https://www.schneier.com/blog/archives/2014/03/surveillance_by.html
[link130] http://www.securitylab.ru/news/456286.php
[link131] http://www.pgpru.com/comment71396
[link132] https://twitter.com/A_Sidyakin/status/509551139432701952
[link133] https://ru.wikipedia.org/wiki/Сидякин,_Александр_Геннадьевич
[link134] http://dolboeb.livejournal.com/2691684.html
[link135] https://blog.torproject.org/blog/
[link136] https://ahmia.fi/address/#/search=Description%20downloaded%20directly%20from%20the%20hidden%20service.
[link137] http://roem.ru/2014/09/09/yapop107124/
[link138] http://roem.ru/2014/09/09/yapop107124/#com213603
[link139] https://github.com/ajgon/gpg-mailgate
[link140] https://github.com/EFForg/cryptobot-email
[link141] http://www.pgpru.com/novosti/2014/prostojjsposobsozdanijaneotslezhivaemyhkommunikacijj
[link142] http://www.pgpru.com/comment83460
[link143] http://www.pgpru.com/forum/prakticheskajabezopasnostj/obfuskacijapgpsoobschenijj
[link144] http://www.pgpru.com/comment57496
[link145] http://www.pgpru.com/comment57518
[link146] http://www.pgpru.com/comment83417
[link147] http://www.pgpru.com/comment83421
[link148] http://www.pgpru.com/comment77539
[link149] http://www.pgpru.com/forum/prakticheskajabezopasnostj/secservmeinteresnyjjproekt
[link150] http://portableapps.com
[link151] http://1984.is
[link152] http://receivesmsonline.com
[link153] http://www.vsms24.com
[link154] https://u.baidu.com/ucweb/?module=Reguser&controller=reg&action=index&appid=3
[link155] https://www.verisign.com/
[link156] https://www1.cnnic.cn/index.htm
[link157] http://chinanetcenter.com
[link158] http://www.pgpru.com/comment82141
[link159] http://www.pgpru.com/comment72750
[link160] http://arstechnica.com/security/2015/01/lavabit-founder-wants-to-make-dark-e-mail-secure-by-default/
[link161] https://webmail.meta.ua
[link162] https://protonmail.com/support/knowledge-base/what-is-encryption/
[link163] https://mail.protonmail.com/eo/a5UFI4vhg0y4fGzOJMb97q82OiIMQh3cF6SoxQ_XIYvFYgl6dtceFZ538jV8XbkfZ6omD6Zh28SeJlhMn2vQAIswslbkEd7AT6hk0qLTsn4=
[link164] https://tutanota.uservoice.com/knowledgebase/topics/69730-english
[link165] https://www.mail1click.com/mail1click_personal_how_it_works.php
[link166] http://lelantoss7bcnwbv.onion/
[link167] http://www.wikireality.ru/wiki/I2P-Bote
[link168] https://bitmask.net/ru/features/email
[link169] https://bitmask.net/ru/install
[link170] https://www.ghostmail.com/
[link171] http://www.rbc.ru/society/21/09/2016/57e1e6349a7947290ef7a4e5?from=main
[link172] https://ria.ru/defense_safety/20160919/1477317603.html
[link173] https://xakep.ru/2016/11/09/tormail-fbi/
[link174] https://www.documentcloud.org/documents/3215133-Freedom-Hosting-NIT-Affidavit.html
[link175] https://xakep.ru/2017/01/20/protonmail-tor-address/
[link176] https://habrahabr.ru/post/321480/
[link177] https://codeby.net/threads/interesnye-sajty-v-darknete.67239/
mail@zfp44lbek54utuch.onion
unknown,
Кажется, что намёк понимаю.
Но, если можно, поподробнее...
Например, я встречал в рекламе сервис "Защищённая почта S-MAIL" (http://www.s-mail.com).
За плату 42$ в год: ящик на 75 мб, защищённое хранилище, безопасное подключение SSL и т.д. Упоминают про механизм PGP, что шифруется весь почтовый трафик.
Единственное – меня настораживает соглашение об использовании: Компания ограничивает/снимает с себя всю ответственность за работу своего сервиса.
Никакой ответственности, если Вы оплатили на год вперёд, а этот сервис возьмут и приостановят на месяц, на два месяца.
Кроме того, в любой момент Компания, также как и Вы, может расторгнуть Договор. Про предварительное (за сколько-то дней) уведомление не упоминается.
Может быть, при использовании никаких проблем не возникнет – но на всякий случай ответственность сняли.
Если Вы пользуетесь PGP/GnuPG, можно использовать и бесплатные сервисы.
Например, Pochta.ru (http://www.pochta.ru): неограниченного размера ящик, подключение SSL и т.д.
Замечательная фраза в Соглашении об использовании: "... Администрация обязуется ни при каких условиях не читать, не изменять содержимое почтового ящика пользователя и не предоставлять доступ к почтовому ящику пользователя другим лицам. Исключение составляют только случаи, предусмотренные законодательством". Такого в других бесплатных почтовых сервисах я не встречал.
Но, опять-таки, никто ничего Вам не гарантирует и может без предварительного уведомления удалить Ваш ящик.
Именно это как раз и не устраивает.
Может, это и узкий взгляд на выбор почтового сервиса.
Буду рад ответам.
Заранее спасибо,
Мыколка.
Здравствуйте! :)
Смотря что Вам нужно. Один из вариантов – завести почтовый ящик на WebMoney. Точнее говоря Вы его автоматически получаете при регистрации в системе. Войти в ящик Вы не сможете, пока не пройдете путь авторизации своего WMID. Имя ящика будет выглядеть так wmid@wmkeeper.com, где wmid – Ваш номер WMID.
Размер ящика правда не велик.
Вий, спасибо за ответ.
С WebMoney не работал. Со стороны вижу, что WebMoney довольно непростая в использовании система. Больше склонен к системе Яндекс-деньги.
Подумываю о смене почтового ящика. Хочется выбрать ящик получше. В том числе среди платных. Тем более, что почтовых сервисов много.
Шутка. Это демо-сервер, запущенный в сети tor любителем, где Вам ничего не гарантируется и через неделю неиспользования все удаляется. Может доживем, что коммерческие почтовые серверы будут иметь адреса в сети tor?
Еще есть распределенная почта в сети Freedom. Но это все для любителей особо тайного общения.
Вообще самый лучший ящик – свой собственный, на своем сервере с выделенкой. Правда мало кто может позволить содержать у себя дома мини-серверную.
Из коммерческих (и одновременно бесплатных до 3 Mb) мне кажется лучшим https://www.safe-mail.net/
Очень аккуратный интерфейс. Отсутствие скриптов и баннеров. По крайней мере чисто внешне продуманная система безопасности. Ненавязчивые дополнительные возможности – календарики, хранилища, доски общения.
Для регистрации не надо заполнять анкет – логин+пароль, чтение соглашения и ящик ваш. Все сделано настолько подозрительно хорошо, что кажется даже нет ни одного коммерческого сервиса, который был бы сделан так профессионально.
Хотя я его не рекламирую. Я не знаю о компании, которая его содержит и ее репутации. По WHOIS он находится в Израиле. Хотя он может там просто зарегистрирован.
unknown,
Списибо за ответ!
Завёл ящик на https://www.safe-mail.net
Об этом сервисе мне уже доводилось слышать лестные отзывы.
Ящик и в правду очень удобный.
Вы правы, о компании ни слова. Зачем же ей скрываться?
Ещё не понятно со способами оплаты: Visa, MasterCard и American Express. Как быть, если нет ни первого, ни второго, ни третьего? Ведь 3 мб – это не много.
Когда писал, забыл выполнить вход.
Добрый день!" :)
Работать в WM ничуть не сложнее, хотя я не рекламирую, тем более то же являюсь обладателем кошелька от Яндекса, просто пришлось к слову о защищенном почтовом ящике. С таким ящиком к тому же можно работать только через web интерфейс с помощью IE. Но все равно, иногда бывает нужно. Я при получении аттестата пересылал администрации wm данные своего паспорта именно через этот ящик.
Еще один сервис защищенной переписки http://www.s-mail.com/
Позволяет работать через защищенное соединение, однако все минусы таких систем налицо (на мой взгляд). Для полностью защищенной переписки нужно что бы корреспондент имел ящик на этом же сервисе, администрация сервиса может получить доступ к письмам. Единственное, от чего защищает такой сервис при переписке со случайным корреспондентом – защита канала от моей рабочей станции до почтового сервера.
На сервере используется технология PGP, по моему уж лучше использовать ее у себя на машине + на машине корреспондента (если удасться в этом убедить корреспондента).
Вот только бесплатно его можно использовать на протяжении первых 30 дней.
Более того, сервис работает только с Internet Explorer (ну и допотопным Netscape) и не работает с Firefox; требует Java. Это очень большие недостатки.
Это у многих сервисов есть, даже у Gmail.
Как правило, никогда не удаётся.
Подробно не знакомился, но по моему там что-то было о работе через почтовые программы. А иначе это вообще черт знает что, не может таким сервисом пользоваться трезвый человек! :wink:
Впрочем не знаю...
Что то там было о защите файлов на сменных носителях. Если я верно понял принцип, то я шифрую файл с помощью web интерфейса ключом, который лежит там!!! Ладно шифрую, после расшифровать еще нужно.
Мыколка, определитесь "лучше" в плане чего ?
– безопаснее всего иметь почтовый ящик на собственном сервере, причем если это хостинг то желательно в другой стране. т.к. любом webmail сервисе администратор имеет к почтовым ящикам полный доступ. Но в данном варианте страдает надежность т.к. сущетвует много point to failure (сервер, провайдер, хостинг ....)
– надежнее размещать почтовый ящик в крупных территориально распределенных почтовых системах, например таких как GMail. Вы получите максимальную дуступность + бонусы в виде TLS/антиспам.
Я для себя выбрал второй вариант, т.к мне важнее надежность работы почтового сервиса, а вопросы защищенности и анонимности я решаю другими хорошо известными способами.
Вий, Lustermaf, paranoid ant, спасибо Вам за сообщения!
Заставило задуматься последнее сообщение: мне тоже нравится второй вариант.
Нужен надёжный ящик. А шифровать сообщения буду на своей машине с помощью WinPT (GnuPG).
а что говорят про https://www.hushmail.com?
руслан, http://www.pgpru.com/forum/vie.....6e5e59b487f9044b3054[link1]
Я достаточно критически отношусь к hushmail. Во-первых, в случае любых разногласий, они берут в заложники не только ваши письма, но и закрытый ключь. Потом существует опасность банальной утраты закрытого ключа без всякой возможности восстановления. В третих, их реализация OpenPGP мягко говоря не полная и достаточно <<вольно трактует>> стандарт, что в некоторых случаях просто неудобно, а в некоторых случаях отрицательно сказывается на безопасности.
Конкретные проблемы:
1. Подписаное и зашифрованое сообщение у нинх — clearsigneed message, зашифрованное как простой текст. Приложения вообще не подписываются.
2. Убогая модель доверия, которая к тому же навязывается пользователю.
3. Приложения шифруются отдельно — находка для traffic analysis (анализ трафика по-русски?).
Еще было бы интересно узнанть, какие у вас требования к почтовому ящику. Где вы собераетесь хранить корреспонденцию ("у них" или "у себя"), откуда вам нужен доступ (со своего компьютера или откуда угодно), где и как хотите шифровать, какие нужны гарантии, и т. д.
Я, ксати, хочу запустить собственный сервис для таких, как вы (и я, и многие другие), так что ко всяким предложениям внимательно прислушиваюсь. Хочется обеспечить максимальную гибкость и возможность выбора для пользователя.
да
У меня есть идея, но она Вам наверное не понравится. Делается сеть по типу tor (клиент-серверного типа). Каждый желающий запускает свой сервер. А письмо отправленное в такую сеть храниться не на одном сервере, а на случайно выбранных. И не целиком, а кусками (разделение секрета, secret split). Каждый кусок по отдельности выглядит как псевдослучайные даные. Потеря части кусков некритична. Затем получатель и отправитель должны как-то обменяться информацией о том, с каких серверов получить письмо. Получатель его собирает, соединяет куски, добавляет к ним избыточные (скачанные со случайных серверов наугад, чтобы нельзя было определить какие из них истинные).
Это должно усилить схему псевдоним-серверов и снять с владельцев серверов возможность анализа траффика и содержимого писем, а также сделать невозможными юридические претензии к содержимому переписки, сделав правопринуждение бессмысленным (по аналогии с
сетью tor).
А у сети не будет единого владельца, которого было бы можно поставить под контроль.
Иначе говоря, хотелось бы видеть систему распределенной почты.
Вообще-то я большой поклонник распределенных сисем, но там всегда встает ребром вопрос об экономической состоятельности (каким образом мотивировать участников для выполнения тех функций, которуе требует система).
Потом я не уверен, что то, что вы задумали, следует выполнять на уровне почты. Мне кажется, что к универсальному распределенному хранилищу информации уже не сложно сделать почтовый интерфейс. Но удовлетворительного решения распределенного и безопасного хранения информации, AFAIK, пока нет. Несколько таких проэктов уже провалились (mojo nation и т. д.).
У меня планы менее амбициозные, но распределенные решения меня тоже интересуют. Еще меня заинтересовали решения с разделением полномочий. Например интересная модель, где в одном хранилище хранятся сами зашифрованные письма (потенциально без указания адресата), а в другом — зашифрованый индекс какое письмо кому адресовано.
В принцыпе, и то и другое хранилище может быть распределенным, но даже централизованная инфраструктура с двумя половинами в разных странах — достаточно крепкий орешек.
Примерно также как и в сетях римэйлеров, tor, freedom и т.д.
Правда я сразу подумал, что Ваш проект будет скорее коммерческим, чем чисто академическим. И оплачивать ваш сервис в идеале пользователи должны через вашу систему E-point-cash ;-)
Что ж, это тоже интересное направление.
Что-то существует в сети freedom, но я в этом не разбирался.
Да, идея хорошая и есть почти готовые протоколы для баз данных.
Но как предоставить пользователю гарантии, что эта система не просто распределена территориально и топологически, но и на уровне владельцев?
Так чтобы бы было нереально этих владельцев двух (или более) хранилищ вычислить, собрать вместе или заставить сотрудничать против пользователя?
А если владелец один, то он может создать полную иллюзию независимого функционирования частей сервиса, а на самом деле иметь доступ к двум хранилищам и сопоставлять индексы.
Или пользователи системы должны будут иметь специальное ПО, а адрес в системе будет связан с открытым ключом. Но тогда это будет неуниверсальный сервис и больше как раз подходящий для распределенных систем.
К сожалению, не так же. Сохранять информацию на собственных накопителях значительно (на порядки) дороже, чем просто передавать ее. Когда речь идет о таких маленьких издержках, то трудно различить разницу между милли- и микро-копейками, но она весьма существена.
Многолетний опыт p2p-сетей показывает, что пользователи с удовольствием передают (ретранслируют) чужую информацию бесплатно, но хранить чужие данные так, что даже посмотреть нельзя — несогласны, если им от этого никакой пользы нет.
Еще не надо забывать DoS-атаки. Забить накопитель до отказа один раз значительно дешевле, чем постоянно забивать канал связи. А ущерб значительно больше: Как только атака кончается — линия связи освобождается. А накопитель еще надо очистить. Если вы даже не знаете, что на нем важно, а что мусор от атаки, то ничего не остается как приобрести новые мощности накопления или стерать информацию без учета ее ценности.
Не все так просто. Коммерческим я свой проэкт не называю, так как извлечение прибыли не является целью. Даже значительно более скромная цель — создать систему, которая просто работает — требует экономическую состоятельность. Например то, что тому, кто хранит у себя чужую информацию, надо чем-то (не обязательно деньгами) платить — достаточно очевидно.
Но и это еще не все. Деньги (в том числе и электронные) — не решение, а только инструмент. Либералы проповедующие идеологию, что все проблемы решаются передачей всех ресурсов в частную собственность и свободной куплей-продажей всего на свете, аргументирующие это красивыми теоремами о том, что свободный рынок обеспечивает оптимальную аллокацию ресурсов либо забывают, либо сознательно замалчивают то, что все эти теоремы верны только на полностью осведомленном рынке, с нулевыми издержками на транзакции. А это еще надо обеспечить, что совсем нетривиально.
Например, распределенная система храненеия информации mojo nation, основанная на простой схеме "плати mojo — получай место на диске" погибла из-за недостаточной информированности рынка: невозможно было найти самый дешевый накопитель, и по-этому те, кто повышали цены не лишались клиентов, а те, кто свои цены опускали — не приобретали их. В такой ситуации, некоторые участники начали тянуть одеяло на себя потихоньку поднимая цены. От этого образовался дефицит mojo, и для поддержания работоспособности системы происходила вынужденная эмиссия, которая тут же поглощалась инфляцией. Самораскручивающий маховик гиперинфляции вертелся на полных оборотах, и mojo фактически перестал работать как средство обмена (за заработанные mojo уже ничего нельзя было купить через очень короткое время, так что зарабатывать mojo было просто бессмыслено). И система развалилась.
А как обеспечить информированый рынок накопительных мощностей (аукционы мегабайтов), да еще так, что при этом издержки на транзакции слишком не поднимались, мне пока не ясно, хотя над проблемой интенсивно думаю. И в полне академическом русле. Если что-то придумаю — обязательно опубликую. Некоторые идеи уже есть.
Мне кажется, что тут опять стоит взглянуть на экономическую сторону вопроса. Бесплатной безопасности небывает. Если кто-то готов платить временем за то, чтобы анализ трафика стал невозможным, то он может положить сообщение в хранилище сообщений в одно время, а зашифрованную ссылку в хранилище индексов в совсем другое. Партнер по переписке извлекая и расшифровывая ссылку тоже не сразу достает сообщение. В таком случае почти безразлично, сотрудничает или нет сервис хранения и сервис индексов против пользователей. А тех, кого анализ трафика не беспокоет, не надо загружать. Даже для них анализ трафика становится дороже, чем если все на одном сервере, и даже это незначительное повышение издержек делает тотальную слежку заметно дороже, что уже сам по себе положительный результат.
2 Гость Сообщение 26.12.05 12:31:28
Д. Надь, я Вас узнал ;-)
Вот только я размечтался, пофантазировал немного, а на самом деле это оказывается все сложнее чем в космос полететь. :-)
Придется спускаться с небес на землю.
Ну начнем тогда с простого. Почему бы параллельно с почтовым сервером не запустить на нем же сервер ключей PGP?
Только с односторонней синхронизацией – ключи с него попадали бы в сеть серверов ключей PGP, а обратно из сети – нет.
Это не слишком какая серьезная защита, но дополнительный повод быть уверенным, что данный открытый ключ на данном сервере мог разместить только владелец данного почтового ящика.
Конечно, пользователь должен быть уверен в сертификате сервера, что сертификат что-то значит, что сервер не взломали, что не было "человека-посредине", что тот, кто выкладывает ключ, сделал все правильно и защитил свою машину (ну против этого все бессильно) и т.д.
Но все равно, получение ключей с самого почтового сервера немного повышает к ним доверие.
Другая игрушечная идея – таймер "я еще живой". Если человек в течении периода времени не вводит пароль, то с его ящика происходит рассылка какого-то материала. Для серьезного применения тоже не подходит. Так, баловство.
Именно так оно и происходит. Уже протестировал нескоьлко ключевых серверов, и пока остановился на SKS (кстати, с удовольствием поделюсь горьким опытом в другом топике — серверы ключей из-за того, что они рассматриваются как средства вне периметра безопасности значительно хуже по качеству чем другое ПО связанное с PGP)
Первый вариант сервиса будет примерно такой: при регистрации вы указываете какой-то другой адрес (рекомендовать буду safe-mail, так как большого ящика там не нужно), куда вам будут посылаться ссылки на сообщения, которые будут храниться на http-сервере у меня, все в месте.
На данный момент готово следующее:
Сервер ключей и регистрация: http://pgp.epointsystem.org
Интетрфейс для шифрования: http://pgp.epointsystem.org/tool
Условные обозначения: http://pgp.epointsystem.org/tool-help
Да, мы обсуждали как-то эту штуку. Вокруг меня нету явы...
Тогда у Вас и hushmail не работает. К сожалению, это еще самый приемлимый способ шифровать на клиенте. Можно еще в javascript, но это такая гадость, что противно писать реализации OpenPGP в нем.
Яву не устанавливаете из принципа? Вообще-то там модель безопасности достаточно продуманная.
В порядке оффтопика – да, скорее из принципа и за ненадобностью. Да потому же принципу, по которому java, flash и прочие штуки не включены в Debian.
Потому как не совместимо с GNU/GPL, является собственностью фиры Sun и не может свободно использоваться сборщиками дистров по своему усмотрению.
А обновлять стороннее приложение, которое не собрано пакетом, вручную отслеживая сообщения о дырках неудобно.
Кроме того, никакой особой потребности использования этой технологии у меня нет.
Вот кому нужны еще ссылки на нестандартные почтовые службы:
http://onenetbeyond.org/en/index.html
http://resist.ca/
http://help.riseup.net/mail/security/measures/
(^ здесь посмотрите еще на список ссылок к аналогичным сайтам).
Еще не упоминали MailVault, http://www.mailvault.com/
Посмотрел mailvault. Там PGP-криптография происходит на сервере, то есть они (операторы) имеют возможность читать сообщения, подделывать подписи и т. д. Вся надежда на их добросовестность и компетенцию...
Большинство проблем как с hushmail тут тоже возникают. В том числе и совершенно неуравновешенная безопасность: некоторые меры значительно легче преодолеть, чем другие.
Пару дней назад, по всей видимости, был сбой на www.pochta.ru (www.hotbox.ru).
Держу там ящик. В воскресение смотрю – ожили несколько папок и писем, которые, как мне казалось, я безвозвратно удалил еще в декабре'05!
Так сказать, несколько папкок возникли заново и наполнились письмами.
Говорят, подобное однажды произошло и на Mail.ru
В любом случае, не ожидал подобного от Pochta.ru. Что они там – почту копят?
Интересно, никто в ближайшее время не сталкивался с подобным?
Еще один + за шифрование почты. Пусть забивают сервера нечитаемыми сообщениями.
Только уж очень сложно убедить адресатов в этой необходимости...
Интересный вопрос, почему письма где-то там сохранились? Разве они (РосБизнесКонсалтинг) могут копить всю почту на серверах?
А разве пользовательское соглашение им это запрещает? ;) Сервера принадлежат им, почтовая [информационная] система — тоже. Поэтому могут делать всё, что им захочется.
Вы правы, технически они могут делать все, что их душеньке угодно.
Только зачем им оставлять копии сообщений, если обещают, что не буду читать?
В пользовательском соглашении:
"2. КОНФИДЕНЦИАЛЬНОСТЬ ИНФОРМАЦИИ.
... Администрация обязуется ни при каких условиях не читать, не изменять содержимое почтового ящика пользователя и не предоставлять доступ к почтовому ящику пользователя другим лицам. Исключение составляют только случаи, предусмотренные законодательством..."
Но в процитированном фрагменте не упоминается, что они не будут делать копии данных пользователя в целях администрирования и обслуживания и пр. Любой подобный сервер для поддержания надёжности использует зеркалирование данных. Какой-то из этих носителей могли сохранить в резервных целях... да мало ли что... А тут "ситуация", ЧП, потеря данных. Диск втыкают снова, и информация воскресает.
Это просто один из возможных сценариев или потенциальная отмазка администраторов из РБК.
А ведь верно.
Мощные базы с копиями сообщений – если письма были удалены в декабре...
Главное неудобство – удаляю все эти старые письма/папки, выхожу из почты, а при следущей авторизации – они появляются снова.
В итоге – удалил ящик и зарегистрировал его заново. Сейчас все в порядке.
Может они только Ваши письма хранили как особо дорогие их сердцу? :)
Просто опасаюсь, что Они только притворяются, что мои письма дороги их сердцу.
Я уверен, что Они вместе с ФСБ'шниками их всегда тщательно прочитывают...
На самом деле Pochta.ru – это отличный, мощный, современный почтовый сервис.
И я благодарен РБК за то, что они предоставляют мне почтовый ящик, совершенно не требуя с меня денег.
И тем более ничего против них не имею, хотя и держу основной ящик на другом сервисе.
... Когда увидел ожившие письма, меня охватило какое-то чувство неожиданности, которое я и выплеснул на предыдущей странице.
(извините за офф-топ).
Если понимать под почтовым сервисом обработку писем исключительно в формате plain text, не содержащих ничего сколько-нибудь похожего на URL.
Насчёт Почта.ру.
С 10 августа проблемы с доменом land.ru. За это время пару раз только удалось скачать почту. Последний раз 19 августа.
На сайте висит объявление: "Уважаемые пользователи! Возможны временные затруднения в работе сервиса. Приносим свои извинения."
Техподдержка отвечает: "Мы работаем над проблемой. Она будет устранена в ближайшее время. Приносим извинения за неудобства."
Другие ящики там работают нормально.
Здесь обитают активисты с riseup.net? Два.
вопрос некорректный изначально.
1). если нужна анонимность то заведите себе ящик на какой нить помойке типа маилсру или укрнет... которая поддерживает доступ по протоколам pop3/smtp, заверните почтовый агент чере тор и живите длого и счасливо, пока акк не угонят владельцы какого нить вызодного узла тор
2). поставьте почтовый сервер у себя дома (под windows неплохо работает hMailServer с SQL Express или MySQL), зарегистрите себе домен, например на dyndns.com, потом немного поморочиться придется с SPF и DKIM и держать комп все время включенным
3). поступить как тот чел который пустил анонимный постовый сервис в сети тор
Э-э-э, какая тема :) Распределённая почтовая база – как пчелиный рой, не имеет постоянных координат, и тем не менее посредством алгоритмов сохранения целостности всегда готова к использованию и не теряет свои фрагменты, потому как осуществляется многократное резервирование. Время хранения в одной точке
не должно превышать времени, необходимого на выдачу ЦУопределяется исходя из рейтинга, по аналогии с тором, но не должно превышать некоторой константы. Разумеется, должны быть ограничения на размер M, опять же по аналогии с тором. При такой модели м.б. даже собственно шифрование и не понадобится :)Вот такой вопрос появился. На Яндексе в главном окне, в поле ввода пароля для входа в почтовый ящик появился замочек и написано "Безопасная передача пароля". А сама главная страница SSL не защищена. Как это может быть?
Примерно так же, как и на заборе написано ***, а внутри – дрова. :)
Ну, это не ответ. Хотелось бы услышать какое-то вероятное объяснение, либо напротив, опровержение. Вообще на мой взгляд Яндекс на такой уж откровенный развод вряд ли должен пойти, не та компания.
К тому же есть и https://mail.yandex.ru/
Если страница с формой ввода реквизитов без SSL, а под SSL только action-URL веб-формы, то её можно заспуфить, и никто не догадается. В общем, это очень плохо, и делать так совсем не стоит. Но все делают, потому что пипл хавает.
Тут не развод, а просто некоторая некомпетентность разработчиков. Уязвимость SATtva описал.
Ну есть ещё невероятные версии, типа они подразумевают, что у них SASL, или что передаётся не сам пароль а хэш от него и ещё чего-нибудь... да мало ли что они могли подразумевать. Конечно, это не отменяет того, что реализация кривая.
Допускаю, но все же хочу немного вступиться за Яндекс, тем более являюсь его почитателем. Поскольку это ресурс с множеством разных услуг вряд ли стоило-бы делать его главную страницу защищенной с помощью SSL. Зато отдельно передаваемый пароль хоть как-то отдельно защищен, чего нет на множестве других ресурсов, здесь главное не обмануться излишним доверием. Но учитывая, что большинство пользователей этому вообще не придают никакого значения думаю все в норме. Если же есть желание войти с полностью защищенной страницы, то такая возможность пользоватею предоставлена.
Ну так сделали бы специальную страницу с формой логина, защищённую SSL, делов-то. Суть в том, что трафик должен быть защищён и аутентифицирован, начиная с самой веб-страницы (т.е. по направлению сервер->клиент), а не с action-url веб-формы (по направлению клиент->сервер). И, судя по представленной https-ссылке, такая страница действительно есть.
Тогда зачем вообще было устраивать эту показуху? Для маркетинговой галочки? Выходит, так.
Если мне не изменяет память, то и на gmail раньше было так же. Ещё в те времена я выучил адрес аналогичной страницы, где всё уже в SSL — что-то типа https://gmail.google.com или https://mail.google.com/mail. Может быть, сейчас уже по дефолту страница логина — вся на SSL.
Скорее всего действительно так. Сейчас без этих новомодных явлений никуда. Mail так тот вообще в этом отношении преуспел и теперь деньги лопатой гребет, подарочки в "моем мире" уже платные, подсказки в играх покупать можно и т.п. Вот и другим приходится соревноваться.
ps Подскажите, кстати, цитирование с указанием автора цитаты можно сдесь можно делать?
Кстати, забыл сказать, Яндекс предоставляет так же возможность работы с почтой по протоколу POP/SMTP или IMAP/SMTP, то бишь с почтовой программой, используя SSL/TLS.
[quote="STAFF"]Подскажите, кстати, цитирование с указанием автора цитаты можно сдесь можно делать?[/quote]
Да.
+1 to gmail.com
вообще для "чувствительных" вещей нужно завести отдельный почтовый ящик и поставить пересылку на основной ящик..
также лучше к gmail.com прикрутить свой домен, это гарантирует не возможность "угона" ящика, к тому же от них всегда можно будет "съехать"...
А если использовать SSL, то так просто не угонят.
Добрый вечер.
Использую бесплатную почту gypost.com, каких либо проблем с почтой не замечал. А интерфейс удобен и не похож на остальные почтовые сервисы. Все зависит от Ваших потребностей. Если Вас интересует в первую очередь безопасность, то в таком случае рекомендую вообще отключить сеть от компьютера, потому как никто Вам не даст гарантий невозможности взлома. А если Вас интересует как меня приемлемая надежность, и удобство использования, тогда выбирайте из того что имеется в сети. Можна любой почтовый сервис мейл.ру например, но меня лично напрягает их старый подход к организации почты, по этому пользуюсь gypost.com.
Как-то на рекламу смахивает. "Или подключите услугу, или отключитесь от сети." (=
Значит всякие анонимайзеры и анонимные сети вы исключаете?
Да, смахивает, но во всяком случае +1 к списку почтовых серверов, умеющих https. Судя по поддерживаемым языкам, принадлежит каким-то русским/украинцам. Нужен новаторский почтовый сервер, ИМХО, умеющий хорошо работать с gpg-плагинами типа firegpg на стороне пользователя, чтобы всё шифровалось end-to-end удобным для непрофессионалов способом, искаропки.
Host name:
mx00.gypost.com
Country:
Ukraine
Country code:
UA
Region:
13
City:
Kiev
Latitude:
50.4333
Longitude:
30.5167
Гость (03/09/2011 20:44)
Это что-то значит или вам кэп шепнул?
В свое время на яндексе грохнулась база и официально саппорт клялся что не может восстановить письма полугодичной давности :) правда или бред для "введения в заблуждение вероятного противника" из оперы "фсб не умеет слушать скайп и вскрывать базы 1с" ? :)))
Итак: ?
1. Где-то подальше от рунета
2. Без жабаскриптов в наше время трудно.
Гугломыло, если отбросить вопросы незаконного лишения свободы пятой точки, лучше рамблерного не гугломыла. И режим веб 0.5 есть. Если не нравится
гуглцарнуб, то можетмоссадsafe-mail.net. Или зоговский tormail, только через тор и нельзя удалить аккаунт, совсем нельзя, зато никаких илюзий как в прочих гуглах.Вот чуствую не зря мне человек ответил, хочет что-то подсказать, помочь как-то, а что? – никак не пойму! Когда же я выучу наконец этот олбанский! Ведь говорил же нам Медведев на видеоконференции, еще четыре года назад говорил – "олбанский учить НАДО", а все руки не доходят. Ну – сам виноват, каюсь. Поясни, друг!
"режим веб 0.5" – ху из этот мистер?
"царнуб" – ?
"незаконного лишения свободы пятой точки" – ну и в чем прикол? Мне ведь мыло надо только для реги, только для реги, никогда не мылился и мылиться не собираюсь. Но вот чтобы ссылку подтверждения регистрации скопипастить придется войти в ящик с включенным JS, а это уже не айс, совсем не айс!
Реквестирую в тред протокол-куна.
Друг, так бы и писал. Может тебе нужны одноразовые ящики? Если так часто регаешься, то и реги наверно одноразовы. Найти десятки можно через поисковик. Культовые примеры: Хакнет за еду[link2], Ведро для писем[link3], Едим спам[link4]. Часть может местами не работать, но идею отражают. Однако можно нарваться на сервис который не разрешает регаться с такими мыльниками.
Зарегил наконец-таки нонче новую почту (один из нужных мне сайтов ненавязчиво-так ну никак не принимал никакие адреса акромя gmail ;) оно и понятно – деанон через телефон!, ну да Господь им судия, где они учились мы там преподавали). Для этого пришлось купить "в рядах" новую симку за 150 рэ (и кстати совсем беспроблемно: а скока стоит – "стольник", давай паспорт, а с собой нету, ну тады "полташ" сверху за штраф т.к. будем оформлять на чужой. Ой Раша, и чё-ж я в тибе такой влюбленный!). С ентой же симки и зарегился потому как через Tor гуголь уже не регит. Таким образом айпишник засветился только от сотового оператора. Входить же в ящик гуголь позволяет и через Tor при отключенном JS. Так что пока работаем, брат! Стоимость реги незначительно возросла от 0 до 150 рэ. Деньга подъемная.
Ещё есть mailforspam.com[link5].
А если предыдущий владелец симки совершил 10 убийств, а вас-таки найдут, повесят пожизненное на вас, да.
А IMEI телефона?
Вы не один такой[link6]. И олбанский тут ни при чём.
Это закидоны одного/нескольких местных разбавленные двачем головного мозга.Протокол-кун, но вот ты то один такой,
уни-кал-ьный.Ложъ, ёжъ, и окация. Если считаете что включенный скрипт выпиливает всю инфу из системы в пользу зога, тогда таблеточку и виртуалку примите. И тогда прибудет с вами гугли, за 0р и пару нервных клеток.
Как гугл узнает IMEI аппарата? GSM закрытый протокол, как и ты кун, но там хоть логика местами прослеживается. Читай внимательней, речь про засветку адреса в логах гугла. Чел, не связывает гугл и провайдера в зог узел.
Ну если только так... но я бы так всё равно делать не стал, а то мало ли что, особенно, если эта операция регулярная, а не раз-два в жизни.
Зарегаю ваше гмыло. За биткоины.
Гость (01/05/2012 22:45), ебнутые на всю голову протокол-куны не нужны.
Ты читать умеешь? "акромя gmail"
Ты читать умеешь? "будем оформлять" – новая!
Ты читать умеешь? "эта операция регулярная, а не раз-два в жизни" Тебе точно надо все рассказывать? Хорошо – телефон тоже выделенка, 4500 рэ (из-за наличия EDGE).
dolboyob, скажи зачем тебе ресурс где живут эзопы? Если слово "желательно" == "обязательно", то зачем такой трекерный неадекват нужен.
ПыСы: Возьми к себе туда протокол-куна, он их там быстро научит ходить строем.
И что с того? Сколько ещё sim-карточек было оформлено до тебя на тот же паспорт? Априори готов сесть в фургон за всё, что сделали их владельцы? Ну счастливого пути тебе, dolboyob!
mailforspam.com ≠ gmail.com
4500р + 150р = 4650р. Кто-то тут приврал?
аплодисменты!! таки спрятался )) конечно невозможно определить с какого номера шел коннект и наверно очень сложно определить местоположение выхода "в свет" данного номера
у нас что наличие симки является единственым и безапелиционным доказательством совершения преступления? ))))))) бред...
для информации, там где продаются эти симки, продаются такие-же и аппараты за "3" копейки.
Конечно, нет. Но вы это в суде будете доказывать, а суд у нас знаете какой. Кстати, при чём тут симки? Владелец паспорта, на которого регают симку, мог много чего накуралесить.
симку например можно найти. да и как пользование сотовым телефоном можно привязать к совершенному преступлению, если только биллинг не покажет присутствие этого номера на месте преступления.
до суда нужно такое шитое дело довести. какой прокурор поведется на такую доказательную базу? ))) а если следаки захотят вас упаковать, так они найдут покрепче доказательства
Новые симки без паспорта тоже купить нетрудно. Во всяком случае ещё пол-года назад без проблем купил в Москве по своей цене "с лотка", причём не специально – просто паспорта с собой не было :)
Извините юноша, возможно я должен испытывать угрызения совести от того, что даже не заметил как потратил на свои забавы сумму, которая Вас шокировала. Не отчаивайтесь, когда Вы вырастите у Вас тоже будут деньги.
Бред в духе быдлофорумов. Теперь и на pgpru.
Было установлено, что симка зарегистрирована на паспорт/владельца X. Эта симка найдена при случайном обыске у гражданина Y. X повинен в куче преступлений. Какая связь между X и Y? Вот это и будет выяснять суд и следствие, пока вы будете год в КПЗ сидеть. Для простоты могут ещё и повесить на Y то, что совершил X.
Вопрос не в сумме, а в том, что вы нагло соврали. Я вам указал на нестыковку — вы в ответ нахамили, я задал вам ещё вопрос уточнения ради, и тут бац! Оказывается, вы имели в виду совсем не то, а пишете сюда то, что левая пятка вам подскажет. Решили возглавить местных троллей?
Исходить надо не из того, что «если захотят, сделают всё», а из минимизации рисков. Вы будете первым подвернувшимся: зачем искать ещё кого-то?
Ладно, давайте без обид, если только постинг не является самоцелью постинга и вы действительно заинтересованы в нахождении ответа на вопрос. Во-первых я не преступник, вы все плавно ушли от темы приватного почтового ящика и меня за собой туда утянули. Я вас не об этом спрашивал. Хватит вам постоянно думать о тюрьме, а то еще ночью приснится. Помните как Адоба подала иск на русского программёра, приехавшего в штаты на конференцию какихто-там шапочек, за то что он разработал способ обхода защиты в их электронных книгах. Всего лишь способ, всего лишь в каких-то там книгах, которые в структуре доходов Адобы занимают не Бог-весть какую долю. И что же? Чел реально несколько месяцев чалился на комфортабельной штатовской киче пока не откинулся за полной обсурдностью выдвинутого обвинения. Это преступление? Видимо да. Во всяком случае могло бы им стать. Но не стало даже в штатах. С другой стороны давайте посмотрим на второго нашего соотечественника многоуважаемого Монкруса. Чёрт сей имеет собственную страничку на блогспоте (а это ни много ни мало гуголь со всеми скриптами) и собстсвенное гугломыло. Через свой блог и несколько трекеров (заметьте не файлообменников) он распространяет продукт своего бескорыстного труда активаторы (в комплекте с самими продктами!) цитирую отзыв "любую программу "второго эшелона" можно всегда заменить аналогом, а программы из ваших работ не заменить ничем. Они наиболее востребованные, наиболее объёмные и труднодоступные для простого пользователя. Будьте уверены, эту разницу большинство из нас прекрасно понимает. P.S. И даже эти фундаментальные программы бледнеют перед тем, что вы популяризируете целые ОС...)." А программы первого эшелона это ведь уникальные, незаменимые, топовые продукты такие как AutoCAD, Autodesk, Acrobat Pro, Photoshop CS, Flash Builder, Premiere Elements, SharePoint, Microsoft Office, Microsoft Windows (полное семейство) ну-ка прикинь цены хотя бы на том же Софтлайне. Доходность их несравнима с порушенными e-books. И что-же вы думаете чел прячется за базарными анонимными симками? Полноте батенька! На первой странице блога висит оферта об "установке программного обеспечения частным лицам и небольшим организациям" с указанием цены и контактного телефона! Это преступление? Точно – нет! Вспоминается фраза из одного анекдота "Не борзей, со мною мэр Лужков. Ну так в Лужках и быкуйте, козлы, а мы в Москве!".
А насчет следаков другой пример из свежих. Возвращаюсь я вчера с дачи, как тормозит меня мусорок (видать потому что я был на TLC-90 нестандартно для городского потока) и с порога даже не на "Вы" заявляет мне "а скока ж ты выпил?". Я культурно "не пил". Ну а дальше "на гоп-стоп" дыхни сюда, о да тут 0,45 и т.д. Я его спрашиваю а что это за хрень в которую я дыхнул? Он – ну раз ты так разговариваешь, то тогда в больничку. Да с удовольствием. Через 20 минут базара он мне заявляет – "лажи магарыч и езжай". А за что? За перегар! Слышь, командир, если бы у меня был перегар, то мы бы сейчас решали не за магарыч, а как с 30 на 20 сговориться, я прав? На том и расстались. Так что следаки... Вот, блин, снова анектод вспомнился! Идите Вы на... товарищ майор, собака след не берет, нюхайте сами!
[off]
Лично у меня вопроса не было. Я только заметил, что некоторые люди стали писать/рекомендовать чушь, делая pgpru.com пропагандой чуши, и мне пришлось вставить своё слово, чтобы новички и неопытные не восприняли это всерьёз. Если не вставлять, форум постепенно наполнится бредом по самую крышу и станет бесполезен всем, в том числе и мне.
Слово «даже» тут лишнее. Америка, хоть и страна полного безумия, но там есть хоть какой-то (пусть сумасшедший и тоталитарный, но) порядок, а вы пишете из страны, где человека могут посадить на 10 лет строгача на основании одного рисунка кошкиного хвоста, а власть придержащие (милиция и прочие) являются «социальной группой» вопреки всем заявлениям экспертных советов. Это я не оффтопа ради, а минимизации рисков для.
Вы не поверите, но если не соблюдать правила русского языка, то другие вас не поймут, даже с учётом постоянно действующего метода коррекции ошибок. Я два конца этого предложения в один смысл не смог свести никак. Наверное, перед «активаторы» должна быть запятая или тире (в зависимости от того, перечисление это или пояснение), а после — точка и начало нового предложения.
Вы смешиваете специализированный незаменимый софт (AutoCAD, Photoshop) с вполне заменимым, но монопольно устоявшимся на рынке (Office,Windows) и прочими продуктами. Это не честно. Впрочем, это оффтоп.
[/off]
Если анонимность определять как «я такое натворил, а меня не нашли!», то можно далеко зайти. Кто-то просто не думает, другой надеется на авось, до третьего у органов ещё руки не дошли, четвёртый мало кому интересен, т.к. среди преступников есть рыба покрупнее в плане палочек в отчётности и т.д. Но ни один из этих факторов не облегчит вам участь, когда «авось» не пронесёт (это я безотносительно к вами приведённому примеру). Люди не от дурости занимаются научным подходом, выработкой моделей (в том числе и для атак) и прочими вещами. Метод постоянного латания дыр по ходу дела (не знаю правильный термин для этого подхода) — самая худшая стратегия из возможных (и это во всём так: и в политике, и в управлении, и в математике), её у нас обсуждали неоднократно: /comment49551[link7], /comment43506[link8], /comment36423[link9], так что гордиться её применением не следует. Более того, вопросами того, что такое анонимность[link10], умные люди озаботились ещё задолго до существования интернета как всемирной сети.
следуя вашей логике, именно так и нужно к вопросам безопасности относится. захотят – закроют(!!) "то что вы не сидели – это не ваша заслуга, а наша недоработка". это еще более кратчайший путь, чем просто подвернулся или при "случайном" обыске у человека X или Y или Z найдена сим зарегестрированная на иного человека, который ПОДОЗРЕВАЕТСЯ (прошу заметить) в совершении ряда или даже одного преступления. ибо виновен он будет после того как суд установит данный факт.. но если все упростить, то конечно доказательство преступления можно просто привязать к обнаружению симки ))
[offtop]
> если все упростить, то конечно доказательство преступления можно просто привязать к обнаружению симки
Я всего лишь хотел сказать одну тривиальную вещь: не стоит так однозначно радоваться тому факту, что сим-карта будет зарегистрирована на неизвестно кого. Подобное уже обсуждалось в контексте оружия в /comment52067[link11]:
[/offtop]
а можно как то разговоры вернуть в тему топика?
вот последнее время на Гмыле происходят изменения не в лучшую сторону (с позиции анонимности или по другому свобод в предоставлении о себе инфы)
привязали жестко у телефону, потом понадобится прописка или регистрация, фотографии etc
так что может быть альтернативой?
1. пользование почтовым клиентом (TLS/SSL)
2. https
3. местоположение не РФ (по возможности)))
ну так мин требования.
Всем пунктам удовлетворяет https://safe-mail.net. Уже обсуждалось.
А чем плох этот почтовый ящик: www.mail.com
Хотелось бы узнать ваше мнение.
какие протоколы соединения поддерживает? шифрование соединения? почтовые программы? и т.д.?
Кто что может сказать о cryptoheaven.com? Я так понимаю, что ключ у них на строне сервера не хранится.
Есть ещё https://www.zoho.com/mail/
Бесплатно. SSL IMAP дают.
Не понимаю, существуют что-ли сегодня почтовые сервисы, не предлагающие поддержку этого, даже бесплатно?
Mail.ru.
Причем там и веб-морда без SSL.
И есть сервисы где кроме веб-морды ничего нет, или за деньги. Гугломыло где есть всё, и даже больше, это еще не все энторнеты, да.
Это диагноз, а не почта. Однако сейчас (я настраивал аккаунт mail.ru знакомой на мобильном устройстве) SSL/tls появились. Не знаю, как давно. В браузере да, без хттпс, но логиниться можно с. Но тут обсуждать нечего.
Кто что может сказать о cryptoheaven.com? Я так понимаю, что ключ у них на строне сервера не хранится.
Mail.ru авторизацию по SSL оказывается поддерживает, но только по адресу https://e.mail.ru/cgi-bin/login А по адресам
http://www.mail.ru и http://e.mail.ru/ авторизация идет по http
Erazon, не совсем верно с главной mail.ru тоже аутентификация чрез https https://auth.mail.ru/cgi-bin/auth
Если страница с веб-формой логина передаётся по http, то куда там ведёт action этой веб-формы уже не имеет значения.
У меня с "https://auth.mail.ru/cgi-bin/auth" редирект на http://e.mail.ru/cgi-bin/login без всяких "https"
аналогичная ситация (!)
Очаровательно! Полагаю, так всё равно не должно быть, даже на мэйл.ру. Но вообще в этой странице мало толку, поскольку я не представляю пользователя этого сервиса, запаривающимся логином со специальной страницы, вернее не представляю себе человека, способного на это, среди их пользователей. Извините за offтрёп.
м-да .. зарегистрировал ящик на safe-mail. отправка писем через почтовый клиент только для премиум аккаунтов (( грустно.. можно ставить TLS порт 25, выскакивает окно что нет сертификата, сбрасываем и письмо уходит.. ну как выход, если сообщение шифровано. получение POP через SSl – ОК. опять костыли ((
— Гость (14/05/2012 00:11)
Обратите внимание на эту почту:
https://www.mail.com
https://www.mail.com/ru/
Поддерживает несколько языков, Русский есть.
Предыдушее сообщение не тому человеку адресовал, удалите его.
— Гость (19/05/2012 17:02)
Обратите внимание на эту почту:
https://www.mail.com
https://www.mail.com/ru/
Поддерживает несколько языков, Русский есть.
На сайте об этой почте можно прочесть подробнее:
о mail.com, политика конфиденциальности...
сервис в германии. сейчас проверим. проверил zoho(сша) поддерживает POP/IMAP, SSL/TLS, сборщик почты, белый\черный список.. перемудрили с регистрацией.
выбрасывает на gmx и здравствуй немецкий и подобные языки.. неудобно регистрировать (( – это первое знакомство.. кто не знает немецкий, наверно будет туго
... да. ущел на *.com но на этом мытарства не закончены – Your registration could not be processed at the moment. Please try again later. If the error persists, please contact us."
вообщем так и не удалось на настоящее время зарегистрироваться ((
смешно, НО mail.ru сделали регистрацию через мобильник ))) во как..
На эту почту ненужно обращать внимание, через Https там только авторизация. В бесплатной варианте пользования доступна работа ТОЛЬКО
с веб интерфейсом осуществляемая по Http: ваши сообщения будут читать все кому не лень, и провайдер, и сосед по локалке "Вася" со сниффером.
С точки зрения безопасности www.mail.com совершено неприемлим
Не вводите людей в заблуждение: там, при регистрации, ссылочка есть "у меня нет мобильного телефона" "Жмякаем" на нее и открываются поля для ввода секретного вопроса и ответа, после чего регистрация успешно проходится без мобильного номера.
а давно ли вы пробовали авторизоваться?
своими глазами видел, что пропала возможность выбора "у меня нет мобильного телефона". перегрузил страницу не 1 раз. сейчас проверил – шайтанама(!!) все на месте. приношу извинение за недостоверность (((
а у вас случайно автообновляемых банерорезок вроде Adblock a или Admuncher a не
установлено? вполне возможно что ссылка резалась ими, но после автообновления резатся перестала
есть такое.. он же как локальный прокси работает? я грешным делом подумал, что к Тор адресам что-то применили. заходил через Торбраузер(JS был разрешен)
Admuncher – да, это локальный прокси -фильтр трафика.
не могу создать тему
если кто-то может – закиньте в новое обсуждение
есть ли желающие скомпилировать сие чудо или хотя бы обьяснить как это сделать под виндой?
http://vanish.cs.washington.edu/download.html
Оно вам точно надо[link12]?
Ну уязвимости есть у всех продуктов
идея уж очень интересна
а какие раньше обсуждения были – супер
Типа сейчас обсуждения уже не те, что раньше, пгпру не торт? :)
есть немного
я давно не находил ничего из новых проектов, хотя уверен они есть
Так сайт целиком держится на одном[link13] человеке: если он найдёт, переведёт, добавит в новости, то что-то будет, а если нет, то нет. Он и так много чего делает. Остальные только читают, иногда комментируют. У всех дела в оффлайне, всем некогда. Хорошо, что имеем хотя бы то, что имеем, грех жаловаться. Могло бы и этого не быть.
я же не сказал, что сейчас плохо
просто по ссылке пошел и удивился как люди обсасывали технологию vanish
С vanish две эпопеи было: когда unknown запостил новость и все впечатлились с перспективами, и когда пришло объяснение, что ничего этого работать не будет, как заявлено, будущего у проекта нет, и его вообще забрасывают. Возможно, что было даже 2 новости, а может и всё в комментах произошло. Гуглите vanish site:pgpru.com, если хочется восстановить детали.
Подскажите пож-та бесплатные почтовые сервисы (если таковые имеются) там, где информацию обычно не выдают спецслужбам.
Спецслужбам не выдают информацию в тех
племенахстранах, где нет самих спецслужб. Правда, там и интернета нет, так что с почтовыми сервисами будет напряг. Ваш вопрос — сам по себе оксюморон.Воспользуйтесь Gmail с двухфакторной авторизацией при входе через Web-интерфейс.
Канал от вас до google будет зашифрован https, от кейлоггера и перехвата пароля спасет авторизация по второму носителю (смс на определенный номер, программа-негератор одноразовых паролей на телефоне и т.п.), внутри google непосредственный доступ к данным имеют всего несколько человек и вероятность того что им потребуется/захочется прочитать именно ваши письма ничтожно мала.
Есть судебные ордеры, а также возможное негласное сотрудничество с АНБ/ЦРУ и другими подобными структурами, афиллированными в САСШ.
С точки зрения надежности, безопасности хранения, и защишености при передаче – несомненно Gmail не имеет конкурентов.
Вопросы определения географического положения, информации о системе и прочий, шпионаж посредством браузера: TOR + http://www.pgpru.com/forum/anonimnostjvinternet – "спасут отца русской демократии"
Тогда какая разница с помощью какого почтового сервера пересылать шифрованные сообщения?
любая почта + pgp (gpg) – чем плохо?
))) хотя отдел К отрапортовался недавно, что перехватил и расшифровал переписку злобных хакеров-преступников, которые стырили из банков кучу денег.
Ввиду принципиального изъяна системы доверия в SSL/PKI[link14], прослушивать могут какой угодно сервер (PGP, конечно, спасёт, но mail-адреса абонентов утекут).
В контексте гмыла? Ага[link15], ага[link16] :)
с Gmail сейчас все ясно. "анонимность" там начинается со страницы регистрации при указании моб телефона. сначала нужно сходить и купить левую симку, зайти в кафе с халявным WiFi и начать процедуру, не забыв запомнить страну через которую производил регистрацию.
Зачем же давать вредные советы? Если будете использовать старый телефон, то оператор с лёгкостью произведёт совмещение по IMEI и вы деанонимизированы. Если телефон поменяете, то ваше местанахождение и перемещение также выдаёт огромное количество информации для деанонимизации.
По айпи определить местанахождение кафе элементарно, а уж там наверняка против таких умников стоят камеры и всё записывают.
ничего вредного. берешь необязательно новый телефон (можно у барыг старый и выбросить потом) и регистрируешься.
что абсолютно ничего не даст, причем не стоит выбирать пафосное кафе, а лучше встать рядом с макдональдсом.
предвосхищая вопрос с MAC, скажу что тоже решаемо.
http://anobox.ru/
Вроде данный сервис не упоминался на страницах pgpru?
Случайным образом его нашёл. Впечатление – проба пера. Слишком много косяков в статьях при первом беглом взгляде. Взять хотя бы эту статью.[link17]
К тому же домен ru, сервак мелкомягкий, в Москве, собственно, можно дальше и не продолжать. Описание сервиса, две звезды из пяти, зачем он нужен в связке с тором и логами? С тором можно и др. сервисами пользоваться, отправлять корреспонденцию "временно" нельзя. Что ещё?)
Это субъективное мнение, может кто-то считает иначе?
Впрочем, потестировать на досуге можно. Но не нужно=)
А жирно зачем?
Считаете, слишком
толстожирно? Это, наверное, от того, что я очень субтильного телосложения, пытаюсь таким образом как-то компенсировать низкий ИМТ.Чтоб толсто было. Что не понятно?
Я хочу завести два почтовых ящика: один для анонимной работы, другой для неанонимной. Подскажите, какие сервисы лучше использовать?
Прочитайте все комментарии к топику[link18]. Если после этого останутся вопросы, задавайте их там же.
В свете последних новостей[link19], подскажите пожалуйста, где есть более-менее безопасные островки для создания почтового ящика?
Может mail.ru?
Все под колпаком. Use OpenPGP, Luke!
не надо ходить по пафосным кафе-мороженное Москвы. WiFi в кафе работает только в стенах кафе? или все таки есть радиус действия? а точно! по периметру каждого кафе, в радиусе действия точки доступа, стоят камеры. требования СОРМ?
chat.ru пробовали? :) как можно серьезно отвечать на такой вопрос? может где-то в районе mail.arctica, тогда точно в духе последних новостей.
Скорей уже mail.alpha.centaurus
Не все такие умные и опытные...
Лучше бы ссылки на место реристрации ящика ... mail.arctica... mail.alpha.centaurus...
И список: – "где лучше не заводить почтовый ящик".
Из письма Райана Фогла:
Кажется, GMail всегда запрашивает личную информацию, или я не понял о чем речь?
localhost
Какая разница, где заведён ящик, если соединение с ним через Tor, а письма шифруются? Альтернатива — собственый сервер с SSL при условии, что все ваши абоненты тоже будут им пользоваться. Ещё есть tormail, поищите по форуму, он обсуждался.
Тоже собрались письма в ЦРУ писать? Цитату без ссылки кидают только мудаки. Я могу нагуглить[link20], но какого [ceocnored] я должен ради вас делать лишние телодвижения?
Речь идёт о том, чтобы не указывать никаких контактных данных, которые ранее уже были как-то где-то засвечены (типа ящика для восстановления пароля). Можно ли зарегистрироваться в gmail без телефона — вопрос спекулятивный и здесь уже обсуждался. Одни считают, что нельзя, другие — что для некоторых IP в странах, типа Белоруссии, такой вариант срабатывает. Так или иначе, в письме предлагается купить новые «дивайсы» для связи. Значит, новый телефон тоже мог иметься в виду.
[offtop]
Я за калиткой
повесилзавёл. SSL, микс, все дела. Пока до меня доберется через пару суток, через всех соседей пройдет.Выше правильно написано, что во многом не важно, где сервак и кто почтовый провайдер, если шифровать сообщения и соединяться через Tor. Единственные минусы, это рега с требованием лишних данных или блокировка ящика при подозрениях и слив всех ваших данных куда положено, что вообще-то прописано в пользовательском соглашении, которое всегда составлено так, что сервис может делать что хочет, а вы, пользуясь его услугами, это принимаете. И даже если соглашение адекватно, не стоит ему слепо доверять.
На форуме сто раз приводились ссылки на более-менее проверенные и надежные сервисы. Но там ограничения на объем при бесплатном пользовании. Где-то 3 Мб, где-то 1 Гб, что все равно не много при интенсивном использовании ящика, если много адресатов или вложений, как, например, в нашем дружном педогогическом коммьюнити.
[/offtop]
Любое пользовательское соглашение вынужденно подчиняется законам страны. Хотите не подчиняться — берите международную анонимную зону: Tor HS, Freenet, I2P, и не выходите за её пределы.
3 Mb более достаточно для писем. Для пересылки файлов вместо костыля — вложения к письму — можно и нужно заливать файлы на файлообменник, а не перегружать почтовый протокол. Чтоб кому-то 1Gb было мало, с трудом могу себе представить. Почта при получении скачивается на ПК, а на сервере уничтожается, зачем там статически хранить 1Gb — не ясно.
Ещё не всех выловили? Вот засада. Я-то думал, что такой род криминала лет 10 назад, как исчез с планеты — рассылка материалов под NDA, а нет, до сих пор жив. Ничего, цепочка стандартная: отослал другому анониму под NDA -> тот аноним ничем не рискует, выкладывая файлы в паблик -> файлы попадают в полицейские БД -> вас ищут. Всё старо, как этот мир.
Вот братья с JonDo советуют[link21] С виду ничего нового.
На одном форуме разговорились относительно самого надежного email, который можно было бы смело использовать при регистрации на сервисах, зная, что он не потеряется, не пропадет и т.д. Приватность здесь стоит на втором месте после "долгой жизни" ящика. Люди советуют гмайл :)
Еще советуют завести собственный домен и открыть на нем свой собственный email, но и там могут быть свои "подводные камни".
Ну а что посоветуете вы в плане долгой жизни email?
Расшифруйте что вы хотите.
Если приватность неважна, то что советовать? Не слышал, чтобы крупные сервисы самовально удаляли чьи-то ящики. Если есть защита с SSL, то какая разница?
Нет ничего в мире 100%-надёжного. Домен могут отобрать, сервер взломать, слить переписку с сервера напрямую, обратившись к провайдерам хостинга. Последнее может оказаться намного проще, чем получить переписку от крупного mail-сервиса.
Ящик в собственной организации по месту работы. Если он не работает, идёт к админу и выясняете, в чём проблема.
PGP-ключ, в котором будут прописаны ваши текущие мэйлы, домены, хостинги, Jabber-контакты и др. Ключ должен быть размещён на серверах открытых ключей. Пусть адресаты его обновляют при необходимости с вами связаться. Это самая надёжная электронная визитка, контроль над которой практически только в ваших руках.
Дело даже не в анонимности почты, это не так важно.
Жудко неприятно когда личная переписка становится доступной посторонним, хотя в моей переписке нет ничего особенного.
пока не интересно, а потом может стать интересным все. а машины времени то нет.. ну пока нет.
PGP-шифрование писем на рабочем электронном адресе кто мешает использовать?
Как этим пользоваться? Если можно, подскажите пожалуйста ссылку на простую, доходчивую инструкцию на русском.
Совсем простых нет, читайте это[link22]. Кратко:
Каждый пункт гуглите и делайте.
можно и через сервера открытых ключей (unknown (20/06/2013 09:40) стр 11)
Да, это как один из вариантов. Я изложил самый простой способ, но есть и другие.
Это хорошее решение, но бывают случаи, когда емейл привязывается к конкретной регистрации и поменять его в сервисе можно только подтвердив смену со старого мейла! =)
Чтобы что-либо поменять в записях uid PGP-ключей, достаточно обладать приватным ключом PGP, всё. Старые mail'ы можно вообще потерять, забросить, перестать использовать — всё, что угодно.
http://lavabit.com/
http://neomailbox.com/
самое интересное — что будет на http://startmail.com/. startpage, разработчик, озаботился third-party certification для поиска. можно надеяться, что они сделают это и для мейла.
вообще это могло бы — third-party certification — стать неплохим аналогом open source для веб-сервисов.
но основным критерием безопасности, конечно, останется (а) переписка с адресами внутри домена (gmail на gmail, например) и (б) доверие к поставщику услуги (gmail, увы, не вариант) (куда больше доверия к neomailbox и startpage — у них есть репутация, которая лежит в основе их бизнеса).
(в) использование pgp и (г) шифропунковских римейлеров. пользовать pgp не сложнее, чем освоить mail client, но попробуйте убедить родных, близких и коллег в алфавитном порядке :). сноудену пришлось учить журналистов специальными видеоуроками.
чтобы что-то сделать с (в), надо изменить культуру :). среднестатистический юзер выключается при фразе "ассиметричные ключи". нет хороших и простых мануалов. сложно втолковать человеку, что ему придется, всего-то, поставить один аддон в thunderbird и программу.
короче, нужно это как-то сделать модным. надо писать статьи, посты :).
да, забыл добавить существенное:
riseup.net и aktivix.org.
Их проще на jabber+PGP пересаживать. Их руками (или сам на их ПК, если можешь) настраиваешь всё так, что при запуске джаббера автоматически подцепляется ключ и всё шифровалось. Они при этом могут понимать происходящее на уровне «всё как-то шифровано и работает», но даже таких слов, как PGP, могут не знать.
Самым главным пропагандистом шифрования была и остаётся мотивация. Как только кто-то осознал, что ему хочется что-то скрывать, так сразу же всё изучается быстро и безболезненно.
или (для win) готовое решение: портабельный pidgin + otr.
или (для почты и win) потрабельный thunderbird + enigmail + pgp — доступно на portableapps.com.
только всё это не работает, когда 99% этим не пользуются. нужно чтобы было хотя бы 10% активных распространителей вируса. чтобы была готовая игрушка для mac. чтобы эта штука людей не пугала (пример: вы простой юзер, для которого проблема настроить mail client, вы что-то услышали про pgp и открыли страничку в википедии: https://en.wikipedia.org/wiki/Pretty_Good_Privacy. это последнее, что вы о pgp узнали, потому что pgp, как оказалось, это что-то очень страшное и совершенно непонятное. обратный пример: твиттер, игрушка, которая совершенно непонятно зачем нужна, но можно попробовать несколько месяцев и этим пользуются все. самое печальное в том, что pgp ненамного сложнее и куда полезнее. что pgp можно использовать на любом гаджете и все от этого выиграют.)
(Кстати, чтобы не уходить от темы: есть что-то странное в том, что в сети нет ни одного доступного для всех аналога Horde — веб-сервиса со встроенным pgp-функционалом. Ну, hushmail.com не в счет.)
Связка Psi+gpg[link24] тоже работает под виндой.
XEP-0027 тоже стршаен и непонятен, как и сам XMPP, но это не мешает им пользоваться. Дело здесь исключительно в удобном интерфейсе и встроенности, в оппортунистическом шифровании и т.д. Всё начинается с того, что массам это не нужно, поэтому в массовые продукты шифрование встраивают неохотно. Верно и обратное: те широкие массы, которые, возможно, и начали бы пользовать шифрованием, не будут этого делать, потому что это слишком сложно. На рынке был всего один ширпотреб-продукт с каким-то шифрованием — Skype, закончил он ровно тем, что при переходе некоторой границы популярности на него началась масса поклёпов от желающих слушать трафик, MS его купила и шифрование, видимо, сменила на более ГБ-угодное.
Сейчас набирает популярность другой продукт — TBB. Пока с ним мирятся, прощая ему многое за то, что он «экспортирует демократию», но рано или поздно такой продукт ударит и по внутренним интересам стран, которые TBB поддерживают. И вот что тогда будет — не известно.
Если честно, глядя на новости законотворчества последних лет, начинаешь сомневаться в целесообразности такой популярности криптопродуктов. Хорошо, когда они достаточно популярны — это плюс для их безопасности и для отрицаемости их использования, но если популярность превышает некоторый предел, начинаются нежелательные эффекты: чёрный PR[link25], законодательные запреты[link26] и т.д. И не то, чтобы я огласил тут какую-то новую мысль, Tor Project писал об этом ещё 4 года назад[link27], предвосхищая то, что начало массово происходить только сейчас.
Как бы это прискорбно не звучало, но самый оптимум, по-видимому, наблюдается тогда, когда инструмент, с одной стороны, достаточно прост, чтобы его могли освоить и безопасно настроить достаточно замотивированные пользователи, и, с другой стороны, достаточно сложен, чтобы рядовая домохозяйка и политики мало что могли в нём понять, а количество ошибающихся в настройке домохозяек было столько велико, чтоб полицейские громко не нервничали по поводу наличия таких инструментов у всех и каждого. Как итог, тогда по официальной версии было бы «всё взламывается», «всё это можно обойти», а по неофициальной — «ничего не взламывается, надо только уметь правильно готовить, что
мало ктоне все умеют».Это как? Полностью доверить свой PGP-ключ mail-серверу? И зачем? Для этого же SSL-сертификаты и SSL-подписи есть, которые сам mail-сервер проставляет (забыл, как точно этот протокол называется, что-то типа инфраструктуры персональных сертификатов).
thund + enigm = очень простой и юзабельный продукт. потребность общая, ситуация, в целом, нетерпимая (все вынуждены переписываться открытками, потому что в конверт заклеить слишком сложно, любой желающий может прочитать и т.д.). пользоваться просто. нет простого пути к тому, чтобы эту простоту обрести.
такие проблемы решаются просто: используется только open source. pidgin, thunderbird, достаточно популярные вещи
Да, если Алиса и Боб — китайские активисты, которые за независимость Тибета в след. году. Нет — если им нужно просто обезопасить переписку, в которой про: их личную жизнь, небольшой свечной заводик и т.д. Например: есть десяток Алис и десяток Бобов. Они в переписке. Задача: что-то изменить, чтобы была хотя бы опция. Сегодня она нерешабельна. И "Бобу" Сноудену, под смертельным риском спалиться, приходиться делать видеоуроки для, представьте, журналиста "Алисы", специализирующейся на privacy, борьбе с гос. монстрами и т.д. Не на что ссылку послать. (Во всех мануалах будто только что — чтобы не смущать — убрали фразу "а теперь скомпилируйте из источника" :).
Начальный уровень, как для почты вообще — мейл.ру и т.д. Простая опция использования — зашифровать публ. ключом Алисы сообщение и ей отправить. С компа в интернет-кафе.
Автор[link28] статей "Мне нечего скрывать" и другие ошибочные толкования приватности[link29] и Почему "государственная безопасность" одерживает победу над приватностью[link30], считает, что саморегуляции приватности пользователями бесперспективна[link31] и приводит множество аргументов, по которым в массе своей они не будут заинтересованы её осваивать; а если будут, то никогда не освоят, или наделают кучу ошибок, или никогда не смогут адекватно оценивать решения. Поскольку он специалист в области права, а не технологий, то он больше верит в закон и считает, что проблему можно регулировать только законом "сверху". Что-то подобное говорил и Шнайер: большинство людей защищаются от угрозы убийства законом, а не бронежилетом.
спасибо за ссылки (и вообще за ваши материалы — очень познавательно). я думаю, что это как проблема линукса в 00-е и сейчас: продукт (убунту, минт) явно лучше win, но не может сделать то, что в начале 00-х сделал mac: ребрендинг, вирусная реклама и проч. не может стать модным. или очень не хочет.
есть куча решений по доступности: встроить в thunderbird (это мозилла стоит за stopwatching.us, кстати) по умолчанию enigmail и какую-н. программу для pgp (как в портабельной версии на portableapps.com), чтобы эта штука была кроссплатформенной, чтобы пользователя отделяли от "готовой вещи" не тридцать шагов, а пять.
сейчас, кстати, очень удобный момент (bbc тут рекомендует[link32] не пользоваться гуглом и фейсбуком :)
потребность, короче, есть. но кончится, боюсь, всё тем, что выскочит опять какая-нибудь имитация правильной вещи, типа скайп, зато в красивой обложке. потому что разработчикам правильной вещи было как-то влом эту красивую обложку нарисовать. и приатачить вменяемый мануал.
Будущее за проектами, наподобие freedombox[link33] и концепцией "dehierarchicalization". Только нужно максимально свободное железо, помимо софта.
«Нужна ли популярность любой ценой для операционных систем с открытым исходным кодом?»[link34]
Возразить можно следующим образом. Убийство, как и другие преступления "реального мира" (к примеру, кражи), в большинстве случаев оставляют на последнем отчётливые изменения: человек умирает, вещь пропадает. Всё это достаточно легко обнаруживается. С другой стороны, вторжения в частную жизнь, нарушения приватности в цифровом мире в силу объективных причин практически не поддаются обнаружению постфактум,* поэтому единственная действенная мера — попытаться техническими мерами исключить возможность их осуществления.
* По крайней мере, пока spinore не снабдит нас всех квантово-криптографическими каналами связи.
спасибо за ссылку, интересно. только здесь возникает та же проблема — невозможность безопасной коммуникации, пока ее средствами не пользуются n% пользователей. можно возразить, что "немножко безопасности" это как "немного беременности". но есть и контраргумент: против самой серьезной атаки — камеры у вас за спиной — эти средства не спасают. следовательно, безопасная коммуникация невозможна в принципе.
и потому, как мне кажется, будущее за разноуровневым подходом. например,
1. алиса не пользуется win и mail.ru, и боб ей за это ставит зачот.
2. алиса начинает пользовать относительно безопасный мейл и pgp, и боб ей за это ставит два зачота.
3. алиса с бобом становятся китайскими активистами и принимают принципиальное решение об освобождении тибета в след. году. в этот момент обособленное наблюдение за ними еще не ведется (целый набор средств) (пачка зачотов и бобу, и алисе)
4. камера за спиной, алиса и боб криптуют цепочки нейронов.
в случае 1 коммуникация боба и алисы защищена от случайной и непрофессиональной атаки. в случае 2 — от атаки с ограниченными возможностями. в случае 3 всё сложнее.
вот мне кажется, что ситуацию 2 вполне реально сделать более или менее общей. не наиболее вероятный вариант, но наиболее вероятно-приемлемый :).
каким образом? например, крупный игрок (mozilla) примет решение о поддержке.
А это по сути даже не возражение, а переизложение части позиции. Оценка рисков приватности столь контритуитивна обычному человеческому опыту, что потребность разбираться даже в простейших технологиях у человека не возникает или он может элементарно наделать непредусмотренных глупостей даже в них.
Принципиально нет смысла привязываться к политической мотивации, да ещё какой-то конкретной. Пусть гипотетические сторонники геноцида Тибета и/или присоединения Сибири к Китаю тоже пользуются этими же технологиями с другой стороны баррикад. А также те, кто ни к каким Тибетам ни в каких странах отношения не имеет. А просто хочет тайно опубликовать похождения кошки
главы АНБсвоей соседки, к примеру.Поставить – ДА, а вот настроить.. я б не сказал, что домохозяйке это будет легко сделать. TheBat! просто и то, только со встроенным модулем. А если захотите прикрутить к Бату портабельный gpg/pgp софт, то это уже не считается легкой задачей.
А почему Вы из enigmail выделяете pgp?
В первом случае нет коробочного решения, где простой пользоваетль одной кнопкой будет включать режим шифрования, а в Скайпе вообще пользователю ничего не надо было делать, все было
украденоустановлено до нас.На фоне массовых The Bat и Outlook — вряд ли.
Всем движет минимизация собственных затрат и расходов. Если риски и убыль от утечки информации оцениваются как незначительные, то и инвестировать в ИБ становится невыгодно. ИБ превращается в одну из тысяч деталей, которые «хорошо бы знать, но всего не охватить», и на том конец.
Да, есть такой момент. Чисто визуально защищённая связь от незащищённой ничем не отличается с точки зрения интерфейса. Стандартный аргумент — «раз работает и так, зачем что-то менять?». Противоположная сторона — когда начинают тупо верить всему, что написано в интерфейсе. Раз галочка стоит, или надпись высвечивается, значит, «всё безопасно». Что при этом происходит на самом деле, пользователь даже не задумывается.
По вашей же ссылке наткнулся на другую[link35], про межгосударственный рынок эксплоитов. В рамках пропаганды паранои на pgpru, ряд цитат оттуда:
Обновление софта вовремя не поможет:
Linux тоже не спасёт:
Что нужно делать при обнаружении ботнета? Правильно, вы угадали: машины надо не лечить, а переподчинить себе и возглавить (почему бы не прирастить собственный ботнет куском ботнета своего врага?):
Вот такой вот 0day-бизнес с кучей фирм, реселлеров и покупателей. Интересно, эксплоиты на произвольный клиент OpenSSH там уже есть? На фоне этого новость про уязвимость в IPSec OpenBSD начинает играть другими красками.
Подумалось насчёт Linux'а: возможно, самая распространённая система из открытых — не лучшая для безопасности, т.к. все тулы и эксплоиты будут затачиваться, в первую очередь, под неё. Нужно что-то среднее между популярностью и проверенностью сообществом(?), BSD какую-нибудь, чтоб не ленились разрабатывать target expoit под конкретную ОС с нуля, раз им так хочется, а то юз автоматизированных эксплоитов совсем их обленит.
Я ещё за то не рассчитался[link36], а вы уже QKD заказываете. :-)
возвращаясь к топику. топикстартер хотел сказать (ну, он выразил это другими словами :) о способах реализации нашего конст. права на частную переписку. это право не абсолютно, оно ограничивается санкциями суда, обысками и т.д.
есть средства техн. реализации. тоже не абсолютные, но существенно снижающие риски. и есть очень большой gap между потребностью и юзабилити.
это право невозможно реализовать в частном порядке, оно должно быть реализовано с другой стороны коммуникативной цепочки в той же мере. то есть и алиса и боб должны стоять на одном уровне его реализации.
и основная проблема — необходимость этот gap заполнить. или смириться с тем, что мы живем в стеклянном доме и можем выражать мнение только при личной встрече, шепотом и на ухо.
а если уходить в моральную проблематику, то сразу возникает огромное количество нерешабельных философских вопросов (это потенциальная бесконечность :). мое личное мнение, что абстрактные идеалы (всеобщее право на любое публичное анонимное высказывание и т.д.) могут служить только путеводной звездой. а заведомо ограниченные и четко сформулированные цели достижимы.
ловите другую, более оптимистичную цитату[link37]:
делов-то, разобраться с endpoint security :). (держать private key на машине в соседней комнате, которая не подключена :)
дело в том, что мы с ними состоим в переписке, если компрометируется та сторона, то компрометируется вся коммуникация. нам очень выгодно, чтобы все пользовали open source :).
enigmail только связывает программу и клиент.
Это древний баян недельной давности[link38].
Те, против кого был направлен Stuxnet, тоже так думали. Прямого подключения к сети у атакованных машин, насколько я понял, не было, зловред распространялся через флэшки и т.п. носители.
Если параноить дальше, то в команды разработчиков Open Source могут быть внедрены агенты, как было с подозрением по поводу ФБР и OpenBSD (вроде как неподтвердившимся). Они могут или целенаправленно внедрять уязвимости, замаскированные под случайные ошибки в открытом коде, или пользоваться краткосрочной инсайдерской информацией для того, чтобы передать службам эксплойт, время жизни которого хотя бы несколько часов для осуществления атаки, которая нацелена на жертву в ждущем режиме.
Кроме того, АНБ может использовать TEMPEST и прослушку для кражи приватных ключей разработчиков программ и сборщиков дистрибутивов, чтобы немассово, но хотя бы целенаправленно подсовывать отдельным жертвам протрояненные версии.
Наконец, что будет, если ФБР попросит приватный ключ, которым подписывается программа или дистрибутив под подписку о неразглашении (кляп-ордер), якобы для поимки опасного террориста? А заодно провернуть на этом ещё парочку десятков операций против каких-либо других неугодных в обход официальных дел?
Это уже было: «О нетривиальных способах встраивания закладок в программы шифрования с открытым исходным кодом»[link39]
Раньше можно было говорить, что это всё конспирология и догадки, но в связи с PRISM даже самые худшие опасения успешно подтверждаются. В конце концов, а почему бы и нет? Почему бы, например, не украть ключи DA? Зато потом можно контролировать всю анонимную сеть.
Тогда, как и в случае DA, нужен проект по независимому аудиту самих подписей (точнее, хэшей того, что ими подписано). Чтобы их можно было проверить по кругу подписей из числа доверенных лиц по этой теме (будет слишком заметно и затратно впаривание большого числа фальшивых подписей большому кругу лиц). Возможно также использование меток времени, цепочек хэшей, независимых приватных консенсусов.
Вообще, это интересная, никем пока не проработанная идея — аудит сообществом не только открытого кода, но и подписей пакетов, защищающий от принуждения к выдаче закрытых ключей.
одним словом, защита от серьезной атаки представляется сложной задачей :). но из этого не следует, что промежуточные средства ничего не значат (у государства в данный момент нет возможности запускать stuxnet против миллиона пользователей). смерть неизбежна, но это не повод отвергать использование презервативов и возможность развития новых средств. решение теоретических вопросов (преодоление проблемы тепловой смерти вселенной) не должно ставить крест на текущем существовании.
мы все выиграем, если pgp станет стандартом переписки. даже если твой корреспондент пишет с винды и мейл.ру (ты просто снижаешь свою откровенность до 25%) (самое главное в том, что 100% ты себе всё равно позволить не можешь) (это тепловая смерть :).
Переносить файлы с чистых систем на заражённые просто: одноразовые флешки. Флешка, которую хотя бы раз втыкали в заражённую систему, утилизируется и более не используется. Вот как перенести с заражённых систем на чистые — это да, непонятно.
Например,
по пропускампо контрольным суммам, которые разрешены, если известны файлы и их суммы.Если нет, то по набору правил для каждого случая индивидуальному. случаев масса на самом деле. И лучше не работать с зараженными системами. Как избежать заражения системы? Смотря что за система и какие функции выполняет.
По теме. Почту можно завести, ихмо, на любом сервисе, лучше бесплатном, вне места (страны) твоего пребывания не светя IP машины, с которой происходит регистрация и работа. теме 8 лет уже и она не теряет актуальности. ну не знают люди,
что есть 13 страниц темыгде лучше завести почтовый ящик. напишешь мануал – всегда найдется умныйтетядядя, который поправит и скажет, что там не надо регистрировать, а там не надо писать, т.к. переписку перлюстрируют.регистрируйте мыло там,
где подскажет сердцегде считаете нужным сами, основываясь на собственных знаниях и опыте. Чем меньше знания и опыт, тем меньше вероятность правильного выбора и его эксплуатации с относительно высокой степенью анонимности и безопасности.Неплохо бы (ага, по-русски так, неплохо бы сделать
возьми и сделай) завести модуль запроса, когда ТС задавая вопрос указывает модель угрозы, цель, бюджет, направление (бизнес, личная сфера) ттх и т. д. Прикидывал, насчитал с десяток-полтора позиций. А то пишут, как обезопасить рабочее место? Где? Какое оно? Дом? Офис? Wi-Fi? Окна? Изолировано? Общедоступно? Подключено к сети? и т.д. и т.п.по пропускампо контрольным суммам, которые разрешены, если известны файлы и их суммы.Не получится. Считайте, что у вас ядерный центр, а почти все ПК в мире заражены 0day'ями от АНБ. Информацию извне вы получаете от компьютеров, подключённых к сети, т.е. от заражённых. Допустим, вы каким-то образом смогли приготовить чистое железо и чистые ПК. Как перенести на них информацию, если на них тоже стоит уязвимая ОС, против которой будет работать всё тот же 0day? А никак, потому что при записи на любой носитель вместе с инфой загрузится и трой, и вы ничего не сможете с этим поделать. Если вы хотите построить инфраструктуру, устойчивую к подобного рода сюрпризам, я даже не представляю, как её можно сделать. Есть масса уловок, но их все атакующий может обойти, принципиального решения не вижу.
А вокруг зомби и единоросы. Это конец, мы все умрем!11
Почему я должен считать, что у меня ЯЦ и все ПК заражены? Может не стоит сферический вакуум сооружать? Есть конкретные модели угроз и есть конкретные способы их нейтрализации, от простых и эффективных до сложных и не нужных. Сделай проще, примитивней, но эффективней; эффектные, слишком мобильные (или наоборот, слишком неповоротливые) и не в меру масштабируемые решения – скользкий путь в моем понимании.
Как правило, не только аппаратная, но и программная часть на подкнтрольных мне ПК являются чистыми ровно в той степени, в которой это необходимо мне и не критично для меня. На самом деле они конечно скомпрометированы, просто я об этом и не догадываюсь.
Возвращаясь к названию темы. Нужная готовая, сравнительно удобная инфраструктура, заменяющая сам принцип хранения данных в открытом виде у единственной доверяемой третьей стороны.
Как Tor обеспечивает инфраструктуру для анонимности "из коробки", так нужно и решение, наподобие шифрпанковского Bitmessage[link40], только надо подождать, пока технологии сойдутся до нужной точки развития и всё это доведут до ума.
В чем собственно проблема?
Каждому домохозяйству по некоему подобию FreedomBox – эдакому plug-in компьютеру размером с пачку сигарет, с почтовым сервером внутри. А в DNS у семейного домена соответствующая MX-запись(само собой ещё и SPF, DKIM, ADSP).
Обмен почтой и опознавание друг-друга между этими миниатюрными серверами через SMTP со STARTTLS. Распространение сертификатов для которых по сети доверия подобно pgp-шной.
Файлы представляющие собой непосредственно хранилища почты(mailstore) такая коробочка может физически держать на домашнем NAS'е.
Это простой предельный случай. Я поставил интересный теоретический вопрос: как можно переместить данные из уже скомпрометированных систем в ещё не скомпрометированные, но имеющие те же уязвимости? Наверное, разве что руками перенабирать, глядя на монитор, или использовать автоматические распознавалки. :)
кстати. а если они могут заставить гугл и т.д. (на законных основаниях) выдавать то или это, то что мешает на тех же основаниях получать ключи?
если исходить из того, что за последний месяц реальность дала хорошую фору любой паранойе :).
Глобальный контроль над производством микросхем. С закладками[link41]. Вполне реальный сценарий не столь уж далёкого будущего.
Футуристично[link42]. Тем не менее, именно по схожим причинам, в основном покупаю б/у старые железки. Не всегда, не для всего, но шкафы не пустуют. Затаривайтесь, пока есть чем и есть где взять даром.
И помните, покупая в магазине что-либо (ПК, комплект, ноут и т. д.) вас снимает скрытая камера. Но это не повод для улыбок. Также, если вы предварительно созваниваетесь с менеджером – все фиксируется и пишется. В-третьих — железо привязывается к покупателю, что наглядно видно в гарантийном листе, за вашей подписью. "Мелочь", к тому же параноидальная, но учету подлежит.
Далеко не везде стоят камеры, вписывают ФИО и фиксируют тел звонки. Поставщиков нужно выбирать не пафосных.
Пафос здесь ни при чем. Есть внутренние корпоративные правила и требования безопасности. Согласен, не везде, но в большинстве приличных мест так. И не важно, дорого там или дешево, пафосно или скромно. Моего опыта с куплей-продажей железа хватает, чтобы кое-какие выводы делать относительно поставщиков, от физиков-барыг до дискаунтеров.
Потом на той же пранкоте что-то да всплывает.
Покупайте б/у "с рук", о покупке договаривайтесь через Tor, на встречу приходите в гриме или обменивайтесь через тайник, забирать товар из которого посылайте третье лицо, с которыми тоже договаривайтесь через Tor и посылайте наблюдайть за процессом изъятия четвёртое лицо...
Вместо четвёртого лица можно использовать микродрон с телекамерой :)
А тогда ОНИ издадут закон, запрещающий незадекларированную передачу копировально-вычислительной техники, и/или сделают биометрическую привязку. Потому как есть терроризм/копирайт/педофилия и прочии склонения к суициду!
Уж микродроны то запретят в первую очередь – они же нарушают приватность!
Если только spinore со товварищами не снабдят нас квантовыми криптопротоколами[link43], дейтвующими независимо от поставщика оборудования и это войдёт в быт.
www.xakep.ru: Доброволец Wikileaks оказался платным информатором ФБР //27.06.2013[link44]
Что уж говорить о linux-е, когда:
news.netcraft.com:[link45]
1 ServerStack Linux 0:00:00 0.007 0.089 0.073 0.146 0.146
2 Codero Linux 0:00:00 0.010 0.234 0.084 0.266 0.528
3 Swishmail FreeBSD 0:00:00 0.014 0.133 0.070 0.137 0.184
4 Virtual Internet Linux 0:00:00 0.014 0.162 0.074 0.329 0.502
5 Datapipe FreeBSD 0:00:00 0.017 0.083 0.018 0.037 0.057
6 Bigstep Linux 0:00:00 0.017 0.289 0.072 0.147 0.228
7 Midphase Linux 0:00:00 0.017 0.246 0.111 0.225 0.380
8 www.cwcs.co.uk Linux 0:00:00 0.017 0.209 0.129 0.214 0.517
9 Memset Linux 0:00:00 0.021 0.111 0.074 0.146 0.291
10 Iomart Linux 0:00:00 0.021 0.115 0.088 0.181 0.339
[moderator]Вопрос[link46] по устойчивости Tor к TEMPEST-атакам перенесён в надлежащий раздел. И прошу воздержаться от дальнейшего развития оффтопа.[/moderator]
Вот правильные критерии поиска почтового ящика:
http://mercul-t.livejournal.com/1071.html
А какие порекомендуете ящики, которые НЕ ЗНАЮТ что такое куки и ява-скрипты?
http://privatdemail.net/
Египетский сервер без ясного местоположения (город? точные координаты?), http://www.ipyou.ru/ выдает только следующее:
Страна: Egypt
Код: EG,EGY
Широта: 27
Долгота: 30
Браузер: Mozilla Firefox ver 5.0 unk
OS: Windows NT 6.1
IP адрес: 217.139.17.156
Имя компьютера: mail.privatdemail.net
Я бы предпочел китайский.
Я лично не против кук в почте, если не забывать удалить их после каждого сеанса И ВЫКЛЮЧИТЬ (даже на www.pgpru.com комментарии через куки). Это анонимность не нарушит. Чего нельзя сказать про скрипты.
http://privatdemail.net/ – фтопку! чтобы зарегиться им уже нужно мыло, чтобы выслать пароль. хотят "связать", крысеныши, а вот шиш им!
тоже давно ищу нормальный ящик, но пока кроме safe-mail.net, ничего не нашел. хотя там походу моссад заправляет
но все же без js тоже простой интерфейс имеется.
Свой почтовый сервер, не?Абонентский ящикмыло на сервисе временных электронных адресов для этого не прокатит?Что значит, "выслать пароль", может подтверждение реги, пройти по ссылке там и все такое? А то смысл высылать пасс — он должен сгенериться вами при регистрации.
Мутновато. Да и интерфейс убогий. Не аскетичный без излишеств, а именно убогий, далее главной не ходил — при попытке реги недоверенное соединение. Так что да, фтопку!
Да и где репутация сервиса, отзывы, благодарности, пожелания?)
Xmail н етребует скриптов, только куки. Работайте с сессионными и все.
По-моему и тормэйл требовал куки, незадолго до краха FH регнулся там для экспериментов...
Если тебе нужно чтобы твою переписку не читал и не фальсифицировал зог, то есть нужен незог-ящик в незог-стране, то в принципе можно допустить использование вспомогательного временного зог-ящика для регистрации, если на нем ты тоже зарегистрировался анонимно. Зог будет знать только что "вот есть такой незог-ящик". Но требование дополнительного ящика для возможности регистрации это само по себе тревожный звоночек. Зачем почтовому сервису такое условие? Значит он ловит лохочков-простачков неосторожно использующих свой неанонимный ящик для регистрации, и вполне возможно что также не соблюдает приватность переписки от зог и даже позволяет зогу фальсифицировать переписку, и вполне возможно что он просто не позволит зарегистрировать ящик под благовидным техническим предлогом (непроходимая капча, потеря письма для активации, несрабатывающая страничка подтверждения) если пользователь в процессе регистрации не раскрыл свою анонимность (использовал анонимный канал связи, анонимный вспомогательный ящик).
http://privatdemail.net/ расположен в Египте, а Египет страна лежащая под зог, так что это по любому зог-почта.
Сертификат mail.privatdemail.net, самоподписанный. Шифрование AES-256.
Зог-ящик можно использовать, если нужна только анонимность пользователя, но не анонимность связи между пользователями. Приватность и нефальсифицируемость переписки должна обеспечиваться шифрованием на стороне клиента. Однако первый обмен открытыми ключями идет без шифрования, здесь зог-ящик использовать нельзя.
safe-mail.net:
Страна: Israel
Код: IL,ISR
Регион: 04
Город: Maagan Michael
Широта: 32.5558
Долгота: 34.9142
Браузер: Mozilla Firefox ver 17.0 unk
OS: Windows NT 6.1
IP адрес: 213.8.161.230
Имя компьютера: tapuz.safe-mail.net
Сертификаты по показаниям плагина Conspiracy:
GoDaddy.com, Inc.: New or Internal Network – United States
Шифрование: AES-256
www.xmail.net:
Страна: Canada
Код: CA,CAN
Регион: BC
Город: Vancouver
Индекс: v6b4n5
Широта: 49.25
Долгота: -123.1333
Браузер: Mozilla Firefox ver 17.0 unk
OS: Windows NT 6.1
IP адрес: 65.110.6.50
Имя компьютера: www.xmail.net
Сертификаты по показаниям плагина Conspiracy:
COMODA CA Limited: New or Internal Network – Sweden – United Kingdom
Шифрование: Camellia-256
Представьте себя на месте сисадмина, предоставляющего популярный публичный сервис, да ещё с которым может возникнуть головная боль, если придут жалобы на пользователей, рассылающих всякие непотребства. Приходиться придумывать простейшие меры фильтрации спамеров и сквоттеров на этапе регистрации, которые захотят себе заводить по миллиону аккаунтов в сутки. Такими темпами скоро на многие сервисы нельзя будет зарегистрироваться без аккаунта в соцсетях.
Как вам эта почта[link47]
Для этого же есть капча.
А если спамер может автоматически регистровать ящик на одном почтовом сервисе, то сможет это автоматически сделать и на другом почтовом сервисе. Этот футбол с регистрацией не поможет.
Лавина аккаунтов регистрируемых вручную не опасна для почты если есть сильные ограничения на объем ящика (~ 1 Мб).
Надежный почтовый сервер должен быть недоступен для нагиба со стороны корпораций и спецслужб, по крайней мере американских, на жалобы ему насрать.
Сервис сервисом, а безопасность безопасностью. И что мы имеем? Закрытый код малоизвестной утилиты вместо веб-интерфейса широкоприменяемого браузера с открытым кодом. Опасная java-машина, требующая запуска под надежной ВМ. Сайт и почта на зог-сервере (USA).
Страна: United States
Код: US,USA
Регион: GA
Город: Norcross
Индекс: 30092
Широта: 33.9681
Долгота: -84.2304
Браузер: Mozilla Firefox ver 17.0 unk
OS: Windows NT 6.1
IP адрес: 68.169.49.206
Имя компьютера: www.vaultletsoft.com
Сертификаты (плагин Conspiracy): GoDaddy.com, Inc. | New or Internal Network – United States
Шифрование: AES-256
не знаю, у меня без скриптов не робит этот ваш xmail! :(
зарегился, перехожу в ящик и всё стопорится: вращающаяся шестеренка и Loading...
включил злосчастную жабу – все заработало, ибо весь интерфейс заскриптован по самые яйца. да и вообще какой-то примитив, даже нет элементарной функции – заголовки письма – всё облазил, вместо этого засунули какие-то свисто-перделки типа Geogo итд, которые тут же блокируются как всплывающие окна самим firefox'ом.
и пусть НЕ zog, но и от англо-саксонских рептилоидов – тоже не легче
хошь не хошь, но нужно признать, что НЕТ нормальных ящиков и не будет уже, ибо враг контролирует практически всё
Врагов то немало и, самое главное (!), они между собой не дружат и не могут дружить по определению.
А какими они пользуются сервисами? Только своих серверах?
ты неправ чувак. англо-саксонские рептилоиды это и есть зог! они все под одной крышей и сионисты и англосаксы
Как страшно жить[link48]. Я даже знаю, кто виноват[link13].
Выбрал когда-то для чего-то, а теперь так сразу виноват.
Вы несёте ответственность за тех, кого
приручилиприучили к безопасности в сети. ©link[link49]
Ким Дот Ком обещает новую почту.
Он уже сделал облачное хранилище mega. Уверяют, что там все защищено и зашифровано, причем ключи хранятся у пользователя. Зарегился я посмотреть, но что-то ключей никаких не получил в собственное хранение и по паролю зашел с другого компа. Так что может быть и будет там с безопасностью получше чем в google, но восторгов испытывать думаю не стоит. Самое лучшее это шифровать, а ящик любой сгодится, хотя бы от яндекса. В данном случае сложнее объяснить своему корреспонденту для чего все это непонятное шифрование нужно.
Не вижу противоречий, ключ может вырабатываться из пароля. Но, как со всеми web2.0-сервисами, нет никаких гарантий, что сервер не изменит свой функционал специально для Вас, чтобы слить пароль к себе через клиентскую компоненту.
Между почтовыми серверами передача данных шифруется или есть возможность перехвата? Имеет ли смысл поднимать свой почтовый сервер?
В этом вся и суть, что можно, но большого смысла нету, если только вы не планируете всех своих абонентов пересадить на свой сервер. Для пересылки почты между разными mail-серверами есть какой-то протокол шифрования, но используется ли он на практике, выяснить клиенту вряд ли возможно. В любом случае, доступ к ключам есть у владельцев почтовых серверов. Если трафик между mail-серверами не шифруется, любой сильный противник типа АНБ может его перехватывать в IX-точках. Обычно используют либо связку анонимность соединения + шифрование почты + стандартный mail-сервис, либо переходят на новый способ — HS2HS-соедиенение (HS = Tor Hidden Service) между сторонами.
Зафлуживание форума перепостингом старых постов.
Зависит от настроек сервера. Обычно, MTA с дефолтными настройками оппортунистически используют STARTTLS.
Скачайте клиент локально и отключите автоматические обновления. Где-то даже у них на сайте такое было написано.
Через Tor? Через TBB? Не работает Мега корректно с тор-браузером. Даже если скрипты и куки включить, вроде пробовал раз, потому что с вырубленными вообще пустая страница с десятком js, и иногда уведомлением сменить браузер. Там флеш нужен, наверное или еще какие-то плагины.
А може попробовать так:
tbb -> anonimaizer -> Mega ?
А разница? Не уверен, что IP играет роль. Плагины, скорее. Я, собственно пару раз попробовал так и сяк – не вышло, бросил. Нашел, одно время нужно было объемное онлайн-хранилище, кучу других решений на 50-100 Gb, но потом надобность отпала, так что и их не пробовал. А поэкспериментировать можно с виртуалки, если есть время на это, идя на поводу у Меги и одевая ТВВ, или др. браузер через Tor, в плагины. Уверен, заработает, но это будет уже не дефолтный айс в плане анонимности/безопасности.
куки хрен с ними (стираются), главное – возможность зарегистрироваться без скриптов и телефона. А дальше – настройка почтового клиента, веб-интерфейс не особо нужен. Кстати, лавабит в последнее время тоже испортился, без скриптов нельзя было отправить сообщение через веб-интерфейс, хотя это не критично. В общем ищу почтовый сервер с возможностью регистрации ящика без скриптов, остальное не важно. Но не в израиле.
И ещё – безопасней ли веб-интерфейс чем почтовый клиент если работа идёт через Тор. Один знакомый сисадмин утверждал, что при использовании клиента возможен деанон, хотя по моему никак, если сервер за Тором.
Почтовый клиент отправляет массу характерных заголовков в письме. Например, имя хоста. И локальное время и массу чего ещё. Т.е., можно по крайней мере определить, что письмо отправлено клиентом такой то версии с такой-то ОС, с таким-то часовым поясом. Сплошное профилирование. И возможны утечки в обход тора при отсутствии прозрачной торификации или блокирования не-тор трафика: например, обращение к DNS; прямой выход в сеть, если при просмотре писем разрешён HTML.
При получении писем сам сайт тоже может составить профиль запросов POP/IMAP и по ним вычислить тип клиента.
В то время как через веб можно только понять, что письмо отправлено торбраузером.
Понятно, те же проблемы что и с браузером, решаются почтовым прокси-сервером. Тот админ утверждал, что из-за специфики почтового протокола можно узнать ip-адрес, даже при использовании Тора, в чём я сразу засомневался. Сложность наверное в том, что аналогов privoxy для почты не существует. Или всё же есть готовые решения? Утечки в обход Тора не специфичны именно для почты, это общая угроза, риск такой же как и для http-клиента. Выходит что угрозы одниаковы, принципиальной разницы нет, проблема в возможном отсутствии готового анонимизирующего почтового прокси-сервера.
Torproject вообще уже никак не использует privoxy. Для этого есть TorBrowser или различные механизмы подключения к Tor-процессу. Прокси-серверы неспособны анонимизировать заголовки, т.к. не умеют работать с https/tls-контентом. И это практически непреодолимо, т.е. они концептуально устарели. Вся анонимизация должна делаться на стороне специально разработанного под эти цели клиента. Единственно, для чего privoxy может сгодиться, это для анонимной установки/обновлений пакетов в Unix-системе, т.к. нужно завернуть в Tor рута.
Прокси могут работать с проходящим мимо них ssl если делать mitm. Недостаток в том, что в (известных мне) существующих решениях нужно для каждого сайта явно указывать перенаправление (адрес и порт mitm), хотя для почты это приемлемо, т.к. используемых почтовых серверов обычно всего несколько. Для веба не подходит, т.к. посещаемые сайты далеко не всегда известны. Возможно дело не в концептуальном устаревании прокси-серверов, а в отсутствии готовых решений, которые бы более соответствовали unix-way. Лучше сделать один нормальный mitm прокси, поддерживающий несколько прикладных протоколов (необходимо для извлечения имени хоста для генерации ложного сертификата), чем для каждого протокола городить комбайн.
... а также тип ОС и локализации TBB[link50], полный список шрифтов[link51], установленный в системе, текущее разрешение окна (оно не может превосходить разрешение экрана, поэтому в конечном счёте размер экрана тоже может быть вычислен). Если TBB запускался не в выделенной ОС (виртуалке), то нет никаких гарантий, что полного деанона не было, потому что для него достаточно баги со шрифтами или вот этой[link52] тонкости. Грабли лежат повсюду, и тут и там. И если ОС и локализация ещё лечатся отключением JS, то всё остальное пока не лечится никак.
Красиво tormail.org упал.
Некоторое подобие родилось
bitmailendavkbec.onion[link53]
Кто поставит оценку?
И после этого кто-то смеет говорить, что автор пёкся о безопасности своих пользователей?
Припоминаю, как читал какую-то рассылку — то, что писали разработчики. В хидерах не было никакой информации ни о чём. Я без понятия, как они их все вырезали или какой клиент использовали.
У юзеров нередко бывают реальные IP-адреса на той машине, которую они пытаются анонимизировать.
Всё смешалось в доме Облонских. Unknown уже ответил. Мало кто понимает, что помимо заголовков есть ещё много всяких поведенческих тонких характеристик, которые раскрывают информацию атакующему. Даже если делать по аналогии с TBB, надо всех сажать на один-единственный кошерный почтовый клиент и потом допиливать его.
В squid нужно? Он вроде умеет MITM и достаточно мощен.
2, закапывайте[link54].
Так расширьте круг посвящённых, что это за характеристики. Писали что-то про стек tcp/ip, но его поведение вроде можно настраивать. Для старых ядер была ippersonality, хотя есть ли аналог для новых ядер – непонятно.
В последних версиях действительно появиласть эта опция. Но возможности сквида по фильтрации ограничены, а задействовать сторонний прокси-сервер возможности нет. Ещё минус – клиентам не передаётся информация о статусе ssl соединения, т.к. решение при недействительном сертификате удалённого сервера принимает сквид, и пользователь не может сам выбрать, доверять ему или нет. Клиентам всегда будет сообщаться о неверном сертификате (даже когда он правильный), т.к., насколько я понял, сквид не пытается его подделать, а тупо шлёт собственный с неверным именем хоста.
Хинт: фингерпринтинг шифрованного трафика. Можно фингерпринтить любой трафик, чем DPI и занимается. Разные клиенты будут иметь чуть разные профили, и этого может оказаться достаточным. Есть даже определение типа ОС по пакетам, на основе чего может приниматься решение о блокировании или пропускании трафика (это есть даже как опция в pf и iptables).
Разве в squid нет поддержки parent proxy? Почему нельзя его задействовать?
Мне кажется, что всё это настраивается, но на 100% не поручусь. Во всяком случае, у меня сложилось впечатление, что в ряде коммерческих организаций фильтрация https-трафика делается на основе squid+MITM, и как-то они добиваются того, чтобы оно работало корректно (м.б., добавляя корпоративный сертификат в хранилище сертификатов браузера).
google: squid https filtering
http://blog.davidvassallo.me/2.....nt-ssl-interception/[link55]
Без JS не пашет.
Если правильно понял, по фингерпринту шифрованного трафика на входе в Тор можно определить тип ПО и потом сравнить с тем что на выходе из него. Тогда для того чтобы найти анонима, нужна база данных по всем пользователям Тора, для каждого из которых создаётся фингерпринт. Иначе такая атака может быть только точечной, когда уже заранее известен круг подозреваемых.
Родительский прокси получит уже зашифрованный трафик от сквида. Расшифровка соединения с клиентом и последующая зашифровка соединения с веб-сервером осуществляются в одном месте. Если бы они были разнесены и между ними можно было вставить другой прокси-сервер (с продвинутой фильтрацией, ориентированной на анонимность, типа privoxy), тогда это было бы решением. А так непонятно как соединить возможности анонимизирующей фильтрации privoxy со способностью сквида делать шифрованный митм.
кстати, не все наверное знают про арабов и израильтян. (это к теме про safe-mail и египетский почтовик.)
помимо вел. кит. фаервола есть еще вел. арабский. он не несет никакой функциональной нагрузки — так-с, пакость мелкая. блокирует почтовый трафик если из арабской страны в израиль, и если из израиля к арабам. ну, понятно, что легко обойти, зато сделали хоть ЧТО-ТО. чтобы помочь палестинским братьям.
Не совсем так. Для начала советую прочитать эту новость[link56] и комментарии к ней. Общий смысл: разные сайты дают разный профиль в шифрованном трафике. Для каждого сайта можно создать его уникальный отпечаток, тогда ISP сможет с высокой вероятностью понять, к какому из сайтов в данный момент пользователь пытается обратиться, даже не расшифровывая трафик (и уж, тем более, не имея никакого представления о том, что происходит на exit-нодах). О том, что это возможно, было известно давно, но считалось, что против Tor атака малопрактична, пока какие-то исследователи не сделали демонстрацию, доказав обратное. После этого Tor-девы форкнули firefox, сделав TorBrowser, куда вставили патч с HTTP pipelining, который затрудняет эту атаку. Были разговоры о том, что для работы pipelining требуется поддержка со стороны сервера, и если он её не поддерживает, клиент (даже с современным TBB) оказывается бессилен. Круг этих проблем обычно подразумевается под словом фингепринтинг.
В вашем случае всё ещё хуже, потому что помимо описанного возникает ещё и фингепринтинг иного рода, со стороны exit-ноды и почтового сервера. Последние видят ваш трафик расшифрованным и тоже потенциально могут вывести некий характерный отпечаток для вашей mail-программы. Фингерпринтить ведь можно не обязательно шифрованный трафик — можно для любого трафика попытаться найти характерный паттерн. В случае с TBB этой проблемы не возникает, т.к. программа у всех одинаковая — TorBrowser, а у вас не так. Я хочу сказать, что если известно, что аноним X использует конкретную почтовую программу для чтения почты, можно разработать круг методик для выявления его трафика, даже если не знать о нём ничего, кроме самого факта использования определённой программы, причём атаковать могут все: и ISP, и экситы и почтовые сервера, к которым обращаетесь.
Вообще, если сильно заморачиваться, точность фингерпринтинга можно очень сильно[link57] повысить (комментарии к той ветке тоже прочитайте).
Ну, во-первых, база данных по всем пользователям не для каждой атаки нужна (см. выше), поскольку профилирование можно сделать и без этого. Во-вторых, любая дополнительная информация о вас может сильно улучшить атаку против кнкретно вас, даже если это очень общая информация (тип ОС и софта, к примеру).
Не могу прокомментировать, т.к. со squid почти не работал, но всё же: а не поможет ли двойное заворачивание, т.е., клиент → squid-1 → squid-2 → сеть? У каждого squid будет свой конфиг. Один будет MITM'ить, другой — фильтровать.
P.S. На тему торификации почтовой программы был отдельный изрядно зафлуженный топик[link58]. Можете полистать его, если после вышесказанного вас это всё ещё интересует.
Мы все используем различные сервисы электронной почты. В связи с этим Вам может быть интересна новость, опубликованная РИА Новости 22.08.2013 г. «В США закрыт почтовый сервис, которым пользовался Сноуден»(http://www.rg.ru/2013/08/22/livaizon-anons.html).
Основным моментом, на которой хочется остановить особое внимание, являются следующие слова владельца сервиса электронной почты Lavabit Лэйдара Ливайзона: «Американские компании не имеют возможности предложить пользователям по-настоящему конфиденциальный почтовый сервис или даже защищенное от несанкционированного доступа программное обеспечение». Так что дать 100% верный совет на этот счет, на мой взгляд, трудно.
/comment68317[link59]
и тема плавно зацикливается:
/forum/anonimnostjvinternet/lavabitumerkakiealjternativy[link60]
Накануне опубликовали[link61] материалы закрытого судебного процесса, по которому проходил Lavabit. Выжимка[link62]:
Цитата
немало позабавила. Право-то у них есть, только кто ж им даст? ;)
Смутно припоминаю, что с безопасностью у lavabit было не очень. Всё на доверии. Вроде они в одном месте пишут, что у них нет возможности что-то расшифровать самим, и тут же пишется про существание главного приватного ключа. Как это совместить?
Не очень красит Левисона и то, что он всё-таки выдал ключ, хоть и на бумаге (А в чём проблема, что они так заарканились? Автоматических распознавалок текста сейчас полно). Можно, конечно, пофантазировать, что в том ключе было несколько намеренных опечаток, делающх его бессмысленным. Тем не менее, раз он ключ выдал, значит ли это, что предыдущую зашифрованную переписку теперь власти смогут расшифровать? Значит ли это, что за shutdown сервиса он сядет в тюрьму?
В материалах речь идёт о ключах SSL. Не знаю, как у них всё было организовано на самом деле (тут[link63] есть общее описание), но это вполне мог быть ключ аутентификации, если использовался PFS.
Получил штраф за неуважение к суду: по $5000 в день до исполнения требования суда. Через 2 дня сдался.
Как же тошнит от этих фраз. Всё то же гопническое "он на меня косо посмотрел". А с какого х он должен уважать суд? Суд — это такой же слуга народа, как продавщица в магазине или владелец автомойки. Они оказывают госуслугу, но не более того. Требовать их любить и уважать — это слишком.
Это юридическая формулировка, означающая неисполнение судебного ордера.
Как меня можно принудить не разглашать? Я не военный, формы не подписывал. Хочу — могу помочь следствию, не хочу — расскажу в этот же день, кто ко мне приходил, с каким ордером и что требовал. Согласие на получение секретной информации я не давал.
Вообще, люди, которые делают такие сервисы, должны были начать со смены юрисдикции для своей 5-ой точке, а не с веры в великий справедливый американский суд.
Кляп-ордером (gag order).
/Библиотека/Основы/SSD/ДанныеВПередаче/Государство/ОрдерНаПрослушивание[link64]
/Библиотека/Основы/SSD/Контрразведка/FISA[link65]
Уничтожить сайт или поставить его на тотальную прослушку за пределами США вообще-то гораздо проще. Тут для того же АНБ нет совсем никаких законодательных ограничений, которые действуют на операции в отношении граждан страны. Если перенести ситуацию на Lavabit, то не было бы даже никакого суда, сайт был бы скомпрометирован, продолжал работу, но все пользователи были бы под колпаком.
Чтобы сайт не был взломан, надо следить за безопасностью. Прямого доступа ко всем хостингам в мире у АНБ нет.
Но главное не это, а архитектурная ошибка. Система должна быть устойчива к изъятию сервера, сервер всё должен хранить зашифованным. Т.е. его компрометация чтобы не имела смысла. Шифрование и расшифрование должны происходить на стороне клиента. Или это будет браузерный плагин, или отдельное приложение или ещё как-то, но суть в этом.
Всвязи со сноуденовскими новостями, эти ссылки несколько устарели, как и мнение, в них озвученное.
Приравнивание отказа от дачи показаний и от помощи в расследовании соучастию в преступлении — юридическая казуистика. Поидее любой может отказаться помогать органам, и это проблема органов — доказать, что отказывающий не просто отказывается, а ещё и соучастник. В УК РФ есть статья об отказе от дачи показаний свидетелями?
А как же взлом локалки гугла? Может, они просто не осилили взлом и с хостерами не смогли договориться, поэтому пришлось юридически давить.
0-day exploits же.
В случае Lavabit так, похоже, и было, хотя для юзерофильности, по-видимому, использовали JS.
Вы упускаете: суд выдал ордер. Прокуратура ему уже всё доказала, суд согласился с доводами.
В УПК — свидетель, в отличие от обвиняемого, не вправе отказаться от дачи показаний (чем, надо сказать, следователи невозбранно пользуются). В США то же самое.
Под любую ОС и софт с открытым исходным кодом? Почитайте, что пишет АНБ, у них даже под FireFox не всегда был универсальный везде работающий эксплоит. А серверы ещё и ключи могут постоянно менять, сделав их временными и храня статические в сейфе. АНБ пришлось бы их каждую неделю взламывать. Про air gap только не надо говорить, не тот тут случай, нет домохозяек под гномоубунтами, администрирующими lavabit-сервер, чтоб уязвимости в ярлыках использовать.
Владелец Lavabit молодец, показал чекистам козью морду, и главное что по закону, ведь закрыть свой сервис не запретишь.
Так все-таки, на сегодняшний день, где лучше заводить ящик-то?
Если использовать оконечное шифрование и Tor, то всё равно где.
А если не использовать, то лучше и не заводить. Тему можно закрывать :)
На pgpru.com. Это гарантирует защиту от АНБ прикрытием от ФСБ. Всё под контролем.На слайдах АНБ было о том, что они прослушивают mail.ru, например.Любой админ такого сервиса, если он честный, перед его открытием должен задать себе вопрос: готов ли он сесть в тюрьму, случись что? Если нет, то владелец не честный, и открывать сервис ему не надо, не стоит обманывать пользователей. Ладар всё-таки пошёл на обман, выдав ключ (не важно, с каким желанием и в какой форме). Есть вероятность, что они бы удовлетворились этим ключом, и никто б ничего (кляп-ордер же, ага) так и не узнал.
Вот разработчики Tor много пишут о том, что было бы, если б их попросили встроить бэкдор в код проекта или оказать ещё какое-либо содействие суду. А к чему все эти рассказы? Они готовы лично все, всем составом, сесть в тюрьму за, например, отказ от выдачи ключей DA по решению суда или за разглашение информации о таком запросе? Они пространно пишут в своём FAQ про юристов, что как бы намекает на то, что они будут биться со спецслужбами в легальном поле, но играть с противником по его правилам бессмысленно — противник всегда победит. У противника правительство, которое одобряет эти законы, и штат судей, которые требуют их исполнения. Если вы соглашаетесь с исполнением требований суда, то вы соглашаетесь со всей этой системой, а система вам чётко говорит: все системы защиты информации от нас — зло. Получается, те, кто собираются играть на легальном поле, должны чётко писать: мы не защищаем вашу информацию от спецслужб и выдадим им её по первому же законному их требованию. Альтернатива — не играть в законность, держать сервера
на орбитегде-то далеко, использовать для проживания благоприятные юрисдикции и т.д. Т.е., делать это примерно так, как это делает пиратская партия.Надо в вики оформить, табличку,
Для этого они распределяют DA по земному шару. Расчет строится на бесполезности одних только ключей из штатов, для атаки на пользователя потребуется 50% + 1. Для получения ключей из евросоюза, к примеру, одного решения тайного суда США будет не достаточно, а значет есть шанс, находясь в легальном поле, рассказать об этот факте.
Именно так всегда и пишут в правилах использования сервиса, privacy policy и прочем. То, о чём Вы пишите — фантазии, никто в своём уме не пойдёт под суд ради неизвестно кого, с тем же успехом можете предложить им совершить государственный переворот.
Да, разработчики Tor будут действовать под правовым принуждением так же, но они создали многоуровневую техническую инфраструктуру, которая, случись что, позволит сообществу выявить такие действия с их стороны.
Разве без JS нельзя пользоваться yahoo и mail.ru?
Для встраивания бэкдора в код Tor содействия евросоюза не требуется. Единственная надежда — на то, что это будет выявленно посторонними, не связанными с кляп-ордером.
Не совсем фантазии. Да, на официальных вывесках так не пишут, а реальная практика (например, сливать логи или нет) зависит от конкретного сервиса, как и реальный расчёт на то, что делать при наезде и абузах. Игра может идти на том, что раскрыть реальных владельцев бизнеса всё равно не смогут, а бизнес может с лёгкостью в случае проблем закрыть одни сервера и через день открыть другие в другом месте.
На эту тему когда-то был обстоятельный коммент[link66] (последние 2 абзаца).
При первом же требовании органов вы сольёте всю информацию о своих корреспондентах и посетителях этого сайта?
Измельчали людишкиА как же Циммерман с PGP? Сколько людей по миру сидело за политические и др. тому подобные преследования? Даже Дзержинский сидел. Почему у активистов цифрового мира должно быть по-другому?не важно свзяны или нет. допустим связаны и что это мешает, в случае выявления бэкдоров, разработчикам придать гласности данный факт посредством третьих лиц?
бессребренники, которые заслуживают уважения (если это не экстремисты). но мало таких, которые борятся за идеалы и свободы других и готовы отдать свою свободу или свою жизнь за это.
Satva, лучше давай
А где сейчас тот Циммерман с тем PGP? Небось его замаргинализировали в прессе, а компанию купила какая-нибудь крупная корпорация и похоронила?
Но причём тут ключи для DA?
Если вопрос про подпись исходников, то разработка идёт в открытом режиме. Исключать конечно ничего нельзя, но закладка в тарболл при живой git?
Сидя под Tor, Вы можете не полагаться на искренность моего ответа.
Мешает, наверно, тот факт, что засудят тех, кто передал информацию третьим лицам. Если о чём-то знают 2-3 человека, нетрудно найти того, кто передал
или засудить их всех вместе сразу.Речь была о всех способах воздействия. Ключи на DA — один из вариантов.
А каждый разработчик тщательно проверяет коммиты каждого из своих коллег? Или всё же играет роль принцип «мы ему доверяем, он знает, что делает»? С учётом того, что кляп-ордер можно наложить на всех, кто работает над проектом в США, а те, кто не в США, всё равно работают на штатовскую организацию и, тем самым, возможно, всё равно подпадают под американское же законодательство. Tor Project зарегистрирован в США, не так ли? Какие права у европейских разработчиков Tor (а они вообще, эти разработчики, есть?)? Маркес находился в Ирландии, но его собираются экстрадировать в Штаты и судить по штатовским законам. Пусть в его случае ещё можно это косвенно списать на гражданство (хоть это и не оправдание), но полно других случаев принуждения к выполнению именно американских законов.
МИД РФ уполномочен заявить: не покидайте ваших бараков население, за пределами зоны водятся страшные американские агенты у которых план по вашему отлову.
Подпадают.
Вы так говорите, как будто считаете, что это что-то плохое.
При педоистерии отключается мозг полностью, агентам достаточно поставить метку с ДП на человеке и суд уже не нужен, останутся одни формальности. Поэтому этот случай сравнивать с кляп-ордерами некорректно. У Лавабит есть общественная поддержка, у Маркеса никого нет за спиной, в общественном мнении он без суда уже виноват.
При этом в Ирландии по закону разрешена экстрадиция своих сограждан, но обычно они сидят весь свой срок дома, а потом едут сидеть в гостях. В европе в целом по разному, где-то как в РФ не отдадут даже некрозоопедофила, даже если это гитлер.
Судя по резонансу и новостным сообщениям в интернете, не так всё плохо. Маркес не владел всеми сайтами, он только предоставлял площадку. И на площадке было много разных сайтов, тот же Tormail.
В вышеприведённых комментариях люди путают стиль мышления и модели поведения идейных активистов (и бизнесменов-нелегалов, кстати между ними не так много разницы) и изобретателей-разработчиков. Обычно изначально хороший активист — фиговый разработчик/исследователь/изобретатель. Обратное верно в меньшей степени, но всё-таки тоже верно.
Рвать на себе рубаху и клясться в своих непримиримых взглядах в деле борьбы проще всего. Обычно в разных делах всякие засланцы-провокаторы первыми же на этом и играют. И первыми же устраивают подлянку и всех предают с лёгкостью.
Дальше можно продолжать сугубо спекулятивные рассуждения.
Если предположить, что разработчики Tor под давлением правоохранительных органов сдадут ключи, встроят троян — ущерб будет значительный, но не такой большой, как кажется. Это будет кратковременная операция и много народа поймать не получиться. Явно или неявно, они смогут со временем и кляп ордер обойти и отомстить за уничтожение имиджа своего проекта уничтожением имиджа деятельности правоохранительных органов (как сделал Сноуден). Так что в будущем вмешаться в деятельность других проектов будет сложнее.
Даже если проект вообще закроют, а разработчиков полностью скомпрометируют и отправят на пенсию (или в нелучшие места), важнее то, сколько теоретических и практических наработок они успели сделать. Это поможет другим исследователям продвигаться дальше в этом направлении. Поэтому они могут себе позволить и налаживать дипломатические контакты с правоохранитльными органами и деньги от системы получать. А прячущиеся в левых юрисдикциях борцуны могут создавть лишь слабые поделки или пользоваться для своей деятельности чужими наработками.
К примеру, само АНБ, продвинув не очень удачные стандарты (SHA-1, SHA-2, DSA, Dual EC DRBG), внесло достаточный вклад в теоретические исследования в криптографии. С точки зрения исследователя, а не идейного борца, слегка пофиг на тех, кто спалился на кривых реализациях этих стандартов, зато сколько интересных теоретических работ опубликовано.
У всех сторон свой цинизм, который они не высказывают публично. Как у "борцов", так и "исследователей". Мне лично кажется, что сообщество "непримиримых борцов" контролировать, наводнять своими агентами и предателями, а при необходимости разваливать — гораздо проще, чем противостоять сообществу "исследователей".
Хотя, кому что ближе и понятнее.
Трудно заткнуть кляп-ордером рот тому, кто испытывает жгучее желание разгласить информацию. В США яко-бы исполняются законы и человека нельзя бездоказательно закрыть, на этом можно сыграть. Нужно разгласить так, чтобы несмотря на очевидность источника утечки, не было формальных доказательств вины.
Вариант номер раз: Ставим самому себе жучок и сливаем в интернет запись разговора с агентами, будет отмазка что "мопед не мой, ищите кто подслушал" (нужно всегда записывать все разговоры с представителями органов, может сильно помочь впоследствии).
Вариант номер два: Разгласить то что явным образом не запрещено разглашать и намекнуть на связь с нужной темой. Кто надо, тот поймет, а цепануть за базар формально нельзя.
Вариант номер три: Если есть документальные свидетельства (копия ордера), потерять их в нужно месте, где их найдет нужный человек, или иммитировать кражу (осторожно, криминалисты умеют определять фальшивые кражи, нужна аккуратность исполнения). Об утере или краже сразу заявить куда следует, сохранить копию заявления.
Вариант номер четыре: если принуждают к действию, например к внедрению бекдора, сделать это гротескно и демонстративно, чтобы все сразу заметили и поняли суть действий. Т.е. классический принцип: из под палки делаем так, что лучше бы не делали (кто в армии служил, тот знает как надо). Принудить человека который чтото активно не хочет, вообще очень трудно.
Верно. Кроме того, торпроджект — это не коммерческая организация. Обычная коммерческая контора не может себе позволить даже временно закрыться ради непрерывности бизнеса, из-за возможных убытков, потери инвестиций, лицензий и т.д., как мелкая, так и крупная. Ну не может Google или Intel рискнуть своим бизнесом ради каких-то идеалов. Там только бизнес и деньги.
А руководители торпроджекта могут просто закрыть проект, сделать массу громких заявлений без подробностей, что им мешают работать и т.д. В крайнем случае, получат штраф за "неуважение к суду", "отказ сотрудничать со следствием" и пр., но для их карьеры и репутации это будет в перспективе лучшим выбором.
Вот как коммерческая компания может действовать под давлением[link67]. Для Ъ: Один VPN провайдер сделал рассылку о блокировках всего бизнеса со стороны властей и сливе всех данных о покупателях, а потом пишут в своем блоге что это была хакерская рассылка и они в порядке.
"Мы действуем в рамках закона, однако хотим уведомить вас странной закономерности, выявляемой нашими сотрудниками в процессе своей работы: утечка информации, защищённой кляп-ордером, сильно увеличивает риск несчастных случаев с тем, что дорого её обладателю."
"Имейте ввиду, мы живём в несовершенном мире, и такая закономерность иногда выявляется даже когда связанный кляп-ордером к утечке не имеет отношения. Поэтому в ваших же интересах будет прикладывать все усилия к тому, что бы эта информация не получила огласки."
Во как![link68]
Теперь вопрос "Где лучше завести почтовый ящик" для здравомыслящих индивидов не стоит!
Пошли в отказ, грамотно все обставили, клиент как за каменной стеной. И не кому нибудь отказали, а самому ЦБ! И даже штрафа не боятся, т. к. знают — Конституция и право — прежде всего!
Это у них теперь новая площадка[link69] для конкурентной борьбы, кому побольше влепят штраф за сохранение тайны переписки. Ждём выхода Яндекса на авансцену.
фуфлопиар ход. с каких пор ЦБ имеет право требовать предоставление информации у сторонних организаций?слабо ментам отказать? взяли б и на весь свет показали, как отказали МВД или ФСБ.
С 1 сентября, когда к нему перешли функции ФСФР.
Просто отказ и демонстративный отказ – разные вещи. Бывает, что отказывать можно, а показывать нельзя.
Простой вопрос: где... завести ... яшик?
Ниодного нормального ответа.
ПОЧТОВЫЙ ЯЩИК ЛУЧШЕ НЕ ЗАВОДИТЬ НИГДЕ!!!
ОБСУЖДЕНИЕ В ТЕМЕ ПОЛНЫЙ БРЕД И ПОЧТИ ВСЁ НЕ ПО ТЕМЕ.
предлагая тему закрыть.
Гость (14/10/2013 22:16)
yandex.ru нравится? можно на mail.ru. вам то он для каких целей?
На главпочтампе до востребования
вот неплохой вариант: на столбе около дома.
У меня получилось анонимно завести ящик в Китае через TOR здесь:
http://web.mail.tom.com/webmail/register/index.action
Нашел его в этом списке азиатских почтовиков http://www.fepg.net/asiachina.html перебрав все китайские, и только один оказался подходящим.
Но у этой почты есть недостатки.
http://www.ipyou.ru/ говорит следующее
Страна: China
Код: CN,CHN
Регион: 22
Город: Beijing
Широта: 39.9289
Долгота: 116.3883
Браузер: Mozilla Firefox ver 17.0 unk
OS: Windows NT 6.1
IP адрес: 61.135.158.90
Имя компьютера: smtpz1.163vip.net
Карта показывает:
maps.yandex.ru/?text=Китай&sll=116.388200%2C39.928900&ll=116.388346%2C39.928775&spn=0.005043%2C0.002684&z=18&l=sat%2Cskl%2Csat
Кто располагается в этом здании?
К сожалению, эти точные координаты липовые. На тех же координатах, по данным www.ipyou.ru, сидит например другой почтовый сервер reg.email.163.com и много других серверов.
http://rghost.ru/49497001 (web.mail.tom.bmp – 1.79 МБ)
Поэтому узнать подлинный дом и адрес расположения сервера невозможно.
Неясно также, чей это сервер. Китайской фирмы или правительства, или же филиала западной фирмы или правительства? Во втором случае эта почта ничем не лучше google-mail.
Недостатки:
1. Разумеется, почта требует JavaScript и Cookies для регистрации и работы.
2. Нет регистрации и авторизации через https, т.е. она без шифрования, и кто угодно может перехватить сессию и пароль, просмотреть и фальсифицировать переписку, изменить пароль и удалить ящик.
Впрочем, эту проблему (2) в принципе можно решить, если использовать Tor-ExitNodes из самого Китая или другой страны-изгоя, хотя здесь есть большие трудности.
А: Нужно чтобы эти китайские ExitNodes были чисто китайские (чисто вьетнамские, чисто иранские и т.д.), т.е. не прозападно-диссидентские и не филиалов ЗАПАДНЫХ ФИРМ И ПОСОЛЬСТВ в Китае и странах-изгоях. Вычислить это трудно.
Б: Поскольку Vidalia автоматически использует прокси на выходных узлах, требуется чтобы прокси тоже были чисто китайскими или другой страны-изгоя и при этом не использовали физических коммуникаций контролируемых ЗОГ. Но как настроить privoxi/polipo на такие прокси-изгои? Да еще проверить местопролегания их коммуникаций с почтовым сервером? Тоже почти нерешаемая проблема.
Но учитывая тотальную подконтрольность ЗОГу корневых центров сертификации, те же меры требуются и для https-соединений, которые прозрачны для АНБ также как и http. Однако есть единственный в мире неЗОГ корневой центр сертификации – это китайский (правительственный?) CNNIC. Но много ли сайтов имеют его сертификат? Совсем мало.
В том же списке китайских почтовых сайтов нашел только два с https-сервисом, это:
https://login.sina.com.cn/signup/signup?entry=homepage
https://my.ename.cn/cas/register
Но анонимно зарегистрироваться на них невозможно (кидалово).
Притом корневые и промежуточные ЦС у них американские, не странно ли?
VeriSign Class 3 Public Primary Certification Authority – G5
Зачем нужен почтовый сервер в стране-изгое доступный через шифрованную связь? Ведь приватность переписки можно обеспечить и пользуясь google-mail через анонимные сети. Затем, что приватность на google-mail потребует дополнительных программных спецсредств таких как шифрование на стороне клиента и электронные подписи, а также постоянных процедур смены почтовых адресов для сокрытия межпользовательких связей и предотвращения блокировки ящика, а не все рядовые пользователи умеют и желают работать в таких условиях, большинство предпочитают обычный почтовый сервис.
А что, а вдруг?[link70]
Another one tormail:
torbox3uiot6wchz.onion
С tormail-ящиков можно отправлять почту на неtor адреса? Или с неtor ящиков на tormail?
tormail больше нет, а torbox не tormail.
Silent Circle и Ладар Левисон из Lavabit объявили[link71] о начале разработки нового
PGPпротокола защищённой электронной почты Dark Mail[link72]. Технической информации пока практически никакой. В заметке на PC World говорится лишь, что протокол будет обеспечивать оконечное шифрование, скрывать все метаданные и адресную информацию (включая IP-адреса(?)), будет построен на основе XMPP и SCIMP[link73] (собственного протокола Silent Circle для IM-сообщений), будет обладать свойством PFS. Спецификацию обещают сделать открытой.Если б они его назвали «Black Mail», было бы чётче. ☻ Можно было бы вместо «напиши ему сообщение» говорить «please, blackmail[link74] him».
В поисках почтового ящика можно заглянуть сюда[link75].
Азия, например[link76]
Инфа
безнадежноустарела лет на 10. Но может что-то кому-то подойдет, если попадется функционирующий сервис. По крайней мере, краткая историческая справка по фришным мылам эпохи раннего нета будет.вот почтовый сервис https://hidemyass.com/anonymous-email
кто пользовался?
бред. нет отправки корреспонденции.
сродни 10minutemail.com, только регистрацию еще прикрутили.
Решил посмотреть как обстоят дела с почтой в скрытых сервисах. Предложений немного или плохо искал.
http://f3ljvgyyujmnfhvi.onion/ – "Due to several hard atacks to our servers,"
http://iir4yomndw2dec7x.onion/ – свободная регистрация отсутствует (10.09.2013 – Free registration CLOSED (users number reached 500)
может кто знает еще ссылки?
http://jhiwjjlqpyawmpjx.onion/ — Tor Mail сервис почты не пашет.
http://a5ec6f6zcxtudtch.onion/mm-anon-email.htm – сервис анонимной отправки e-mail не пашет.
Не Тор: https://www.hushmail.com/ – уже не бесплатный.
Окружают со всех сторон ))
hushmail.com давно обосрался, это хаанский бальзам.
xmail.net
какдобавить их сертификат в почтовую программу?
https://4096.xmail.net/app/signup/ca здесь описано как в браузер, на счет почтовика полагаю так же
В Тандербирде ящик не вякнул на сертификат, а в Бате завопил при загрузке почты (( Но где там в Бате вставить... куда только не тыкал этот сертификат – все равно кричит (
Основатель Lavabit утверждает[link77], что другие почтовые провайдеры, получили кляп-ордера, запрещающие им закрываться под угрозой создания помех следствию (а он просто вовремя подсуетился). Защита со стороны почтового провайдера — всё равно что обещание не подглядывать.
до чего американцы опустились, а была такая дерзкая нация. Закрывались бы назло федералам, пусть они хоть миллионные штрафы начисляют, всё-равно не платить.
-под угрозой создания помех следствию
Между строк текста видно, они свободно читают электронную почту, во всяком случае у тех кому запретили закрываться.
ВНЕЗАПНО.
а как на счет таких как mail.de и web.de ?
unseen.is Исландия, шифрование почты и чат на высоком уровне
страница не открывается.
что то не смог разобраться, а настроить сбор почты с других ящиков нем (unseen.is) можно?
Через ТВВ сюда unseen.is не зайти. Вход с IE невозможен, только с Chrome или FF.
Ни переадресации ни сборщика с других ящиков там нет. Антиспама и фильтров тоже не было замечено. В FAQ ничего не говорится о настройках почтовых программ.
по настройке почтовых программ там написано много материала, просто нужно в ФАК входить в самой почте.
вот например настройка Thunderbird из под линукса (в оригинале + скриншоты)
Set Up Thunderbird POP for UnSeen
The following steps will guide you in setting up Thunderbird POP for UnSeen:
First, in Thunderbird select Edit followed by Account Settings.
This will open the Account Settings screen where you need to select Add Mail Account from the list of Account Actions located at the bottom left of the screen
This opens up the Mail Account Setup screen.
Enter the name that will appear in the Your Name field, when others receive your message and then click on the Next button.
Enter your email address (for e.g., jsmith@unseen.is).
Next, enter your email account password in the Password field.
Select the Remember Password checkbox so that Thunderbird will not prompt you for your account password.
Click on Continue and at this point, Thunderbird will try to automatically detect your mail settings.
Click on Manual Config button to open the POP mail server settings.
Select POP3 from the drop-down list for Incoming email and enter the following details.
Enter mail.unseen.is as the secure server name
Enter 995 as the POP3 Port number.
Select SSL/TLS from the drop-down list for SSL
Select Normal Password from the drop-down list for Authentication
Enter the following details for the Outgoing (SMTP) mail server:
Enter mail.unseen.is as the secure server name
Enter 465 as the SMTP Port number.
Select SSL/TLS from the drop-down list for SSL
Select Normal Password from the drop-down list for Authentication
Username—Enter your email address (for e.g., jsmith@unseen.is).
Click on Done to go the Security Exception screen.
Here, you will confirm the mail server port settings.
Select the Permanently store this Exception checkbox and click on the Confirm Security Exception button to save your settings.
Dark Mail будет запущен уже в первом квартале 2014 года[link78]
Государственный наивняк по ссылке
очень смешон.
Урок, который все должны были освоить после историй с SC, SR и FH — то, что полагаться на централизованную третью сторону есть зло. Вместо того, чтобы городить распределённую P2P-архитектуру поверх анонимных сетей для связи людей друг с другом, они опять начинают создавать очередную третью сторону, провоцируя атакующего. Неужели так трудно понять, что если есть узкое место, получив доступ к которому, атакующий получает всё, то это делает такое место очень лакомым куском, который будут атаковать годами изо всех сил? Дело не только в шифровании, но и в том, что третья сторона может хранить списки контактов, их метаданные и другую полезную для ББ информацию.
Риторика, когда все всё понимают, но продолжают изо всех сил разыгрывать друг перед другом спектакль "мы действуем в правовом поле" уже откровенно смешит. Если вы делаете бизнес, то не кричите про защиту данных, а сразу предупреждайте пользователей о всех рисках и отсутствии каких-либо гарантий. Если первопричинная цель — не бизнес, а защита данных, то заявляйте с порога, что исполнение законов по понятным причинам не волнует. Сразу же должно быть понятно, что нет возможности исполнять правила игры (законы), если эти правила пишет, меняет и трактует так, как хочет, ваш противник. По отношению к
зверьюпротивнику действует только один закон — закон силы. Можно заявить: "Интернет, как и многое другое (ваши мысли, личные разговоры дома, записи в ваших дневниках в столе), — полностью свободная от закона зона, и должна таковой остаться. Мы разрабатываем средства для того, чтобы таки и было. Свобода интернета так же естественна, как свобода собственной мысли, не должно быть никаких запретов размышлять вам о чём-либо, не должно быть цензуры мысли".Если запрещено закрываться кляп-ордером, есть масса других способов осуществить саботаж: устроить пожар в серверной, фатальную поломку, ещё что-нибудь...
https://en.wikipedia.org/wiki/Extraordinary_rendition:
Видите, как в жизни всё просто?
Законы — это для дураков. Умные люди пишут законы, а не исполняют их.Можно ещё совершить акт публичного неповиновения, разгласив всю информацию о "кляп-ордере". Хотя если бизнес дороже, то вариант с саботажем конечно предпочтительней. С другой стороны репутацию борца за свободу тоже можно как-нибудь конвертировать в прибыль.
Правильней наверное так – подлые пишут, глупые выполняют, умные делают вид что выполняют. Но это нормально только для тоталитарного чекстского государства. В цивилизованной стране законы таковы, что их выполняют все – от бомжа до президента.
На саботаже легко спалиться. Даже если невиновен — это вошьют в дело, как противодействие следствию с ещё худшими последствиями. Даже сами спецслужбы в последнюю очередь прибегают к методам, где всё может пойти не так и могут остаться физические следы.
[политоффтоп]
Вопрос только в степени выраженности. Спеслужбы, армия, полиция, суды, политики и пр. везде подвержены одним и тем же болезням, только где-то в меньшей степени. Но иногда просто удивительно, до чего бывают похожи по-крайней мере частные случаи в разных цивилизационных регионах земли. ничего идеального на этом глобусе не существует. За некоторые якобы идеальности приходиться расплачиваться чем-то другим и т.д.
[/политоффтоп]
Дороже собственная безопасность, чтоб в тюрьму не сесть за разглашение. Потеря бизнеса — мелкая наприятность на фоне этого.
Это категорически неверное заявление, о чём цитата выше как раз и говорит (вы читаете по-английски?). Недавние /comment74165[link79] и /comment74180[link80] тоже пытались донести эту простую мысль. Да, в разных странах разные масштабы, но, как теперь уже всем должно быть понятно после сноуденовских разоблачений, все государства — «тоталитарные и чекстские» (а те, у кого нет своих чекистов, целиком лежат под теми, у кого чекисты есть). Обычному человеку бежать некуда, это общемировые тенденции, и именно поэтому предлагается не бежать, а объединяться в борьбе со злом, создавать международные проекты по защите прав пользователей в цифровом мире. Тот же Tor — международная организация, ответственные за инфраструктуру люди живут в разных странах, т.е. разных юрисдикциях, и ни одна страна не имеет полного контроля над деятельностью всех, кто участвует в Tor Project. Но это политика, не хотелось бы снова начинать очередной срач на тему.
Либеральные ресурсы уже порядком достали промывкой мозгов вида «на Западе все пукают бабочками, это Рай на земле». Если читать официальную западную прессу, то да, такое впечатление может сложиться точно так же, как если каждый день слушать первый канал, то сложится такое же впечатление про Россию. А вот если читать не препарированную для хомячков информацию, а первоисточники и оригинальные исследования, то картина вырисовывается совершенно иной. Но, в любом случае, это всё оффтоп тут.
Степень выраженности пороков определяет уровень цивилизованности государства, согласно переходу количества в качество. Везде существует зло, но его масштабы зависят от того, признаётся ли оно нормой или объявляется борьба с ним.
А где я предлагал бежать на райский запад? Типичная демагогия, есть ложь №1 -защитники-чекисты и ложь №2 – гуманисты-западники. Нам предалается решать, какая из них правдивей и примкнуть к одному из антинародных лагерей.
Реакция правительственных и силовых структур на информацию, раскрытую Сноуденом, говорит о том, что мы имеем дело с мировым заговором. Все правительства дурят своих граждан сказками о защите личной жизни, скрывая то, что происходит на самом деле. Где меньши масштабы прослушки? США, Европа, страны 5 eyes (Канада, Англия, Автстралия, Новая Зеландия), Россия (а также бывшие страны СССР), Китай, Индия[link81] и арабские страны по вполне понятным причинам выпадают сразу. Что остаётся? Мелкие острова, безопасность которых по договорённости охраняют первые, а равно и целиком влияют на их политику и законы? Получается, что ничего не остаётся.
Дело tormail живёт, встречайте Mailtor[link82].
Встречайте Mail2Tor[link83].
То ничего, то сразу 2. Какой лучше?
Этот[link84]. Дизайн лучше.
В приведенном выше посте на Хабре[link85] есть ссылка на сервис[link86] о котором написано "они выдают домены в зоне .tk бесплатно, с условием, что ваш сайт будет работать и вы вовремя будете продлевать регистрацию доменного имени".
Интересно, кто такой щедрый выбил новый домен первого уровня и для чего бесплатно дает в нем регистрации?
Государство спонсирует[link87]:
Под Tor'ом ссылка не открывается.
Ага. Оба (и Mail2Tor и URSSmail) хостятся на скрытых сервисах.
В зоне tk всего 1411 аборигенов (инфа 2011-го года), а их территория принадлежит Новой Зеландии.
Новый? Я там пару доменов регал несколько лет назад еще. Даже не знаю, что с ними сейчас.
Это ж культовые домены — tk и co.cc.
Острова так решили пиарится. tk не tv, конечно, но тоже ничего. Для торговых комплексов или чего-то созвучного. Но слава у них другая и отношение к ним соответственное.
Теперь вопрос где заводить почту не стоит. Встает другой вопрос — как?
Надо успеть[link88] до 20.01.2014.
С одного компа (железа) не прокатит скорее всего, если ставить их клиент. А вот с нескольких:)
Итого вполне можно застолбить за собой несколько Тб. Хотя проще купить винт за 4к. Но это ж облака, на халяву, доступно везде! Антианонимно, зато бесплатно. Нет гарантий, что в самый неподходящий момент не накроется или не потребует верификации, увидев там какие-то контейнеры, например. И не факт, что через Tor будет работать.
Да, про китайцев, которых в статье упоминают с их 10 Тб, не слышал, у них китайских размах, реально. Еще б эта тема вся была б анонимной)
Гость (23/12/2013 20:05), все это здорово, только вот почта-то здесь причем? Метания ваши понятны: Регать или не регать, ставить или не ставить, халява или анонимность...
Серьезная проблема.
Странный вопрос, mail.ru вам о чем-нибудь говорит? Позиционируется в первую очередь как почтовый сервис. Номинально, все остальные сервисы идут в довесок, в т. ч. и
тучиоблака.Нет никаких метаний. Были поиски облака в свое время на 50 и даже 100 Гб. А тут на порядки пространства больше. Регать если и буду, еще есть время подумать, то вопрос анонимности в явном виде стоять не будет.
Впрочем, пост можно было разместить и здесь[link89] или в теме про бэкапы. Разница?
...сливающий всё о вас подчистую в ФСБ и МВД. Тогда уж лучше на safe-mail.net сидеть, пусть они с Моссадом договариваются о получении доступа, всё лишняя работа будет как-никак.
У них зимой снегаОни жмутся под ящик выделить пространство, выдавая дефолтных 3 Мб (прописью: три мегабайта), а тут терабайт на мыле. Яндекс уделали с его 10 Гб, пока пиарно. 10 Тб у китайцев. Как склад вполне сгодится. Вы же не собираетесь туда лить гостайну? Я нет. А такое пространство для медийной шелухи подойдет идеально. Посмотрим, потестируем, наверное. Конечно, там скорее всего будут ограничения, на скорость, на форматы файлов, на еще что-то. Чтобы их снять, надо будет кинуть денежку. Старо, как мир. Помимо троянана виртуалкена компе.Три мегабайта текстовых сообщений — это более, чем дофига, а любители посылать аттачем файлы по 5 метров идёт лесом. Для передачи файлов пусть их выкладывают на файлообменники и в теле письма пишут ссылку. К тому же, нет нужды хранить всю почту на сервере: всё перекачивается в локальную БД почтового клиента, причём столь часто, сколь часто вы проверяете почту по POP3S. Например, из-за этих соображений мой гуглоящик пустой практически всегда, мне не нужны их гигабайты, хоть они там и предоставляются.
Только забыли добавить, дофига было (бы) при такой-то переписке, например с одним-двумя адресатами раз-два в неделю, которые знают, что надо посылать короткие телеграммы, на таких-то условиях в таком-то лохматом году. А так получается, что дофига на все возможные случаи, а это не так.
Аттачи здесь не при чем и идут лесом, согласен.
Входящие на 100 Кб текста от 50 человек уже создадут проблему. Любое количество сообщений, суммарный объем которого не поместится в эти "аж 3 Мб" — это будет проблемой как вашей, так и ваших "собеседников". И если переписка носит деловой характер и ее важность выше средней, то 3 Мб — это несерьезно. Вообще, в 2013 г. 3 Мб для почтового ящика — это несерьезно, вы согласны?
А если отписываться фразами в стиле Эллочки Щукиной, то хватит и 3 Мб, а еще лучше пейджор или твиттор завести тогда.
Ожидал услышать иную реплику: "Например, из-за этих соображений мой ящик на safe-mail.net пустой практически всегда".
Признаюсь, мне лень считать, но 100 KB текста, думаю, вы не прочитаете за целый день. Несколько мегабайт — это как вся Библия целиком в текстовом формате. Рабочее письмо может весит... ну я писал длинные текстовые письма, да. Если очень долго писать, я с большим трудом дотягивал до 10 KB, но 5-6 KB — это уже очень длинно. Вы там книги друг другу собираетесь по почте в текстовом виде пересылать? :-) Обычно эти килобайты натекают из-за картинок и файлов в аттачах (doc — тоже аттач), но про них уже всё сказано.
Безусловно, но если придерживаться панктуальности и слать по почте только текст и только писем, то 3 MB — приличный объём, мне трудно это отрицать.
P.S. Нагуглил[link90]:
Сколько вам понадобится времени, чтобы хотя бы просто бегло прочитать (не говорю уже про «написать») 3 MB текста — прикиньте самостоятельно. :-)
В рабочем ящике без аттачей не обойтись (всякие рассылки с аттачами вообще добивают), но там и анонимности никакой. Но мы же речь про анонимные ящики ведём? Анонимный и рабочий одновременно — это да, сочетать трудно, а для общения между технически подкованными анонимами обычно хватает минимума.
P.S. У меня из-за бюрократии бывало (случай редкий и исключительный, но имел место), что надо было пересылать файлы, которые в почтовом протоколе будут занимать больше 10 MB — такие письма можно послать только с гугла на гугл, другие сервисы это не поддерживают, пусть у вас хоть терабайт свободного места.
У всех свои запросы конечно.
Обычно пара-тройка параноиков не могут договориться, как безопасно связаться раз в полгода, а кто-то хочет вести деловую деятельность с десятками человек и при этом оставаться незасвеченным.
Признаюсь, мне лень продолжать объяснять на пальцах, но 100 KB текста, думаю, вы поняли, это был просто пример. И читать его за целый или не целый день нет необходимости. Это может быть какая-либо выборка, база, список, для обработки приложением, к примеру. В конце концов, молодые пейсатели пришлют свои работы на рецензию анонимному издательству без цензуры.
Не до конца понимаю, в чем трудность заключается? Работы разные нужны, работы разные важны. При работе, желательно иметь свой почтовый сервер. Но могут быть и иные решения (бесплатные) не только на старте, но и вообще, вне зависимости от ниши и статуса. Не в плане халявы, а в плане отсутствия необходимости оплаты, что снижает риски, т. к. платежные транзакции — лишняя информация, а доведение до ума анонимизации финансовой активности (оплаты) — это лишние затраты. На каком-то этапе это можно себе позволить, на каком-то начальном отрезке не стоит.
Совершенно верно. Запросы, продиктованные жизнью.
Деловая ли, досуговая или еще какая-либо деятельность с десятками человек — это довольно скромный показатель. Сотни, тысячи и более — не такой и редкий случай.
Рассматривать частные случаи не вижу смысла — их неограниченное количество, а те лица, сфера деятельности которых лежит в иной плоскости все равно будут говорить, что 3 Мб хватит. Да может и хватит в 90 случаях из 100, но есть еще 10 случаев.
Пара-тройка параноиков могут и не договориться. Они ведь параноики. Я если договориться нужно параноику и обычному юзеру, группе юзеров – это уже другой случай. Либо юзеры делают, как говорит параноик, что в их интересах, либо не имеют никаких связей с параноиком. К тому же в рассматриваемом случае от юзеров никаких лишних действий не требуется. Им даются рекомендации, следовать им или нет – это их дело. А задача проста – главным образом, отправить письмо. Возможно, получить ответ.
Рациональный минимализм — это еще можно понять. Но утыкаться в 3 Мб? Тогда можно на старых целеронах и 128 Мб оперативы сидеть, для "работы" всяко хватит и гораздо меньших ресурсов. Но про многие необходимые решения (виртуалки, приложения, рамдиски и т. д.) можно забыть. К примеру, один TBB жрет больше.
Короче, кому подходит safemail, нет проблем, пользуемся. Кому-то не подходит. И в первую очередь из-за сверхмалого объема. Хотя иные критерии вроде как удовлетворяют почти всем требованиям ящика.
Если ваш ящик "3 Мб", учитывайте хотя бы спам и то, что вам могут прислать важную информацию, которая до вас не дойдет, т. к. весь полезный объем будет забит. В стандартных ящиках с этим нет проблем, а на бесплатных урезанных как это будет выглядеть не знаю, скорее всего, робот отправит адресату обратно его письмо с указанием причин возврата.
Личный пример. Был ящик, красивый логин. Успел регнуть. Так многие умники, сам порой так делал, от балды вводят в разных сервисах мыло, т. к. без него не регнуться, ни камент запостить. Вот его и вводили, судя по всему, т. к. на ум приходит такое сочетание буквоцифр. И мне на него посыпались френды, лайки, ссылки, просьбы и т. д. сотнями. А если бы он 3 Мб был?
А, так ещё не только размер, но и
понтпрестиж важен.понтпрестиж важен.Нет. "Был ящик, красивый логин. Успел регнуть." Он не такой и красивый, есть покрасивше. Для меня понт не важен абсолютно. Пальцы веером — это не ко мне.
В каждом случае при регистрации мыла, логин выбирается согласно индивидуальным соображениям пользователя в отношении назначения ящика. Где-то нужен с намеком на ФИО, где-то обезличенный, где-то тупо кусок хэша.
Что такое престиж?
Несмешно.А по размеру повторю — не только важен, но и, в первую очередь, нужен. По крайней мере мне.
Если safe-mail сделает объем бесплатного ящика 1 Мб — дайте знать, это дело надо обмыть.
Уменьшит ещё в три раза что-ли?
Да. С целью стимулировать переход клиентов на коммерческое использование сервиса.
господа анонимы, да о чем тут речь...? (риторический вопрос) Вообще, я считаю, что доверять кому то не было свою переписку, тем самым регистрируя ящик на чужих сервисах, будь то малй ру или тор майл – глупо, ибо ни кто тебе не чего не обязан, а если обязан то в соглашении ты сам подписываешь пункт где говориться что в некоторых случаях они могут предоставить твою переписку третьему лицу.
Самая надежная система это поднимать свой! Вот тогда можно еще будет как то пытаться скрывать свою переписку и т.д. ИМХО
Не забудьте сделать то же самое для каждого из ваших абонентов.
кто-нибудь может рассказать про mail.de? уж очень там сладкий акк вырисовывается) а вот про надежность и анонимность пока не разобрался
вот пока тема всплыла. а можно как-то mixmaster прикрутить к почтовику или gui какое к нему?
Печально как-то с ними. Осталось всего 19 узлов[link91]. Из тех, что выпускают сообщения наружу, не в предопределённые списки рассылки и в нешифрованном PGP-виде, есть только один (ходят слухи, что он под контролем ФБР); 8 узлов позволяют отправку PGP-сообщений из сети.
Можно, см. официальный FAQ[link92]. Правда, устаревший и плохо обновляющийся, как и само это ПО.
Dizum из списка — это наверное тот, который DA в Tor[link93]. Наверное, многие из старожилов этих ремейлеров позже мигрировали в Tor (сами разработчики Tor вроде бы тоже с сетей ремейлеров начинали).
Если б мне был нужен ящик лишь иногда, завёл бы на https://safe-mail.net
Для длительного пользования завёл бы на https://riseup.net – там места под письма больше
Для короткого и не особо важного пользования, впрочем, и Яндекс сойдёт. Написали письмо, прочитали ответ, удалили письмо, удалили ящик. Всё это через Tor или VPN, а то и VPN+Tor.
не думай
думаешь – не говори
говоришь – не пиши
пишешь – не подписывай
подписываешь – не удивляйся
Ф.Э. Дзержинский
Пользую qq.com + PGP
Не возражаю чтобы китайские товарищи читали мою абракадабру. А яндексам и гуглам – перманентный бойкот.
Гость (16/01/2014 01:37)
;)
1. Не думай.
2. Если думаешь — не говори.
3. Если думаешь и говоришь — не пиши.
4. Если думаешь, говоришь, пишешь — не подписывай.
5. Если думаешь, говоришь, пишешь и подписываешь — не удивляйся.
InJustIce
Может оказаться так, что китайцы как раз первый смогу дешифровывать криптостойкий алгосы и получат доступ и к Яндексам и к Гуглам. Если уж на то пошло – свой сервак, своя почта и домен в адекватной юрисдикции.
Читать твои связи будут не только китайские товарищи, но и все кто угодно, если не настроишь свой TorExit только на Китай (пока таких нет), притом на правительственные узлы, а не узлы иностранных фирм и посольств. Потому что https-шифрованная страница qq.com не рабочая, да еще и корневой центр сертификации у нее не китайский расовый CNNIC ROOT, но поганый американский Baltimore CyberTrust Root.
Шифрованная китайская вебпочта с китайским сертификатом действует только для китайцев, выдается только по китайскому паспорту, и работает только внутри Китая. С другими изгоями ситуация та же, внешним анонимусам они не помогают с приватностью, и не хотят.
Вот еще хороший сервис.
autistici.org[link94]
* https://outlook.com
* https://aol.com
* https://yahoo.com
* https://gmail.com
Обратите внимание, Satoshi, пользовался обычным gmail.
Это обращение к Satoshi? Кто именно пользовался?
Бывают ситуации, когда вместо тебя напишут другие. То же самое, что хотел написать ты, но поленился.
Запятую между подлежащим и сказуемым просто так ставят только мудаки.
nsa kills unseen.is email site[link95]
Since the NSA can’t access an Unseen.is mailbox, they saw fit to kill the entire site and they made a huge mistake when they did by allowing at least one notification to get back to the sender. This notification has been captured and is posted here. The Unseen mailbox is totally and completely dead both incoming and outgoing. Unseen is going to have to fight to live now or they will die. The mistake is in the fact that the warning that the mail got blocked was sent and subsequently received by the sender. The sender is not supposed to be allowed to know when a censored message does not make it, because it allows the sender to know what is happening and that the message did not make it. If you want to destroy a target in secret, you cannot let the target know it is being shot at.
хотя почта еще работает
кто знает об этих сервисах:
http://www.cryptoheaven.com/Download/Download.htm
http://anonymouse.org/anonemail.html
yahoo при очередной попытке залогироваться через тор стал требовать верификацию по номеру телефона! Первый раз такое! Что делать??? На крайняк: есть ли сервис в интернете где можно купить за крипты виртуальный номер для приема одной/двух смс?
За крипты хз а так http://sms-reg.com/ может помочь, наверно. Или сами купите левую симку с рук.
Яху послать нах и юзать https://riseup.net :)
gmx.com
Требует JS, однако работает с Tor, никакого телефона или другого мейла не просит, pop-smtp-imap, ssl, опыт нескольких лет использования очень позитивный.
Правда, GMX, в прошлом евр. компания, перерегистрировалась в Штатах, там же сервера. Следовательно...
Но в качестве инструмента для разовых шифрованных коммуникаций — то, что надо (стабильно, не исчезнет и т.д.).
С недавних пор на нем запрещена регистрация или я куда-то не туда нажимаю?
Вообще несмотря на длинные списки разных почтовых сервисов так и не нашел адекватного почтового сервиса где можно зарегистрировать ящик без лишней информации и без контроля IP, чтобы сервис не ругался на TOR и поддерживал HTTPS и чтобы ящик не исчезал через пару дней/месяцев.
( ну и конечно чтобы почта доходила) и желательна, правда необязательна поддержка кириллицы )
В Tor по умолчанию куки не принимаются — allow for session. JS нужна только при регистрации — ну, виртуалка или интернет-кафе, или работа двоюродной бабушки. Если что-то не идет, попробуйте new identity.
Там чудовищный веб-интерфейс (из учебника про как не надо), но есть моб. версия сайта, очень легкая, ну и, плюс, торифицированные клиенты вам в помощь (всё работает).
POP и SMTP отзывчивей и быстрее, чем gmail. Аттач — 50 мб, 5 гб, кажется, по умолчанию размер.
А я не понимаю, мы однака такая страна где есть mail.ru – домен первого уровня, сервис электронной почты?
Попробовал по всем странам посмотреть mail.jp, mail.uk, mail.it, mail.nl, mail.ro – нигде нет mail-ов. Что это?
s/однака/одна/
Сквотеры, вероятно.
Не до конца понятно, что творится в Eвропе. Когда-то, квантовый канал казался таким же призрачным будующем как и квантовый компьютер. Однако, по последним новостям, в Европе их протянули тут и там, и активно используют.
При этом электронной почтой, которую гос-ва должны были бы вести так же активно, как и обычную почту, как в своё время телеграф захватывал всё, не пользуются.
Похоже mail.jp или mail.it == mail.gov, и открывать гражданский/бизнес проект не стремятся на уровне государств.
Всякие маленькие фэйсбуки локальные есть, например suomi24.fi, там и почта и всё остальное.
ну почему же mail.de mail.ch есть такие
Этот кризис, как мне кажется, коррелирует с возможностями спец. служб.
Элементарно, весь бизнес в этой области давят, стараясь оставить лишь лидеров, которые сотрудничают. А дальше,
– Ну ка, есть у тебя там такой, "Бин Ладэн".
– Сейчас гляну...
– - – console – - -
% cd /var/mail/
% grep -irHn 'Бин Ладэн' *
– - – console – - -
– Не, такого нет, проверь, точно так пишется.
– Плюс.
что скажете о seznam?
на чешском не разумеем )
про протоколы на seznam.cz[link96]
Web-страницы почтового сервиса без https? Да ну на...
Ещё один сервис[link97] — lavaboom.com.
HTTPS пока нет[link98]. Оформление сайта в стиле современной идиотской моды. Владельцы анонсируют себя в фейсбуке и твиттере. Сайт крутит Google Analytics.
в перспективе много обещают, а вот исполнят ли.
Имидж ничто, начинка всё. Хотя это справедливее звучало бы в отношении аскетичного интерфейса, нежели "модного".
Посмотрим. Увидим.
Скажите, сейчас Gmail поговаривает[link99] о вводе в эксплуатацию поддержки GPG. Похоже, конечно, на блеф, т.к. таргетированная реклама как будет работать в таком случае? Но мой вопрос в другом, подскажите, какова модель угрозы? Ну мы все понимаем, что это никому не выгодно? Мб уже давно научились ломать GPG?!)) Или они поддержку только ключей малого размера сделают. Ну т.е. похоже на то, что сами себе могилу роют или их не смущает GPG?
Будет скорее всего поддержка на уровне плагинов к гуглохрому для облегчения работы конечному пользователю и прослушивающей стороне.
Да, я тоже подумал, что просто оф.плагин. Ну это бред же, да? Ну т.е. безопасность снова будет на нуле и в конечном счете ничего не измениться.
Они разве не блокируют зашифрованные сообщения и аттачи?
Они блокируют только прикрепляемые архивы и исполнимые файлы (из-за того, что так рассылают всякую вирусню). О блокировании зашифрованных сообщений слышу первый раз. Сколько раз сам посылал, проблем никогда не было.
unseen.is Надежен?
История[link100] с ФСФР (позднее — ЦБ), требовавшей от Mail.ru выдачу переписки пользователей по подозрению в инсайде, получила продолжение[link101]: Mail.ru таки отшила ЦБ на апелляции.
А что, так сложно получить «судебное разрешение»?
https://www.pgpru.com/comment74966
Какой китайский? Где вы видели китайскую почту да еще с 10 Тб?
Из облака посылать письма можно?
Умение пользоваться онлайн-переводчиком или овладение китайской письменностью и языком?
http://www.weiyun.com/ – эта почта не годиться для анонимов, параноиков и экстремистов. Она только для китайцев по китайскому паспорту. Шифрования нет, работа через утилиту. Хотя сервер расположен в Китае http://www.ipaddresse.com/140.206.160.172
можно пользоваться через гуглпереводчик )
just to inform you, all.
У полезной и хорошей вещи TorBirdy[link103] проявился свой launcher[link104].
Вещь работает. Даже с IMAP (грозились, что не будет или будет глючить). Правда, у меня она почему-то на арабском (зеленая полоса в менюшке соответствует Тору, о настройках TorBirdy см. подробнее здесь[link105]).
Основная проблема теперь — написать письмо, когда у тебя открыт TorBrowser ).
Еще TorBirdy вырезает из тела письма эту строчку про User-Agent (в которой вся правда о системе).
не только у вас. и причем дико раздражает эта писанина. снес и настроил руками.
startmail.com
1. JS есть. Без них пока не пробовал.
2. PGP поддерживает, можно сгенерить, можно загрузить свой.
3. В настройках следует указывать, что пользуешь Tor, тогда он тебя не разлогинивает почем зря.
4. POP нет, есть IMAP.
5. Временные адреса и aliasы.
6. Всё легко и красиво. Но не настолько лампово, как в Lavabit, вечная ему память.
7. Возможно будут принимать биткоины.
8. Если будет приемлемая цена, то я возьму, решения по прайсингу у них пока нет.
9. Пока что — 3 месяца на бетатестинг, поделиться нельзя.
Не знаю, писал, кто-то про этот сервис или нет. Использую вот этот. Почтовик из Исландии, ограничения есть, но нравится, то, что сервер в Исландии и им пофигу на все.
https://unseen.is/
Незнаешь, проверь:
https://www.google.ru/search?q......pgpru.com+unseen.is[link106]
Узнал,
Не пиши больше про него.
Или так:
фсбшной шарашке хозяева помогли распиариться не изменив договоренностям о стуке ?
вопрос к пользователям xmail.net
сертификат 4096-bit RSA SSL XMail 4.1 нужно устанавливать в браузер, а с почтовой программой что делать?
настроил ящик "как обычно". при подключении к серверу пишется что используется ключ rsa 2048. получается что через сайт почту использовать лучше?
СОРМ предполагает наличие доступа, но не у ЦБ. с ЦБ не делятся, вот в чем новость.
С подружкой П...тлера которая нынче заправляет в ЦБ официально можно и не поделиться )
safe-mail[link107]:
В тему моего коммента[link108] от 22/04/2014 по поводу шифрования в Гугле. Так вот – опубликовали. Раз[link109] и два[link110].
Я тут вот что подумал. Ведь очевидно, что это им не нужно, даже из наиболее гуманных соображений – таргетированной рекламы. Соответственно по-любому где-то подвох. Вспомнил, как SATtva здесь где-то мне объяснял о вреде JS в криптографии. Ну замысел Гугла понятен – тот же SATtva, из под своей кошерно настроенной Gentoo, не менее кошерно в консоли шифрует текст, отправляет кому-то, а тот кто-то использует расширение от Гугла, чей код позволяет незашифрованные письма копировать себе, благо места хватает. Вот и получается – что вся переписка в открытом виде. Верно? В противном случае, действительно, для чего Гуглу еще нужно шифрование почты?
Это революционное нововведение опробует, если повезет, 1%, а пользовать его будет 0,5. Через два года, в своих традициях, Гугл прекратит поддержку за невостребованностью.
Я вовсе не исключаю, что сделано было из лучших намерений и чтобы отстреляться, потому что "что-то же нужно делать". Но засосало под ложечкой... И сделать очевидную и полезную вещь — встроить pgp в интерфейс gmail (что ни говори, а это резко повысило бы процент пользования, и для зимбабве-китая-россии изменило бы ситуацию) — как-то помешали ощущения в области очка.
Про end-to-end. У них же в каждом телефоне и планшете сидит их родной app. В сущности, это mail client с настройками gmail. Вот что стоит всадить туда однокнопочный функционал (просто из любви к человечеству) и за день изменить правила игры для всех?
Только я по старинке использую mail клиент и не приемлю веб интерфейса? Веб – это так неудобно, нестандартно, нерасширяемо и неавтоматизируемо. Кому нужен gpg в веб? Хомяки gpg не юзают.
Я не знаю, совместима ли их система с традиционным PGP-шифрованием, раз даже шифрование вложений не поддерживается. В более глобальном смысле проблема обсуждалась где-то здесь[link112]. В принципе, собеседник может, прикрываясь шифрованием, вынудить вас на откровенную беседу с целью как можно больше получить от вас ценной информации, чтобы потом слить её.
У них другие критерии годности. Есть множество mail-клиентов; одни не смогут прочитать письма, отправленные другим; как сверять отпечатки (иначе это будет фикция, уязвимая к MITM'у)?. Там много подводных камней.
Есть похожий, но куда более насущный вопрос: «О том, почему шифрование файловых систем обычно не включено по умолчанию»[link113]. Тут даже без гуглов всяких, кругом открытый софт, вроде все за privacy, а не включают. Или вообще: почему не сделают отрицаемое шифрование по умолчанию[link114]?
Много кому. Для начала, почтовые клиенты очень плохо дружат с анонимностью, поэтому проверка почты из-под TorBrowser'а предпочтительней. Некоторые почтовые сервисы (тот же Gmail) проставляют в заголовках, с какого IP вы отправили письмо, если была испрользована внешняя почтовая программа. Однако, они этого не делает, если вы пользуетесь веб-интерфейсом.
Есть сервис https://vfemail.net. Ящик регистрируется просто, SSL есть (HTTPS, SMTPS, POP3S), хотя тут[link115] пишут обратное. Про объём inbox'а говорят, что он 50MB. На safe-mail.net требуется раз в месяц заходить через web, иначе не даёт продолжать работать с ящиком, как на vfemail — не знаю.
Ещё есть mail.com. Там написано, что на free-аккаунтах нет POP3S, но оно работает. Даётся 50 MB места.
Страна: United States
Код: US,USA
Браузер: Mozilla Firefox ver 17.0 unk
OS: Windows NT 6.1
IP адрес: 108.76.175.1
Имя компьютера: mail.vfemail.net
Можно сразу Gmail
А не пофиг ли? Неужто вы имеете заблуждение, что где-либо вашу почту не читают и не выдадут по запросу всем органам имеющим право ее запросить. Критерий конфиденциальности сообщений – бессмысленный, так как непроверяем и неподконтролен пользователю. Все что не зашифровано – может быть прочитано.
Не можно. Gmail не регистрируется без телефона. Я в основном использую яндекс, но иногда из определенных соображений (не имеющих отношения к конфиденциальности) бывает нужно нерусское мыло.
Китайскую почту АНБ не выдадут.
В свете последних событий исключил АНБ из своей модели угрозы полностью. Хотя и ранее не рассматривал ее как реальную угрозу для россиян.
В свете каких событий?
Да Вы всё давно с пелёнок в архивах АНБ. Количество коронок на зубах, количество дырок в зубах. Проколоты ли уши. В каком возросте потеряли девственность. Политические взгляди. Что Вы думаете по поводу убийства Кеннади. IQ, АбрДабАйКью, размер стопы, разрезы глаз. Удельный вес мозга в граммах. Точная дата прививки от оспы. Пристрастие к Рок-н-роллу. Даже количества говна, которое вы насрали там знают.
Особенно после того как архивы КГБ "открыли", на самом деле их перенесли из одного здания в другое, под крышу другого агенства.
Дружбы РФ и Китая – Китай сам выдаст инфу по заросам ФСБ. А на счет АНБ – бред, мол "мы в ссоре". США, пожалуй, единственная страна, которая задерживает интересантов в других страха, распространяя свою "негласную юрисдикцию". Если речь идет о модели угрозы переписки – то туда должны входить все, включая потенциальных противников. Понятное дело, если ты коммерс – АНБ плевать на тебя и бОл шая часть модели угрозы составляет ФСБ. Если какой-нить кулхацкер и тд – то и АНБ тоже. К томуже может произойти обмен "нагугленной" инфы на пользователей между АНБ и ФСБ. Нужно отталкиваться сначала от того – скакой целью человек шифруется.
ressa, какой вздор!
Кто такая эта ФСБ чтобы Китаю запросы делать? Китай подотрется ФСБ и раком поставит.
Китай независим от США и несмотря на экономическое сотрудничество в политической и военной сфере они враждуют.
Только в тех странах где у них полный контроль, в своих колониях. Но есть десяток стран где у США нет контроля.
ТОР не дает такой возможности он не противостоит глобальному наблюдателю.
Смотря что он производит чем он торгует и с кем. Даже просто конкурентам американских корпораций АНБ это угроза.
Обмен ведут равные при взаимном непротивлении сторон, а здесь однонаправленный поток по приказу. АНБ и ЦРУ это непосредственное начальство ФСБ. ФСБ сливает в Центр всю добытую оперативную инфу, а данные СОРМ вообще ФСБ недоступны, они напрямую идут Центр минуя местное начальство. Вся электронная база ФСБ СВР ГРУ ФСО ФСКН вообще хранится только в облаке АНБ ЦРУ и прочих спецслужб США. ФСБ может только просьбы в Центр слать на получение инфы под обоснование поставленных начальством задач.
Если ты не китайский диссидент не западный спецслужбист в том числе не ФСБист, тебе нет особой причины опасаться китайских спецслужб.
А разве когда либо были варианты?
Особенно улыбнуло
"слышь unknown, не заюзать ли мне слаку? какие мысли"
Ответ
"никаких"
Умеет макнуть unknown.
У ресы также менты комп на полгода забирали. Игрались. Потом чё-то вернуть решили. Целый.
После самоотвода Гостя-spinore посты ресы приобретают особую значимость для pgpru. Без них тут почитать вообще нечего будет.
См. [1][link118], [2][link119], [3][link120].
Изначально подразумевал, что на школьников и тд – им плевать, конечно не выдадут. А что-то более серьезное, да под эгидой "покушения на китайское посольство в Москве с целью подрыва тесного союза Китая и России" – вполне себе.
Само-собой, что не во всех. А по поводу 10 не знаю, знаю, что вроде Исландия выгнала АНБшных агентов, и сразу домены и хостинг у них возрасли в цене.
Да я об этом же и говорю, к тому, что когда по каким-то причинам это произойдет, человек, который мог быть уже давно белым и пушистым, может просто оказаться в этих списках и сразу все "за сроком давности" вспомнится.
Гость (15/06/2014 01:01). О, друг мой, а ты видимо много говна в себе копил, да? Давно ли?) Напомни-ка мне об этом spinore, чем запомнился то? А то я себя к завсегдатаем не отношу, могу многого не знать. Да и сарказма твоего я не понял совершенно.. По поводу ноута – ну и? Не пол-года, а 11 месяцев, и курьерской доставки не было, сам на Каштоянца ездил к ним, там Академия, видимо студенты и игрались. Вернули целый, не покоцанный. Шнур был не мой, но это херня, кто там смотрит на эти Асусы. И по поводу "слышь unknown, не заюзать ли мне слаку? какие мысли" – речь шла о Debian, о слаке я у него ничего не спрашивал.
/comment80124[link122]
речь шла о Debian
Мого-быть мого-быть
Но ценность его ответа шелкоперу не пострадала от названия дистра
Напомни-ка мне об этом spinore
А это около 2/3 постов на форуме. Развернутых. Умных.
ЗЫ
Твои тоже развернутые. Дело за малым...
Мне кажется, что он никуда не ушел. Недавно читал вроде его.
Мои если иразвернутые, то практической пользы от них нет, особенно касательно тематики форума.
Так это страны колонии США как и РФ. Это не договоренности это приказ из Центра.
Зачем американским спецслужбам вербовать Потеева когда у него все начальство 25 лет назад завербовано а то и раньше? Он завербовался к американским спецслужбам уже только тем что пришел работать в ФСБ.
Зато можно уничтожить самого глобального наблюдателя. Если китайское правительство очкует действовать напрямую, внешнюю китайскую ТОР сеть можно развернуть на компах идейных китайских маосистов.
Сети с открытым участием где узлы сами не видят как они смешивают проходящий трафик (смешивание с нулевым разглашением) не боятся глобального наблюдателя.
Ничему китайцы не будут способствовать кроме обращений мировой ассоциации банков по ловле хакеров банковломщиков.
Делиться информацией или не делиться решает правящая группа а не руководство спецслужб
Нет никакого союза Китая и России. Вся эта пропаганда предназначена исключительно для обывателя как и всякая пропаганда. Спецслужбам по барабану какое обоснование идет "ради тесного союза" "для борьбы с терроризмом" или "за бабло", их никакой пропагандой не проймешь. Либо есть сотрудничество либо его нет. Россия (читай США) и Китай враги значит сотрудничества не будет.
Исландия в пролете. Все это показуха. Исландия в холодную войну лежала под США как вся Западная Европа значит и сейчас лежит. Чтобы выгнать АНБшных агентов нужна гражданская война, нужно убить всех боевиков правящего класса: армию полицию спецслужбы часную охрану – всех кто работает на правящий класс США. Этого сделано не было.
Неподконтрольные это КНДР, Куба, Иран, Китай, Вьетнам, Мьянма или Бирма, Сирия, Белоруссия, Лаос, Камбоджа, Палестина и возможно еще несколько.
Разве это spinore? Который 40000 постов наклал. Я знаю кто такой spinore точнее догадываюсь, это не он[link123]
То есть получается, что это[link122] всё-таки он[link122]?
Не имеет значения, к кому утекла ваша информация, если она утекла, то навсегда, хранение ничего не стоит. А у кого она через пять лет окажется — дело третье. Можно предположить (самое вероятное), что у всех.
Про "модель угрозы" теперь не актуально. Актуально — есть ли адресные атаки против вас, насколько они серьезны. Если нет, то можно и нужно прятаться, даже если ничего нехорошего вы не делаете :).
А можно поимённый состав?
А можно без политоффтопа?
Кто просветит что с проектом http://darkmail.info/ ?
вот какая то почта – https://www.mail1click.com/
Да, надо было ссылку поставить на (( https://www.pgpru.com/comment80124 это)) иначе смысл исказится. Если spinore и он одно лицо то я ошибся с его личностью.
Имена нелегко выяснить. Это кланы американских мультимиллиардеров владельцы военных монополий. Всякие политики президенты директора корпораций руководство спецслужб в пролете это обслуживающий персонал или просто клоуны.
m0fx64, привет[link124]!
о почте здесь в ближайшее время разговор не предвидится?
Гуантанамо
Ребята, помогите выбрать[link125] провайдера.
Перебором. Распечатайте эту тему, в ссылках отберите все сервисы, проверьте работоспособность, попробуйте эти домена для регистрации. Зарегистрируйте ящик у незаблокированного провайдера, и регистрируйтесь на полученное. Profit.
Или просто зарегистрируйте ящик в пределах ссср, если это не mail.ru.
Яндекс подходит, и работает бесплатно без смс.
Не получается зарегистрироваться на gmx.com. Постоянно появляется сообщение
Захожу из-под Tails, личину менял, куки разрешал, ничего не помогает. Регистрироваться без TOR не хочется.
Невозможно[link126]
Помимо прямого запрета на самые абузивные экситы, там какой-то хитрый механизм ограничения по числу аккаунтов с адреса.
Спасибо за ссылку.
А что будет, когда создадут "универсальный" механизм блокировки Tor на всех популярных ресурсах? Как это обойти?
Использовать костыли, в виде веб-проксей, или более сложные подпорки в виде других проксей, впн и прочее, в цепочке после тора.
Фактически, он, к сожалению, уже много где есть. Создатели крупных порталов аутсорсят защиту от флуда, устанавливая фильтры со списками от сторонних производителей. В эти фильтры могут попадать и Tor-узлы. При этом, владелец портала может даже ответить, что он не против Tor в каких-то опциях (например для чтения или подписки), но не будет ковыряться в настройках готовых фильтров от поставщика.
Для регистрации на gmx.com необходимо разрешить всплывающие окна в браузере
Конечно не помогает. И не должно помогать! Этому помогает его власть над экономикой и вооруженными отрядами.
Yandex-mail стал более зогошбшным. Теперь придудительно требует подтверждение через мобилу. Золотые акции Сбера повлияли?
Десять дней назад телефон не требовали.
Непроверенная, неполная или неверная информация, вводящая в заблуждение.
Во-первых, мобилу не требует, тем более принудительно. Если вы видите форму ввода для моб.телефона, то ваше право — вводить туда данные или не вводить.
Во-вторых, следует указывать в сообщении конфиг при регистрации, т.е. ваш браузер, IP, ОС, язык, и т.п.
Только что регнул еще один запасной акк на Яндексе за полторы минуты без всякого телефона.
Из ТОР? Через ВПН сервер размещенный вне рф? Если ответы на оба вопроса утвердительны, то я виноват-с.
Если вы ничего не указали, то логично предположить дефолтные настройки без анонимизации.
А с Tor'ом сервисы Яндекса себя ведут очень по-разному. И почта, и деньги. Некоторые адреса временно прокатывают для реги (на свой страх и риск, т. к. потом все равно начнутся проблемы).
Всё, малина кончилась давно.
Ага, они ещё что-то про собак говорили[link129]:
За прошедшее время собаки совершили заметный скачок в эволюции.
А теперь и вовсе в почту не пускают.
Это вы точно подметили. ☺
Гугл — зло. Поскольку он хорошо интегрируется с андроидами, люди повадились делать редиректы всей своей рабочей почты на gmail-аккаунт, а рабочая почта, опираясь на стандарты SMTP, сообщает серверу-получателю, с какого именно IP было получено сообщение (вот нахрена?). Отправил из дома письмо с рабочей почты на другую рабочую на том же сервере — всё, домашний IP утёк гуглу.
Yahoo, шифрование электронной почты[link130]
У Yahoo заставляют
сканировать анусуказывать мобильный телефон.Если это будет реализовано честно и без дыр для спецслужб, Yahoo кончит точно так же, как lavabit[link131]. Наверняка менеджеры Yahoo это понимают и не захотят убивать собственный бизнес ради идеи, поэтому ждите очередной финтиклюшки, которая будешь лишь создавать иллюзию защищённости (в таком случае, лучше бы её вообще не было).
Спасибо, помогло. Но появилась новая проблема – при логине появляется сообщение NoScrypt о заблокировании потенциального XSS. Вопрос, безопасно ли отключение фильтрации XSS для сервиса gmx.com (или какое существует оптимальное решение)?
Обычно это сообщение ни на что не влияет, можно забить. Так на других сайтах, по крайней мере.
Депутат обеспокоился утечками паролей граждан, которые используют одни пароли на всех сайтах, либо вбивают их где попало – https://twitter.com/A_Sidyakin.....s/509551139432701952[link132]
Герой торжества – https://ru.wikipedia.org/wiki/.....B5%D0%B2%D0%B8%D1%87[link133]
Очевидно для "защиты" граждан законодательно обяжут во всех почтовых сервисах обязательно крепиться через смс, т.е. интернет по паспорту для обычного человека (приватность ему не положена). Все сервисы, что не подчинятся, например, могут быть заблочены в RU. И как раз к месту, в 2015 году зарубежные сервисы обязаны переносить данные и почту российских пользователей в Россию. По ТВ расскажут, что теперь россияне в безопасности и злые хакеры не прочтут их переписку и большинство будет счастливо. Печально.
Ссылку на вики побило. Кому интересно по фамилии легко найдёте.
Такой сценарий событий (и вероятные причины столь синхронной утечки) накануне Носик озвучил[link134].
https://ru.wikipedia.org/wiki/Сидякин,_Александр_Геннадьевич
За таким не заржавеет.
Давайте без чистой политоты?
Да, это лишнее, буду сдерживаться. Удалите, если вредно для сайта.
В первую очередь — для адекватности дискуссии. Политота несёт минимум полезной информационной нагрузки, но очень способствует скатыванию любого обсуждения в срач.
В блоге Ahmia search[link135] есть ссылка OnionDir[link136] на результаты поиска в скрытых сервисах. В списке – с десяток почтовых.
Вниманию параноиков: Почему "Яндекс" изменил стандарт работы POP3 и не даёт удалять электронные письма из клиента?[link137]
Хороший коммент[link138]. Да, IMAP = храним в облаках. Этим всё сказано. Принуждение к IMAP = принуждение к хранению личных данных на серверах.
Скажите, даже если не рассматривать почту на своем домене, ну хорошо – что с того, что на серверах будет лежать зашифрованный GPG контент? Чем это грозит? Ну т.е. как минимум тем, что попадешь в поле зрения, когда считают заголовки, что "завтра" GPG признают вне закона\заставят выдать ключи и как максимум – совсем уж по паранойи тем, что это все складируется до лучших времен, когда смогут дешифровать GPG, да? А так, мне кажется, что выход в своем сервере и домене.
Если предположить вариант "попадешь в поле зрения", то тогда нужно, чтобы Ваши контакты тоже имели почту на своём сервере и домене (чтобы не давать темы).
С другой стороны, интересно, что дороже: выяснить, что это за переписка от неизвестного имени с GPG письмами, у которого IP ноды Tor, или выяснять, кто оплачивает сервер с доменом.
Лично мне нравится вариант использования ящика с минимумом следов на публичном сервисе.
А лучше всего, если Вы сделаете свой публичный сервис и будете сами всё контролировать, но при этом у Вас будут другие пользователи, размывающие Вашу активность :)
Ну это само собой. Я говорил как-то, что хочу почту сделать в духе z-mail.is, ну т.е. обезличенный домен, и на главной странице якобы "тарифы", а на самом деле почта будет тупо для своих.
Это да, но можно проплатить два-три сервера на три года, и зеркалить их, в случае сбоя одного. Платежи можно ведь анонимные сделать, либо с левых карт, либо та же криптовалюта.
Мне тоже. Но я как раз здесь вычитал, что GPG заголовки парсятся и такому ящику уделяется "особое" внимание. Может быть бред, но я думал о следующем: автоматизировать скриптом шифровку письма в файл letter.gpg, который потом помещается в криптоконтейнер соответствующего размера и аттачится к письму. На сколько я понял – такие аттачи отследить будет невозможно, потому, что это будет тупо набор псевдослучайных данных.
UPD:
Ну что-то в этом духе, только именно для своих. А этих "своих" у меня не так много, максимум человек тридцать будет. Если для всех делать – это нужно будет еще и за их действия моральные риски нести, что бы кто-то там педоконтент не пересылал или не призывал принять ислам в Талибане и прочее. Шучу, но тем не менее. Лучше знать, с кем имеешь дело. К тому же, если цель одна и не видишь в ней криминальной подоплеки – то так проще.
Если вся почта шифруется, то вариант с публичным сервисом через Tor возможно и лучше. Но это как правило очень специфическое общение с узким кругом лиц. 99% не используют шифрование почты, поэтому для повседневной переписки нужен свой сервер.
Электронный адрес это не только домен, но и логин. Эта комбинация уникальна и будет служить трекером, независимо от наличия других пользователей сервиса. По-моему это ненужная возня и ответственность, если только не зарабатывать на этом.
Предположим, что у нас свой сервер. Наши контакты не хотят шифровать письма. Но захотят ли наши контакты иметь свой сервер, проще ли им это, чем шифрование?
Я бы ответил, что в таком случае они, скорее всего, имеют ящик на публичном сервисе и в итоге имеется связка с Вашим сервером, а значит в случае необходимости поиск владельца сервера.
С другой стороны, свой сервер спрячет весь список контактов, и заинтересованная сторона потратит больше средств на отслеживание всех связей (либо взлом сервера).
Думаю нужно иметь разные каналы связи с GPG-only контактами и с открытыми. Например, принять за факт, что открытая переписка прослушивается.
Есть какая-то фишка, на Github видел, ставится на сервер, настраиваешь ее – присваивая GPG ключ и публичный мэйл. И выступает в роли шлюза, можно пользователям не объяснять, что такое GPG, они пишут открытым текстом на "публичный мэйл", он уже в свою очередь шифрует и отправляет на личный мэйл. В некоторых случаях может быть полезным, особенно понимая, что отдельным деревянным личностям слишком долго рассказывать что такое GPG, зачем и тд. Специально для тех контактов, которые принципиально не хотят шифровать почту.
Кстати, POP3 вполне подходит и для использования с разных рабочих мест. В нормальных клиентах есть опции сохранения почты на сервере (keep on/off) и получения только новых (only_new on/off). Для основного места, в котором сохраняется вся переписка, нужно получать все письма, включая старые, и удалять их с сервера (keep off, only_new off). Для всех остальных получать только новые письма для данной машины, но не удалять их (keep on, only_new on). Т.е. полученные письма помечаются на данной машине как старые (просто сохраняются их идентификаторы, выдаваемые командой UIDL). Потом на основном месте все они получаются и удаляются с сервера. Так что IMAP в данном случае не нужен. Он нужен только при использовании навороченного веб-интефейса с возможностью создания разных каталогов.
Пользуясь своим сервером, вы защищаете только себя. Все ваши контакты распылены по разным почтовым серверам Интернета. У тех, кто пользуется публичным сервисом, они сконцентрированы в одном месте.
Каналы связи лучше наверное делить по признаку: через Tor или напрямую. А GPG это просто опция, полезная в любом случае.
Вспомните, пожалуйста, название или URL. Интересно было бы глянуть.
Но вот насчёт её пользы. В этом случае, контакт должен писать на адрес нашего сервера открытым текстом (т.е. при интересе будет искаться этот сервер). Тогда польза будет лишь в том случае, если адрес пересылки будет на другом своём сервере – польза в удобстве, что все письма в одном ящике. Ну и писать тогда логично на тот же ящик пересылки, тогда он должен быть уникален для каждого открытого контакта. А вот безопасности это не добавит.
В случае пересылки на публичный сервис – мы скрываем факт получения письма от того контакта. Но будет известно, что тот контакт написал такую-то инфу на адрес такой-то и с того адреса ведётся GPG переписка с человеком с таким-то адресом и что они потенциально все связаны. Нужно это – наверное нет.
Для удорожания идентификации – нужно делать пересылку на адрес сервиса страны, отличной от сервиса контакта.
Но опять же тогда теряется удобство, а безопасность сомнительная.
Не поверишь, вспоминаю сижу как раз.. Но в прошлые разы – тщетно. Я обычно себе в избранное добавляю, а эту видимо не добавил.. Есть два варианта:
gpg-mailgate[link139]
cryptobot-email[link140]
Но все-равно не то.
В том же gpg4usb есть опция "стеганография", а по сути просто удаление заголовков и их добавление.
письмо содержит набор символов и не более.
есть сервисы, в которых можно использовать imap 9если пользователь болееодного это разумно), НО есть возможность архивировать всю почту (исх и вх) и копировать zip на свой комп. далее удаляете всю переписку и все.
а если ключи с ограниченным сроком в неделю? пароль в топку после исполльзования. через год вы вспомните какой был 1-й пароль?
Если решение «для своих», и нет цели заморачиваться стойкой стеганографией, то можно упаковывать GnuPG сообщения в нечто, имитирующее запароленные архивы или офисные документы. Это только компромисс в случае, если вы можете впоследствии открыто заявить, что внезапная неломаемость этих архивов и невспоминаемость паролей к ним — не ваша проблема, а про стойкую криптографию вы ничего не знаете.
Но при таких замороках с ручной обёрткой сообщений для коммуникаций почта вообще не нужна[link141].
Видел, но не знал, что при удалении этих BEGIN PGP MESSAGE\END PGP MESSAGE – так просто стирается инфа. Так что, все, идущее после этих "заголовков" тоже при любом анализе напоминает набор рандомных символов?!
Да черт его знает, надо у SATtva спросить, может ли закон иметь "заочную" силу.. Или ты к тому, что "пароль забыл, срок действия ключа иссяк"? Ну вариант, конечно, но как по мне – лучше вовсе не фигурировать ни в одних списках. А вот все эти "пароль "забыл", ключ 8192 – "брутите, Шура, они золотые!"" приберечь на самый крайний случай.
unknown, а что значит "нечто"? Ну т.е. не тупо же .gpg на .xls менять? Там же тоже какие-то свои заголовки есть, а так – идея очень интересная. Только вот я даже представить не могу ее суть, ну т.е. как и главное во что оборачивать..
Нет, шифрованные пакеты из фрагмента PGP-сообщения — распознаваемы (различимы от набора случайных байтов). И не только первые несколько байт заголовка, но и далее идущие пакеты шифртекста.
Как минимум, хотя бы зашифровать бинарный pgp-файл в запароленный архив. Т.е., применить такую же методику, как и для временного уклонения трафика Tor от выслеживания и блокирования — не полноценную стеганографию, а обфускацию под другой формат протокола (в случае почты это будет другой формат файла).
Вот. Спасибо. Я так и думал, что не все так просто.
Ну, грубо говоря тоже самое, все-равно автоматизировать придется, но криптоконтейнеры понадежнее будут, нет заголовков никаких – нет идентификации и с точки зрения криптостойкости – надежнее.
Сначала я думал о стеганографии, тупо брать, к примеру, "фото дня" с википедии и туда встраивать gpg-сообщение. Но вспомнил, что ты мне говорил о том, чтобы я не питал иллюзий к стеганографии, т.к. она не имеет серьезной доказательной базы в своей целесообразности. А на счет архивов – спасибо, такой скрипт и я, наверное, смогу написать.
Дальнейшее обсуждение стеганографии перенесено в соответствующую тему[link142].
А обфускации — в другую[link143].
Обе темы помещены в раздел «практическая безопасность», хотя там большая часть обоснованных рассуждений сможет дискредитировать обе модели защиты ещё на уровне теории, при этом и в области общих практических моделей использования у обоих методов есть масса недостатков.
Хорошо быть олдфагом [1][link144], [2][link145].
Тем, что весь граф ваших социальных связей (а далеко не все ваши абоненты стараются конспирироваться как вы) очень быстро станет известен противнику.
Вы очень наивен, если думаете, что серьёзный противник не поймёт, что «это почта для своих».
Вообще, в век тотального снифа на магистральных каналах всё это — игры в самоуспокоение. Они могут грепнуть БД всех крупных почтовиков и выяснить, кто и когда писал на заданный почтовый адрес, на каком бы домене он ни был. Спасёт только связь через приватные скрытые сервисы Tor.
Согласен, иначе не сидел бы здесь со своими вопросами. На счет Tor – поддерживаю, интересно, но, если можно так выразиться – это будет военный вариант, а этот, в зоне .is – гражданский. Не знаю, какую еще аналогию привести. Кстати, можно ли увязать эти два варианта, ну т.е. как-нибудь скореллировать почтовый сервис в обычных интернетах и в Tor? Потому, что объяснять далеким людям, что такое скрытые сервисы – дело бестолковое. Ну или, как вариант – корпоративная почта, чтобы не городить огород с доступом сотрудников по VPN и тд, это сложно для них, проще поднять веб-морду, поставить какой-нить RoundCube, с принудительным шифрованием/дешифрованием GPG в фоне, без ведома пользователя – ключ генериться одновременно с созданием нового ящика. Путь упрощения не люблю, но порой, для большинства он необходим. Вспомнился Достоевский: "И чего копошимся мы иногда, чего блажим, чего просим? Сами не знаем чего. Нам же будет хуже, если наши блажные просьбы исполнят. Ну, попробуйте, ну, дайте нам, например, побольше самостоятельности, развяжите любому из нас руки, расширьте круг деятельности, ослабьте опеку, и мы... да уверяю же вас: мы тотчас же попросимся опять обратно в опеку." © Записки из подполья.
Вопрос понятен. Я склоняюсь в таких случаях к сервисам типа defuse.ca[link148] или secserv.me[link149]. В идеале эти сервисы должны быть запущены на дедиках, полностью вам подконтрольных. PGP ненужно ни в каком виде — всё шифруется JS, все клиенты и абоненты на одном сервере.
Можно сделать и просто шифрованную по паролю веб-почту + навороты (удаление по таймауту и т.д.). Чем хорош encrypted pastebin — тем, что пароль каждый раз задаётся заново и может быть любым. От этого есть и неудобства (нет папок, истории сообщений и всё такое). В принципе, на том же defuse.ca можно при ответе редактировать полученное сообщение и шифровать его тем же паролем, получается как бы тред, где всё старое можно читать.
Вообще, удобней всё же что-то стандартное, типа XMPP (jabber) + PGP/OTR, если, конечно, есть вариант всё это настроить на стороне адресата и объяснить ему, как пользоваться (последнее несложно).
Это вообще очень известная вещь, но почему-то многие упускают из виду.
Профиль Thunderbird легко переносится, причем он будет работать (за исключением некоторых аддонов) в разных OS. Нужные сообщения архивируются, остальные удаляются, спустя некоторое время. IMAP удобнее, потому что позволяет что-то оставлять на сервере, если сообщение может понадобиться не с домашнего компа.Тот Thunderbird для Linux, который можно скачать с сайта Mozilla, работает как портабельный (нужно только распаковать — плюс глюк с профилем, если в системе установлен Thunderbird) (в крайнем случае может понадобиться ).
Портабельный Thunderbird для windows есть на portableapps.com[link150].
С такими людьми не стоит общаться на темы, для которых требуется переписка через скрытые сервисы. Информация может утечь не только в процессе переписки, но быть слита на гугл, в облако, похищена вирусом, передана через небезопасные каналы связи – соцсети, почта, асечка, джаббер без шифрования.
startmail.com
Наконец решились денег попросить — хотят $60 / year. Вообще-то это цена недорогого хостинга, на котором можно без приключений работать с Horde.
И в связи с этим вопрос про хостинг. Год назад речь заходила про 1984.is[link151], кто еще чем может поделиться. С декларативной приватностью и хоть некоторым бекграундом (это всё условно, конечно, но иногда имеет значение — как в случае с Lavabit).
yahoo отключила обязательную идентификацию по мобильному телефону. возможно google тоже отключи(л/т)
видимо доперли что сервисы типа[link152] таких[link153] все разом не закрыть.
кстати, как здесь писали что яндекс установил в обизаловку проверку по мобильному номеру, так вот некстмайл оказывается перенес всю почту на сервера яндекса и если регется через некстмайл то ни какой проверки но номеру телефона на предлагается.
единственное что так это то что кто такой некстмайл)))) и можно ли с ним дружить)))
Нашел еще одно китайское мыло. Казалось бы, китайский национальный поисковик http://www.baidu.com/, китайская национальная почта, страничка регистрации[link154] через https! Но чей же корневой сертификат? Американский VeriSign[link155]! Это просто какой-то позор! Где китайский CNNIC[link156] или CNC[link157]?
https-страничка регистрации грузится только на старых версиях Тор, ТББ ее не открывает. Регистрация требует номера телефона и грозит проверкой, незнаю примут ли они анонимный смс или потребуют паспортных данных. Последнее еще хуже – китайская национальная почта, только для граждан Китая, и сливает все данные своих пользователей АНБ! Позор китайским перестройщикам!
Вот ты бля коммунист, что за партийные высказывания? Поднимай свой почтовый сервер и не морочь голову.
Есть тут любители надрачивать на всё китайское.
доброго времени суток господа. приятно читать мысли гуру.
но много слов, куча вариантов, мысли путаются.. понятно что для больщей приватности нужно понять свою почту но что выбрать из бесплатных вариантов?
здесь много упоминается об yandex, yahoo и google, так же если следовать логики что лучше завести ящик на забугорных ресурсах следовательно можно выделить yahoo и google НО google в перевес своего удобства использования и возможности шифрования тащит все что непоподя с компьютера, следовательно можно предположить что yahoo будет лучший вариант из бесплатных и крупных сервисов.
я правильно понимаю?
Держите список[link158], только учтите, что надо будеть проверить поддержку кириллицы, прежде чем пользоваться.
Это как? Через смартфон что ли?
Они там все друг друга стоят.
примного благодарен!
PGPпротокола защищённой электронной почты Dark Mail. Технической информации пока практически никакойПоявились технические подробности[link160].
тут говорили про riseup.net, но проект этот мутный и содержится людьми из сша. сами понимаете.
а что касается лавабит: ладар левинсон – очень такое не zog-овское фио)
К чему весь разговор, если лавабит отдался гуглю еще в позапрошлом году?
Покажите пруфлинк.
Как нынче завести почту на yahoo БЕЗ java? (yahoo работает без java, но вот captcha пройти с выключенным java не получается)
А это вас вообще не волнует
"This is not a valid mobile number. "
PS Капча отображается и при отключенном JS.
Java ≠ JS. Речь идёт, по всей видимости, о последнем.
Отображаться отображается, но не проходит валидность.
И это не баг, а фича!
не давно наткнулся еще на такой ресур protonmail.ch, приччем регистрация мыла происходит в зоне com (protonmail.com). Попробовал зарегестрироваться будем тестить.
Информация по домену protonmail.ch:
Source: whois.nic.ch
IP адрес: 185.70.40.181
Location: Switzerland Proton Technologies AG – Швейцария
Server type: Apache (Speed: 0.09)
Website Title:
ns2.protonmail.ch
mail1.protonmail.ch
Информация по домену protonmail.com:
Source: whois.godaddy.com
Регистратор: GODADDY.COM, LLC
Created: 21-aug-2010
Expires: 21-aug-2015
IP адрес: 185.70.40.182
Location: Switzerland Proton Technologies AG – Швейцария
Server type: Apache (Speed: 0.31)
Website Title:
ns2.protonmail.ch
mail1.protonmail.ch
Обычно хватает серверов, у которых есть onion-зеркало[link158], но, правда, с такими серверами свои проблемы.
Вот так новсть:
https://www.safe-mail.net/
Sat Nov 7 15:15 EST 2015
"We are sorry! Safe-mail is not ready yet.
Safe-mail.net is down for critical maintainance."
Практические вопросы тем кто еще пользуется емейлом )
1 Каким способом можно зарегистрировать ящик на gmail без мобильного телефона? (айпишники каких стран пропускает, приглашения, продажа регеных аккаунтов)
2 Подкиньте простых емейл-сервисов которые работают БЕЗ java script и не требуют мобильника! Размер ящика хоть 100кб )
1. Дёшево и леко — наверно, никак. Мне способы неизвестны.
2. /comment82141[link158] и далее по треду.
Safe-mail.net заработал.
mail.yandex.ru
Кто тут хвалил mail.ru?
Во-первых, ява-скрипты "желательно обязательно", без нее может так получится, что капча НИКОГДА НЕ ПРОЙДЕТ!
Во-вторых, если нет принудительного подтверждения по смс, то могут в любой неудобный момент потребовать (был случай: зарегил ящик, отправил одно НЕСПАМЕРСКОЕ письмо человеку, отправляю следующее – выскакивает заботливое сообщение: "Мы предполагаем что ваш ящик увели", плюют на правильный пароль и требуют указать мобильный для смс, прикол в том что ДО ЭТОГО мобильного не сообщал, как они убедятся в том, что мобильный не хакеров? овтет: никак, интерес у них один: ЗОГ! А саппорта как такового у них нет, только идиотские вопросы в "помощи" и отлуп на письма по адресу support@)
В-третьих, взяли моду при отправке письма выдавать форму: "мы предполагаем что это спам, пожалуйста подтвердите что это не так по ссылке, но имейте ввиду, что тогда содержание вашего письма будет изучено администраторами" (то есть раньше могли читать, а теперь еще и явно требуют с этим соглашаться).
Письма отправленные с mail.ru вроде доходят, с яндекса в последнее время не доходят. Рамблер вроде без ява-скриптов вообще разучился работать. Гугль без мобильного не регит ящики никак. А yahoo иногда если повезет позволит зарегить и без мобильника, но потом может получится, что "ваш емейл скомпрометирован" и на попытки восстановить доступ идиотское сообщение типа: "Uh Oh..." (дословно!) "мы не можем этого сделать" :-)
Есть какие-нибудь сервисы для надежной отправки писем с ПОДТВЕРЖДЕНИЕМ и с возможностью установки адекватного обратного адреса (не "абракадабра" которой так пугаются чайники)?!
Воспользовавшись относительной анонимностью расскажу о том, что в тех важных случаях, когда нужно было гарантированно отправить письмо, а подтвердить по телефону невозможно, я просто "клал" его на ящик клиенту или если никак, то в крайнем случае отправлял откуда угодно, а потом визуально смотрел у него во входящих: дошло или нет? Точно так же "подтверждение прочтения" получал) Понятно, что способ "неправильный" (хакерский), но к сожалению САМЫЙ НАДЕЖНЫЙ с этими глюкодромами!
Не знаю про подтверждения о получении, но есть популярный meta.ua[link161]. При регистрации через тор придётся указать какой-нибудь ящик, куда придёт ссылка по которой нужно кликнуть.
Charmant (28/06/2015 07:30)
Что получилось в результате тестирования?
Secure Email Based
in Switzerland
Secure Your Communications with ProtonMail
Get the iOS App
Use the Web Version
– Swiss Privacy
– End-to-End Encryption
– Anonymous Email
– 100% Free
Так выглядит шифрование сообщений – What is Encryption?[link162]
При отправке на простое мыло, приходит такое сообщение:
You have received a secure message from ХХХХХ@protonmail.com
I am using ProtonMail to send and receive secure emails. Click the link below to decrypt and view my message:
View Secure Message
Message expires
2016-05-02 11:10:00 GMT
(672 hours after this message was sent.)
Нажимаем View Secure Message[link163] и расшифровываем на сайте поставщика услуги.
Размер предоставляемого ящика – 500Мб
Еще один образец:
Tutanota
tutanota.com
https://github.com/tutao/tutanota
Языковая поддержка сайта –
en | bg | ca | cz | da | de | es | fa | fr | hr | hu | id | mk | nl | no | pl | pt | ro | ru | sl | sk | sq | sr | sr-Cyrl | sv | tr | zh
Тезис – "Свободные данные для свободных людей!"
Там же имена "борцов за свободу"
We use AES with a length of 128 bit and RSA with 2048 bit
The Tutanota servers are located in secure data centers in Germany.
Короче – ЧАВО[link164]
Сразу после регистрации получаем такое сообщение:
"Sorry, you are currently not allowed to send or receive emails because your account was marked for approval to avoid abuse like spam emails. The Tutanota team will approve your account within 48 hours."
Соответственно как все работает, не представляется возможным проверить.
Через 48 часов, а может и раньше, увидим.
Специально создаю отдельные сообщения. По каждому сабжу отдельно, чтобы каши не было в формате сообщения.
По этому:
А воз и ныне там.
Что касается этого:
Тут конечно интересная картина..
Как это работает[link165]
1. Отправляемые сообщения (папка Sent) могут самоуничтожаться после отправки в заданное время.
2. Если сообщение отправляется в адрес простого мыла, то в пришедшем сообщение дается ссылка. При переходе по ней, дается одноразовый пароль для в хода. При вводе пароля автоматически создается адрес мыла в формате ...@mail1click.com и вход в папку Inbox с дальнейшей расшифровкой сообщения. После прочтения сообщение самоуничтожается.
Вот как то так это работает.
Ну вот дали разрешение пользоваться.
1. Создаем сообщение.
2. Выбираем язык уведомления получателя.
3. Задаем в поле пароль для сообщения.
4. Отправляем.
Адресату приходит такое сообщение:
"Здравствуйте,
Я послал вам конфиденциальное сообщение через Tutanota (https://tutanota.com). Tutanota шифрует сообщения электронной почты автоматически из конца в конец, включая все вложения. Вы можете войти в свой шифрованный ящик почты, и также ответить зашифрованным сообщением, нажав по следующей ссылке:
Показать зашифрованное сообщение
Или вставьте эту ссылку в адресную строку браузера:
https://app.tutanota.de/#mail/........
Это письмо было сформировано автоматически для отправки ссылки. Ссылка остается в силе до тех пор, пока вы не получите от меня новое конфиденциальное сообщение.
С лучшими пожеланиями,"
5. Переходим по ссылке и вводим пароль.
6. Входим во временный профиль. Где можем вести переписку.
Попалась на глаза – Lelantos[link166]
Поиск не показал, может конечно в теме по i2p есть сабж, однако:
I2P-Bote[link167]
I2P-Bote — плагин для демона i2p, отвечающий за работу бессерверной системы обмена электронной почтой. Данная электронная почта не совместима с почтовой системой mail.i2p.
Электронная почта Bitmask
ВНИМАНИЕ: Bitmask все еще является экспериментальным. Не используйте эти бета-версии Bitmask для ситуаций, когда компрометация ваших данных может подвергнуть вас опасности.
Подробности[link168]
Установка[link169]
gmail и yahoo давно требуют мобильный телефон если регистрироваться через Ток.
Из зарубежных что еще есть? Пока приходится регистрироваться через yandex mail.ru причем во втором как повезет! (
Первое: Регистрация только с java-script!
Второе: Неизвестно какой закрытый софт.
Третее: Сервер может прочитать незашифрованную входящую почту на мгновение, но никакая почта не хранится когда-либо таким образом, что провайдер может прочесть ее.[link168]
"Не верю!©
GhostMail[link170]
"GhostMail in its current form will be closed down as per 1. of September 2016."
Прям как: "The world is changed. I feel it in the water. I feel it in the earth. I smell it in the air. Much that once was is lost. For none now live who remember it." © Властелин колец: Братство Кольца
Вечная тебе память..
Надежный в какой части? Защищенный от кого?
1) Качество работы самого сервиса. Оно вообще работает? Часто ли падает? Быстро ли поднимается? Можно ли надеяться, что будет работать и в дальнейшем – год, три, тридцать?
2) Стабилен ли доступ к сервису? Может ли оказаться перекрыт доступ к серверам?
3) Насколько надежно защищены письма от а) админов сервиса б) от "органов" страны, где стоят сервера в) органов страны, где зарегистрирована компания г) от хакеров
4) Находятся ли в безопасности личные данные пользователя ящика от, опять же, админов, органов, хакеров
Если стараться соблюсти все требования, то надо ограничиться яндексом, для защиты писем применять PGP, а для защиты личных данных – работать строго анонимно. "Левый" телефон и анонимный интернет.
Если не перестраховываться на "великий российский файрвол", то прекрасно подойдет gmail + PGP.
Если пренебречь стабильностью работы сервиса, то можно посмотреть в сторону маргиналов. Например ProtonMail. Заодно он решает проблему отсуствия PGP у корреспондентов, если полагать их систему шифрования достаочно надежной.
Что за пассаж? Аутор писал в 2005.
Страшно подумать что будет с инетом через указанный срок. Да и будет ли он (?)
Это из соображения что все данные россиян должны храниться на родине-россие?
Чтобы покой нам только снился?
В таком случае вам понадобится не только левый номер, но и левый аппарат. А еще забудьте про Tor или придется настроить exit ноду на страну регистрации.
11 лет прошло, но тема сохранила актуальность и обсуждается.
Я на это и указываю.
Прежде, чем искать оптимум, задайте критерий оптимизации (ц)
Нет, это из соображения, что за пределы страны тупо не будет коннекта. Или будет, но по предъявлению паспорта.
Разумеется, т.к. это необходимое условие анонимного выхода в сеть.
Очень уж много вариантов. Найти супер-пупер во всех смыслах надежную и безопасную "почту", да еще чтоб удобная была – не получится. Придется чем-то пожертвовать. Какими-то составляющими безопасности и надежности.
Я использую protonmail.com. А если совсем секурно то свой сервак.
В чем секретность? А если ваш инет-трафик анализируется? Поддержка работоспособности, спам и т.д.
Что именно секурно?
Что надо скрыть?
а) содержание письма
б) сам факт переписки с конкретным корреспондентом
в) факт использования зашифрованных писем
И от кого скрыть?
1) от случайного хакера-любителя?
2) от "неслучайного" профессионала?
3) от спецслужб либерального государства?
4) от спецслужб государства тоталитарного?
Методы будут разные. Очень разные. И могут быть крайне неудобными и дорогостоящими.
Для варианта А-1 достаточно любого почтового сервиса и локально pgp. Даже с избытком.
А для случая В-4 вообще мало что поможет, но банальные личные письма не представляют такого интереса для силовиков, чтобы париться по этому поводу.
Сейф должен быть адекватен ценности того, что в нём лежит. И ловкости взломщиков.
Если использовать банковский супер-сейф в качестве корзинки для грязного белья, то это принесёт только вред. Расходы, неудобство, привлечение ненужного внимания.
Я полагаю, что сложнее (неудобнее) всего скрывать сам факт применения защищенной переписки. PGP-блоки в текстах писем, обращение к серверам специализированной почты типа Protonmail. Пожалуй тут может помочь только массовое (много разных людей и часто) применение зашифрованных писем там, где это вообще не нужно. Где умный человек прячет лист? В лесу. А если леса нет – он сажает лес.
Но как?
Спрятать в популярный трафик (стеганография), не?
Использовать ПОПУЛЯРНЫЕ почтовики гоняя через них "девок с кисками" с спрятанными в них шифровками не безопаснее? Врядли сейчас в потоковом режиме анализируют энтропию, если даже по ключевым словам
терактихочу трахнуть ребенкаи то не научились надежно выявлятьи расстреливать на местеопасных респондентов.ФСБ предложила расшифровывать весь интернет-трафик россиян[link171]
Улыбнуло это: "что в свою очередь породит риск нарушения конституционных прав граждан"
Кто этим озадачивался когда-либо не понятно? А вот инет будет как та черепаха, это да. VPNы и так соединяются со скрипом, или это только у меня(?).
А как понять надежно выявляется или нет? Ляпнул кто-то. Вычислили. Проверили. Олух. 5 лет общего. Не олух, но сочувствующий – 5 лет строгача. "Наш" объект – выезд воронка и расстрел в подвале. Так что ли?
После законов Озерова-Яровой примерно так причем ПО ЗАКОНУ!
А после реформы силовых ведомств[link172] очищать общество от опасных элементов смогут весьма-весьма производительно! )
Ву-аля! И в обществе останутся лишь послушные хомяки, которые будут с еще лучшей выправкой ходить
покемоно-гоустроем и по команде голосовать за ЕДРО-Путлера!Ну не. В данном случае, я обеими руками ЗА! История противостояния Щёлокова-Адропова вечна! Еще б под ведомство "Чайка и сыновья" копнуть по-полной!!
История с казино в подмосковье осталась без достойного конца )) Попкорн был съеден зря.. Народ в недоумении!
"Замечательная" новость
В 2013 году ФБР взламывало пользователей даркнет-сервиса TorMail без разбора[link173]
а для перевода информации с иностранных onion сайтов и вставки её в ордер использовало google translate[link174]. Добавляет пикантности использование в ордере тех цитат с сайтов, которые предостерегают юзеров от использования google translate:
19 января 2017 года разработчики сервиса объявили, что теперь у ProtonMail есть собственный Tor-адрес: protonirockerxow.onion.[link175]
https://lavabit.com/ снова ожил. Обещают, что станет лучше, чем прежде.
Ценой чего воскресли?
да кто ж расскажет-то?..
Сегодня на хаабере вышла статья В поисках анонимной почты[link176] в которой автор выдвигает требвования
04/04/2016 18:41, на pgpru писалось о:
https://www.pgpru.com/comment94833
продолжение:
https://www.pgpru.com/comment94847
Скажите, а вы все здесь просто с чувством юмора или такие тупые?
Как можно обсуждать "безопаснjсть" почтовиков, которые работают ТОЛЬКО СО СКРИПТАМИ? Или у вас у всех вместо тонкого карманного ноута с тайлс-тором греет помещение 8-ядерный 64-разрядный комп с виртуалками, "чтобы скрипты железо не просекли"?
Для меня ПОКА остаются безопасными варианты с mail.ru и yandex в лайтовых режимах без JS (если повезло с IP и они не сразу спросили телефон).
cypherpunks (05/03/2017 11:55)
Да нее.. мы тут иногда собираемся и ждем, ждем.
Было откровение ОБС, что придет в мир pgpru.com мудрец и просветит как пользоваться безопасной e-mail.
Отчаялись уже.. Но вроде забрезжил луч надежды на горизонте.
О премудрый, не вы ли тот избранный, который нас выведет из царства тьмы и безнадеги?
Ну вот, диспозицию сразу же и подтвердили))))
К сожалению, хоть и прошло лет 10, а то и 15, лучшим анонимным ящиком остается проверенный чистый коммерческий прокси + популярный почтовик (
Я рад принять опровержение, если мне дадут рецепт бесплатного (чтобы не деанониться и не профилироваться с оплатой) способа регистрации почтового ящика на популярных cервисах через Tor.
А нет причин, чтобы было иначе. На этом толком не заработать.
Яндекс-почта из Tails с -надцатой попытки позволяет создать аккаунт. Иногда с первой попытки. Все зависит от экзит-ноды. Если очень нужен, приходится долбить, а что делать.
Вот только не понятно почему вы считаете "коммерческий" прокси "лучшим" если сами потом говорите, что оплата вас спрофилирует.
Из под Tails значит IP даже не привязаны к определенной стране. Зарегистрировать реально, а вот на сколько ящиков из десятка удалось зайти через пару дней, не получив принудительную JS(!) форму с приказом пройти верификацию по телефону?
"Лучший" в плане того, что IP более чистые, а недостаток этого варианта именно в более высокой степени профилирования. Так же как и варианты "поднять свой сервак, зарегить почтовый домен на кокосо-бананасовых островах" плохи этим же.
Для тех у кого не всегда есть Тор и возможность пользоваться ящиками типа таких http://bah37war75xzkpla.onion Могу дать ящик с такими же свойствами но в "клирнете") На сайте maw.ru встроенная почта хороша тем что:
1 Нет капчи.
2 Моментально передает почти любой контент (PGP пройдет).
3 Показывается время прочтения письма собеседником.
4 Размер сообщений не измеряла но на пару экранов может быть!
5 Обозначает геолокацию в сообщении) (типа Тор проверить)))
6 Сайт не ругается на Тор вообще.
7 Регистрация на сайте моментальна с простой капчей и БЕЗ ЕМЕЙЛА!
И пункт 0 Этот древнейший сайт идеально работает без ява скриптов вообще! )))
Не сочтите за рекламу развратного ресурса, этот ресурс так же как и мамбу не знает только ленивый. Только если всякие мамбы вообще не умеют без явы то он умничка умеет все! Если модераторы здесь не далдоны формалисты то оценят сайт где можно быстро завести два ящика и общаться в пределах ресурса (когда Тор недоступен). Пользуйтесь на здоровье с теми кому влом запускать Тор. Но не злоупотребляйте там, чтобы лафу не прикрыли)
Я считаю за эту инфу мне печеньки полагаются) Сама пользуюсь им для такого общения с теми у кого нет Тор. Значительно ЛЕГЧЕ И НАДЕЖНЕЕ в плане доставки сообщений чем емейлы которые теперь просят симки) и которые почти все не могут жить без явы!
ТП
закроют наконец учетку ТП
Согласен! Тупая п..а дает тупые советы! Гнать ее(его?) в шею! Может быть тогда ВЫ, такой умный, поделитесь с нами сайтами для быстрого обмена сообщениями, которые не ругаются на Tor и(!!!) работают БЕЗ JS?!
А то МЕСЯЦАМИ все молчат, а стоило дать нормальный совет одному (не важно: "одной", "баба", "небаба", прошедшая "сисько-тест" или "вместо сисек свитер и борода"©unknown, "сисибой" или "сисигёрл"), так сразу рождается агрессия!
Я-не она и ничего "ей" лизать не собираюсь! Просто с 2014 года наблюдаю, как этот форум превращается в болото, где возникает активность только тогда, когда появляются женские имена и только такая активность, как я процитировал выше!
ОФФТОПИК: Особенно умиляют ИЗВРАЩЕНЦЫ которые ВСЕРЬЕЗ обсуждают "безопасность" очередного "лавабит-альтернативного" почтовика у которого сайт в отличие от яндекса ВООБЩЕ не открывается без JS)))
Вот здесь[link177] есть два почтовых сервиса в даркнете, да и вообще список полезных сайтов.