id: Гость   вход   регистрация
текущее время 12:55 29/03/2024
Автор темы: Мыколка, тема открыта 08/12/2005 23:46 Печать
https://www.pgpru.com/Форум/ПрактическаяБезопасность/ГдеЛучшеЗавестиПочтовыйЯщик
создать
просмотр
ссылки

Где лучше завести почтовый ящик.


Здравствуйте!


Вопрос такой: где лучше завести электронный почтовый ящик?


Уверен, что это довольно важно, ведь надёжный, защищённый ящик – одна из обязательных деталей Вашей целостной системы защиты информации.


Мелочей не бывает. "Мелочи" иногда дорого обходятся.


Если Вы знаете/используете ящик, который отвечает Вашему уровню требований безопасности – пожалуйста, напишите.
Расскажите о преимуществах.


Важен каждый комментарий.


 
На страницу: 1, ... , 15, 16, 17, 18, 19, ... , 40 След.
Комментарии
— Гость (19/08/2013 00:17)   <#>


Скачайте клиент локально и отключите автоматические обновления. Где-то даже у них на сайте такое было написано.
— Гость (19/08/2013 00:41)   <#>

Через Tor? Через TBB? Не работает Мега корректно с тор-браузером. Даже если скрипты и куки включить, вроде пробовал раз, потому что с вырубленными вообще пустая страница с десятком js, и иногда уведомлением сменить браузер. Там флеш нужен, наверное или еще какие-то плагины.
— Гость (19/08/2013 01:30)   <#>
Не работает Мега корректно с тор-браузером.
А може попробовать так:
tbb -> anonimaizer -> Mega ?
— Гость (19/08/2013 01:44)   <#>

А разница? Не уверен, что IP играет роль. Плагины, скорее. Я, собственно пару раз попробовал так и сяк – не вышло, бросил. Нашел, одно время нужно было объемное онлайн-хранилище, кучу других решений на 50-100 Gb, но потом надобность отпала, так что и их не пробовал. А поэкспериментировать можно с виртуалки, если есть время на это, идя на поводу у Меги и одевая ТВВ, или др. браузер через Tor, в плагины. Уверен, заработает, но это будет уже не дефолтный айс в плане анонимности/безопасности.
— Гость (20/08/2013 03:55)   <#>
куки хрен с ними (стираются), главное – возможность зарегистрироваться без скриптов и телефона. А дальше – настройка почтового клиента, веб-интерфейс не особо нужен. Кстати, лавабит в последнее время тоже испортился, без скриптов нельзя было отправить сообщение через веб-интерфейс, хотя это не критично. В общем ищу почтовый сервер с возможностью регистрации ящика без скриптов, остальное не важно. Но не в израиле.

И ещё – безопасней ли веб-интерфейс чем почтовый клиент если работа идёт через Тор. Один знакомый сисадмин утверждал, что при использовании клиента возможен деанон, хотя по моему никак, если сервер за Тором.
— unknown (20/08/2013 10:27, исправлен 20/08/2013 10:28)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Почтовый клиент отправляет массу характерных заголовков в письме. Например, имя хоста. И локальное время и массу чего ещё. Т.е., можно по крайней мере определить, что письмо отправлено клиентом такой то версии с такой-то ОС, с таким-то часовым поясом. Сплошное профилирование. И возможны утечки в обход тора при отсутствии прозрачной торификации или блокирования не-тор трафика: например, обращение к DNS; прямой выход в сеть, если при просмотре писем разрешён HTML.


При получении писем сам сайт тоже может составить профиль запросов POP/IMAP и по ним вычислить тип клиента.


В то время как через веб можно только понять, что письмо отправлено торбраузером.

— Гость (20/08/2013 11:04)   <#>
Понятно, те же проблемы что и с браузером, решаются почтовым прокси-сервером. Тот админ утверждал, что из-за специфики почтового протокола можно узнать ip-адрес, даже при использовании Тора, в чём я сразу засомневался. Сложность наверное в том, что аналогов privoxy для почты не существует. Или всё же есть готовые решения? Утечки в обход Тора не специфичны именно для почты, это общая угроза, риск такой же как и для http-клиента. Выходит что угрозы одниаковы, принципиальной разницы нет, проблема в возможном отсутствии готового анонимизирующего почтового прокси-сервера.
— unknown (20/08/2013 11:47)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Torproject вообще уже никак не использует privoxy. Для этого есть TorBrowser или различные механизмы подключения к Tor-процессу. Прокси-серверы неспособны анонимизировать заголовки, т.к. не умеют работать с https/tls-контентом. И это практически непреодолимо, т.е. они концептуально устарели. Вся анонимизация должна делаться на стороне специально разработанного под эти цели клиента. Единственно, для чего privoxy может сгодиться, это для анонимной установки/обновлений пакетов в Unix-системе, т.к. нужно завернуть в Tor рута.
— Гость (20/08/2013 12:42)   <#>
Прокси могут работать с проходящим мимо них ssl если делать mitm. Недостаток в том, что в (известных мне) существующих решениях нужно для каждого сайта явно указывать перенаправление (адрес и порт mitm), хотя для почты это приемлемо, т.к. используемых почтовых серверов обычно всего несколько. Для веба не подходит, т.к. посещаемые сайты далеко не всегда известны. Возможно дело не в концептуальном устаревании прокси-серверов, а в отсутствии готовых решений, которые бы более соответствовали unix-way. Лучше сделать один нормальный mitm прокси, поддерживающий несколько прикладных протоколов (необходимо для извлечения имени хоста для генерации ложного сертификата), чем для каждого протокола городить комбайн.
— Гость (20/08/2013 14:51)   <#>

... а также тип ОС и локализации TBB, полный список шрифтов, установленный в системе, текущее разрешение окна (оно не может превосходить разрешение экрана, поэтому в конечном счёте размер экрана тоже может быть вычислен). Если TBB запускался не в выделенной ОС (виртуалке), то нет никаких гарантий, что полного деанона не было, потому что для него достаточно баги со шрифтами или вот этой тонкости. Грабли лежат повсюду, и тут и там. И если ОС и локализация ещё лечатся отключением JS, то всё остальное пока не лечится никак.
— Гость (21/08/2013 22:41)   <#>
Красиво tormail.org упал.

Некоторое подобие родилось
bitmailendavkbec.onion

Кто поставит оценку?
— Гость (21/08/2013 23:04)   <#>

И после этого кто-то смеет говорить, что автор пёкся о безопасности своих пользователей?


Припоминаю, как читал какую-то рассылку — то, что писали разработчики. В хидерах не было никакой информации ни о чём. Я без понятия, как они их все вырезали или какой клиент использовали.


У юзеров нередко бывают реальные IP-адреса на той машине, которую они пытаются анонимизировать.


Всё смешалось в доме Облонских. Unknown уже ответил. Мало кто понимает, что помимо заголовков есть ещё много всяких поведенческих тонких характеристик, которые раскрывают информацию атакующему. Даже если делать по аналогии с TBB, надо всех сажать на один-единственный кошерный почтовый клиент и потом допиливать его.


В squid нужно? Он вроде умеет MITM и достаточно мощен.


2, закапывайте.
— Гость (22/08/2013 23:26)   <#>
Мало кто понимает, что помимо заголовков есть ещё много всяких поведенческих тонких характеристик, которые раскрывают информацию атакующему

Так расширьте круг посвящённых, что это за характеристики. Писали что-то про стек tcp/ip, но его поведение вроде можно настраивать. Для старых ядер была ippersonality, хотя есть ли аналог для новых ядер – непонятно.

В squid нужно? Он вроде умеет MITM и достаточно мощен

В последних версиях действительно появиласть эта опция. Но возможности сквида по фильтрации ограничены, а задействовать сторонний прокси-сервер возможности нет. Ещё минус – клиентам не передаётся информация о статусе ssl соединения, т.к. решение при недействительном сертификате удалённого сервера принимает сквид, и пользователь не может сам выбрать, доверять ему или нет. Клиентам всегда будет сообщаться о неверном сертификате (даже когда он правильный), т.к., насколько я понял, сквид не пытается его подделать, а тупо шлёт собственный с неверным именем хоста.
— Гость (23/08/2013 03:48)   <#>

Хинт: фингерпринтинг шифрованного трафика. Можно фингерпринтить любой трафик, чем DPI и занимается. Разные клиенты будут иметь чуть разные профили, и этого может оказаться достаточным. Есть даже определение типа ОС по пакетам, на основе чего может приниматься решение о блокировании или пропускании трафика (это есть даже как опция в pf и iptables).


Разве в squid нет поддержки parent proxy? Почему нельзя его задействовать?


Мне кажется, что всё это настраивается, но на 100% не поручусь. Во всяком случае, у меня сложилось впечатление, что в ряде коммерческих организаций фильтрация https-трафика делается на основе squid+MITM, и как-то они добиваются того, чтобы оно работало корректно (м.б., добавляя корпоративный сертификат в хранилище сертификатов браузера).
— SATtva (23/08/2013 07:36)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
google: squid https filtering
http://blog.davidvassallo.me/2.....nt-ssl-interception/
На страницу: 1, ... , 15, 16, 17, 18, 19, ... , 40 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3