id: Гость   вход   регистрация
текущее время 07:09 20/08/2019
Автор темы: teapot, тема открыта 04/07/2013 19:07 Печать
Категории: криптография, анонимность, инфобезопасность, шифрование с открытым ключом, защита email
https://www.pgpru.com/Форум/ПрактическаяБезопасность/ИнструкцияДляЧайниковМногоцелевойWeb-сервисXmailnet
создать
просмотр
ссылки

Инструкция для чайников. Многоцелевой web-сервис xmail.net


В продолжение чайниковой темы.


Еще один полезный двухбитным домохозяйкам web-сервис, сочетающий функции почтового сервиса с web-интерфейсом, файлового хранилища и интернет-хостинга. Его дружба с анонимизирующим браузером Tor Browser и средствами автономного шифрования типа gpg дает криптоанонимный информационный канал обмена и хранения информации.


Сервис xmail.net управляется Aaex Corp, зарегистрированной на Британских Виргинских Островах, сервера находятся в Канаде. Бесплатная версия поддерживает POP3 (без SMTP), предоставляет 1GB места для хранения писем, 1GB места под файловое хранилище/ сайт, максимальный размер одного письма до 20 MB, обеспечивается криптозащита доступа посредством 4096-битного RSA-ключа web-интерфейса. Интерфейс позволяет структурировать файлы и письма в системе каталогов с возможностью перетаскивания мышью, zip-архивацией и zip-разархивацией. К недостаткам относится местами глючноватый интерфейс и отсутствие защищенного канала https к публичной части файлового хранилища.


http://xmail.net/teapot/webxmail/
filehttp://xmail.net/teapot/webxmail.zip


 
На страницу: 1, 2, 3 След.
Комментарии
— Гость (09/08/2013 16:17, исправлен 09/08/2013 17:24)   <#>

UPD


фашисты его убили. вместе с моим ящиком.

My Fellow Users,

I have been forced to make a difficult decision: to become complicit in crimes against the American people or walk away from nearly ten years of hard work by shutting down Lavabit. After significant soul searching, I have decided to suspend operations. I wish that I could legally share with you the events that led to my decision. I cannot. I feel you deserve to know what’s going on — the first amendment is supposed to guarantee me the freedom to speak out in situations like this. Unfortunately, Congress has passed laws that say otherwise. As things currently stand, I cannot share my experiences over the last six weeks, even though I have twice made the appropriate requests.


What’s going to happen now? We’ve already started preparing the paperwork needed to continue to fight for the Constitution in the Fourth Circuit Court of Appeals. A favorable decision would allow me resurrect Lavabit as an American company.


This experience has taught me one very important lesson: without congressional action or a strong judicial precedent, I would _strongly_ recommend against anyone trusting their private data to a company with physical ties to the United States.


Sincerely,
Ladar Levison
Owner and Operator, Lavabit LLC


Defending the constitution is expensive! Help us by donating to the Lavabit Legal Defense Fund here.

что-то тяжело становится жить на свете

— Гость (09/08/2013 17:20)   <#>

[off]
Как бы да. Как-то одно за другим – Либерти, законы копирастов, атака на FH, думские маразмы, международная активность вокруг Инета, Сноуден etc.
Легкая тенденция. Пока это частности, но их всплеск еще не означает дальнейший рост неприятностей для свободы в Интернете теми же темпами, но неприятный осадок остается.
Свято место пусто не будет, на месте одного закрытого сервиса вырастет несколько новых. По идее, они не должны быть хуже предшественников в плане архитектуры и безопасности, учитывая опыт предыдущих атцов. Это касается как скрытых сервисов, так и сервисов в Интернете.

Кто не следит за новостями, для того вообще ничего не изменилось, степени свободы действий в Сети не уменьшились. Не считая краха FH или LR для тех, кто там имел свои интересы. Мы долго этого "ждали" и удивлялись, почему до сих пор это не произошло? Произошло. Следующая реинкарнация, возможно, проживет еще несколько лет до очередного форс-мажора. Бред, конечно, держать все яйца в одной корзине. Временно можно было, но постоянно? Хотя известно, что нет ничего более постоянного, чем временное.
[/off]
— unknown (09/08/2013 17:49, исправлен 09/08/2013 17:50)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Lavabit, FH, LR — это централизованные сервисы, оказывающие услуги, особенно если они зарабатывают на этом, хотя бы рекламой. Они вроде как обязаны вести свою деятельность зарегистрированно и лицензированно. Т.е. их всегда можно или заставить сотрудничать, или вынудить закрыться. Как и все другие сервисы, работающие по аналогичной модели. Просто раньше таких сервисов вообще было мало, или до них руки не доходили, или у них была слабая модель обеспечения приватности пользователей, или они сотрудничали, поэтому и скандалов не было.

— SATtva (09/08/2013 18:47)   профиль/связь   <#>
комментариев: 11543   документов: 1036   редакций: 4090
По этим же причинам Silent Circle сегодня объявил о закрытии своей почтовой службы: не хотят подставляться под NSL и прочие квази-законные методы выемки клиентской информации.
— Гость (09/08/2013 18:54)   <#>
у меня с тех. службой lavabit была небольшая переписка, я их — как-то поздно ночью — спросил, что значит их название (ну, странная лат. коннотация :). кончился разговор тем, что они обещали подумать о third-party certification.

в сущности, это первый необходимый кирпичик, если с системой всё более или менее хорошо (судя по тому, что они о себе говорили (и еще, с недоступного ныне места: Presently we use Elliptical Curve Cryptography (ECC) with 512 bits of security to encrypt messages etc. — одним словом, если верить самоописанию, архитектура сервиса не позволяла им получить доступ к письмам) (само собой, что такие вещи легко изменить :).

второй — законодательный, в ближ. пять лет, надо думать, европейский хаос еще будет жив. то есть если это парень — Ladar Levison, запомним это имя, — что-то сделает в европе, есть смысл смотреть, что.

а третий — это из дискуссии про почт. ящики, правильная вещь от некоего анонима, что бессмысленно бороться с этим наступлением шифропунковскими способами, п.ч. дожмут, и это будет скоро. и да, как ни банально звучит, без политического действия ситуация ухудшится, причем радикально.

беда в том, что они сами не понимают, какую опасную штуку создают, и как она может быть использована. и что временные рамки для возможной дискуссии по теме довольно ограниченные.
— Гость (09/08/2013 19:09)   <#>

В вину FH можно поставить только централизацию, как мне кажется.


Это парень. Я гарантирую это =)
— unknown (09/08/2013 22:15)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
у меня с тех. службой lavabit была небольшая переписка, я их — как-то поздно ночью — спросил, что значит их название

И что они ответили? У меня как-то сразу ассоциации с проектом Lavarand.
— Гость (09/08/2013 22:34)   <#>
банальнее: бит, который лавой. ну и сказали, что было как-то не до рефлексии на тему.

lavabit (лат.) 'омоет', 'вымоет', в вульгате один раз, в контексте — "омоет в крови"... имяюзера@омоет.ком, я был озадачен поначалу :).
— Гость (07/09/2013 00:54)   <#>

А что, за содержимым и метаданными звонков за тем, чтоб они бэкдор в софт поставили, к ним прийти не могут, только из-за почты? Кто-нибудь интересовался, в каком оно сейчас статусе, это проприетарное циммермановское Silent Circle? Работает? Ему можно доверять? Я бы поостерёгся проприетарного софта с закрытыми исходниками, от кого бы он ни исходил.
— SATtva (07/09/2013 08:50, исправлен 07/09/2013 08:51)   профиль/связь   <#>
комментариев: 11543   документов: 1036   редакций: 4090

Какая-то часть исходников открыта, но общественность это явно не удовлетворяет. Шнайер, тем не менее, пользуется, но, вероятно, прежде всего из-за доверия к Циммерману и Калласу.

— Гость (06/11/2013 23:33)   <#>
Попробовал воспользоваться этим xmail.net. Зарегистрировался через Тор без скриптов, используя legacy-версию (xmail 3.2). Чтобы не светить уже имеющиеся адреса, направил на новую почту сообщения путём регистрации на паре форумов (сообщения для активации ника). В течение суток ничего не пришло. Обратился на адрес админа postmaster@xmail.com с вопросом, работает ли вообще сервер и описал ситуацию с непришедшими письмами. В результате похоже что удалёна моя учётная запись, т.к. исчез доступ к веб-интерфейсу. Возможно что админ отомстил за Тор и выключенные скрипты. Так что хвалёный сервис оказался не так хорош. Вернее, вообще не пригоден. А так была бы хорошая возможность для анонимной покупки хостинга. Перепробовал уже пару десятков бесплатных почтовых сервисов, везде нужны скрипты.
— Гость (07/11/2013 06:40)   <#>
Скрипты можно включить. Если сильно боитесь, врубите файерволл и подстраховки. Если параноя мучит конкретно, то и виртуалками воспользуйтесь. В любом случае блокировать за отсутствие JS глупо. Может, у вас звёзды не сошлись или вы что-то напутали в своих экспериментах.
— Гость (07/11/2013 08:33)   <#>
Скрипты можно включить

Спасибо что разрешили. При чём тут фаирвол и что за подстраховки? Глупо жертвовать безопасностью так где нужна анонимность. При виртуалки знаю, пока не до них, хотя это наверное единственный приемлемый способ работать черз Тор с включенными скриптами (сейчас возможно опять появится unknown с мантрой что виртуалки и chroot не предназначены для безопасности). Что там можно напутать не представляю – нужно тупо набрать логин и пароль. В общем сделал вывод: "сервис" – херня.
— Гость (07/11/2013 09:39)   <#>

Круг вопросов, описанных здесь. Сводится к набору подстраховок, нейтрализующих угрозу деанонимизации при таких отказах, как например, фатальные уязвимости в FireFox или получение злоумышленником полного контроля над вашим пользователем, под которым вы ходите в Tor. Можете считать, что имелись в виду виртуалки и файерволл.


При том, что его можно настроить так, чтобы трафик от заданного пользователя не мог идти в обход Tor. Если вы боитесь, что эксплоит на JS получит возможность что-то послать в сеть напрямую, то файерволл может от этого подстраховать, но он, конечно, не запретит эксплоиту послать что-то в сеть через Tor, а интересной инфы, которую он сможет послать даже в последнем варианте, предостаточно. Чтоб закрыть и эту дыру, уже нужны виртуалки.


Это смотря о какой безопасности идёт речь. И речь про анонимность в мантрах вообще не шла, такую задачу попросту не рассматривали. Кстати, речь про то, что виртуалки — не панацея, здесь я впервые завёл, насколько мне помнится, так что можете сразу прям на меня ругаться, минуя unknown'а.

Часть ваших вопросов снимается этим баяном трёхлетней выдержки.
— Гость (07/11/2013 21:10)   <#>

Надо будет тоже попробовать:
а) посмотреть, живы ли еще старые акки,
б) регнуться на разных сайтах,
в) переслать себе письма с другого акка иксмайла,
г) переслать себе письма с других почтовых сервисов на иксмайл,
д) написать себе на другие почтовые сервисы с иксмайла.

В настоящее время этим сервисом не пользуюсь.
А чем вас скрипты напрягают? Без них мало что вообще работает...
Посмотрите хотя бы, что за скрипты.
С точки зрения и анонимности, и безопасности, и непривлечения лишнего внимания и вопросов, лучше использовать популярные почтовики через веб-интерфейс. Через Tor. Скрипты нейтрализуются настройкой фаера, правил и окружения, виртуалки, ограниченные права.
Помимо гигантов отрасли можно посмотреть в сторону национальных мыльных операторов разных стран.
P.S. Кто-то писал, что с иксмайлом некорректно работает Яндекс, т. е. письма не проходят. Про остальные траблы не слышал,хотя нет, что-то с кириллицей там не так было когда-то...
На страницу: 1, 2, 3 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3