21.11 // Hushmail оказался ханаанским бальзамом
При судебном разбирательстве дела о контрабанде наркотиков документально подтвердилось, что компания Hushmail передала расшифрованные сообщения полиции.
Hushmail предлагает услуги конфиденциальной переписки через веб-интерфейс, используя технологию шифрования OpenPGP.
Следователи американского агентства по борьбе с распространением наркотиков (DEA) получили от расположенной в Канаде компании три диска с расшифрованными письмами производителей анаболических стероидов. Запрос утверждает, что большинство торговцев анаболическими стероидами пользуются услугами Hushmail.
От себя: Технология и бизнес-модель Hushmail вызывал серьезные опасения задолго до этого случая. Сам факт, что они совершенно неоправданно хранили у себя на сервере секретные ключи, ставило под сомнение их честность.
Мораль сказки: Храните свои секретные ключи у себя и никогда не доверяйте их расшифровку никому и ничему, кроме ПО с открытыми исходниками.
Источники: http://static.bakersfield.com/.....rod_affiliate.25.pdf, http://www.mail-archive.com/cr.....wd.com/msg08253.html, http://blog.wired.com/27bstroke6/hushmail-privacy.html
комментариев: 11558 документов: 1036 редакций: 4118
Так это проблема sudo или не совсем прямых рук? Как говорится, не умеешь — не берись. Sudo — инструмент не однозначный, но не уязвимый сам по себе и тем более при разумной настройке не позволит повысить привилегии в системе как легитимному, так и нелегитимному пользователю. Если админ даёт sudo на скрипт, доступный пользователю для записи, или пишет в правилах user HOST = NOPASSWD: ALL, чем тут можно помочь? Он так и suid (и chown root) может на этот скрипт поставить, а suid пока вроде никто не клеймит позором.
Ну оооочень офф-топик...
SATtva, скрипты не могут быть суидными.
Можете проверить.
комментариев: 11558 документов: 1036 редакций: 4118