Další dírka do českých freemailů, tentokrát do Post.cz a Email.cz

Moc hezký, tak a teď email.cz nejede vůbec a já se nedostanu k poště. Děkuji vám za bezva článek, příště to chce ten předstih prohloubit.

1. Centrum ma stejny problem staci to poslat jako text/html.

2. pochybuji ze stejne nedonutim dalsi

3. autor necht si precte specifikaci HTTP protokolu - REFERER neni poviny - tj. pokud se pouzije navrhovane reseni, tak to nemusi s nekterymi prohlizeci fungovat. (i kdyz to jak MSIE tak Netscape posila, tak tim vycet nekonci, navic je otazkou projdeli to pres cache servery vzdy ?)

4. seznam a atlas jsem nezkousel ale pochybuji ze to maji osetrene - navrhuji nekomu at to zkusi a podeli se.

Shrnuto - bublina kterou nekdo pustil aniz by poradne testoval, ze? mimo jine kdy jste to oznamili tem dvema serverum, ze jste nestihli otestovat zbytek ???? Tipuji ze 23.55 vcera, ze ?

Drahý anonyme,

1. v článku je napsáno, že Centrum dává přednost textové podobě před HTML verzí.
2. Tak je donuťte a podělte se.
3. Navrhujeme alespoň nějaké řešení.
4. Tak je zkuste a přestanete pochybovat.

Tu vaši bublinu jsme pochopitelně testovali. Oznámili jsme jim to v takovém termínu, abychom s nimi pak následně ještě mohli komunikovat a dořešit podrobnosti. Včera jsme ještě tuto věc opakovaně testovali.

3) REFFER neni poviny, nicmene jak jste rekl, vsechny prohlizece jej posilaji. (Navic to neni ustredni motiv clanku.)

4) Testoval jsem pouze hlavni a nejpouzivanejsi maily. Seznam kontrolu dela, Atlas zobrazuje text zpravy jako TEXTAREA.

Na tomto místě najdete dnes odpoledne naše vyjádření. Určitě si jej přečtěte...

To bych si velice rád přečetl. A doufám, že se již nestane, že budu mezi 10% uživatelů. kteří při havárii přišli o data. Teprve za více než půl roku jsem zjistil, že při té havárii došlo ke ztrátě cca 100% !! dat.

Myslim, ze tento zpusob dostavani se do
emailovych kont napadne kazdeho, kdo
trosku umi html a javascript. Ja sam
jsem ho zkousel asi tak mesic po tom,
co me prestalo bavit hadat odpovedi na
autentifikacni otazky.

Ochrana pred timto, je to, ze po
kliknuti na zpravu je uzivatel
presmerovan na jinou adresu, ktera se
mu zobrazi v adresovem radku, takze ji
staci zkontrolovat - presne taky jeden
jediny problem, ktery se mi nepovedlo
eliminovat (a krome toho, ze mirror
byl vyrazne rychlejsi, nez puvodni
server ). Na serveru Email.cz, kde
mam i ja mou nejvice vyuzivanou
schranku,si myslim, ze je prunik o
neco tezsi, protoze automaticky
neodlogovava(teda me ne tak casto jako
Post, ktery to dela na zaklade nahody).

A Email.cz ma i neprimou sekundarni ochranu - formular uvodni stranky,
ktera se objevila po presmerovani, jsem
si nechal posilat na svuj e-mail na
Email.cz, takze par loginu a hesel jsem
mel, ale po smazani dat 10% (cti
minimalne 90%) uzivatelu mam stejne
prd )

Vyjádření webmastera serveru Email.CZ

Vážení čtenáři,

dovolte mi reagovat na tento článek, který je plný nepravd (nechci říkat přímo lží). Nevím, co autor článku zamýšlí, či zda je takový laik a neví, o čem píše. V tomto příspěvku není mým cílem poškodit jméno serveru Centrum.cz nebo Seznam.cz, chci pouze uvést věci na pravou míru, protože je zde špiněno jméno serveru Email.CZ, ačkoliv uvedené problémy má i konkurence.

Nejdříve mi dovolte objasnit Vám zákulisí, jakým vznikají takové poškozující maily. Včera, tj. v pondělí 6.10.2000, nás informoval p. Holčík o záměru uveřejnit tento článek, jehož pracovní verzi nám také zaslal. Měli jsme tedy čas na to, uvedený problém řešit. Zároveň jsem však ověřoval skutečnosti v článku napsané. Skutečnost, že Centrum.cz a Seznam.cz uvedený mají uvedený problém vyřešen, se nezakládá na pravdě. Stačí, když na schránku u Centrum.cz nebo Seznam.cz pošlete mail označený jako text/html (přesněji Content-type: text/html). V takovém případě Centrum.cz zobrazí html verzi zprávy včetně interpretace kódu, Seznam.cz ji zobrazí jako přílohu, po jejím otevření se kód také interpretuje. Na tuto skutečnost byl p. Holčík upozorněn, nicméně v článku je stále poškozováno jméno serveru Email.CZ, zatímco konkurence má údajně problém vyřešen. Ptám se tedy, jak je možné, že něco takového můžete uveřejnit, když to není pravda, a co tím sledujete?

Dále jsem včera upozornil na to, že Centrum.CZ ani Seznam.CZ zřejmě nemají ošetřen problém s hlavičkou HTTP_REFERER, protože odkazy v mailech nejsou směrovány přes redirect. Pro vysvětlení - pošle-li Vám někdo mail a uvede v něm odkaz na svůj server, vy na odkaz kliknete, může dotyčný zjistit Váš autentizační kód a přihlásit se do Vaší schránky. O tomto problému se psalo tuším na Underground.cz. I na to jsme upozorňovali, výsledkem je pouze odstaveček o HTTP_REFERER, který je zavádějící - hacker, který chce zjistit heslo, vytvoří kopii logovací stránky, na kterou přesměruje, nepotřebuje vracet formulář s heslem zpět na post.cz, může si heslo uložit a pak to přesměrovat na skutečnou logovací stránku serveru. 99% uživatelů si bude myslet, že se spletlo a zadá heslo ještě jednou, tentokrát na správném serveru - ale hacker už ho má. Zneužití zcizeného kódu má zřejmě ošetřen Centrum.CZ, u Seznamu se mi podařilo s jedním autentizačním kódem přihlásit ze dvou různých IP adres.

Připadá mi absurdní, že o JavaScript problému píšou na Živě.cz, a sami si neuklidí na svém dvorečku. Zkuste kliknout na tento malý (neexistující) obrázek:
nebo stačí, když přejedete myší přes tento obrázek
.
Vyskočí pouze hláška, ale JavaScript kód je aktivován, takže si teoreticky mohu číst např. Vaše cookies, jak je zminěno v článku.

Dále bych rád upozornil autora článku, že uvedený problém s aktivací kódu není jen problémem webových emailů, ale teoreticky všech programů, které umějí pracovat s HTML maily. Např. níže uvedený test můžete aplikovat na emailovou schránku, kterou čtete pomocí MS OutLook Express 5 (pokud ji však nemáte nastavenu tak, aby se chovala rozumně a bezpečně, což většina laiků po instalaci nemá, Outlook v MS Office 2000 se chová korektněji, ale 2x kliknutím na zprávu docílíte toho samého). Takže ani v posledním odstavečku nemá autor pravdu a vybírání schránky přes poštovního klienta Vás rozhodně neochrání.

Shrnuto:
- není pravda, že Centrum.CZ a Seznam.CZ mají tento problém ošetřen
- Seznam má problém se zcizením a zneužitím autentizačních kódů
- problém javascriptu není jen problém webových emailů, ale i poštovního software
- Email.CZ má již od včerejška minimalizováno tuto nepříjemnou vlastnost

Mgr. Vlastimil Pečínka
webmaster Email.CZ

P.S. Uvedený článek z 9:34:36 není ode mne, ale s dotyčným souhlasím.

Máte-li zájem, vyzkoušejte si malý test na Centrum.CZ (v zprávě je ta samotná tečka na konci důležitá):

telnet mail.centrum.cz 25

...
HELO muj.server.cz
...
MAIL FROM: <moje@adresa
...
RCPT TO: <moje@centrum.cz
...
DATA
...
Subject: Pokus
From: moje@adresa.cz
To: moje@centrum.cz
Content-type: text/html

<bToto je pokus</b
<script language=JavaScript
alert('Toto okno samo vyskoci');
</script

.

...
QUIT

Pane Pecinko,
prectete si ten clanek poradne, jednak
nemate pravdu, jednak chvili mluvite o kole a chvili o vozu a jednak zpusob
jakym se branite me osobne desi. Tolik
arogance by clovek necekal.

Hele, je to jasný. To nepsal Pečínka, ten když píše uživatelům, tak je vidět, že to je normální skromný člověk, to je jasně vyjadřování France, jeho šéfa - si přečtěte na různých českých serverch, co říká, ten si nevidí do huby. A už se stydí za svoje jméno a tak se vydává za svýho webmastra.

Předem děkuji za opravu, jak jsem vám již včera psal.
Včera jsem ještě na základě vašich obvinění kontroloval servery Centrum, Seznam i Atlas. Kontroloval jsem především jejich způsob zacházení s HTML poštou. Zcela záměrně jsem do článku neuvedl vámi zmiňovaný postup ručního vytvoření HTML mailu úpravou hlavičky zejména proto, že by nebyl čas celou záležitost zkonzultovat se zástupci těchto serverů a dopustili bychom se porušení etiky. Kontroloval jsem běžně vytvářený a zasílaný e-mail v HTML formátu i odesílaný třeba z Email.cz (právě více než dvouhodinové vybavování e-mailu ve frontě k odeslání z Email.cz, bohužel vše poněkud zkomplikovalo). Protože v případě běžného e-mailu jsou Centrum.cz, Seznam.cz i Atlas.cz v pořádku a problémy u běžných e-mailů vykazuje právě jen Post.cz a Email.cz, je to také tak v článku uvedeno. Toť vše. Je celkem logické, že z vašich úst zazněné obvinění Centra a Seznamu si jejich administrátoři vezmou k srdci a vše prověří.
ukazovat vaše schopnosti se skripty v diskuzním fóru je samozřejmě možné, žádná citlivá data tím ale nezískáte, jsme jen zpravodajský server, žádné privátní údaje tu nejsou.
číst maily v Outlook Expressu vás logicky ochrání, pokud nemáte IQ šumící trávy a nezareagujete na nově otevřené dialogové okno poštovního serveru, že se musíte znova přihlásit, zatímco čtete maily v běžném programu.

Tím chcete říct, že když email.cz (nebo jiný server) posílá v hlavičce Content-type: text/plain, tak je server Centrum.cz bezpečný, protože je "těžké" poslat škodící mail ručně přes SMTP nebo z klienta, odesílajícího poštu implicitně v HTML formátu? Myslím, že tady jde o princip, že i na konkurenčních serverech je tato chyba, kterou jste měl také popsat, navíc když jsem Vás na ni upozorňoval. Etické Vám připadá, že uveřejníte tento článek, i když jste si vědom, že u konkurence je obdobný problém, ale nestihl jste je ještě informovat?

Bezpečný není naprosto nikdo. Centrum je minimálně bezpečnější.
Konkurenci jsem testoval tak, jako jsem testoval vás a Post.CZ.
Článek řeší jeden problém, můžeme jít dál a hloub v dalších článcích, kde to může být zase kritika jen třeba Seznamu.cz, kdo bude nabízet snadný backdoor, jak například uvádíte, to prostě prověříme.
Naším cílem je pomáhat řešení problémů a pomáhat hlavně uživatelům. Myslím, že jim tento článek určitě pomohl.
Všimněte si také, kolik je tady příspěvků od Post.cz a na jakém serveru byla v článku chyba prezentována především. Neříkám, že adekvátní reakcí na kritiku je mlčení, s Postem jsme ale jednali na velmi přímé úrovni vedoucí přímo k nápravě.

Mně jde o to, že nemůžete napsat, cituji

"Uživatelé ostatních používaných freemailů (Seznam.cz, Atlas.cz, nebo Centrum.cz) jsou před tímto útokem ochráněni, neboť robot přijímající e-maily nežádoucí znaky odstraňuje",

protože to není (nebyla) pravda a chráněni nejsou (jen se na to musí jinak), a já jsem Vás na to upozorňoval. My se cítíme poškozeni ne tím, že je zveřejněn tento problém, ale že takovýmto nepravdivým porovnáním. Kdyby byl článek pozdržen a opraven dle skutečnosti, neměl bych žádných námitek jen poděkování za upozornění.

Problematická věta v článku byla upravena s komentářem, článek byl označen jako oživený, aby byla patrná jeho aktualizace.

když přejedete myší přes tento obrázek
.
Vyskočí pouze hláška

Pane Pečínko,
moc vás prosím o jedno (pokud jste skutečně autor předchozího textu). Píšete, že jsme se dopustili celé řady nepravd.

Prosím, uveďte zde - či na můj mail - ONU CELOU ŘADU NEPRAVD, které jsou v článku. Tedy:
Článek tvrdí: "to a to", je to nepravda, správně je "to a to".

Domnívám se, že žádnou nepravdu v článku nenaleznete; jediná poměrně sporná věc je, jak tento kód řeší Seznam, Atlas a Centrum a Tomáš Holčík myslím přesvědčivě ukázal, že se to normálních zpráv netýká.

Vaše služba, která je jinak nepochybně jedna z nejlepších na českém Internetu, má cca 150 000 zákazníků, kteří vám svěřili svá, často i velmi důvěrná data. Reagovat na objevenou chybku, která umožní tato data získat, tím, že "konkurence to má taky" a "na Živě taky jdou skripty, podívejte se, co jsem napsal!" mě připadá jako velmi nevhodné vůči vašim uživatelům.

Připadá mě to, jako kdyby mě v Praze okradli a policista by místo vyšetření případu řekl: buďte rád, v Ostravě byste ještě dostal navíc přes hubu.

Jinak přeji upřímně Vámi i vaší službě do budoucna mnoho úspěchů; dělat freemail není zrovna procházka růžovým sadem.

Staci, kdyz na schranku u Centrum.cz nebo Seznam.cz poslete mail oznaceny jako text/html (presneji Content-type: text/html).

Co se tyce Centra.cz, poslani hlavicky text/html jsem nezkousel, tudiz mate pravdu. Tak daleko me testovani neslo.Co se tyce Seznamu, o zpracovani prilohy vim, avsak podstatou clanku je to, ze skript se spousi ihned po nacteni zpravy, cili uzivatel se nema jak branit. A to Seznam.cz vyresen ma !!!. EMAIL a POST nemel !!!

HTTP REFERER
Problem s promenou, ktery neni podstatou problemu, jste asi nepochopil. Byl pouzit v souvislosti s ukazkou, ze uzivatel se muze prihlasit z falesne logovaci stranky. Nemusi se tedy prihlasovat 2x jak rikate, cili pravdepodobnost odhaleni je daleko mensi. Zminovany autent.kod je uplne jiny problem.

Dale bych rad upozornil autora clanku, ze uvedeny problem s aktivaci kodu neni jen problemem webovych emailu, ale teoreticky vsech programu.

Je to pravda a za tim si stojim. Pokud poslete normalni email, pouze na POSTu a EMAILu se ihned provede kod.

Seznam ma problem se zcizenim a zneuzitim autentizacnich kodu
To nepopiram, ale to se vubec netyka podstaty clanku.

problem javascriptu neni jen problem webovych emailu, ale i postovniho software
To je mozna pravda, ale k cemu spusteni JS kodu platne ?

Email.CZ ma jiz od vcerejska minimalizovano tuto neprijemnou vlastnost
To jsem rad.

cituji: "Pokud poslete normalni email, pouze na POSTu a EMAILu se ihned provede kod."

Co je to normalni email? Vzdyt email oznacen Content-type: text/html je taky normalni. To, ze jej neumi kazdy SW poslat, prece neznamena, ze jsme ochraneni! Takze na Centrum.cz se take kod hned provedl, na seznamu byl jako priloha, takze clovek na to musel nejdriv kliknout (co mu ale zbyvalo, kdyz text zprvy byl prazdny a jen html priloha?)

"To je mozna pravda, ale k cemu spusteni JS kodu platne ?"

To nevim, to byla teoreticka uvaha, ale nechtel bych videt do duse autoru Outlooku, protoze urcite lze neco zjistit. Odkazuji napr. na virus I Love You, ktery sice nebyl v javascriptu, ale ve Visual Basicu, pokud se nemylim...

"Seznam ma problem se zcizenim a zneuzitim autentizacnich kodu"
Ale tyka, i kdyz ne na prvni pohled, viz. moje rekace na prispevek p. Holcika.

Ale tím skutečně nepotvrzujete tu "řadu nepravd". To, co píšete, jsou věci k diskusi, je to pohlížení na dané věci pod různými úhly pohledu, to není žádné usvědčení s nepravd. Je mě líto, ale s osočováním druhé strany ze lhaní se musí opatrně.

Posledni dobou jako by se na zive roztrhl pytel s clanky, ktere upozornuji na bezpecnostni diry. Vetsinou se jedna o konkurenci Cpress :o) Proto by me tesila alespon castecna objektivita, vzheledem k tomu, ze nikdo tu nepise o tom, ze server hyperlink.cz (mj. jeden z mnoha, spadajici pod Cpress) mel minuly vikend mensi potize s FTP. Bylo mozne se nalogovat do kterehokoliv uctu, a to i bez znalosti pristupoveho jmena a hesla, a tam provadet co se komu zachtelo :o)) Takze at si kazdy zamete pred vlastnim prahem.

Vazeny pane Damborovsky,
bezpecnostni chyba na Hyperlinku byla. Vznikla chybou pri kompletni reinstalaci Hyperlinku. Po vasem upozorneni jsme chybu nasli a opravili.

David Bures, administrator Hyperlinku

Konkurence CPressu???
My snad máme freemailový server?
Kdybychom měli, tak bych se vašim argumentům nedivil.
Hyperlink chybu měl a zametli jsme ji. Pokud najdete další díru, dejte nám vědět s předstihem, než o tom někde napíšete, abychom mohli reagovat (naprosto běžná praxe) a nebude problém.

ale ale pan Holcik...
dalo snad zive vediet postu.cz(sk) pred tym, ako vysiel clanok Jak se nabourat ... ilustrovaný průvodce? Fandim zive, ale bola by som nerada, keby sa 'naprosto běžná praxe' menila od pripadu k pripadu.

Odpovědi na váš dotaz najdete pochopitelně v diskuzním fóru pod tím zmiňovaným článkem.
stručně:
Toto je typická věc zneužívající přehlédnutelné vlastnosti, která opravdu nemusí být na první pohled patrná.
V případě kontrolní otázky na Postu se jednalo o jasnou a čitelnou vlastnost, kterou tam někdo musel iniciativně naprogramovat, navíc se o ní vědělo dobře pár let, průběžně byl Post z různých stran upozorňován. To, že reálný výsledek měl polopatistický průvodce, není naše chyba.
Snad jsem to vysvětlil a chápete, že se nemění praxe od případu k případu.

Freemaily přece nejsou naše konkurence! Navíc s email.cz docela dobře spolupracujeme; je to mrzutý případ, ale myslím si, že médium musí být objektivní a když přijde na chybu, tak by o ní mělo informovat. Navíc se domnívám, že to tady udělal kolega velmi korektně - upozornil předem servery, dal jim dostatek místa k oficiálnímu vyjádření, a článek pojal velice nezaujatě, bez jakéhokoli "rýpání" a kritizování. Opravte mě, pokud se mýlím.

Stav centrum.cz vcera: pokud byl mail multipart/alternative a obsahoval text/plain a text/html tak se k zobrazeni preferovalo plain. Pokud byl mail komplet text/html tak se zobrazil HTML format (tedy opravdu bezpecnostni dira)
Stav dnes po cca 12:00: pokud je multipart/alternative tak se to chova stejne. Pokud to je jen HTML mail tak se momentalne nezobrazi vubec (rychle osetreni problemu) Otazka je kolik lidi v realu dostava maily, kde je pritomna pouze text/html cast. Slusnosti kazdeho mail klienta je posilat i text/plain verzi dopisu. Kvalitni reseni by bylo A) HTML nezobrazit, ale nabidnout k downloadu (s jinym content-type nez text/html, treba application/octet-stream aby to browser skutecne nezobrazil) [to prevdepodobne na centru.cz v brzke dobe implementujeme] nebo reseni B) Nejakou heuristikou ocesat HTML o scripty vseho druhu, coz ale vubec neni trivialni a navic heckeri jsou, jak znamo, velmi vynalezavi a drive nebo pozdeji by se trhlinka nasla. Ad problem HTTP_REFERER: vzhledem k tomu, ze HASH v URL pro autorizovany pristup na centrum.cz je (defaultne) pocitany i z IP adresy, tak to az takovy bezpecnostni problem neni. Kazdopadne osetreni pres redirect je snadne, tak si to pisu do TODO listu...

Naprosto s Vami souhlasim, neslo vsak o to, ze vetsina SW posila multipart/alternative, ale ze kdo chce poslat javascriptovy kod, tak ma tu moznost, i kdyz by to mel delat rucne. A to jde (slo) na seznamu i centrumu, i kdyz troch obtizneji (na seznamu to byla priloha typu html, na tu stejne 99% lidi klikne).

Na Email.cz jsme nadale nechali html verzi zprav, poze se snazili minimalizovat nepeknou vlastnost javascriptovych tagu.

Kaslete na ne je to zbytecnej boj o nicem :) Proste na email.cz aplikujte regulerni vyraz nebo neco podobneho co automaticky vyfiltruje slovo JAVASCRIPT (samozrejme v tagu) a je to vyresene a vsichni se muzou jit zastrelit :)

Uz dlouho me udivuji problemy dnesnich freemailu a to proto, ze reseni je nesmirne proste.
Pokud ma nekdo problem s autentifikaci serveru a zaroven chce mit zabezpecenou komunikaci se serverem, tak staci aby jeho provozovatele jen nainstalovali par klicu ktere dostanou od CA jako VeriSign a vse je v poradku a vsechny tyhle diskuze zmizi jako zcela nerelevantni.
Osobne pouzivam freemail Hushmail.com, ktery nejen ze pouziva 128-bitove kodovani pro SSL (coz do nedavne doby bylo jeste na Internetu nevidane), ale krome toho mi sifruje i obsah takze mohu klidne z hushmailu posilat zasifrovane informace. Uz i proto je tahle sluzba vyuzivana primarne odborniky na bezpecnost a hackery, protoze se prakticky s jesne nekolika drobnymi figli neda vubec vystopovat kdo kdy dany email poslal a pritom lze zarucit jeho autenticnost pomoci klasicke kombinace "baleni obsahu" pomoci ElGamal klicu (tedy asymetricke kryptografie).
Nerikam ze je nutne hned implementovat v Cechach dalsi hushmail, ale rekl bych ze bude stacit kdyz se stane dobrym zvykem automaticky forwardovat uzivatele na SSL branu a automaticky s nim komunikaci sifrovat. Uz jen proto, ze se tim budou freemaily sami branit proti teto anti-reklame.

Nectete maily pres web, stejne je to nepohodlne. Nechte si je forwardovat a na freemailovy server se jednou za ctvrt roku prihlasite a zase odhlasite. Riziko je minimalni.

V principu je a neni.Pokud totiz nekdo presmeruje routovaci tabulky a pobezi si jen tak "pro srandu kralikum" nejaky ten sendmail, tak mam proste smulu a lze timto odstinit moji domenu v danem komunikacnim uzlu kde se dotycnemu podarilo nabourat router (a reknu vam ze takovych mist se v Internetu da najit opravdu hodne - viz. par clanecku treba na http://www.2600.com/news/2000/0821.html).
A to neni jediny zpusob, kdyz se na to zamerite a bud to promyslite a nebo si to prectete na odpovidajicich serverech, tak zjistite ze podobnych principielnich moznosti jak nekomu remote filtrovat nesifrovanou postu je 9 (ty co jsem nasel ja).
Takze opet se vracim k tomu, co jsem psal. Pokud nekdo chce klast duraz na bezpecnost, tak musi alespon minimalne pouzivat sifrovani. A podle mezi NAPROSTA MINIMA SSL patri.

Zda se mi, ze mluvite o voze zatimco tady se debatuji kozy... SSL si prilis nepomuzete (take uz jsem o tom premyslel ;) Jedine co ziskate navic je hlaska o prechodu na nechraneny/jiny server, o ktere ale 99% uzivatelu nebude vedet co znamena tak ji proste odklikne... Cely tenhle problem je o social engineeringu, ne o technickych vecech.

Tak ted zase nerozumim ja vam. Preci otazka implementace SSL a jeho pristupu neni o nejakem odklikavani.
Bude mi stacit kdyz prohlizec bude podporovat protokol HTTP 1.1 a vyssi (coz jsou dnes jiz vsechny) a pak proste jen z http brany budu forwardovat na SSL branu.
Jinak SSL resi vse, tedy jako je autentifikace serveru, resi zabezpeceni komunikace mezi klientem a serverem a pouze nereseni zpusob, jak jsou data ukladana na serveru (to jiz RFC neurcuje i kdyz z bezpecnostniho pohledu se to jiz nabizi). A jinak SSLver.3 je dnes jiz v principu propracovany a pouze se na nej da jit pres hrubou silu.
Nechapu tedy vasi poznamku, protoze pokud jsem si vsimnul tak se tu mluvi o bezpecnosti freemailu, a SSL s tim velmi uzce souvisi.

Jinak pojem "social engineering" neznam, ale je podle me naivni mluvit o bezpecnosti bez kladeni durazi na technicke veci (tedy pokud se pohybujeme v IT oblasti).Pak je to podle me o nicem.

Jeste jen maly dovetek aby bylo ZCELA pochopitelne jak je ona zminka o SSL v obraze.
Pokud budete pouzivat SSL komunikaci, tak pokud si u prohlizece nevyrusite vsechna upozornujici hlaseni a nebo pokud nebezite na Low uroven zabezpeceni, tak Vas prohlizec velmi jasne upozorni na prechod mezi SSL komunikaci. Minimalne tohle uz musi byt pro uzivatele varujici a pokud ne, tak nechapu, ze tedy jeste nekdo timto laickym zpusobem neokradl Expandia banku. Bud maji vsichni uzivatele stesti a nebo proste a jednoduse kdyz o neco jde, tak si lide davaji bacha na to, co se v tom brouzdalovi deje. A to je podle me ten "schovany certik". Ja pouzivam hushmail, ptz chci mit zabezpecenou komunikaci a mit co nejvyssi jistotu (co mi muze freemail nabinout!) ze je to bezpecne. A i proto jsem si tuhle sluzbu nasel a pouzivam ji a ostatni freemaily, jako je email.cz apod. mam na spamy, tedy kdyz se nekde registruji, tak tam hodim email.cz nebo centrum a je pokoj. Doufam, ze jiz je to jasnejsi.

Ad Social engineering: Ale "bezpecnost", "uzivatelske jmeno" nebo "heslo" je Vam jasne, ze? ;))) (nebrat moc vazne :) V tomto kontextu tim myslim proniknuti nikoli pres nedostatky v technickem zabezpeceni ale nedostatky v psychologii cloveka-uzivatele. Jinak si myslim ze v tomto prispevku jsme se shodli - SSL opravdu resi problem autenticity serveru a kryptovani komunikace. Ale pri provedeni postupu popsaneho v clanku je jedinym rozdilem ono upozornujici hlaseni. Bohuzel, 95% uzivatelu freemailu jsou pocitacovi laici, kteri nechapou o co jde. Proto jsem rikal, ze si SSL nepomuzete. K te Expandii - tam by to neslo tak jednoduse. Musel byste klienta donutit, at vam svym klicem autorizuje prevod na vas ucet.

pro Author()
napsal jste:
"... tak pokud si u prohlizece nevyrusite vsechna upozornujici hlaseni a nebo pokud nebezite na Low uroven zabezpeceni, ..."

No, to je ono. Default například u MSIE je "skoro všechno povoleno". Java applety, vkládání pomocí scriptů, Active-X - zkrátka doom-gluum. A myslíte si, že si uživatelé něco budou přenastavovat?

Zdravim

Me se takovehle recicky libi, Email (v zastoupeni webmastera) se citi dotcen, ale ze me ti .... zrusili ucet, aniz by mi poslali upozorneni, ze se blizi konec pulrocni lhuty a ja sem tak byl tyden bez velice dulezitych maulu, je jaksy rana pod pas. Jo a pane Emaile , ukazte mi nejakeho uzivatele WWW rozhrani, kery bude schvalne posilat HTML zpravy, kdyz nemusi. Krom toho, to stejnak nikdo nepouziva (jenom vy). Jeste, ze jste se nezminil o Quicku a jeho freemailu, ty by byl flamewar proti telekomu.

Hurricane

Vážený pane,

pokud jste se více jak pět měsíců nepřihlásil, tak Vám určitě mail odešel. To, že jste si jej nepřečetl, není ale náš problém.

Ad HTML zprávy - nejde o to, že musí/nemusí posílat html zprávy. Jde o to, že když chcete aktivovat někomu javascript kód, tak mu tu zprávu v html pošlete. Možná jste nepochopil ten článek a patříte jen k těm kibicům, co si potřebují přihřát polívčičku, ale šlo o popis bezpečnostního problému a já upozorňoval na to, že i na cetrum.cz to šlo, i když byl uváděn opak.

Když tu probíhá tak vášnivá diskuze o freemailech, mohl by mi někdo vysvětlit či sdělit názor na mail na volny.cz. Připojuji se na Internet přes volny.cz. Při registraci mi byla přidělena poštovní schránka. Vše se zdálo být v pořádku až do minulého čtvrtku. Pak jsem si při stahování pošty stáhnul úplně cizí poštu. Někdo si vytvořil schránku se stejnou adresou, jakou mám i já. Jak je možné, že si někdo může vytvořit schránku se stejnou adresou, jaká již existuje.

Když tu probíhá tak vášnivá diskuze o freemailech, mohl by mi někdo vysvětlit či sdělit názor na mail na volny.cz. Připojuji se na Internet přes volny.cz. Při registraci mi byla přidělena poštovní schránka. Vše se zdálo být v pořádku až do minulého čtvrtku. Pak jsem si při stahování pošty stáhnul úplně cizí poštu. Někdo si vytvořil schránku se stejnou adresou, jakou mám i já. Jak je možné, že si někdo může vytvořit schránku se stejnou adresou, která již existuje.