Seznam.cz a demagogie v mezích zákona
Pokud máte hrůzu z údajně ukradených hesel na Seznam.cz, nemějte ji. Je to jen běžné bulvární zpravodajství. Nicméně, v této souvislosti mě pobavila taková mírná „PR-demagogie“ Ivo Lukačoviče. Brání Seznam.cz tím, že každý uživatel Seznamu má možnost použít SSL pro připojení, a dokládá to screenshotem.
Je fakt, že odposlech hesla při použití SSL je de-facto nemožný. Problém je v tom, že drtivá většina uživatelů Seznamu bude na seznamácký email přistupovat z homepage Seznam.cz, nikoliv z ještě nedávno konkurenční domény Email.cz, a zde žádná možnost SSL neexistuje. V běžné praxi tedy uživatel Seznam.cz možnost použít SSL nemá, protože o ní neví. Oproti drsné demagogii TV NOVA je tedy nasazena … mírná demagogie Seznam.cz, nehledě na to, že hromada dalších (ne-emailových) služeb Seznamu SSL vůbec nepodporuje. Vyberte si svoji pravdu :-)
Náhodou mám mail na seznamu a byť nevím, jak na něj přistupuje "běžný uživatel" (což je něco jako yeti, hodně se o něm mluví, ale ještě ho nikdo neviděl), tak já chodím přes email.seznam.cz a tam pochopitelně SSL je.
[1] jiný PR komentář bych jako první ani nečekal ;-)
Hehe, ale nejvíc mě na Nově dostal telefonický rozhovor s uživatelkou Fazolkalistova (Štěpánka ...), která ve skutečnosti žádný rozhovor neposkytla. :) Prostě chtěla Nova nějaký svědectví, tak si ten rozhovor vymyslela. :) A nyní jí to muže něco stát. Určitě Seznam.cz to nenechá jen tak.
To, že administrátoři sítě podceňují její zabezpečení je jiná věc. Použitím hubu na síti, který odesílá veškerou komunikaci na všechny strany si jenom koledují, aby se u nich něco takového stalo, nedej bože třeba odchycení čásla účtu a hesla na nějaký bankovní účet. O použití keyloggeru ani nemluvě. Mimochodem ať žije Indoš.
NO já jenom tak k TV NOVA.Tuhle TV stanici a hlavně její zprávy beru někdy s nadsázkou.Jediný co jim můžu věřit jsou tak ty zvířátka na konci :D.Jinak dřív jsem sledoval zprávy nejdřív na ČT1 a potom přepnul na Novu kolikrát se stalo že na Nově to přehnali(víc mrgvejch,škody,atd...).Pro pobavení často přepína na zprávy na Nově.
Neviem ako je to v ČR, ale Slovenský Zoznam.sk je absolútne nepoužiteľný... A to vo všetkých smeroch...
Nejlepší je, jak tam nova ukázala, kde ty hesla najdu a každý se na ně mohl hned mrknout...
Proč ten SSL přístup nedaj jako standardní pro všechny místo klikání? Určitě většina uživatelů o nějakém SSL nemá ponětí...
O tom že by měli na hlavní stranu umístit SSL a nebo to udělat tak aby se uživatel přihlašoval hned bez klikání přes SSL není sporu. Ale co mě dost žere je že když používám poštovního klienta, tak nemůžu na Seznamu použít zabezpečené připojení pomocí TLS jako je tomu na Gmailu.
Je fakt, že odposlech hesla při použití SSL je de-facto nemožný.
Mohl bych se zeptat, zda např. toto by mohlo vystihovat ono "de-facto": http://forum.security-portal.c... ?
Dá se opravdu i SLL odchytit, nebo je to flame?
[9] Pakety odchytit jdou. Obsah ale chrání asymetrická šifra a takto se k nim útočník nedostane. Nic mu ale nebrání tvářit se jako onen freemail a podvrhnout vlastní certifikát (tzv. Man in the Middle).
[8] HTTPS je zbytečné používat, pokud to není třeba. Je "dražší" než klasické HTTP, více zatěžuje server a tak je třeba zvážit, kdy je skutečně nezbytné a kde to bude zbytečné.
Přihlášení do emailu seznamu by mělo být povinné přes HTTPS odkudkoli, ale protože je "drahé" dávat titulní stránku zabezpečenou, vyřešil bych to přes odkaz "Email", kde byl byl samotný login form přes HTTPS. BTW ona ta volitelnost HTTPS má asi své důvody, nejsem si jistý, jestli to podporují všechny alternativní formy přístupu. Pak bych to ale otočil, čili default HTTPS, HTTP na vyžádání.
[11] No tahle úvaha je ovšem špatná.
"BTW ona ta volitelnost HTTPS má asi své důvody, nejsem si jistý, jestli to podporují všechny alternativní formy přístupu. Pak bych to ale otočil, čili default HTTPS, HTTP na vyžádání."
Jak chceš otočit z něčeho co není na zařízení podporováno? V tu chvíli ti to napíše chybu o nepodporovaném protokolu...
Imho by na tom mohl seznam možná i dost vydělat. Pokud jeho právníci šikovně postaví žalobu a část vyinkasované sumičky ivo převede na dobročinné účely - samozřejmě s kvalitní do světa vypuštěnou PR zpravou, mohla by hodnota značky opět popolezt :-)
[10] tak pozor! neplést pojmy, u ssl se nepoužívá asymetrická šifra. Asimetrická šifra je v případě že máte vygenerovaný soukromý a privátní klíč což používají např banky. A v tomto případě nejde použít man in the midle attack. Tomuto způsobu se říká asymetrická šifra.
U ssl spojení se používá takzvaná Difie Helman transformace kdy si pomocí této transformace vymění klíč podle kterého budou obě strany šifrovat.Nutno podotknout že ač se to nezdá opravdu jde dohodnout klíč aniž by ho ten co poslouchá na lince zjistil. Ano byl to průlom nic lepšího se nevymyslelo 2000 (dva tisíce) let známé historie šifrování apánové Diffie a Helman jsou dneska pěkně v balíku. Ale vraťme se k šifrování. Jelikož je tento klíč generován při navazování komunikace tak zde zafunguje ten výše popsaný MIM attack.
[13] No já myslím, že bude obrovským plus pro Seznam už to, že se mu třeba podaří pohnat před soud neustále bulvarizující televizi Nova, která si plete svobodu slova s tím, že může o komkoli a čemkoli začít ve zprávách vyřvávat naprosto jakoukoli smyšlenou historku... Ač k Seznamu nemám žádný zvláštní vztah, tak jim držím palce, ať vyhrajou a stáhnou je o nějakej ten milionek :-)
Na Seznamu se s informacemi různě "kšeftuje" a o žádné bezpečnosti se nedá mluvit ... slabé místo je lidský faktor ...
http://madinblack.com/spot/Sez...
teda údajně, byť to různí lide zažili reálně a konkrétně, ale aby Lukačovič nemusel zase podávat trestní oznámení a žaloby a ....
Jednoduše Seznam.cz nepoužívám. Zlatý Gmail.com. Omlouvám se za reklamu...
Jsem záčínající uživatel. Jak se mám tedy přihlásit do své e-mailové schránky na http://WWW.SEZNAM.CZ abych využil to kódování SSL? Děkuji za odpověď.
[18] na http://email.seznam.cz - ale doporučuji to nepoužívat, a zaměřit se na Gmail. Už jen ten fakt, že kdokoliv v ČR s kontaktem na adminy Seznamu se může teoreticky dozvědět cokoliv (každý je úplatný) je prostě velice nepříjemné..
[19] Zeptám se možná blbě, ale na gmailu taková možnost neexistuje? Tam je lidský faktor zcela vyloučen? Pokud ne, tak... Nepůjde to tam asi tak snadno jako na Seznamu, nicméně kde jsou lidi, tam je riziko selhání liského faktoru (jak známo, neexistují neúplatní lidé, pouze příliš malé úplatky)...
Bez nějaké snahy o zpochybnění důvěryhodnosti gmailu mi přijde, že kdybychom to brali do důsledků, tak v podstatě libovolný veřejný mail server má slabinu v podobě úplatných lidí zodpovědných za ochranu citlivých informací...
[20] uplácet někoho v USA je mnohem těžší, z ČR. Já osobně žádné služby Seznam.cz nepoužívám, je to teoreticky obrovské bezpečnostní riziko?
[21] Jistě, težší to je, o tom tady spor nevedu, to je jasné... Nicméně to riziko tam bráno do důsledků je také...
Jinak já seznam.cz využívám na čistě soukromou , "netajnou" poštu... Čili pokud by někdo zachytil vtípky co si posílám s kamarády, případně nějaké věci do školy, tak neříkám, že by mi to bylo jedno, ovšem potenciální riziko z toho plynoucí je pro mě naprosto minimální :-) Ale gmail už jsem si (konečně) pořídil taky, takže možná přesunu veškeré svoje "aktivity" tam :-)
Mně osobně vadí na Seznamu nejvíce obrovská nespolehlivost při doručování pošty (obvzláště směrem ke konkurenci). To, že se zpráva na Centrum či Atlas mnohdy (pokud je vůbec doručena) zpozdí o několik dní, mi připadá neuvěřitelné.
Doufám, že mi odpoví také nějaké PR, nebo dostanu nejlépe rovnou žalobu. :))
[6] v době vysílání na Nově už na těch stránkách nic ani nebylo, takže to byla hodně aktuální a povedená zpráva...
Vím že je to asi trochu Off-topic, ale docela mě zaujal Gmail (ihned jsem zjišťoval co umí), nemohl byste mi někdo prosím poslat pozvánku?
[21] No a není prostě lepší používat freemaily (ať už gmail, seznam nebo jiné) na nedůležitou korespondenci a na důležitou použít maily na své doméně a svém hostingu? Já to tak dělám a proto pochybuji, že by vůbec někdo měl tu snahu uplácet někoho v Googlu ne bo seznam.cz..