Seznam.cz a demagogie v mezích zákona

Pokud máte hrůzu z údajně ukradených hesel na Seznam.cz, nemějte ji. Je to jen běžné bulvární zpravodajství. Nicméně, v této souvislosti mě pobavila taková mírná „PR-demagogie“ Ivo Lukačoviče. Brání Seznam.cz tím, že každý uživatel Seznamu má možnost použít SSL pro připojení, a dokládá to screenshotem.

Je fakt, že odposlech hesla při použití SSL je de-facto nemožný. Problém je v tom, že drtivá většina uživatelů Seznamu bude na seznamácký email přistupovat z homepage Seznam.cz, nikoliv z ještě nedávno konkurenční domény Email.cz, a zde žádná možnost SSL neexistuje. V běžné praxi tedy uživatel Seznam.cz možnost použít SSL nemá, protože o ní neví. Oproti drsné demagogii TV NOVA je tedy nasazena … mírná demagogie Seznam.cz, nehledě na to, že hromada dalších (ne-emailových) služeb Seznamu SSL vůbec nepodporuje. Vyberte si svoji pravdu 🙂

Seznamácká demagogiena homepage Seznam.cz žádné SSL nenajdete

Komentáře 26

  1. #1 Alnag

    Náhodou mám mail na seznamu a byť nevím, jak na něj přistupuje "běžný uživatel" (což je něco jako yeti, hodně se o něm mluví, ale ještě ho nikdo neviděl), tak já chodím přes email.seznam.cz a tam pochopitelně SSL je.

  2. #2 Radek Hulán autor webu ▲10 ▼0

    [1] jiný PR komentář bych jako první ani nečekal 😉

  3. #3 Arcao

    Hehe, ale nejvíc mě na Nově dostal telefonický rozhovor s uživatelkou Fazolkalistova (Štěpánka ...), která ve skutečnosti žádný rozhovor neposkytla. 🙂 Prostě chtěla Nova nějaký svědectví, tak si ten rozhovor vymyslela. 🙂 A nyní jí to muže něco stát. Určitě Seznam.cz to nenechá jen tak.

    To, že administrátoři sítě podceňují její zabezpečení je jiná věc. Použitím hubu na síti, který odesílá veškerou komunikaci na všechny strany si jenom koledují, aby se u nich něco takového stalo, nedej bože třeba odchycení čásla účtu a hesla na nějaký bankovní účet. O použití keyloggeru ani nemluvě. Mimochodem ať žije Indoš.

  4. #4 CadLoop

    NO já jenom tak k TV NOVA.Tuhle TV stanici a hlavně její zprávy beru někdy s nadsázkou.Jediný co jim můžu věřit jsou tak ty zvířátka na konci 😄.Jinak dřív jsem sledoval zprávy nejdřív na ČT1 a potom přepnul na Novu kolikrát se stalo že na Nově to přehnali(víc mrgvejch,škody,atd...).Pro pobavení často přepína na zprávy na Nově.

  5. #5 BirkoffSVK

    Neviem ako je to v ČR, ale Slovenský Zoznam.sk je absolútne nepoužiteľný... A to vo všetkých smeroch...

  6. #6 Jasper

    Nejlepší je, jak tam nova ukázala, kde ty hesla najdu a každý se na ně mohl hned mrknout...

  7. #7 cenebris

    Proč ten SSL přístup nedaj jako standardní pro všechny místo klikání? Určitě většina uživatelů o nějakém SSL nemá ponětí...

  8. #8 Chiron

    O tom že by měli na hlavní stranu umístit SSL a nebo to udělat tak aby se uživatel přihlašoval hned bez klikání přes SSL není sporu. Ale co mě dost žere je že když používám poštovního klienta, tak nemůžu na Seznamu použít zabezpečené připojení pomocí TLS jako je tomu na Gmailu.

  9. #9 Pedigree

    Je fakt, že odposlech hesla při použití SSL je de-facto nemožný.
    Mohl bych se zeptat, zda např. toto by mohlo vystihovat ono "de-facto": http://forum.security-portal.c... ?
    Dá se opravdu i SLL odchytit, nebo je to flame?

  10. #10 Non_E

    [9] Pakety odchytit jdou. Obsah ale chrání asymetrická šifra a takto se k nim útočník nedostane. Nic mu ale nebrání tvářit se jako onen freemail a podvrhnout vlastní certifikát (tzv. Man in the Middle).

  11. #11 Jirka Hradil

    [8] HTTPS je zbytečné používat, pokud to není třeba. Je "dražší" než klasické HTTP, více zatěžuje server a tak je třeba zvážit, kdy je skutečně nezbytné a kde to bude zbytečné.
    Přihlášení do emailu seznamu by mělo být povinné přes HTTPS odkudkoli, ale protože je "drahé" dávat titulní stránku zabezpečenou, vyřešil bych to přes odkaz "Email", kde byl byl samotný login form přes HTTPS. BTW ona ta volitelnost HTTPS má asi své důvody, nejsem si jistý, jestli to podporují všechny alternativní formy přístupu. Pak bych to ale otočil, čili default HTTPS, HTTP na vyžádání.

  12. #12 Bot

    [11] No tahle úvaha je ovšem špatná.
    "BTW ona ta volitelnost HTTPS má asi své důvody, nejsem si jistý, jestli to podporují všechny alternativní formy přístupu. Pak bych to ale otočil, čili default HTTPS, HTTP na vyžádání."
    Jak chceš otočit z něčeho co není na zařízení podporováno? V tu chvíli ti to napíše chybu o nepodporovaném protokolu...

  13. #13 e-Jirka

    Imho by na tom mohl seznam možná i dost vydělat. Pokud jeho právníci šikovně postaví žalobu a část vyinkasované sumičky ivo převede na dobročinné účely - samozřejmě s kvalitní do světa vypuštěnou PR zpravou, mohla by hodnota značky opět popolezt 🙂

  14. #14 Lee

    [10] tak pozor! neplést pojmy, u ssl se nepoužívá asymetrická šifra. Asimetrická šifra je v případě že máte vygenerovaný soukromý a privátní klíč což používají např banky. A v tomto případě nejde použít man in the midle attack. Tomuto způsobu se říká asymetrická šifra.

    U ssl spojení se používá takzvaná Difie Helman transformace kdy si pomocí této transformace vymění klíč podle kterého budou obě strany šifrovat.Nutno podotknout že ač se to nezdá opravdu jde dohodnout klíč aniž by ho ten co poslouchá na lince zjistil. Ano byl to průlom nic lepšího se nevymyslelo 2000 (dva tisíce) let známé historie šifrování apánové Diffie a Helman jsou dneska pěkně v balíku. Ale vraťme se k šifrování. Jelikož je tento klíč generován při navazování komunikace tak zde zafunguje ten výše popsaný MIM attack.

  15. #15 Bobesh

    [13] No já myslím, že bude obrovským plus pro Seznam už to, že se mu třeba podaří pohnat před soud neustále bulvarizující televizi Nova, která si plete svobodu slova s tím, že může o komkoli a čemkoli začít ve zprávách vyřvávat naprosto jakoukoli smyšlenou historku... Ač k Seznamu nemám žádný zvláštní vztah, tak jim držím palce, ať vyhrajou a stáhnou je o nějakej ten milionek 🙂

  16. #16 Nasea

    Na Seznamu se s informacemi různě "kšeftuje" a o žádné bezpečnosti se nedá mluvit ... slabé místo je lidský faktor ...

    http://madinblack.com/spot/Sez...

    teda údajně, byť to různí lide zažili reálně a konkrétně, ale aby Lukačovič nemusel zase podávat trestní oznámení a žaloby a ....

  17. #17 Zelee

    Jednoduše Seznam.cz nepoužívám. Zlatý Gmail.com. Omlouvám se za reklamu...

  18. #18 Wally

    Jsem záčínající uživatel. Jak se mám tedy přihlásit do své e-mailové schránky na http://WWW.SEZNAM.CZ abych využil to kódování SSL? Děkuji za odpověď.

  19. #19 Radek Hulán autor webu ▲10 ▼0

    [18] na http://email.seznam.cz - ale doporučuji to nepoužívat, a zaměřit se na Gmail. Už jen ten fakt, že kdokoliv v ČR s kontaktem na adminy Seznamu se může teoreticky dozvědět cokoliv (každý je úplatný) je prostě velice nepříjemné..

  20. #20 Bobesh

    [19] Zeptám se možná blbě, ale na gmailu taková možnost neexistuje? Tam je lidský faktor zcela vyloučen? Pokud ne, tak... Nepůjde to tam asi tak snadno jako na Seznamu, nicméně kde jsou lidi, tam je riziko selhání liského faktoru (jak známo, neexistují neúplatní lidé, pouze příliš malé úplatky)...

    Bez nějaké snahy o zpochybnění důvěryhodnosti gmailu mi přijde, že kdybychom to brali do důsledků, tak v podstatě libovolný veřejný mail server má slabinu v podobě úplatných lidí zodpovědných za ochranu citlivých informací...