Seznam.cz - otázky a odpovědi
Poslední aféra ohledně Seznam.cz (tedy, spíše ohledně bulvárního zpravodajství TV NOVA) mě přiměla sepsat několik otázek na Seznam.cz, které jsem poslal na jejich marketingové oddělení a dnes obdržel odpověď, a to přímo od Ivo Lukačoviče, předsedy představenstva Seznam.cz, a.s.
Jsou to dle mého názoru klíčové otázky, na které by každý uživatel měl znát odpověď, než začne služby portálu používat.
Otázky a odpovědi
V jakém formátu jsou uložena uživatelská hesla do emailů, jedná se o plain-text, nebo jde o md5/sha1 či jiný hash hesla?
Ano hesla jsou zasifrovana MD5 kou. Pro laiky to znamena, ze i kdyz je vase heslo „limonada“ v nasi databazi je ulozeno ve forme nesmyslneho retezce, ktery vypada napriklad takto “7e855e8efcffcf3587279b68fdb1257f“. Nejdulezitejsi zprava je, ze jakmile heslo jednou takto zasifrujeme neni jiz moznost jej v realnem case vratit zpet.
Zasifrovana hesla uzivatelu putuji i v nasi interni siti. Prihlasite-li se tedy napriklad na sluzbu Email.cz heslo je zasifrovano hned na www rozhrani a v nasich internich systemech jiz putuje sifrovane.
V jakém formátu jsou v DB uloženy odpovědi na kontrolní otázku?
Jako plaintext. Neni mozne je sifrovat, nebot zde nedochazi k uplne presne shode. Casto dochazi ke zmene malych a velkych pismen, ci diakritiky. Datum lide pisi v ruznych formatech a podobne. Ziskani pristupu do schranky po zapomenuti hesla neni automaticky proces. Je nutne komunikovat s helpdeskem, ktery kazdou zadost posuzuje a pokud je jakkoliv podezrala tak ji zacne blize overovat. A mozna byste se divili kolik lidi se kazdy den pokusi timto zpusobem ziskat emailovou schranku karel(zavinac)seznam.cz.
Je uchovávána historie uživatelských hesel? Pokud ano, v jakém formátu?
Ne.
Jsou zaznamenávány IP adresy uživatelů služeb Email.cz, Chat, Lidé.cz, Spolužáci.cz, Novinky.cz a dalších služeb, které Seznam.cz provozuje?
Ano pochopitelne. Neco takoveho dokonce musime delat ze zakona o elektronickych komunikacich. Jsme povinni je uchovavat 2 mesice (na vyzadani policie nebo soudu, konkretni data i dele) a EU nyni zvazuje prodlouzeni teto lhuty na sest mesicu a uchovavani mnohem vice dat nez musime uchovavat nyni.
Existuje možnost si tyto IP adresy technicky zdatným zaměstanancem porovnat jednoduchým SQL dotazem, a zjistit tak, že například uživatel s emailem XYZ@seznam.cz či s IP adresou A.B.C.D se vyskytuje (pod jiným nickem) i na službách chatu, Lidé.cz, Novinky.cz a jaké příspěvky a kdy publikoval?
Ano je mozne je porovnat a je mozne tuto analyzu udelat. Delame to jen na soudni prikaz.
Existuje log konverzací na chatu a dalších? Pokud ano, jakou má historii a kdo do něj má přístup dle firemní politiky a kdo dle jeho „potencionálních technických možností v rámci lokální sítě“?
Neexistuje. Za zakona nejsme povinni tyto logy uchovavat.
Kdo zná heslo do databází, v níž jsou veškeré tyto informace uloženy?
Pouze nasi interni zamestnanci, kteri jsou dostatecne provereni, a kteri maji podepsanou mlcenlivost. Vzhledem k tomu ze jsme u Uradu pro ochranu osobnich udaju registrovani jako subjekt, ktery uchovava osobni udaje uzivatelu mame i interni predpisy presne urcujici vse co se kolem techto citlivych dat tyka. V breznu az v cervenci 2004 u nas dokonce probehla kontrola uradu, kterou jsme v pohode prosli. Vsechny akce nasich zamestnancu nad touto databazi jsou logovany a archivovany.
Jsou uchovávány emaily smazané uživatelem? Jinak řečeno, jsou emaily mazány opravdu nevratně?
Maily se mazou nevratne.
Proč nejsou veškerá přihlášení (homepage Seznam.cz, Chat, Lidé.cz, Novinky.cz, a další) dostupná defaultně či alespoň alternativně i pod SSL, a jsou tak náchylná ke snadnému odposlechu?
Prihlaseni na email z HP Seznamu a z Emailu je od tohoto utery jiz standardne SSL. Kdyz se kouknete do zdrojoveho kodu, formular se odkazuje na // verzi logovaciho formulare. Uzivatelske jmeno a heslo je tedy zasifrovane. V brzke dobe budou zasifrovane vsechny stranky, ve kterych putuji nejaka citliva uzivatelska data jako jsou napriklad hesla. Jiz delsi cas mame i SSL verzi protokolu POP3, akorat jsme ji prilis nepropagovali.
Existují další informace o bezpečnosti dat, které by uživatelé měli vědět?
Za celou novodobnou historii Seznamu (tj. od roku 1997) se nikomu nepovedlo do Seznamu nabourat. Nikdy senam nestalo, ze by od nas unikla citliva data nasich uzivatelu. Daleko nejvetsim nebezpecim pro uzivatele je phishing. Osobne si myslim, ze o nem by se melo hovorit dnes a denne. V tomto smeru bych rad zduraznil, ze zadny ze zamestnancu Seznamu po Vas nikdy nebude chtit vase heslo.
Můžu se zeptat, co říkáš na službu safemail.cz - mám tam pracovní mail a uvažuju o tom, že ho začnu používat i k soukromé poště ( to není zneužívání zaměstnavatele, ta práce je novinářská a naprosto bezplatná, pouze služba lidem... )
Ešte by tam možno za úvahu stála otázka ohľadne prístupu k súkromným dátam používateľov. Z vlastnej skúsenosti viem, že pre jednoduchosť existujú interfaces napr. na priamy prístup do schránky používateľa (napr. keď mu treba vymazať správu, ktorá spôsobuje problém jeho klientovi). Vtedy je dôležité aby bol jasne definovaný mechanizmus kto, kedy a ako sa tam može dostať. Aby to nebolo "len tak pohodené" na administratívnej LAN-ke a používal to každý, kto si zmyslí.
Myslíš, že ti na tvé otázky odpoví? Podle mně, pokud s tebou vůbec budou ztrácet čas, ti odpoví stylem "To je naše obchodní tajemství". Tj. budou IMHO s tebou zacházet jako s nějakým BFU.
Osobně jsem velmi zvědav jakým způsobem z nich odpovědi na své otázky dostaneš.
[3] pokud odpovědi nebudou, je to jasný signál, že obavy se potvrdily..
Mně by spíš zajímalo jakým způsobem ty otázky pokládáš. Zda se jedná pouze o výzvu zde na blogu, nebo to posíláš přímo na seznam. V tom případě neuvažuješ, že tyhle otázky rozešleš do celé české portálové trojky a možná ještě dál (volny, quick...)?
[4] Takže pokud Seznam neodpoví, mám se začít třást, kdežto když neodpoví žádný jiný portál (Centrum, Atlas apod.), tak nic..?
Tak co se týče hesel, je zřejmé, že o MD5 nepůjde...i kdyby odpověděli, že ano.
[5] Já jsem na helpdesk seznamu xkrát naléhal otázkami typu "plánujete v blízké době zavedení dalších bezpečnostních opatření, například pop3s", a v době, kdy ještě neměli ani https přístup, kdy se tak stane, a odpovědi vždy byly "nevylučujeme tuto možnost, ale v současné době toto neplánujeme". Děs a hrůza.
Helpdesk centrumu, přestože u nich žádný mailbox nemám, reagoval mnohem pružněji a ochotněji... fakt ale zase byl, že ten, co mě odpovídal, ani nevěděl, že v prohlížečích s 'podivnou' identifikací (KHTML-Konqueror) se na všech centumáckých stránkách nezobrazovala diakritika ap.
Vrchol všeho je ovšem Tiscali. Jejich webmail evidentně používá další komunikační kanál, tudíž jednak je ve firemních sítích s blokováním portů atd. rozhraní nefunkční, zadruhé to je prasárna a security hole.
Moje 'záložní' gmailová adresa se postupně mění na primární...
[4] A co se stane, když neodpoví? Ty jej používat nebudeš a cílová skupina, která seznam používá toto ani nezaregistruje a bude jej používat vesele dál
Je dobré, že se o to začíná taky trošku zajímat veřejnost, takže klamavá reportáž novy třeba k něčemu bude. Na druhou stranu Nova u mě celkově ztratila důvěru solidního přístupu - je to prostě bulvár. Jinak si myslím, že dostaneš odpovědi tak na polovinu otázek. Možná dostaneš na všechny, ale určitě podle mě nebudou všechny pravdivé. Ostatně to pro mě bude určitě prioritou jestli na seznamu setrvat nebo ho úplně zrušit i když jej používám pouze na nesmysly. Jako primární mail je asi nepoužitelný nebo tak max. pro takové to pitomé psaní oničem.
Jelikož na helpline Seznamu operátoři prozradí zapomenuté heslo, tak odpověď na první otázku zní "plain-text".
Já si myslím, že Seznam je na tom z hlediska bezpečnosti mnohem hůř než konkurence. Jestli ukládá hesla jako HASHe vám nepovím, ale to, že je velmi snadné poslat KTERÉMUKOLI uživateli Seznamu fake-mail, to je fakt (u Centra to sice také jde, ale je to složitější, není to pro lamy jako u Seznamu, musíte totiž malinko umět PHP)... Prostě to dokáže každý, kdo dovede pracovat s Goolem a najít si instalaci programu Anonym Mailer, se kterým by nedokázala poslat falešný mail jenom totální lama (BFU) ...
[11] Přesně tak, podobnou zkušenost mám s Volným. Jednou jsem si u nich zřizoval přes helpline nějakou placenou službu a operátor se mě pro potvrzení operace prostě zeptal na mé heslo. Já jsem mu s údivem odpověděl, že mu přece nebudu sdělovat heslo když už zná i můj login, aniž bych ho chtěl obvinit, že si bude ve volném čase pročítat mé soukromé maily...on mi s naprostým klidem odpověděl, že on už mé heslo vidí na monitoru a ode mne ho chce slyšet jen pro ověření. Takže asi tak, pak mi ještě potvrdil, že hesla vidí stejným způsobem u všech uživatelů a mě v té chvíli došlo, že do emailu nic zásadního psát nemá smysl...
Asi v pate tride jsem zjistil heslo na mail jednoho cloveka pomerne trivialnim zpusobem.
Vytvoril jsem mailovou adresu podobnou jako je adresa toho cloveka a napsal na seznam ze sem zapomel heslo. ze seznamu mi bylo napsano, at zaslu udaje na ktere je registrovana tato schranka. otevrel jsem web toho cloveka kde mel o sobe napsane veci jako jmeno, prijmeni, adresa, ..., proste celkem bezne veci. Tak jak to na webu lezi a bezi jsem to zaslal do seznamu a obratem mi primo napsali heslo, takze cca pet let zpet to meli zcela jiste jako plaintext.
kdyz to pak kdosi zkousel o rok pozdeji, tak uz se ptali i na priblizny obsah schranky, ale po nalehani kdy heslo nechteli prozradit jej zmenili na jine, takze do schranky se opet vniknuti podarilo...
Pro porovnání by bylo dobré oslovit všechny naše největší poskytovatele.
[12] A co s tímhle má co do činění nějaký Seznam? Pokud jde o smtp server, tak obvykle každý ISP nabízí vlastní a obvykle ten nic neověřuje kromě toho, zdali uživatel je u toho ISP zrovna přihlášen. A k čemu nějaký Anonym mailer, stačí buď libovolný klient, kde se jako "vaše emailová adresa" zadá ta falešná, a nejpohodlnější je na tohle Thunderbird s VirtualIdentity rozšířením. Sám to používám docela často... (to neznamená zneužívám!)
[11] Tak pořád to může být ne via hash ale zašifrované nějakou sofistikovanou šifrou... ale proč tomu jen nevěřím...
[16] Jo, to máš pravdu, já jenom narážel na to,že u Seznamu to funguje pokaždé, kdežto u např. Centra ne tak spolehlivě ...
Celkem pozorně jsem si přečetl článek a dost mě to vyděsilo. A ještě více pak, když jsem si uvědomil, že mail seznamu má takovou úžasnou službu, která se jmenuje multipop (stahování různých mailboxů do schránky seznamu). Je nutné zadat pop3 server, uživatelské jméno a heslo ke každé schránce, kterou chce uživatel stahovat do svého mailboxu na seznamu. Pokud i s těmi hesly pracují takhle, tak nás potěš pánbůh :-(
Radku - ač na mne kašleš. Pokud <b>tentýž dotaz</b> nezašleš také Centru a Atlasu a nepodložíš odpovědi fundovaným srovnáním s politikou "velkých západních", čili alespoň Yahoo! a Google, a alespoň jedné velké odjinud, třeba wp.pl (ideální by byla tabulka), těžko ti kdo uvěří, že nevedeš osobní, zaujatou kampaň proti Seznamu. Kampaň nežalovatelnou, nicméně o to neobjektivnější. Zůstávám tvým stálým fandou. Filip Sklenář.
[20] nejsem zaujatý proti Seznamu. Ale Seznam.cz je největší..
Ano - rozumím; další věc je, že patříš mezi výrazné tvůrce veřejného mínění a jsi značná autorita pro laiky, kteří sem chodí sbírat informace. Takže útočíš-li na Seznam (třeba ve prospěch Google) a ostatní necháváš stranou, spousta lidí si to přebere tak, že Atlas a Centrum je v pohodě, jakkoliv je tam (nevím, netuším) třeba situace ještě horší.
[13] Před podobnou situací varuji i na společnosti Explorer. Tam mohou zobrazit všechny hesla, nejem do mailu.
[21] A proti největším je třeba bojovat. To poslední dobou slýcham často...
[22]
No a čo? To je problém tých ľudí ale nie Radov. Prečo by mal posielať dotazy na ostatné služby? To chceš vyčítať ľuďom čo si adoptujú dieťa nadiaľku napríklad v Ugande že to neurobili aj v Indii a sú neobjektívny?
Hlavné je že sa rozpútala debata a ten, kto sa v tejto problematike nevyzná môže nabrať nejaké informácie a vybrať si lepšiu ponuku. Prečo by mal niekdo zodpovedať za blbosť ostatných? A ešte vo svojom voľnom čase. Ja len tak, potreboval som sa odreagovať :)
No mě se moc nezdá otázka č. 7. To je celkem vážné a myslím, že pokud Seznam.cz ma vyšsi zabezpečeni, že tuto osobou asi nebude publikovat veřejnosti, i kdyby to chtěla vědet 100 leta babicka, která nemá ani páru o pojmu Internet.
[12] Poslat fake nejni problém ani u Centra a dalších poskytovatelů a nejni pro to vůbec nutné umět php..Stačí např. ve Foxmailu zadat do pole od jakkoukoliv adresu a příchozímu se ta jakkákoliv ukáže jako odesílatel..Mám pocit že trošku mluvíš o něčem čemu zrovna moc nerozumíš ^^ :)
zdroj: novinky.cz
Lukačovič oznámil, že Seznam standardně nastaví SSL šifrovanou komunikaci pro všechny uživatele. Už by tak nemělo dojít k žádnému podobnému případu.
Kdyby to bylo možné, rád bych se zde potom dočetl odpovědi spíše od Centrum.cz než Seznamu. Seznam nepoužívám, tak je mi to celkem jedno, ale u Centrumu to může být "z bláta do louže", tak bych se o tom rád dozvěděl více. Díky
[14] nechceš to zkusit i na schránku útvaru pro odhalování organizovaného zločinu? Nebo dáme soutěž, kdo bude první? ;)
Normální člověk si poštu ze seznamu stahuje přes pop3, který vykecá přihlašovací jméno i heslo v plain-text formě a ještě k nim v paketu přidá klíčová slova, aby se to útočníkovi lépe hledalo.
Tomu md5 nevěřím ani trochu. Jak už psal david, lze od nich získat heslo nazpět...
Tak co? Spokojenost s odpověďmi?
Prihlasite-li se tedy napriklad na sluzbu Email.cz heslo je zasifrovano hned na www rozhrani a v nasich internich systemech jiz putuje sifrovane.
Panebože, ti jsou už jako někteří politici, tak jednoudchou věc řeknou tak složitě, aby to vypadalo "namakaněji"...já například ihned při přihlašování ve svém systému (hash md5) porovnávám selectnuté heslo v md5 s daty vloženými ve formu, např.
<input type="password" name="pass" size="10" class="loginform" />
.
.
.
if($row[3] == md5($pass))
{
.
.
}
.
.
Ono to totiž ani jinak nejde - leda heslo zašifrovat ještě před porovnáním např. pomocí sessions nebo prostě druhé proměnné [$pass2 = md5($pass);] a to pak porovnávat...ani tomuto switchi říkají "v našich interních systémech již putuje šifrované"...sice nic moc k věci, ale musel jsem se nad tím pozastavit...no, alespoň že odpověděli.
Líbí se mi to tvrzení, že se jim nikdo nikdy do schránky nenaboural. Sebevědomý admin... ;o)
Pokud vím, tak tomu není moc dlouho, co neměli ošetřeno ani sql injection, což je hodně velký amaterismus.
A co se týče šifrování kontrolních odpovědí, tak očividně pěkně mlží. Neměl by být problém skladovat je zašifrované, sice to v případě kompromitace databáze neznamená úplné bezpečí odpovědí, ale rozhodně to útočníkovi stíží práci.
[34] no já myslím, že Ivovi šlo o to, zdůraznit, že heslo se šifruje hned u uživatele a na Seznamu se vlastně to heslo nikdo nedozví. To cos psal ty mně přijde jako zbytečné rýpání.
Jinak já bych to dělal jako
select id from users where login = @login and pass = @mdpass kde to @login @mdpass jsou login a zahashované heslo. Samozřejmě by se to muselo obalit proti SQL injection atd., ale to už je práce bezpečáků a databázistů.
Mi přijde chování Seznamu v pořádku, jsem spokojen s otázkami i odpověďmi.
Jediná výtka Seznamu - velký mail server a odepisuje bez diakritiky;)
No, s těmi "západními" freemaily bych to neviděl tak růžově, me nejvíc na GMailu pobavilo tohle:
Most computer viruses are contained in executable files, so standard virus detectors scan messages for executable files that appear to be viruses. Gmail blocks viruses in the most direct possible way: by not allowing users to receive executable files (such as files ending in .exe) that could contain damaging executable code. This protects your computer and halts the spread of such viruses.
http://mail.google.com/support...
Dobrý den všem. Po přečtení mnoha článku zde a po nespokojenosti se službami Seznamu, hlavně co se rychlosti doručování pošty týče,jsem nedávno přešel na Gmail.Myslel jsem si,že bude vše ok, ale to sem se mýlil.Momentálně,tedy 13.4.2006 v 10:43 mého času je služba gail OPĚT nedostupná! Nevím,čím jsou tyto výpadky zapříčeněny,ale je fakt,že mi to už pomalu začíná lézt na nervy.Když se to stalo poprvé,řekl jsem ok,ale tento měsíc je to minimálně už po třetí.Jsem rozzloben,protože právě nyní jsem předpokládal,že odpovím na velice důležitý mail,který mi přišel.No nic,je to asi zbytečný se vztekat.Když je něco zadarmo,tak od toho člověk nemůže čekat zázraky.Nechci tu pomlouvat gmail,ale jen jsem chtěl připomenout,že má taky občas své chyby.Bohužel mám to štěstí,že na ně narazím,právě když nejmíň potřebuju.
BTW, Nevíte někdo,zda nejdou nějakým způsobem na gmailu nastavit složky pro přehledné třídění pošty??Díky za odpověď.Přeji příjemný den.
[17]
Ono i kdyby to byl MD5 hash, tak se opet jedna o nepravdu, protoze nalezeni jedne kolize k MD5 trva asi 5 minut (V.Klíma - NBÚ:ST20052005017).
Vzhledem k běžné velikosti hesel se bude jednat o jednu z prvních nalezených kolizí.
[40] obávám se že jste podlehl, tak jako ostatně hromada jiných lidí, naprosto mylné představě že stačí nalézt kolizi a máte heslo. Nikoli, máte jen kolizní řetězec s řetězcem hashovaným, nikoli samotným heslem. Aneb stačí libovolná modifikace ať už pomocí semínka, různým proházením znaků, přičítáním či odečítáním znaků, doplněním o binární součet znaků - nebo třeba kombinace těchto metod, a i když je tato činnost reverzibilní, výsledný kolizní řetězec vám bude k ničemu.
Přesněji řečeno, zvolím-li si heslo "pejsanek", ještě to nutně neznamená že se provede MD5("pejsanek"), může se třeba provést MD5("knasejpe784"). To že k tomuto řetězci naleznete kolizi vám moc nepomůže.
[39] Ono to bude pravdepodobne tým, že GMail je stále v BETA - teda ak čokoľvek nefunguje, nemal by si sa nad tým rozčuľovať. A čo sa týka tvojej otázky - v GMail-i sa zložky nastaviť nedajú, môžeš použiť len tzv. záložky - pomocou nich sa dajú jednotlivé správy označovať.
[42]
Gmail bude betaverzí do soudného dne :) to BETA je tam IMHO proto, aby se mohli v Googlu v případě potřeby na co vymluvit.
Zajímavé, ještě jsem na výpadek gmailu nenarazil a používám ho už asi rok (?)...
Dříve jsem používal i Centrum, ale webové rozhraní bylo něco příšerného (hlavně ve FF a Opeře mělo problémy) - nevím, jestli se to zlepšilo...
[28] Seznam sice zavedl SSL, ale to mi v AU nefunguje, takže se přihlašuji bez SSL. Seznam má ale jen jedno přihlašovací okno, ať máte SSL nebo ne.
Už jsem Seznam upozorňoval, ale reakce žádná, člověk má u nich pocit sucha a bezpečí i bez SSL :-)
- aspoň podle grafiky
http://email.seznam.cz/?disabl...
Kdyby aspoň podporovali APOP.
Prosím kolik se vejde přibližně písní na MP3 přehrávač s pamětí 512MB.Předem děkuji za odpověď verča