61
-
#61 "De smtp-n keresztül küldöd"
Hozzátenném, hogy itt a Gmailtől a más levélkiszolgálókig tartó útvonalra utaltam.
"AES-t aszimmetrikus titkosításnak"
Elektronikus aláírás, titkosítás
[courier]Szimmetrikus titkosítás
Ismertebb algoritmusok: DES, TripleDES, AES (Rijndael), Blowfish, CAST, IDEA, Twofish, MARS.
Aszimmetrikus titkosítás
Legismertebb algoritmusok: Diffie-Hellmann, RSA, DSA. [/ccourier] -
#60 "https://gmail.com < itt belépsz és mindenféle SMTP nélkül végigböngészed a leveleidet SSL-en keresztül"
De smtp-n keresztül küldöd (sőt a gmail azon keresztül kapja meg) - ami már nem titkosított.
"mivel nem érkezett válasz (se) ezért a témát lezártnak tekintem. "
Mivel más dolgozik, nem foglalkozik komolytalanságokkal (AES-t aszimmetrikus titkosításnak titulálókkal). -
arrakistor #59 mivel nem érkezett válasz (se) ezért a témát lezártnak tekintem.
olyan levelezőrendszerekben amelyek NEM támogatják a protokollszintű titkosítást továbbra is a RARt fogjuk titkosításra használni. -
arrakistor #58 ha valakinek lövése nincs a dolgokról akkor az te vagy:
https://gmail.com < itt belépsz és mindenféle SMTP nélkül végigböngészed a leveleidet SSL-en keresztül... és ha nagyon parázol akkor a TOR-on keresztül IS.
Senki nem fogja megtudni mit nézel.
Nézzél kicsit utána, hogy a gmail (többek között) MINDEN adatforgalma titkosítva halad, mind a küldött mind a fogadott...
tkp.: nem a hagyományos titkosítatlan protokollokat és portokat használja, hanem mindent titkosít a 465-ös és a 995-ös porton.... -
Yv@n #57 Ha ennyire lövésed sincs arról mit beszélsz, akkor ne erőltesd már :)
"Ki beszél itt smtp-ről..."
Mégis mit gondolsz min keresztül közlekednek a levelek? Kerülgetheted a földet 40szer is, ha a végeredmény ugyanaz: a két levelező szerver között a forgalom smtp-n keresztül zajlik. (A regisztrátoroknak mi köze épp az smtp over ssl-hez? Nyugodt lehetsz, az smtp forgalom 99%-a ssl-t hírből sem hallott. Ha explicit nem állítod be, hogy egyes szerverekre ssl-en keresztül küldje a levelet, úgy nem az lesz.)
Magyarán abba a tévhitbe ringatod magad, hogy te biztonságban vagy, mert https-en keresztül levelezel(ami nyilván nem igaz, mert azon max böngészni tudsz).
Kb mintha afrikába küldenél valami csomagot gyorsfutár szolgálattal, posta helyett, aki viszont csak addig szállítaná a csomagodat míg elér egyiptomba, és ott bedobná az első szembejövő postaládába, hogy majd onnan eljut a csomag a végcélhoz, ahogy akar.
Pop3 sehogy nem kerül épp a képbe, az a postafiókból a levél feléd történő eljutásánál kerül elő egyáltalán(akár az imap ssl),
A spam a szolgáltatókat érdekli és fog majd téged is igen erősen, ahogy szép lassan átjutunk abba az irányba ami a világ többi részén van: megszűnik a korlátlan általánydíjjas szolgáltatás és a forgalom után fizetsz. Külföldi letöltő portalok iszonyat pénzeket fizetnek a szolgáltatóik felé. A levelezés is adatforgalom, akkor is ha kéretlen. A szolgáltatódat nem fogja meghatni hogy az spam, kiszámlázza szépen a forgalmazott/kapott adatmennyiséget, és kalap kabát. Neked ez még jövőidő, van akinek viszont a rideg valóság már most is, és őket bizony lehet már most zavarja a havi extra díjj amit értelmetlenül fizetnek.
A protokollal pedig leginkább ott vannak problémák, hogy nagyjából semmiből nem tart hogy a te nevedben bárkinek levelet küldjek...elég tudnom a mail címedet hozzá(ez ellen próbál tenni valamit a domainkeys/spf, csak épp szükséges hozzá hogy a szolgáltatód beállítson ezt-azt, amit kevés helyen tesznek meg, és amúgy is utólagos patkolás, tehát eredeti protokoll hiányosság). -
arrakistor #56 ki beszél itt smpt-ről? >https on TOR< jut el az adat hozzád közben 3szor megkerüli a földet elkódolva-szétszabdalva-elkódolva_több_szinten amíg a regisztrációt adminisztráló szerverről eljut a mail szerverig az viszont lehet smtp de van smtp over SSL is , és a nívósabb regisztrátorok csak ezt használják...
a gmail SMTPoverSSL portja pl: a 465-ös és az POP3overSSL portja a 995-ös (alap)
nem is tudom miről szól egyáltalán ez a cikk akkora baromság:
ősidők óta létezik POP3overSSL az egész sessionre is de van csak bejelentkeztető protokoll is amit TLS-nek hívnak... ebben az esetben csak a jelszó küldése megy SSL csatornán a kommunikáció már nem.
Protokollproblémák, hiányzó titkosítás, spam
Hol vannak a protokollal problémák???, Megvan a titkosítás akár több szinten is, spam??? muhahahahha ki a f*szt érdekel a spam, amikor szétmaszkolom subject , body, vagy feladó szerint az egész postaládámat!!!
idegesítő amikor ekkora baromságokat írnak le hót komoly cikkben -
Yv@n #55 SSL-en keresztül megy tőled a böngészőn át egészen hozzájuk. Az smtp kézbesítés onnan ettől függetlenül továbbra is hagyományos smtp forgalom, titkosítatlan. Szóval ott a biztongásra továbbra is csak a rarolgtás, vagy a pgp nyújt megoldást. -
arrakistor #54 na jó ezt tényleg nem tudtam... hát bizony akkor bele kell törődni hogy domain regisztrációdról tudni fognak a nagyorrúak... de minden más tevékenységedről viszont NEM, mert kamuneveken, kamupostafiókokkal , kamu identitással csinálod TOR-on keresztül anonim böngészővel SSL , aztán jóéccakát. Begratulálok annak aki ezek után is le-ki-fel-meg-össze-nyomoz. -
Charybdis #53 És akkor ezek szerint az ICANN-ról sem hallottál még, ami egy non-profit szervezet, tehát nem a lóvé érdekli őket, és akik például megvizsgálják, hogy egy adott whois valódi-e. Nem kimennek, hanem levelet küldenek pl, már feltalálták a postát :) -
Charybdis #52 Ezen jót derültem :)
"8 általános megvan?"
Hát képzeld megvan, ezért el is olvasom a domain regisztrációs szerződést, amit elfogadsz domain regisztrációkor.
Ebben pedig az van, hogyha nem valós adatokkal regisztrálsz, akkor jogosan veszik el a domaint és pont. Ha az email cím nem valódi akkor meg 100% hogy elveszted a domaint.
Látszik hogy még sosem regisztráltál domaint, úgyhogy ebbe kár volt beleszólnod. -
arrakistor #51 a nemzetközi .com domain regisztrátorok magasról lesz*rják a valós adataidat, hidd el nem fognak hozzád kimenni a Csőlakó Aladár utcába hogy leellenőrizzék hogy ott laksz-e ... őket egy dolog érdekli :
hogy a Visa, Maestro vagy akármilyen kártyádról de a kamu paypal-os átutalásodról is , megérkezzen a zsebükbe a lóvé, a többit vastagon lesz*rják. -
arrakistor #50 Értem mit mondasz, szóval te a mail szerver szolgáltatóktól parázol.
Hát nézd... van 3 milliárd regisztrált gmail-os cím, SENKI nem fogja , nem is akarja, és nem is tudja ebből kiszűrni pont a te MAGYARUL kapott leveledből, a MAGYAR lakcímedet és egyéb adataidat... De mást mondok : miért is regisztrálnál domaint a saját _VALÓS_ adataidra????????!!!!!!! miért nem jó a [email protected] Csőlakó Aladár utca 19.-es cimmel és Rasszputyin Pista névvel?!!?!
Kis fantáziát toljatok már bele az életbe könyörgöm ! A 8 általános az megvan? -
Yv@n #49 Nem.
Túl elterjedt ahhoz. Hogy működjön, egyszerre kellene egy komplett váltást csinálnia mindenkinek aki használja az email-t, egy pl email2 -re új levelező kliens, új levelező szerver, új komplett infrastruktúra.
A mostani protokollal kompatibilis heggesztgetések évek óta jönnek, amik ilyen-olyan átmeneti megoldással szolgálnak, de az egész alapja ugyanaz a szar marad. Nem véletlenül fikázza a mail-t mindenki, aki felhasználói szintnél többet lát belőle. Iszonyat hiányosságai vannak. -
Charybdis #48 De én azt mondom, hogyha nekem küld valaki egy titkosítatlan emailt, akkor ez ellen nem tudok mit csinálni.
Például ha regisztrálsz egy .com domaint, akkor utána kapsz egy titkosítatlan emialt, amiben leírják a neved, lakcímed, milyen domaint regisztráltál. Ha ez nem akartad volna, hogy titkosítatlanul küldjék, akkor nem tudsz mit csinálni.
ezért kéne olyan protokoll, ami csak titkosítottan enged küldeni, és minden félnek támogatnia kell a titkosítást.
A Gmail felülete végig titkosított, ha a https://mail.google.com/ címen lépsz be, de ez nem elég.
Meg valami olyan email protokoll kéne mint a pingback, hogy a küldő fél csak a saját domainjáról akciózhat, máséről nem. Így a spammereket el lehetne kapni az adott domain whois rekordja alapján (ami nem lehet fake, mert ekkor jelented az ICANN-nak és törlik a domaint). -
arrakistor #47 Nem lehetne egy jobb email protokollt gyártani, ami lehtetlenné teszi a spamet, és alapból titkosított minden levél?
Egyrészt mitől ne lehetne,másrészt pedig mondok neked egy jó módszert: regisztrálsz egy saját certificate-tel rendelkező SSL ingyenes rendszerbe pl.: pofa.be (yahoo, gmail nem a legjobb megoldás, mert verisign és egyéb "közös" certificate-eket használ) majd ezt az email címet adod meg regisztrációkor, ha az adott mail-rendszer csak a belépést titkosítja (csak a belépésnél látsz https:// -sel kezdődő webcímet és egyébként http:// -vel kezdődő lesz) akkor fogod és az egész műveletet ezzel a böngészővel folytatod, vagy ab ovo ezzel kezded. -
Charybdis #46 Milyen titkosításról beszélsz? ami most van, az elég csekély.
Csak olyannak tudsz titkosítottan küldeni, aki ezt támogatja.
Továbbá ha regisztrálsz egy domaint, fizetsz bankkártyával, regisztrálsz valahová, akkor az összes privát, titkos információt emailben kapod meg az adott oldaltól, persze titkosítatlanul. Ez a gáz.
Nem lehetne egy jobb email protokollt gyártani, ami lehtetlenné teszi a spamet, és alapból titkosított minden levél? Valami olyasmi kéne, hogy tényleg csak a domain tulajdonosa tudjon levelet küldeni adott domainról, azaz ha kapsz egy levelet, akkor meg tudd mondani, hogy melyik domainről érkezett, és utána a whois rekord alapján le tudod kapni a spammert.
Valami ilyesmit már csinálták pl. a pingback esetében, ha pingbackelsz egy blogon, akkor a blog tulajdonosa egyértelműen látja, hogy milyen domain alól jött a pingback. -
arrakistor #45 de lásd kivel van dolgod, ha írsz nekem egy rar-crack linket ami működik és kibontod nekem 3 napon belül ezt a mindössze 137 kilobájtos titkosított rar-t amely RAR 3.30-al let tömörítve SOLID archivvá és publikálod 3 napon belül a te válaszodtól számítva a benne lévő "az_én_fotóm.jpg" valamint a "titkos.doc" tartalmát egy szabadon választott ftp szerveren , mielőtt én elárulom "szabad a gazda" módjára, akkor és csak akkor hiszünk neked... és a RAR-t többé nem használjuk email titkosításra ... -
arrakistor #44 a dictionary attackon kívül van még egy esély a crypto-analízis ami még gyengébbnek bizonyult leírom mikor van értelme és mikor nincs:
titkosítva tömörített és kis méretű rar fileok és/vagy olyan rar file-ok esetében van értelme amiben szerepel egy olyan ismert phile tömörítve amely megvan a támadónak titkosítatlanul is. ilyen ha pl.: egy komplett windows-könyvtárat tömörítessz össze "pipihusi2" kóddal és belecsempészel egy titkos.doc nevű állományt amelyet valójában el szeretnél küldeni, akkor a támadó a megfelelő programban megadja az ismert file-ok listáját, és az összehasonlító (crypto-analízis) program viszonylag rövid idő alatt ki fogja dobni a kódot : pipihusi2 (hosszú kódokat is)
ellenben ! ha a rar file NEM tartalmaz ismert file-t és/vagy az ismert file-nak csak a neve és mérete azonos a tömörítettlen-titkosítatlan párjával (akár szándékosan akár más okból) akkor a crypto-analízis elbukik, így az általam emíltett példában ahol : egy db. titkos.doc - 1,386 byte plusz az_én_fotóm.jpg - 898,696 byte van betömörítve amelyek közül egyik sem lehet meg a támadónak - a cryptoanalízis elbukik. minél több file van meg eredetileg is, minél nagyobb %-a a rarnak van meg titkosítatlanul is annál gyorsabb és biztosabb a kód megtalálása crypto-analízissel.
crypto-analízisnek sincs értelme többkulcsos vagy többszinten kulcsolt RAR vagy truecrypt fáljrendszerek esetében ... pl: ha a meglévő pipihusi2 kóddal elkódolt rar-t mégegyszer áttömöríted a pipihusi2 vagy pipihusi3 vagy más kóddal a cryptoanalízisnek nem lesz értelme -
#43 Nem tudom ti észrevettétek, hogy mostanában google docs-ba ágyazott spameket küldözgetnek, amiket a gmail spam szűrője is átenged? -
#42 "TE magad teszed asszimetrikussá, azzal , hogy a alant leírt módon acc neki kódot... hiszen a kulcs publikus, de csak egyvalaki ismeri rajtad kívül. "
Nem ez az asszimmetrikusság feltétele. Nem az, hogy hányan ismerik a kulcsot, hanem hogy hány és milyen kulcs van (privát és publikus).
"és ez még csak egy nyamvadt 128 bites kulcsolás, hol vannak a nagyobb kulcsok?"
Rar-ról beszéltél, ott csak 128 bites AES van.
"ha a krekker végigpróbálgat 200 billió verziót a szótár támadással az egyetlen valós és létező brute-force"
Vannak más módszerek is. -
arrakistor #41 nagyon sokmindennel VOLT ez így. még anno a kádárbácsi idejében.. ma már -és különösen itt a gójok országában- ez már nem így van többé -főleg mától. -
arrakistor #40 "Válságban van az e-mail?" - -
arrakistor #39 "4: elterjedt , de csak bizonyos körökben, de mától az sg.hu olvasói is alkalmazni fogják."
Mától? Mert szerinted az sg.hu olvasói ennyire alsóbbrendűek?
nem. lehet hogy idáig is használták, de mától biztosan használni fogják -
arrakistor #38 TE magad teszed asszimetrikussá, azzal , hogy a alant leírt módon acc neki kódot... hiszen a kulcs publikus, de csak egyvalaki ismeri rajtad kívül. arról nem is beszélve hogy blöff is lehet, hiszen mekkora a pofáraesés aztán hogy ha a krekker végigpróbálgat 200 billió verziót a szótár támadással az egyetlen valós és létező brute-force (összes lehetőség végigpróbálgatása) technika egy -bizonyos esetekben- talán jobb alverziójával cirka 60 ezer év alatt és utána döbben rá hogy a kulcs : ZimmerFeriNek200€jró és nem is a blöffként leírt elterelőhadművelet...
jól mondod voltak ellene támadások.... voltak csak beledöbbentek az okostojások hogy ebbe biza beletört a foguk meg a kampós orruk.
és ez még csak egy nyamvadt 128 bites kulcsolás, hol vannak a nagyobb kulcsok?
mit kezdenek velük? mit kezdenek pl.: egy Twofish-Serpent-AES 3*256 bites kulcsal átfűzött truecrypt filerendszerhez egy finom "rövid" 32 karakteres versszak kóddal mit kezdenek vele ha elkapnak egy ilyen kakihalmaz 1 megás csatolmányt egy e-mailban???
nézegethetik kb. az örökkévalságig... -
#37 " egyszerűen összetömöríted a megírt .doc .rtf .txt .akármilyendokumentumformátum-ot RAR-ral acc neki"
A RAR3-as 128 bites AES titkosítást használ ami nem aszimmetrikus, hanem szimmetrikus. Ráadásul voltak ellene támadások...
"3: pénzt végképp nem fog senki csinálni ebből"
Á nem...
"4: elterjedt , de csak bizonyos körökben, de mától az sg.hu olvasói is alkalmazni fogják."
Mától? Mert szerinted az sg.hu olvasói ennyire alsóbbrendűek?
"1: nem én dolgoztam ki hanem már vagy 15 éve létezik a PGP és egyéb asszimetrikus kulcsok.. stb... "
Adi Shamir - mond ez neked valamit (RSA)? Ő is egy, az általad emlegetett nép képviselőjéből. ;D Zimmermann-ról nem is beszélve. -
xmodule #36 5. pontnál nagyon sokmindennel van ám így (sajnos). -
arrakistor #35 1: nem én dolgoztam ki hanem már vagy 15 éve létezik a PGP és egyéb asszimetrikus kulcsok.. stb...
2: minek szabadalmaztatná bárki is mikor nyílt forráskódú kulcsolások is vannak (AES stb.)
3: pénzt végképp nem fog senki csinálni ebből
4: elterjedt , de csak bizonyos körökben, de mától az sg.hu olvasói is alkalmazni fogják.
5: az hogy eddig nem volt elterjedt kizárólag a nemzetkezö globális nagyorrúak eltitkolásának, és a globális népbutításnak köszönhető -
xmodule #34 Amugy ha a zsenialitásoddal ilyen nagyszerű kódolási technikát dolgoztál ki, amit feltörni lehetetlen, akkor szerintem gyorsan szabadalmaztasd, mert még a végén valaki nagy pénzt csinál ebből és akkor majd fogod a fejed. Nem is értem miért nem terjedt még el ez a módszer. -
xmodule #33 Oké nekem mindegy(: easy boy -
arrakistor #32 dhága bahátom olvass már egy kicsit utána az aszimetrikus kulcsoknak és utána óvatoskodj, számold ki hogy hány lehetőséget kell végigpróbálgatni csak egy 8 betűs kód esetén ... segítek: 18,446,744,073,709,551,616 ... azaz 18 trillió lehetőséget... várhatnál néhánymillió nagybummot mire meglenne a biztos kódod.. de lehet hogy néhány ezer év múlva valami kvantum számítógéppel majd "mindössze" néhány ezer nagy bummig "gyorsul" a visszafejtési folyamat brute force-szal... -
xmodule #31 "aki kibontja rajtad és a címzetten kívül annak én nyalok be vasmacskán és trapézon háromszor egymás után gyorsütemben. "
ezekkel a kijelentésekkel csak óvatosan...sosem lehet tudni (: -
arrakistor #30 biztonság?? egyszerűen összetömöríted a megírt .doc .rtf .txt .akármilyendokumentumformátum-ot RAR-ral acc neki egy kódot amit mindketten tuttok és vagy előre megbeszélitek, vagy odairod h az a kód pl: hogy amikor együtt ott voltunk az x helyen és ott láttunk egy y színű autót írja e kétszer az x+y-t egymás után szóközesekezeteknelkul és adja hozzá a születési hónapját kétszer számmal, ha ezt aztán belecsatolsz akármit (egy jó megás-kétmegás phile-t mittomén képet akármit) a rar-ba és kezícsaókolom... aki kibontja rajtad és a címzetten kívül annak én nyalok be vasmacskán és trapézon háromszor egymás után gyorsütemben. -
djw #29 azt kene bevezetni, hogy mindenhol csak whitelist alapjan kapjanak leveleket a userek,aztan ha valaki idegen akar kuldeni emailt, akkor egy kulon protokollon bejelentkezne, hogy fogadom-e... es persze a bejelentkezesnel is ki lehetne tiltani cimeket/tartomanyokat/regexpeket... -
xmodule #28 Nem reklámként de én is több mint egy éve használom a gmail -t és 100% ig megvagyok vele elégedve. Még csatolt fileokkal is kb 10% át ha használom a lassan már 7GB nak. Amugy a spam szűrője nagyon jó. Eddig kb vagy 4 mail volt amit átengedett. Folyamatos elérés, max letöltés mindig. Meg van neki virus ellenörzője is. Ez nem tudom mennyire hatékony. Ez volt a pro. Contra, hogy elméletileg figyelik a leveleket. Tehát tudhatják a passokat stb amit a levél tartalmaz. Most ez egy elméleti dolog. De még ha igaz is, akkor is. Aki ki akar valamit deriteni rolunk az ugy is kideriti. Max ha valakinek nagyon van titkolni valója és profi akkor kijátszhatja ezeket a rendszereket különböző modokon. Szerintem nincs még egyáltalán válságban az e-mail. Msn- en meg amugy ki lehet kapcsolni a rezgetést. (: -
torcipepe #27 x millió freemail azért van, mert azt úgytudom a matáv indította és annó csak a matáv adott netet.
az enyémet tesóm csinálta, csak mire oda jutottam, hogy napi szinten használjam és zavarjon a sok spam, addigra már minden ismerősöm ismerte és mindenre azzal vagyok regisztrálva. e-mail címet cserélni ma már macerásabb, mint mobilszámot.
adatküldésre pedig a legegyszerűbb, ha van egy saját tárhelyed, oda feltöltöd és csak egy hivatkozást küldessz rá. neked max sebességgel megy fel, akinek meg küldöd, az meg a saját max sávszélességével tudja leszedni. szuper, mikor egy 100Mb-os fényképalbum átküldésekor a másik kilövi az msn-t vagy a legvégén jön rá, hogy nincs vírusellenőrzője és az átvitelt maga az msn lövi ki. ha tárhelyre töltessz és kilövöd, csak magad okolhatod a balfaszságod miatt. -
Adamul #26 Nem is csak hogy gyorsabb, de gyakorlatilag korlátlan! MSNen pl simán fogadhatok/küldhetek több száz megás fájlokat ingyen, e-mailnál ezt ma még nem egyszerű/olcsó megoldani... -
#25 A Gmail végre tudja azt, hogy lehet ugyanaz a címem a hétköznapi felhasználásra, IRL-ismerősökkel való levélváltásra és mindenféle szirszar helyeken regisztrációkhoz. Talán havonta ha 1-2 spamet átenged... A spamnak nézett nem-spam levelek aránya még kevesebb, az elmúlt 2 évben amióta használom, kb 1 alkalommal fordult elő. Nem tudom hogy csinálja, de zseniális. -
#24 Nekem a yahoo érdekesen szűr spamet.
Közösségi portálon yahoo-s címre van regeltem, ha üzenetet kapok, értesítést kapok róla mailban. Egyik értesítőt a rendes levelek közé teszi a másikat meg már spamnek :) Nem jöttem rá mi alapján, sazl nem bíznék benne. -
Yv@n #23 "hát hogyne, az árajánlatokat majd egész biztos msn-en, meg iwiw üziken keresztül fogják küldözgetni"
Jaj dehogy, hát felteszed majd a hu.wikipedia.org/wiki/Arajanlat linkre :) -
nagylzs #22 Jah PGP tényleg régen van meg más dolgok is a baj az hogy maga az email továbbítási protokol nem biztonságos. Az email-ben levő adatot lehet titkosítani meg hitelesíteni stb. de ez a spam ellen nem véd.