Защищенная почта

Discussion in 'Болталка' started by Veil, 1 Nov 2017.

  1. Veil

    Veil Banned

    Joined:
    21 May 2015
    Messages:
    2,073
    Likes Received:
    3,416
    Reputations:
    72
    С бразуера хамелеон, не открывается.
     
  2. devton

    devton Banned

    Joined:
    26 Oct 2007
    Messages:
    2,766
    Likes Received:
    3,463
    Reputations:
    40
    хз шо это за экзотика...
    [​IMG]
     
  3. Veil

    Veil Banned

    Joined:
    21 May 2015
    Messages:
    2,073
    Likes Received:
    3,416
    Reputations:
    72
    Это урезанный файерфокс.
     
  4. devton

    devton Banned

    Joined:
    26 Oct 2007
    Messages:
    2,766
    Likes Received:
    3,463
    Reputations:
    40
    бля ща перечитал чо как робит Протонмайл и какой у них юрстатус и чо где сервера
    и что они не могут получить содержимое переписки сами, только метаданные

    ну заебок - при таком методе (переписываться чз черновики в одном ящике) единственное что теоретически можно узнать - с каких айпи заходили

    и, повторюсь, НЕ надо:
    -поднимать серв
    -дрочить на линух
    -запускать лайв-дистрибутивы и шифрование томов
    -с любой ОСи
    -нужен только браузер

    даже взломай их ебучий пентагон, он не сможет увидеть ничего, кроме айпи
    даже характер активности не посмотреть - только время\айпи входа
    и то не факт, что время\айпи может посмотреть взломщик - только админы скорее всего
     
  5. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    3,249
    Likes Received:
    9,213
    Reputations:
    338
    Такой большой, а в маркетинговые сказки до сих пор верит...удивительно :D

    Например я прочитал про Protonmail это:
    Основой сервиса стала библиотека OpenPGPjs. На время рабочей сессии почтовый пароль хранится в полностью открытом виде (без обфускации) в Session Storage.
    и ещё:
    Закрытый ключ хранится на серверах сервиса
    , но защищен вашим почтовым паролем.
    Это требуется, чтобы была возможность использовать различные устройства (и/или веб-браузеры) для доступа к почте ProtonMail.
    А тепперь если подумать то:
    Исполняемый код Javascript на стороне браузера может быть подвержен XSS-атакам. Можно отправить специально сформированное письмо в обход встроенной защиты от XSS-атак
    и исполнить вредоносный код, который получит доступ к почтовому паролю пользователя или просто будет перехватывать
    расшифрованное содержимое сообщений.
    И еще:
    у сервиса ProtonMail, была найдена XSS уязвимость , позволяющая исполнить произвольный JavaScript
    код на компьютере ничего неподозревающего пользователя и получить полный доступ к его почтовому ящику.
    Данную уязвимость нашел Mike Cardwell, о чем сообщил команде ProtonMail. После исправления уязвимости он опубликовал информацию об этом на ycombinator.com
    -----
    P.s.
    Маркетологи будут гореть в аду ;)
     
    _________________________
    CKAP and Veil like this.
  6. devton

    devton Banned

    Joined:
    26 Oct 2007
    Messages:
    2,766
    Likes Received:
    3,463
    Reputations:
    40
    так а людям сбоку то один хер никак ничо не вскрыть...про хсс известно
     
  7. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    3,249
    Likes Received:
    9,213
    Reputations:
    338
    Например:
    Утаскиваешь с боку пароль от почты из DOM хранилища, при активеой сессии, и читаешь на мыле что надо :)
    Да плюс уже то, что приватный ключ от твоего мыла храниться на сервере, уже как бэ намекает ;)
     
    _________________________
  8. devton

    devton Banned

    Joined:
    26 Oct 2007
    Messages:
    2,766
    Likes Received:
    3,463
    Reputations:
    40
    ты несколько недопонимаешь, может быть, что такое "время сессии"
    закрыл вкладку протонмайл-сессия кончилась, опять открываешь - надо снова вводить пароль

    пробуй-старайся, но мне кажется ниасилишь ты впихнуть что-нибудь в письмо итд итп
     
  9. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    3,249
    Likes Received:
    9,213
    Reputations:
    338
    Да тут вариантов масса от java или html inj в браузер, до обычного трояна который будет тихо мирно открытия той сессии ждать и пароль уплыл:)
     
    _________________________
  10. devton

    devton Banned

    Joined:
    26 Oct 2007
    Messages:
    2,766
    Likes Received:
    3,463
    Reputations:
    40
    фан-та-зер
     
  11. Veil

    Veil Banned

    Joined:
    21 May 2015
    Messages:
    2,073
    Likes Received:
    3,416
    Reputations:
    72
    Ну это конечно. Ты бы еще про радмин вспомнил или то что комп соседу на время отдал с не закрытой сессией.;)
     
  12. devton

    devton Banned

    Joined:
    26 Oct 2007
    Messages:
    2,766
    Likes Received:
    3,463
    Reputations:
    40
    низя так
    все строго:вкладку закрыл - сессию похерил

    да и лузер100 великий теоретик
     
  13. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    3,249
    Likes Received:
    9,213
    Reputations:
    338
    Сессию открыл-пароль уплыл ;)
    А ещё там пароль к почте единственный и сменить его низя ;)
     
    _________________________
    DartPhoenix likes this.
  14. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    3,249
    Likes Received:
    9,213
    Reputations:
    338
    Кстати, самому почтовому сервису в случае надобности ничто не мешает слегка подправить программный код и дернуть прароль от почты у пользователя ;)
     
    _________________________
    #34 user100, 15 Jun 2018
    Last edited: 15 Jun 2018
  15. devton

    devton Banned

    Joined:
    26 Oct 2007
    Messages:
    2,766
    Likes Received:
    3,463
    Reputations:
    40
    ох уж этот бензоколонский ментаоитет )) и фантазия
     
  16. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    3,249
    Likes Received:
    9,213
    Reputations:
    338
    Можешь и дальше кушать лапшичку с ушей , от маркетологов всяких почт, хранящих приватный ключ от твоей переписки у себя на серверах ;)
    Твоя дыра в безопасности :D
     
    _________________________
  17. devton

    devton Banned

    Joined:
    26 Oct 2007
    Messages:
    2,766
    Likes Received:
    3,463
    Reputations:
    40
    99.9% почт ваще хранят и парсят в нешифрованном виде всю переписку
    и если отвлечься от твоей паранойи, то для реальной жизни ок продукт
    а схема, когда люди чз черновики переписываются ваще заебок
    особенно с точки зрения простоты, доступности в браузере, защищенности от реальных унроз
     
  18. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    3,249
    Likes Received:
    9,213
    Reputations:
    338
    Безопасней стеганографией пользоваться, на любом подходящим для этого ресурсе с картиночками, чем твоим проктологическим способом извращаться ;)
     
    _________________________
  19. devton

    devton Banned

    Joined:
    26 Oct 2007
    Messages:
    2,766
    Likes Received:
    3,463
    Reputations:
    40
    ты чо фанат голубиной почты?
    как ты безопасно переписываешься?
    подскажи-рассукажи
     
  20. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    3,249
    Likes Received:
    9,213
    Reputations:
    338
    Из с
    Вот как раз из сображений безопасности я и не переписываюсь ;)
    А так - пользуй для писма у себя жабу с PGP + OTR и пиши на здоровье... и инкрипт почта не нужна :cool:
     
    _________________________
    DartPhoenix likes this.
Loading...