Автор: Егор | 26219 | 24.02.2011 15:25 |
Пару месяцев назад была информация что свердловское фсб и администрация запретили использовать skype и бесплатную электронную почту. Проходя по отделам у себя, заметил что в одном отправляют через почтовый ящик на mail.ru служебную информацию и персональные данные без какого-либо шифрования. Вопросы следующие:
на mail.ru используется шифрование вообще? возможно ли перехватить письма и посмотреть их(вернее возможно все=) имел ввиду как это будет сложно сделать на практике)? Выходом из этой ситуации я предполагаю это поставить у себя в организации почтовый сервер, но на это нужны деньги. Кто может подсказать каким-образом можно убедить свое начальство это сделать(ссылкой на нормативный документ например)? Может кто сталкивался у себя? |
Автор: Matthew | 26228 | 24.02.2011 15:49 |
Ничего на маил не шифруется, и пароли в открытом виде передаются на сервер при авторизации, собсвенно сами письма точно так же.
На гугле и яндексе пароли шифруются при авторизации. |
Автор: AIB | 26233 | 24.02.2011 16:12 |
У вас организация коммерческая или государственная? Если первое - то начальство убеждается в них не бумажками, а экономической эффективностью.
На мэйл логин без шифрования, дальнейшая работа тоже. Что в принципе, конечно, плохо. Однако практически о массовых утечках конфиденциальной информации из-за этой уязвимости неизвестно. Трояну же локально, и тем более инсайдеру, защита канала не помеха. На месте начальства я бы задал логичный вопрос - может, просто перейти на не менее бесплатный, но более защищенный гугл? ИМХО, во-первых надо понять, какие данные передаются по этому каналу, оценить их стоимость для компании и для злоумышленника, после чего прикинуть риски их утери через канал (в т.ч. на стороне провайдера). Аргументами за свой сервер могут быть из документов - 152 закон (если передаются персданные клиентов, и при этом почта является частью технологической цепочки обработки информации). Если ваша деятельность регулируется какими-то еще документами - нужно смотреть в них. Также аргументом может быть репутация - солидная фирма, не имеющая собственного почтового сервера, не внушает доверия, и наоборот - свой сервер добавляет солидности небольшим. Конечно, все это ИМХО. |
Автор: Егор | 26240 | 24.02.2011 16:52 |
организация у нас государственная, и чтобы выбить денег нужно на что-нибудь ссылаться(закон, постановление и т.д.).
AIB с вашим мнением полностью солидарен. |
Автор: Diman | 26383 | 01.03.2011 09:05 |
Вообще на mail.ru безопасная передача tsl есть читайте сами
|
Автор: Matthew | 26385 | 01.03.2011 09:45 |
Это в клиентах!
А в браузере!? |
Автор: Diman | 26386 | 01.03.2011 10:14 |
И в браузере
|
Автор: Егор | 26388 | 01.03.2011 10:33 |
Используется как раз через браузер. Ради интереса запустил у себя на компе прогу HttpAnalyzerStdV5 (сниффер http трафика) и попробовал зайти на mail.ru Прога перехватил пароль и логин как нефиг делать и в открытом виде, без какого-либо шифрования.
|
Автор: Diman | 26391 | 01.03.2011 11:28 |
Подключайтесь к mail.ru по выше указанной ссылке
|
Автор: Fowner | 26414 | 01.03.2011 17:07 |
С помощью WireShark перехватывал и лгин-пароль, и само сообщение, а также много другой служебной информации.
На рамблере и гугле не получилось- сообщения шифруются, передаются пакеты через ssl. |
Просмотров темы: 16653