Глобальная слежка или глобальная паранойя ?

Удалённый пользователь
Цитата сообщения от kciroohs отправленного 2 Сен, 2013 в 14:52

Поставьте определенные плагины для браузера и увидите, что на многих сайтах висит до 15 разных примочек-треккеров, которые пасут ваше поведение на каждой странице.

на forum.poehali.net бачу

С 2003 по 2009 было несколько обычных для таких сайтов счетчиков, сейчас остался только google analytics. Почти при любом обновлении движка сайта надо знать, какими браузерами заходят, под каким разрешением, какова посещаемость в течение суток/года. В принципе, можно ту же информацию добывать и самостоятельно из собственных логов, но нужен совет, что поставить локально взамен GA.

Если между свободой и безопасностью народ выбирает безопасность, в конечном итоге он теряет и то и другое. (Франклин)

16.01.2015. Почта TUT.BY меняет поставщика услуг: Яндекс вместо Google

20.01.2015. В обсуждении задал следующий вопрос:

Будете ли продолжать хранить у себя оригинальные пароли пользователей?
С точки зрения безопасности принято, что системы авторизации обычно пересылают, сравнивают и хранят не сам пароль, а некий результат его обработки (хэш). При перехвате хэша восстановить из него сам пароль математически трудоемко, что повышает уровень защиты системы.
Почему мне кажется, что у вас всё-таки не так:

  1. Гугл почта в списке последних действий показывает заходы не только с моих ip, но и с адреса, принадлежащего Datacenter Beltelecom. Логично предположить, что там работает некий сервис, который знает пароли.
  2. Ничего не сказано про смену паролей после перехода на Яндекс почту. Значит, при воссоздании аккаунта на яндексе будут указаны пароли с гугл почты, которые всё это время где-то хранились.
    Я не ошибаюсь в рассуждениях?

И второй вопрос, который уже подымался выше. Яндекс зависим от соседнего государства. Нельзя исключить, что зарубежные спецслужбы смогут иметь доступ к почте большого количества белорусских граждан. (В принципе, аналогичный вопрос мог возникнуть и по поводу Google и США, особенно после откровений Сноудена). Это как-то учитывалось при принятии решения? Например, гипотетически, нельзя ли было не передавать данные яндексу, а каким-то образом лишь лицензировать программное обеспечение и хранить эту почту на территории РБ, при этом доступ к самим данным был бы только у ваших сотрудников?

http://talks.by/showthread.php?t=14220114&page=8#post26619920

22.01.2015. Вышла статья с ответами на вопросы.
Почта TUT.BY меняет поставщика услуг с Google на Yandex: ответы на вопросы пользователей
Из статьи:

  • Каким образом TUT.BY собирается забрать всю переписку пользователей и перенести ее на другой сервер, означает ли это, что компания имеет полный доступ к переписке и архивам?
  • Перенос будет осуществляться специальной программой в автоматическом режиме.

28.01.2015. Ответа до сих пор не получил. Написал еще раз:

Безопасность ящика на 90% зависит от пользователя независимо от поставщика услуг

Зависит и от уровня безопасности, который обеспечивает поставщик услуги.
Продолжу мысль из своего предыдущего сообщения: если на сервере (серверах) всё-таки хранятся сами пароли, а не их хэши, в таком случае утечка пароля возможна и у провайдера услуги. Кто гарантирует, что все каналы связи должным образом защищены и что все работники добросовестны? Если, не дай бог, произойдет утечка базы данных, будут скомпрометированы аккаунты всех пользователей (и 99.99% пользователей этого даже не заметит). В случае с хэшами такого не случится, так как имея хэш, злоумышленник не сможет зайти в аккаунт, как минимум потребуется перебор.
Я говорю в принципе общеизвестные вещи.
К примеру, сейчас в левом верхнем углу форумов есть возможность авторизации через tut.by. Введенный пароль посылается в открытом виде по протоколу http (не https). Мало ли из какой точки земного шара вы зайдете в свой аккаунт, мало ли кем этот пароль может быть перехвачен по дороге. Кто в таком случае будет отвечать за утечку пароля: Яндекс, tut.by, talks.by (насколько понял из последней новости, еще одно юрлицо), или крайним окажется сам пользователь?
Если пароль хранится не только у пользователя, а еще у неизвестного количества организаций (не меньше трех получается?), тогда ответственность рассредоточена и вообще невозможно гарантировать, что твои сообщения читаешь только ты, и что всё отосланное от твоего имени написано именно тобой.
Аналогия: печать предприятия сделана в нескольких экземплярах. Вы отвечаете за свой экземпляр, но кто конкретно и насколько ответственно хранит и переносит остальные экземпляры печати, вам неизвестно.
Просьба опровергнуть или хотя бы прокомментировать. Иметь почтовый ящик в домене родной страны (by) патриотично (без всякой иронии), но как-то это получается небезопасно. На предыдущее сообщение за неделю так никто и не ответил.

http://talks.by/showthread.php?t=14220114&page=8#post26733625

02.02.2015. Ответа до сих пор не получил. Написал личные сообщения двум специалистам, которые в той теме отвечали на вопросы.
04.02.2015. Один из них проигнорировал. Второй ответил, в частности, что пароль в открытом виде у них не хранится, и про отсутствие всяких гарантий в бесплатном сервисе.

На что я прокомментировал:

Если не хранится сам пароль в открытом виде, значит, хранятся данные, позволяющие его восстановить. Разница невелика.
Иначе невозможно объяснить, каким образом создается новый аккаунт на Яндексе со старым паролем. Пользователь ведь его не устанавливает заново своими руками, не так ли?

Никто не просит раскрывать внутренние детали, но обозначить ситуацию как-то надо - недоговаривание в вопросах безопасности способно ввести в заблуждение, что мне кажется несколько неэтичным по отношению к клиентам даже бесплатного сервиса, как Вы говорите, без гарантий.

10.02.2015. Ответа нет.
Удалил всю почту из ящика на @tut.by, поменял свой адрес на всех сайтах, на которых регистрировался последние 12 лет.

Цитата сообщения от for_creator отправленного 10 Фев, 2015 в 18:25

Какие неудобные вопросы вы задаете :)

И почему они не задавались гуглу?

Тоже задавался этим вопросом, но дальше своей головы не отсылал его. Тут бай ещё раньше года 4_7 назад перекидывал свою почту на гугл.(раньше свой сервак был)
Теперь вот на яндекс. Может они как_то обмениваются какими то скриптами, собственными кодировками, а сами архивы не шуруют, обрабатывают только входящие да защищают сам ящик.
Но верить в конфиденциальность информации в интернете это наивно. Я для себя доверяю интернетам на уровне-- а кому оно надо. От админа не ожидал такой наивности
А что ценное можно на почте хранить?

Цитата сообщения от sacha отправленного 10 Фев, 2015 в 22:27

Тоже задавался этим вопросом, но дальше своей головы не отсылал его. Тут бай ещё раньше года 4_7 назад перекидывал свою почту на гугл.(раньше свой сервак был)
Теперь вот на яндекс. Может они как_то обмениваются какими то скриптами, собственными кодировками, а сами архивы не шуруют, обрабатывают только входящие да защищают сам ящик.
Но верить в конфиденциальность информации в интернете это наивно. Я для себя доверяю интернетам на уровне-- а кому оно надо. От админа не ожидал такой наивности
А что ценное можно на почте хранить?

Ну мало ли, Шурик станет популярным шоу меном, а потом его фотки неглиже в нет просочятся ;D ;D

Может они как_то обмениваются какими то скриптами, собственными кодировками, а сами архивы не шуруют, обрабатывают только входящие да защищают сам ящик.

Нет. Похоже, никто не понял технических деталей, которые вроде описал подробно.
Суть в том, что решение с 2 почтовыми провайдерами (tut.by+google или tut.by+yandex) потенциально опаснее решения с 1 провайдером (только google, только yandex), и не в 2 раза, а во много раз. Сугубо по техническим, можно даже сказать математическим причинам.

А про ценность своего почтового ящика каждому решать самостоятельно. В частности, почта - это контроль над аккаунтами в разных сервисах, среди которых не только развлекательные сайты, но и, к примеру, финансовые.

Угу, в большинстве случаев пароли хранятся в БД в виде хэша с подмешенной "солью". И если самих алгоритмов хэширования выбор не большой, то "соль" всегда уникальна (именно в этом ее назначение) и чаще всего общая для всего сайта. Это значит, что передав хэши яндексу, гугл должен также передать и алгоритм хэширования, а также значение "соли". В этом случае новые алгоритмы должен применить как Яндекс (причем только для пользователей с ТУТа), так и гугл (т.к. старые данные скомпрометированы при передаче третьей стороне). А поменять алгоритм хэширования - значит сменить пароли у всех старых пользователей.
В общем единственный возможный вариант переноса без смены паролей, это если корпоративные аккаунты гугла/яндекса позволяют клиенту (т.е. ТУТу) самому задать правила формирования хэшей паролей. В чем я очень сомневаюсь.

Цитата сообщения от fut отправленного 10 Фев, 2015 в 19:04
Цитата сообщения от for_creator отправленного 10 Фев, 2015 в 18:25

Какие неудобные вопросы вы задаете :)

И почему они не задавались гуглу?

А причем тут гугл?

Цитата сообщения от for_creator отправленного 11 Фев, 2015 в 11:14
Цитата сообщения от fut отправленного 10 Фев, 2015 в 19:04
Цитата сообщения от for_creator отправленного 10 Фев, 2015 в 18:25

Какие неудобные вопросы вы задаете :)

И почему они не задавались гуглу?

А причем тут гугл?

почта тут бай на гугле.

Цитата сообщения от билли бонс отправленного 11 Фев, 2015 в 11:19

почта тут бай на гугле.

Отстал. Уже не на гугле.

В общем единственный возможный вариант переноса без смены паролей, это если корпоративные аккаунты гугла/яндекса позволяют клиенту (т.е. ТУТу) самому задать правила формирования хэшей паролей. В чем я очень сомневаюсь.

Теоретически еще возможен вариант, когда ни gmail, ни яндекс не хранят ни кэши, ни пароли, а за авторизацией обращаются на profile.tut.by. Такую конфигурацию можно перенести без смены паролей.
Но тогда надо объяснить, а каким образом регулярно заходит на почту тот самый ip Datacenter Beltelecom (см.выше). Или опять возвращаемся к тому, что он знает пароль пользователя, или для него организован какой-то особый доступ (backdoor).