Webmail encryption

Web mail services όπως το Yahoo για παράδειγμα και το Gmail δε προσφέρουν εξ’ αρχής κρυπτογράφηση μετά το login του χρήστη. Στο Gmail μπορείς ο ίδιος ο χρήστης να αντικαταστήσει το “http” με το “https” στη μπάρα διεύθυνσης προκειμένου να στέλνει και να διαβάζει κρυπτογραφημένα τα μηνύματά του. To Yahoo όμως δεν προσφέρει αυτή τη δυνατότητα. Αυτό σημαίνει πως κάποιος με πρόσβαση στο ίδιο δίκτυο με αυτό του χρήστη, εάν κάνει packet sniffing θα μπορέσει αν διαβάσει το περιεχόμενο των μηνυμάτων. Για του λόγου το αληθές. Με χρήση του Wireshark έκανα capture τα πακέτα του interface του δικού μου μηχανήματος και φυσικά τα αποτελέσματα είναι τα αναμενόμενα:

Sender: xxxx@yahoo.com
Reply-to: xxxx@yahoo.com
To: xxxx@gmail.com
Subject: yahoo test subject
Body: yahoo test body

Για να δούμε τα επιθυμητά στοιχεία πρέπει να κοιτάξουνε στο πρωτόκολλο HTTP για τη μέθοδο POST.

Δοκιμή και με το Gmail:

Sender: xxxx@gmail.com
Reply-to: xxxx@gmail.com
To: xxxx@yahoo.com
Subject: gmail test subject
Body: gmail test body

Όπως προαναφέρθηκε, το Gmail μπορεί να γίνει πιο ασφαλές με τη χρήση Secure Socket Layer.

Κάπιοι άλλοι providers, δεν παρέχουν κρυπτογράφηση ούτε κατά το login του χρήστη. Πράγμα που σημαίνει ότι το όνομα χρήστη και ο κωδικός στέλνονται στο δίκτυο ως απλό κείμενο. Τα δύο παραδείγματα που θα ακολουθήσουν είναι με το Mail.gr και Mail.com.

Mail.gr

Mail.com

Ακόμη και εάν δεν μπορείς να ασφαλίσεις τα δεδoμένα σου 100%, καλό είναι να γνωρίζεις ότι μπορεί να βλέπουν και άλλοι, εργοδότες ή μη…


~ by panoskrt on October 5, 2008.

Posted in internet, services
Tags: ,

8 Responses to “Webmail encryption”

  1. Πρόσφατα στο GMail μπήκε επιλογή στις Ρυθμίσεις να μπορείς να επιλέξεις αν θέλεις η σύνδεση να είναι όλη μέσα από https.
    Αυτό είναι στη βασική καρτέλα στις Ρυθμίσεις. Αν κάποιος χρησιμοποιεί το ελληνικό περιβάλλον, μπορεί να μην υπάρχει ακόμα η επιλογή. Αρκεί να αλλάξεις γλώσσα για λίγο, να κάνεις την ενεργοποίηση και να γυρίσεις στα ελληνικά.

    Μιας ακόμα ωραία επιλογή είναι στο κάτω μέρος του GMail υπάρχει η επιλογή να δεις από πιο IP συνδέθηκες την τελευταία φορά. Αυτό βοηθάει για να δεις αν κάποιος έχει πρόσβαση στο λογαριασμό σου.

    Simos said this on October 6, 2008 at 6:22 pm

  2. Σωστά, δεν το είχα προσέξει για να είμαι ειλικρινής. Δε καταλαβαίνω όμως γιατί δεν είναι προεπιλογή η χρήση https.

    panoskrt said this on October 6, 2008 at 8:13 pm

  3. Πιστεύω ότι είναι προεπιλογή διότι απαιτεί περισσότερους πόρους από το Google.

    Simos said this on October 6, 2008 at 11:31 pm

  4. Θεωριτικά η υποδομή που τρέχει η υπηρεσία θα πρέπει να διαθέτει τους απαιτούμενους πόρους αλλιώς νομίζω δεν θα υπήρχε καν σαν επιλογή. Το ίδιο το Google λέει τα εξείς:

    “If you sign in to Gmail via a non-secure Internet connection, like a public wireless or non-encrypted network, your Google account may be more vulnerable to hijacking. Non-secure networks make it easier for someone to impersonate you and gain full access to your Google account, including any sensitive data it may contain like bank statements or online log-in credentials. We recommend selecting the ‘Always use https’ option in Gmail any time your network may be non-secure. HTTPS, or Hypertext Transfer Protocol Secure, is a secure protocol that provides authenticated and encrypted communication.

    Please note that selecting ‘Always use https’ will prevent you from accessing Gmail via HTTP (Hypertext Transfer Protocol). In addition, it may make Gmail a bit slower. If you trust the security of your network, you can turn this feature off at any time.

    If you use a public computer to check your email, it’s also important to end each of your Gmail sessions by clicking Sign out at the top of any Gmail page and to close all Gmail browser windows.”

    Ίσως το έχουν κάνει για τους λόγους που περιγράφει η 2η παράγραφος αλλά μπορεί φυσικά να συντρέχουν παραπάνω από ένας λόγος (το πιο πιθανό) και απλώς να γίνεται αναφορά αυτού που ακούγεται πιο φιλικός προς τον χρήστη.

    panoskrt said this on October 7, 2008 at 12:25 am

  5. Επισης το πρόβλημα του sniffing δεν ειναι τόσο έντονο σε switched ethernet δίκτυα διότι ουσιαστικά πρέπει ο διαχιρηστής του δικτύου να θέλει να κάνει το sniffing, πράγμα που το θεωρώ πολύ πιο σπάνιο (όχι φυσικά απιστευτο). Γενικα, το να χάσεις το pass σου πάντως ειναι πολύ πιο ευκολο με τόσο spyware που κυκλοφορεί παρά μέσω sniffing.

    papajohn said this on October 7, 2008 at 10:00 am

  6. Ε όχι ρε papajohn και δεν είναι έντονο το πρόβλημα του sniffing σε switched δίκτυα. Έλεος, δεν είμαστε στο 1995.

    Τελικά έχει πολύ ενδιαφέρον το ότι παλιές γνωστές τεχνικές επίθεσης ισχύουν ακόμα, όχι γιατί δεν υπάρχουν αντίμετρα αλλά γιατί κάποιοι δεν τις κατανόησαν ποτέ. Φανταστείτε τι συμβαίνει με τεχνικές που δεν είναι γενικά γνωστές. Αλήθεια, μπορείτε;

    Εγώ μπορώ.

    Σοφία said this on October 8, 2008 at 6:46 am

  7. @papajohn: Όντως έτσι είναι. Αυτό που θέλω όμως να τονίσω είναι ότι *όποιος* έχει πρόσβαση στο δίκτυο μας μπορεί αρκετά εύκολα και με πολύ λίγες γνώσεις να αποκτήσει πληροφορίες που θα θέλαμε να κρύψουμε, και όπως είπε η Σοφία, με χρήση απλών μεθόδων που είναι εδώ και (πολλά) χρόνια γνωστές.

    panoskrt said this on October 15, 2008 at 5:07 pm

  8. Καπώς καθυστερημένα, αλλα ποτέ δεν είναι αργα (τουλάχιστον δεν έχασα το pass μου ακόμα!). H Σοφία αναφερόταν πιθανότατα σε επιθέσεις ARP-based:
    http://www.linuxjournal.com/article/5869
    OK, προφανώς έκανα λάθος και ευχαριστώ που με έκανες να το ψάξω παραπάνω! :-) Ευτυχώς που δεν είμαι διαχειριστής δικτύου…

    papajohn said this on March 12, 2009 at 10:42 am

Leave a Reply