Comments on: Webmail encryption

By: papajohn

papajohn — Thu, 12 Mar 2009 10:42:54 +0000

Καπώς καθυστερημένα, αλλα ποτέ δεν είναι αργα (τουλάχιστον δεν έχασα το pass μου ακόμα!). H Σοφία αναφερόταν πιθανότατα σε επιθέσεις ARP-based:
http://www.linuxjournal.com/article/5869
OK, προφανώς έκανα λάθος και ευχαριστώ που με έκανες να το ψάξω παραπάνω! Ευτυχώς που δεν είμαι διαχειριστής δικτύου…

By: panoskrt

panoskrt — Wed, 15 Oct 2008 17:07:35 +0000

@papajohn: Όντως έτσι είναι. Αυτό που θέλω όμως να τονίσω είναι ότι *όποιος* έχει πρόσβαση στο δίκτυο μας μπορεί αρκετά εύκολα και με πολύ λίγες γνώσεις να αποκτήσει πληροφορίες που θα θέλαμε να κρύψουμε, και όπως είπε η Σοφία, με χρήση απλών μεθόδων που είναι εδώ και (πολλά) χρόνια γνωστές.

By: Σοφία

Σοφία — Wed, 08 Oct 2008 06:46:48 +0000

Ε όχι ρε papajohn και δεν είναι έντονο το πρόβλημα του sniffing σε switched δίκτυα. Έλεος, δεν είμαστε στο 1995.

Τελικά έχει πολύ ενδιαφέρον το ότι παλιές γνωστές τεχνικές επίθεσης ισχύουν ακόμα, όχι γιατί δεν υπάρχουν αντίμετρα αλλά γιατί κάποιοι δεν τις κατανόησαν ποτέ. Φανταστείτε τι συμβαίνει με τεχνικές που δεν είναι γενικά γνωστές. Αλήθεια, μπορείτε;

Εγώ μπορώ.

By: papajohn

papajohn — Tue, 07 Oct 2008 10:00:17 +0000

Επισης το πρόβλημα του sniffing δεν ειναι τόσο έντονο σε switched ethernet δίκτυα διότι ουσιαστικά πρέπει ο διαχιρηστής του δικτύου να θέλει να κάνει το sniffing, πράγμα που το θεωρώ πολύ πιο σπάνιο (όχι φυσικά απιστευτο). Γενικα, το να χάσεις το pass σου πάντως ειναι πολύ πιο ευκολο με τόσο spyware που κυκλοφορεί παρά μέσω sniffing.

By: panoskrt

panoskrt — Tue, 07 Oct 2008 00:25:04 +0000

Θεωριτικά η υποδομή που τρέχει η υπηρεσία θα πρέπει να διαθέτει τους απαιτούμενους πόρους αλλιώς νομίζω δεν θα υπήρχε καν σαν επιλογή. Το ίδιο το Google λέει τα εξείς:

“If you sign in to Gmail via a non-secure Internet connection, like a public wireless or non-encrypted network, your Google account may be more vulnerable to hijacking. Non-secure networks make it easier for someone to impersonate you and gain full access to your Google account, including any sensitive data it may contain like bank statements or online log-in credentials. We recommend selecting the ‘Always use https’ option in Gmail any time your network may be non-secure. HTTPS, or Hypertext Transfer Protocol Secure, is a secure protocol that provides authenticated and encrypted communication.

Please note that selecting ‘Always use https’ will prevent you from accessing Gmail via HTTP (Hypertext Transfer Protocol). In addition, it may make Gmail a bit slower. If you trust the security of your network, you can turn this feature off at any time.

If you use a public computer to check your email, it’s also important to end each of your Gmail sessions by clicking Sign out at the top of any Gmail page and to close all Gmail browser windows.”

Ίσως το έχουν κάνει για τους λόγους που περιγράφει η 2η παράγραφος αλλά μπορεί φυσικά να συντρέχουν παραπάνω από ένας λόγος (το πιο πιθανό) και απλώς να γίνεται αναφορά αυτού που ακούγεται πιο φιλικός προς τον χρήστη.

By: Simos

Simos — Mon, 06 Oct 2008 23:31:09 +0000

Πιστεύω ότι είναι προεπιλογή διότι απαιτεί περισσότερους πόρους από το Google.

By: panoskrt

panoskrt — Mon, 06 Oct 2008 20:13:22 +0000

Σωστά, δεν το είχα προσέξει για να είμαι ειλικρινής. Δε καταλαβαίνω όμως γιατί δεν είναι προεπιλογή η χρήση https.

By: Simos

Simos — Mon, 06 Oct 2008 18:22:37 +0000

Πρόσφατα στο GMail μπήκε επιλογή στις Ρυθμίσεις να μπορείς να επιλέξεις αν θέλεις η σύνδεση να είναι όλη μέσα από https.
Αυτό είναι στη βασική καρτέλα στις Ρυθμίσεις. Αν κάποιος χρησιμοποιεί το ελληνικό περιβάλλον, μπορεί να μην υπάρχει ακόμα η επιλογή. Αρκεί να αλλάξεις γλώσσα για λίγο, να κάνεις την ενεργοποίηση και να γυρίσεις στα ελληνικά.

Μιας ακόμα ωραία επιλογή είναι στο κάτω μέρος του GMail υπάρχει η επιλογή να δεις από πιο IP συνδέθηκες την τελευταία φορά. Αυτό βοηθάει για να δεις αν κάποιος έχει πρόσβαση στο λογαριασμό σου.