Vlákno názorů k článku Let's Encrypt na web hostingu: firmy o něm vědí a připravují se od Milenius - Já bych ale hlavně uvítal, kdyby se začalo...
-
Já bych ale hlavně uvítal, kdyby se začalo používat i šifrování mailů přes S/MIME nebo PGP. Aby ke každé mailové schránce byl vygenerován klíč, public byl automaticky nahrán na server a vše bylo šifrováno. Nechápu, proč to služby typu seznam negenerují automaticky. Toho by se tato iniciativa mohla klidně také ujmout. MAIL je v současné podobě ještě nebezpečnější než nezašifrované HTTP.
-
j (neregistrovaný)
Jo, to je jen takova drobnost ... hesla jsou prece taky u vsech vzdy v naprosto dokonalym bezpeci ...lol. Nechces mi poslat pristup k uctu? Ne vazne, je to zcela bezpecny. Zcela bezpecne ti muzu slibit, ze zitra uz zadny problem mit nebudes.
Jo a na vchod do bytu si misto dveri dej ceduli, ze si neprejes aby tam kolemjdouci nacumovali.
-
Paranoici mají zvláštní uvažování. Na jiné diskuzi jsem narazil také na jednoho paranoika, ale měl opačné uvažování. Raději svěří přístup a heslo Googlu, než aby věřil nějaké desktopové aplikaci na svém počítači. Co kdyby ta lokální aplikace náhodou neodesílala přístupy, hesla, privátní klíč někam kam nemá?
Když to sečtu a dám dohromady, tak nelze věřit ničemu, a raději nikomu nedávat nic. Ou, ale to znamená, že je nemohu dát ani tomu, ke komu patří, co kdyby to heslo nezneužil přímo on sám? A tak dále a tak dále.
Celé tohle je pouze a jen o důvěře. Pokud důvěřuji, tak proč bych mu nemohl dát přístup, heslo, privátní klíč, klíč od bytu? Budu věřit, že to nezneužije. Pokud mám pochybnosti, tak je jasné, že mu nic dávat nebudu.
A to je to samé s tím tvým "Nechces mi poslat pristup k uctu". Tomu, komu důvěřuji, ano, ale tobě rozhodně ne, protože tě neznám a jsi nedůvěryhodný.A když už jsme u toho privátního klíče. Tak přejdeme zpět k tématu tohoto článku. Pokud chce někdo na svém webu použít HTTPS, tak stejně musí serveru sdělit privátní klíč k tomu certifikátu. Takže předávat privátní klíč někomu cizímu je naprosto běžná činnost. Tak jak se to může lišit od toho, že to samé má i mailserver?
-
Starous (neregistrovaný)
presne tak. Zkusim to jinak, ono pro webmaily by podle me uplne stacilo kdyby kazdy email byl podepsan ve stylu tento email byl odeslan ze seznamu, gmailu, nebo podobne...platna uzivatelska jmena pak pozna snadno, pripadne pak jako bonus muze generovat odvozene klice pro jednotlive uživatele... zadne posilani privatnich klicu se nekona jenom je za ne zodpovedny provozovatel sluzby a ne uzivatel.
-
Ale to se děje už dnes.
Máme tu SPF nebo DKIM, které identifikuji původce, tím spíše server.
V hlavičce je informace, odkud email odešel a je tam uvedeno, že odešlo ze serveru Google, Seznam apod.
A některé služby jako MailChimp do hlavičky přidává i identifikátor uživatele.Celý problém je akorát v tom, jak s tím naloží webmail nebo klientská aplikace. Je to pouze na nich, jak ověří, že email je od tohoto.
Vždyť takový webový GMail neumí pracovat ani s elektronickým podpisem. Zobrazí jen smime přílohu, ale aby ověřil, že email je platný, to už ne. -
Starous (neregistrovaný)
vždycky je třeba srovnávat pro a proti, jinak třeba protonmail má toto vyřešené docela pěkně. Otázka jestli je děravější browser/desktop pc nebo služba v cloudu není jednoznačná. Lepší než soubor na disku je HW úložiště na kterém se generuje... TPM,HSM,smartkarta nebo token... úložiště v cloudu může být i výrazně bezpečnější
ČLÁNKY DO MAILU