Favicon Svetmobilne.cz  Svět mobilně Favicon Svetaudia.cz  Svět audia Favicon TVFreak.cz  TV Freak   Fórum Favicon Digimanie.cz  Digimanie   Fórum   Galerie Společnost oXy Online s.r.o.
Zobrazené výsledky: 1 až 6 z 6

Téma: POZOR! Neautorizované čtení zaheslované email schránky na Seznamu.cz ?

  1. #1
    Pravidelný diskutér
    Registrace
    Sep 2009
    Příspěvků
    292

    Mám jasnou indicii, že mě oficiálně zřejmě na příkaz "orgána", Seznam.cz poskytl email schránku k pročtení...Má vůbec Seznam.cz přístup k heslům k email schránce nebo heslo jednoduše obejde? Jak? Připomínám, že jde opravdu o čtení email schránky ze strany Seznamu.cz na příkaz "orgánu" a že se tedy rozhodně nejedná o nabourání zašifrované Wi-fi...
    Děkuji za pochopení a fundovanou odpověd.
    Odpovídat lze po přihlášení

  2. #2
    Starousedlík SHW
    Registrace
    Feb 2008
    Příspěvků
    1,149

    U free variant se dá očekávat všechno. Já počítám s tím, že si mé emaily může přečíst kdokoliv. Otevřeně to však nepřiznají.
    Mohl by jsi tu indicii zveřejnit?
    Nejjistější je vlastní emailserver.
    Odpovídat lze po přihlášení



  3. #3
    Pravidelný diskutér
    Registrace
    Sep 2009
    Příspěvků
    292

    Email schránka byla nedostupná, jen se stále načítala ačkoliv jiné schránky na Seznam.cz ve stejné době fungovaly normálně a to opakovaně. A to v době všeobecné jisté hysterie, která by se díky známé "chytrosti" orgánů mohla týkat i nás pěstitelů...
    Odpovídat lze po přihlášení

  4. #4
    Starousedlík SHW
    Registrace
    Feb 2008
    Příspěvků
    1,149

    Do emailu od seznamu jsem se teď přihlásil na dvou PC, každý s jinou veřejnou IP. Takže pokud někdo další prohlíží email, nepoznáš to.
    Hádací útoky na server jsou myslím omezeny na určitý počet hádání za sebou (nehledě na rychlost pokusů při silném hesle), takže ani zde asi nebyl pokus o prolomení.
    Pokud bych já chtěl někomu prolustrovat email schránku při znalosti hesla, tak si jednoduše stáhnu veškerou poštu během pár vteřin a prohlížím si ji až pak. Je podivné, že tvá schránka nebyla dostupná a ostatní ano. Jak dlouho tomu tak bylo?

    Každopádně první věc co udělat při podezření- změnit heslo!
    A dále se nespoléhat na cizí řešení. Jak jsem již psal- vlastní emailserver je jistota
    Odpovídat lze po přihlášení

  5. #5

    Jds Jds je offline
    Občasný diskutér Avatar uživatele Jds
    Registrace
    Jun 2011
    Příspěvků
    107

    Zdravím.Nebo neprovozovat činnost která si takové sledování zasluhuje.Zdar a sílu.
    Odpovídat lze po přihlášení

  6. #6
    Starousedlík SHW Avatar uživatele trodas
    Registrace
    Oct 2007
    Příspěvků
    1,773

    Toto téma je poněkud naivní. Zaprvé každý provozovatel má většinou přístup k Vašemu heslu - vždyť ho do té schránky zadáváte. Jsou sice způsoby a enginy např. fór, kde je to uloženo tak, že se heslo zjistit nedá.


    Je mnoho způsobů, jakými se dají ukládat hesla uživatelů. Povětšinou jde o jejich ochranu, aby i v případě zcizení databáze nebyly hesla vyzrazena a data se tak staly nepoužitelnými/nepřehlednými přinejmenším
    Z toho je jasné, že je heslo vhodné ukládat s nějakým šifrováním. Nevýhody šifrování jsou ty, že se heslo musí jít také nějakým klíčem dešifrovat, když se uživatel přihlašuje a dochází ke kontrole shodnosti hesel. A kde je klíč, tam lze i dekódovat, případně se hrubým výpočetním výkonem pokusit o prolomení ochrany
    Někde si ovšem se šifrováním hlavu nelámou a třeba v populárním Xchatu se hesla ukládají do databáze v čistě textové (!) podobě, což je přinejmenším podivně nízká úroveň programování a bezpečnosti dat / nicku uživatele. Ztráta nicku je tak na denním pořádku
    De-facto jsem se domníval, že 100% bezpečný systém není možno udělat, než jsem na jeden narazil.
    A sice toto fórum používá naprosto genialní systém ukládání hesla - dalo by se říci, že při omezení počtu špatných pokusů o zadání hesla na 3 a pak blok natvrdo - by mohlo jít o 100% bezpečný systém.
    Je to tak zajímavě až geniálně vyřešeno, že mi nedá, abych se o poznatky nepodělil
    Základem je MD5 hašhování. MD5 je algoritmus tzv. "hašhovací", neboli z vstupních dat (může to byt 5 písmenek, ale i 1GBy soubor) udělá 32 znakový hašh - něco jako kontrolní součet souboru.

    Příklad MD5 haše:
    Kód:
    2f869ee28915466dad27b1e16e93723d
    Algoritmus je navržen tak, aby se i při minimální změně vstupních dat (1 bit jinak v 1GByt souboru) došlo k značné změně hašhe. A teď to, co možná není na první pohled zřejmé - z hašhe nelze nijak zjistit původní data! Pochopíte to rychle na příkladu hašhování 1GBy souboru - kdyby se dal 1GBy soubor smrštit do 32 znaků hašhe, nepotřebovali bychom k přenášení filmů CDčka či DVDčka, postačila by 1 disketa na tisíce a tisíce zahašhovanych filmů
    Jde prostě jen o upravený kontrolní součet, jenž ze stejného souboru vždy vygeneruje STEJNÝ kontrolní součet (hašh) - dá se tudíž použít na kontrolu stavu a případných chyb v souboru a srovnání souborů různých názvů ale přesto stejných (třeba) obsahů. Uživatelé výměnných P2P sítí (eMule, Kazza, WinMX, Gnuttela a tak dále) si jistě vybaví ony kontrolní součty souborů, podle nichž se tyto programy orientují, neboť uživatelé mají nepěkný zvyk si pojmenovávat soubory, jak se jim zlíbí
    Jakže souvisí tohle hašhování s ukládáním hesla, když z hašhe nelze obnovit původní obsah a ten mi přeci potřebujeme, abychom porovnali heslo zadané s uloženým?
    Finta spočívá v tom, že my si NEPOTŘEBUJEME ukládat heslo

    Bohatě stačí uložit hašh hesla Při zadání hesla z něj vygenerovat MD5 hašh a dané hašhe porovnat. Pokud souhlasí, souhlasí i zadané hesla, aneb jak jsem řekl, libovolná změna vstupních dat generuje výrazně odlišné hašhe!

    Máme tu tedy téměř naprosto dokonalý způsob ukládání hesel - zmocní-li se někdo databáze, vše co dostane, jsou hašhe hesel a ne hesla jako taková!

    Ani administrátor fóra, ani admin serveru na kterém fórum běží - nikdo na světě nemá šanci zjistit vaše heslo
    (tedy pokud váš ISP nesnifuje vaše pakety, když se heslo přenáší pres síť...)

    Šlo by z MD5 hašhe udělat ono vstupní heslo? Nešlo. Jediný způsob je heslo zjistit by byl v opakovaném zkoušení generování MD5 hašhů z různých slov a jejich porovnávání s orginálním hašhem - což vzhledem k tomu, že vstupní data jsou naprosto neznámá (víme jen že to je něco mezi 3 až 32 znaky) bude téměř nemožné.

    A v případě zcizení databáze není žádný problém informovat uživatele, že by se pro jistotu měli změnit heslo, i kdyz zkoušení všech kombinací by zabralo pravděpodobně několik let na odhalení jednoho jediného heslíčka

    Stručně řečeno, použitý způsob ukládání hesla je neuvěřitelně bezpečný a když jsem si změnil heslo a zapoměl jsem ho, tak jsem měl opravdu VELKÝ problém - místo hesla jsem v databázi uviděl jen MD5 hašh
    ...jediná možnost - vygenerovat si MD5 hašh k heslu, jake chci, teba tady:
    http://pajhome.org.uk/crypt/md5/
    A vložit ho databáze Takže jsem se pak mohl přihlásit pod tímto novým heslem.

    Co z toho plyne? Heslo, jenž ve fórech tohoto typu (Invision Board) zadáte je prostě nedobytné a neznámé pro kohokoliv - 100% bezpečné
    Při ztrátě je možná jediná věc - nechat si nastavit jiné heslo administrátorem


    Jak to dělá seznam nevím, ale je možné, že si Vaše hesla ukládá a tak je také může komukoli poskytnout. Co se týče výpisu z emailu, tak ten seznam na požádání OČTŘ poskytuje tak, že si Váš email stáhne a orgánům pošle na CD/DVD co chtějí (tedy vše co v emailu máte, vč. nastavení a počtu emailů, atd.).
    Viz. přiložený soubor k mému emailu z 17.4.2010

    Je na to ovšem třeba soudního příkazu, byť PČR si často hlavu s zákonným postupem neláme (např. domovní prohlídku neprovedli tak, jak nařizuje zákon, ale prostě vykopli dveře (byt žádné akutní nebezpečí nikomu nehrozilo) a basta...) a soudy takovéto postupy mají sklon spíše aprobovat než stíhat...

    Co se tím vším chce říci je to, že pokud se Vám dívají OČTŘ (Orgány Činné v Třestním Řízení) do emailu, tak si toho ani nevšimnete. Na základě příkazu soudu Vám seznam stáhne vše co v daný moment ve schránce máte + nastavení a pošle to vyžádavšímu orgánu. Příkaz lze vydat v řežimu vyhrazený (tj. tajný)... ale i důvěrný, tajný či přísně tajný (stupně utajení V, D, T a PT). A soudy se s tím moc nepáraj, natož aby zkoumaly, zdali je ta žádost oprávněná č nikoli a často ani proti komu směřuje. Tak se stalo, že byl odposloucháván/sledován i telefon předsedovi Ústavního soudu, panu doktoru Rychetskému
    A to na základě nijak důkazně nepodloženého tvrzení podplaceného informátora o jeho zapojení do obchodu s bílým masem, které se ovšem jaksi nekrylo s důkazy
    Vítejte v ČR!
    Připojené soubory Připojené soubory
    Odpovídat lze po přihlášení

Podobná témata

  1. Zarazeni na konec seznamu
    Od homi v sekci Software denní potřeby
    Reakcí: 7
    Poslední příspěvek: 25-01-2011, 16:55
  2. Pozor na falešný email od paypal
    Od AlbiDC v sekci Antiviry a bezpečnost
    Reakcí: 5
    Poslední příspěvek: 28-03-2009, 18:40
  3. email
    Od martinrehak v sekci Software denní potřeby
    Reakcí: 3
    Poslední příspěvek: 01-03-2009, 12:04
  4. Webové prohlížeče: IE8 - automatické odhlašování na Seznamu
    Od Intri v sekci Internet
    Reakcí: 8
    Poslední příspěvek: 31-01-2009, 20:20
  5. Webové prohlížeče: Zamrznutí IE 7 při přihlašování do email.schránky
    Od Pakl v sekci Internet
    Reakcí: 3
    Poslední příspěvek: 23-09-2008, 20:18