ВИФ2 NE : Ветка : Re: Зашибись.

От	Novik
К	Чобиток Василий
Дата	12.09.2002 12:13:34
Рубрики	Прочее; Современность;

Re: Зашибись.

Приветствую.

>Соответствующим образом оформлять тему письма.

Которая светится в логах SMTP серверов. Отличный способ оповестить всех о своем аккаунте.

От	Чобиток Василий
К	Novik (12.09.2002 12:13:34)
Дата	12.09.2002 12:32:14

Re: Зашибись.

Привет!

>>Соответствующим образом оформлять тему письма.
>
>Которая светится в логах SMTP серверов. Отличный способ оповестить всех о своем аккаунте.

Что я сказал - не догма, а руководство к действию :))

1 Вынести пароль в тело письма
2 Сразу предупреждать желающих писать письма о возможности засветки их логина. Безопасность безопасностью, а тут все же не финансовые переводы.
3 Можно для почты использовать второй пароль. Или, можно юзеру выдавать его пароль в зашифрованном виде, что он и должен в письме подставлять. Этот вариант будет работать только для общения Е-мейлом.

С уважением, В.Чобиток http://armor.kiev.ua/

От	Novik
К	Чобиток Василий (12.09.2002 12:32:14)
Дата	12.09.2002 12:40:08

Re: Зашибись.

Приветствую.

>3 Можно для почты использовать второй пароль. Или, можно юзеру выдавать его пароль в зашифрованном виде, что он и должен в письме подставлять. Этот вариант будет работать только для общения Е-мейлом.

Это интереснее. Вот только при смене логина/пароля карачун будет. Подумаю.

От	AMX
К	Novik (12.09.2002 12:13:34)
Дата	12.09.2002 12:30:26

Re: Зашибись.

>Которая светится в логах SMTP серверов. Отличный способ оповестить всех о своем аккаунте.

Ну аккаунт может светится в логах и через HTTP и точно также может быть подсмотрен тем же любопытным админом. base64 проблема что-ли? :)

От	Novik
К	AMX (12.09.2002 12:30:26)
Дата	12.09.2002 12:37:21

Re: Зашибись.

Приветствую.

>base64 проблема что-ли? :)

Во первых, эта проблема в принципе решаема. Если таковая возникнет, просто добавлю еще пару методов аутентификации.
Во вторых, в отличие от заголовков писем, поля HTTP запроса в логи мало кто выводит. Да и возни мальца побольше, т.е. надо этим делом заниматься специально. В третьих не все работают через прокси.
В случае с письмом же имеем:
1) заголовок будет показан в логе чистом виде, даже рекодировать не надо - там сплошь ansi. Т.е. может быть замечен человеком даже не занимающимся охотой за паролями.
2) При отказе (через релеи не прошло, еще чего-нибудь) письмишко свалится постмастеру. Опять же аккаунт высвечен. Причем это в отличие от даже 1 более вероятно.

От	Василий Фофанов
К	Novik (12.09.2002 12:37:21)
Дата	12.09.2002 12:59:39

Ну так указываем тип операции в теле письма, а все письмо шифруем 128 битами :) (-)