Názory k článku Možná se dostanete do cizí schránky na Centrum Mail, účty jsou ale prý v bezpečí

myslíte, že to tak není? Nu, my přesně tento problém v práci jsme schopni reprodukovat. Pomohlo nám až vypnutí cache na proxy. Jinými slovy, centrum.cz posílá nezabezpečeně informace, které nemá. Jakmile mezi vámi a centrem někdo provozuje proxy, je reálná možnost, že si všichni navzájem hezky počtete....

Ach jo, víš vůbec, co je to proxy server?

Něco velmi podobného se mi stalo na jednom soukromém projektu a když jsem to viděl, tak to pro mě byl celkem slušný šok. Způsobila to jedna odpověď, ve které jsem měl nastavený session_cache_li­miter na private a samozřejmě odesílal set cookie v odpovědi ukolébán pocitem bezpečí, že přeci private je určen jen pro toho jednoho klienta... Chyba lávky! V jedné síti měli Kerio a to danou odpověď nakešovalo a předávalo vesele všem uživatelům v síti.

LOL :-) No tak samozřejmě, že Seznam vypadal před tím, než začal kopírovat Gmail úplně jinak. Jinak Gmail beru jako nejlepší freemail řešení, ale i před rokem 2004 byly lepší řešení než Seznam...

Například Yahoo, který jede od roku 1997 nebo Hotmail, který funguje od roku 1996.

Ono je to jenom o tom, že lidi jsou tupci a kdyby dávali reklamu na lejno, tak si ho budou pořizovat, protože na to byla reklama. A pak taky to, že "když jsem z ČR, tak přece nebudu používat něco, co je TAK DALEKO" :-D.

V rámci sebezáchovy funkční části Internetu (SMTP) se měli právě všichni na zablokování free přístupu k SMTP serverům vykašlat a navíc měli přestat používat služeb pochybných blacklistů.

Dnes jsme tam kde tehdy, spíše je to ještě mnohem horší. Kdo ví zda se dnes nepoužívají whitelisty, protože ze "svobodného" SMTP serveru mnohdy pošta zmizí úplně, nebo je alespoň označena za SPAM. Zrovna takový český Seznam označuje za SPAM i vše příchozí od Google.

P.S.
Ještě bych tak věřil tu finanční stránku věci, tu zřejmě řešil zejména zmíněný Microsoft (u ostatních služeb). Jednak zrušil co bylo zdarma, včetně infrakstruktury a jednak některé věci nově zpoplatnil. Zajímavé také je, že dostal většinu komunikace pod absolutní kontrolu, proti čemuž se brblalo již tehdy. Myslím, že dnes (u příležitosti aféry PRISM) by vše potřeboval opět omlátit o hlavu (i za roky minulé) - co takhle pro začátek nepoužívat Hotmail, Live, Skype a zapomenout na XBox.

Možná se zkuste podívat i na to, jak dlouho tu ty české freemaily jsou. Ten kopírovaný originál spustil betu na pozvánku v roce 2004, od 2007 je bez pozvánky a od 2009 už není označován jako beta.

Tahle diskuse je úplně marná. Ale není se co divit, začíná to už u článku, jehož autor vůbec nepochopil technickou podstatu problému (nejspíš se o to ani nesnažil) a houf nedouků mu hned přizvukuje.

Otevřené SMTP servery se všude rušily jako vstupní brána spamu. Jednak protože zbytečný provoz (a dost velký), ale hlavně protože od jisté doby se každý otevřený SMTP server rychle dostane na většinu black listů. Takže v zájmu sebezáchovy :)

Hlavně to mají lidi na Seznamu, protože to mají jako všechno ostatní. Asi jako kulmu. Asi jsou zvyklí že si s něma chce někdo vykládat o tom, jestli by nechtěli ještě lepší vysavač, ale vykládat si o mailu...? Soukromej mail na seznamu má profesor Holy, stejně jako primar porodnice nebo clovek co dela housle. Jenom maximalni picus by si mohl myslet ze by ho meli zrusit a poridit si neco dle posledni mody.

Souhlas! Ale myslím, že to lidi mají jen z historických důvodů, příp. to používají ti, co si myslí, že internet = Seznam :-)

Janě, tak si dám schránku na českým freemailu, kde si to čte rovnou soused :-D LOL

Treba proto, ze ti neni jedno, ze si FBI procita tvou postu.

> Ale nemělo by se stát, že skrze tyto staré stránky se můžete autentizovat
> jako jiný uživatel a přistupovat k datům na serveru.
> Nemělo by být ani možné aby jste se autentizoval jako vy sám, stejně jako
> v předchozím přístupu na webmail. Pokud jste se řádně odhlásil.

Souhlasím. Ale z článku není zřejmé, že tohle Centrum dělá, respektive že se předchozí uživatel odhlásil a že neměl zapnuté trvalé přihlášení.

Jejich problém je to v každém případě. Proxy si uloží do cache stránky web mailu, budiž.

Ale nemělo by se stát, že skrze tyto staré stránky se můžete autentizovat jako jiný uživatel a přistupovat k datům na serveru.
Nemělo by být ani možné aby jste se autentizoval jako vy sám, stejně jako v předchozím přístupu na webmail. Pokd jste se řádně odhlásil.

Jejich autentizační systém, i systém vlastního zobrazení pošty, by měl používat takový přístup, aby se vyloučilo uvedené chování. Možná bych to ještě tak pochopil kdyby celá ČR fungovala pro jejich poštu přes jedinou proxy s životností záznamů celé měsíce, spíše ale roky.

P.S.
Ono přistupovat k poště bez šifrovaného přístupu... Zpravidla i na vlastním stroji (počítač plně pod správou jediného koncového uživatele) mají lidé vypnutou podporu cache pro zabezpečený web. Pokud vím, tak u browserů tohle bývá jako výchozí nastavení.

Ale tohle opravdu asi není primárně jejich bezpečnostní průser. Podle popisu skoro jistě jde o nějaké bizarní nastavení proxy v síti uživatele, kdy ta proxy přes kterou se připojují dva uživatelé centra je schopná využít autentenzaci jednoho uživatele a výsledek zobrazit někomu jinému.

Podivně nastavené firemní sítě je problém který je obecný, jako poskytovatel nějaké obecné služby s tím bojujete pořád, běžné špatné situace máte vyřešené, ale vždycky je možnost že to nějaké zařízení po trase prasí nějakým novým kreativním způsobem. Když vezmu trochu jiný protokol, tak jsem pro jednu webhostingovou firmu spravoval mailservery, a třeba jednou z perliček tohoto typu byla "transparentní" proxy která odchytává veškerý provoz na portu 25, předává i autentizaci a podobně, ale má interně nastavený limit na velikost zprávy 10M. Uživatel se na vás pochopitelně obrací s dotazem, že i když má v administraci mailu nastavený limit 30M, nedaří se mu větší zprávy odeslat.

Obecně je to vlastně zvláštní druh man-in-the-middle útoku, kde ale bohužel často firemní pravidla omezují možnosti se bránit :-)

Však tady se ani nemluví o tom, že by někdo prolomil bezpečnost na straně serveru, je to spíš podobné tomu, když se někdo přihlásí v internetové kavárně k mailu, odběhne na záchod a vy si sednete k jeho počítači.

Já teda na Atlas účet již minimálnš deset let nemám... ale HTTPS přístup byl možný, i když nebyl (tehdy) nikdy oficiálně ani oznámen. Podrobnosti si už ale bohužel nepamatuji.

Myslím, že tehdy fungoval veřejně i SMTP server, bez použití přihlašovacích údajů. Pak to snad na celém českém Internetu zrušili.
Microsoft tehdy pořád "řešil" lákání dětí úchyláky (myslím, že se to vůbec nikdy nedělo) a rušil všechny technologie, kterými mohli lidi svobodně komunikovat mezi sebou. Bylo ti ještě před pohlcení Centrumem.

Pokud ten "cizí login" nikdy přes danou proxy nepřistupoval, pak by to byla samozřejmě jednoznačně chyba jen a pouze cílového systému.

Pokud ale proxy _například_ ignoruje cookies, nebo je třeba v odchozích požadavcích nahrazuje nějakou stále stejnou hodnotou, tak co s tím má asi cílový systém dělat?

Jinak řečeno, pokud uživatel přistupuje přes nedůvěryhodnou síť, tak musí počítat s nedůvěryhodnými odpověďmi.

Přesně tak, tohle jsem taky nepochopil.
Setkal jsem se s tak ujetým chováním některých proxy (např. transparentní proxy s nutností autentizace ... která ovšem autentizaci řešila návratem normální stránky s přihlašovacím formulářem a kódem 200, takže např. různé automaty neměly šanci poznat že tyto "podvržené" stránky nejsou platnou odpovědí skutečného HTTP serveru), že bych se kešování cookies ani nedivil.

Libovolny prostrednik v ceste jednoduse nemuze ovlivni blbe nastavenou bezpecnost na strane serveru.

lol ... zeby nekdo z centra? Od kdy muze chyba na mem pocitaci za to, ze se prihlasim do ciziho systemu pod cizim loginem? V takovem pripade je VZDY a zcela jednoznacne chyba na strane provozovatele toho systemu - on je jediny kdo muze a tudiz musi login zabezpecit. Pokud pro to zvoli zcela nevhodne technologie, je to jen a pouze jeho chyba.

A pak poslete tem mail jako open text po netu ... nebo kazdy poctive sifrujete?

Ne ze bych neocekaval https jako standard. Ale to je jen mala soucast.

To je klidne mozny ... jenze v tohle pripade je ten blb zcela jasne urcen tim vyjadrenim. Ne ze by byl sam, firem, kterym se nareportuje bug, ci primo bezpecnsotni pruser, a ony tvrdi, ze je prece vse OK ... je neurekom.

No to je pravda, ale bylo něco podobného pozorováno "in the wild" tou proxy co cachuje , nebo je to jen teoretický konstrukt?

Jinak, dalším poměrně účinným způsobem obrany je kryptování URL, které pomáhá i proti podvrhování URL.

Já pořád nechápu, když Internet je celosvětový, tak proč používat zrovna nějaké centrum, seznam a jiné české freemaily?

Stejně se jenom snaží (nepříliš dobře a funkčně) okopírovat zahraniční servery, tak proč nepoužívat přímo originál?

Například Seznam se úplně otevřeně snaží kopírovat Gmail, takže opravdu nechápu, proč nepoužívat přímo ten. Zdarma jsou oba.

Chápu proč si někdo koupí padělek hodinek a ne R*o*l*e*x (nechápu proč je to zakázané slovo :-D) za 400 000 Kč. Ale jenom blbec si může vzít vědomě napodobeninu, když má na výběr i originál a oba zdarma :-)

To jste se jim pomstil, nezatěžujete jim mail server, a to z čeho freemail financují mohou relizovat nadále.

nebyl jsem připojen v adresátech a když jsem dal odpovědět tak jim zpráva nedorazila. Když jsem to dotyčným řikal, neveřili do doby, než jsem jim popsal obsah emailu. Společným znakem bylo, že mě dotyční jedinci měli v adresáři, ale rozhodně mi nic neposílali. Sám jsem u seznamu schránku neměl.

K poslednímu odstavci: No, dalo by se to celé tahat po HTTPS - což by ale zase přineslo jiné problémy :)

Byl jsem svedek toho, kdy jsme meli spolecnou sit v panelaku a pres ucet jednoho znameho co se pripojil na centrum email se najedou objevil v uplne cizi schrance.
Trosku divny, ze rozhodne nebyli na 1 PC a puvodni login kdyz uz byl pouzity jiny nevyprsel ihned ;-).

Jak ten mechanismus nastavit, to opravdu netuším. Možná zrušením funkce "zapamatovat" u přihlašovacího okna? Alespoň jako workaround? Pak nasazením https do celé struktury webmailu i za cenu zpomalení komunikace? Já opravdu netuším, jak zabránit zneužití cookies pomocí proxy.

Ten vůl pošťák je ta vaše proxy. Jak má odesílatel (server, nikoli pošta!) podle vás nastavit mechanismus, aby jeho zásilku nedoručovali lidi s nějakou konkrétní mentální dysfunkcí či s nižším intelektem? Protože tohle je problém někde v té doručovací infrastruktuře, která už je mimo dosah odesílatele.

Tak je to možná chyba celé autentizační technologie, kterou Centrum.CZ využívá. Chyba je určitě z části na straně proxy a z části na straně centra. Centrum totiž umožní vstup do schránky při chybě externích systémů.

Jak by se vám líbilo, když byste měl od dveře od bytu u s bezpečnostním zámkem, které by šly mimo jiné odemknout nekvalitním klíčem, ukovaným na koleně, který by se originálnímu klíči navíc vůbec nepodobal. Zámek by neměl vůbec přijmout takový klíč.

Prostě je tu problém, pojďme ho řešit a ne o tom polemizovat v diskuzi a osočovat novináře. Od toho jsou jiní borci.

Vždyť to by se dalo ale považovat za skvělý bezpečnostní prvek :D

Vůbec nezpochybňuji, že problém existuje. Pouze zpochybňuji páně Dočekalovo "evidentní" tvrzení, že se jedná o chybu Centra, naopak považuji za pravděpodobné, že za to může vaše proxy. Daty to podložené nemám (ale to pan Dočekal chybu Centra také ne), pouze cca 15 lety zkušeností se síťovými protokoly.

Howgh.

Zajímavá metafota s idiotem pošťákem.... Pak je třeba na straně poštovního úřadu nastavit takové mechanismy, aby poštu nemohli doručovat idioti :-) I když... v našem případě nevstupuje do procesu lidský faktor :-)

Martine Mareši,

v době, kdy se mi tato chyba přihodila, jsem nesebral logy z proxy hned, neb jsem netušil, že by mohl být problém právě v proxy. A podložené to samozřejmě je opakovaným testováním za přítomnosti technika Centra, jak je uvedené v článku. Zdá se, že vy nemáte v ruce nic, ale přesto to Vaše "nic" slouží jako velký argument ke zpochybnění celého článku.

Jak už jsem psal, chybná proxy vám může vydat jakákoliv data, která přes ni v minulosti protekla, a server na tom nic nezmění.

Zprasená proxy, která uživateli poskytne údaje patřící jinému uživateli (v tomto případě zřejmě session cookies), je principiálně problém naprosto mimo server. To byste taky mohl tvrdit, že když máte za pošťáka idiota, který hodí dopis určený vám do schránky vašeho souseda, tak je to chyba odesílatele.

Právě proto, že se jedná o problém, který byl za minulé roky pozorován (nebo alespoň zveřejněn) jen tak řídce, považuji za velmi pravděpodobné, že se jedná o chybnou proxy. Ostatní symptomy tomu také nasvědčují.

Vaše tvrzení, že se to tohoto případu netýká, je sice kategorické, ale naprosto nepodložené. Pokud máte v ruce jakákoliv fakta, nejlépe záznam komunikace mezi serverem a klientem, ze kterého bude vidět, co se vlastně stalo, sem s nimi. Pak se konečně přesuneme na půdu seriózní technické diskuse namísto bulvární novinařiny.

Pokud by měla být klíčem pro přístup do cizí schránky doprasená proxy, tak je to selhání bezpečnostních mechanismů na straně serveru.

Pane Dočekale, píšete: "V případě použití cookies pro udržení sezení (session) žádný proxy server nemůže vstoupit do hry."

Tím se usvědčujete z fatální neznalosti toho, jak funguje HTTP a proxy servery zvláště. Než o tom příště zase něco plácnete, nechcete si o tom, jak HTTP funguje, konečně něco přečíst? Nejlépe specifikaci.

Přes proxy server prochází veškerá komunikace mezi serverem a klientem. Proxy ji může naprosto libovolně modifikovat a použití cookies na tom nic nemění. Korektně implementovaná proxy (a takových je většina) samozřejmě zachovává sémantiku jednotlivých požadavků a data z různých sessions důsledně odděluje.

Jenže ne každá proxy se chová podle standardu (nebo aspoň podle zdravého rozumu): za ta léta, co se sítěmi zabývám, jsem potkal dost takových, které porušovaly standard HTTP snad všemi myslitelnými způsoby a byly schopny uživateli vydat například rok starý obsah či odpověď na dotaz poslaný s jinými cookies, případně obsah stránky s úplně jiným URL.

Pokud sedíte za takovouhle proxy, může se s vašimi daty stát naprosto cokoliv. Provozovatel serveru, ke kterému se připojujete, to může sotva ovlivnit, nanejvýš by se mohl pokusit chybnou proxy rozpoznat a zobrazit vám důrazné varování, že vaše data nejsou v bezpečí.

Pane Dočekale, znáte-li nějaký způsob, jak se těmto problémům spolehlivě vyhnout, budu rád, když se o něj podělíte.

mám schránku na atlas.cz. (jako záložní pro případ nouze) a na můj dotaz jestli je možno se přihlásit a pracovat přes https mi podpora sdělila že to možné není. a tím u mne skončili.

Já jsem před několika lety pro jistotu přestal svůj účet na Centru používat - asi 5 minut po jeho založení - poté co jsem po řadě pokusů o první přihlášení experimentálně zjistil, že místo znaku '&' ve svém hesle musím psát '&'

Dobrý den Kajo, co je to za reakci? Jak to souvisí s článkem?
1. fakta popsaná v článku jsou pravdivá, neb jsem k nim poskytnul podklady a uvedený fraud nastal.
2. S Centrem i nadále pracuji na nalezení zmíněné chyby a snažíme se najít přesné podmínky, které musí být splněny, aby se proxy zachovala nelogicky
3. Kde jinde se vám u freemailu stane, že za vámi přijede technik od poskytovatele služby a společně zjišťujete příčinu?

Mirek

Jestli to není spíš tak, že tím über blbem je Dočekal...

Pane Docekal. Sve osobni problemy a konflikty byste nemel kombinovat se svou profesi. Pokud vam vadi nekdo z lidi v Centru, tak o tom napriklat Twitujte, ale psat clanky, kde opevujete svou vlastni aroganci a neschopnost spolupracovat na konstruktivnim reseni, mi prijde ubohe. Zvlast vuci firme, kde vas drtiva vetsina lidi nema rada ne za to, o cem pisete, ale za to, jaky jste "charakter"! Nebudu Centrum nijak obhajovat a souhlasim s tim, ze otazka bezpecnosti mailu je dulezita, ale z vas a z vasi prace je mi opravdu spatne...

"V případě použití cookies pro udržení sezení (session) žádný proxy server nemůže vstoupit do hry."
Co je tohle za blábol? Jak "nemůže"? Jasně že může. Proxy server může manipulovat s čímkoli (a tudíž i cachovat cokoli), co skrz něj prochází, cookies nevyjímaje.

Freemaily nepoužívám. Pokud chci slušnou bezpečnost je nutné použít https po celé sezení a to na počítači kterému důvěřuji. Nutné je mít i dobře pohlídané ověření certifikátu. Také není vhodné, aby měl jiný uživatel přístup k mému profilu v prohlížeči. Pokud není užito důvěryhodné https po celé sezení na důvěryhodném počítači a s důvěryhodným provozovatelem je veškerá hra na bezpečnost legrační. Nejde jen o Centrum týká se to i těch ostatních...

Evidentně to "všichni ostatní" vyřešené mají, takže jen mlží a doufají, že se na to zase zapomene, protože už tam nezůstal nikdo, kdo by se v tom za ty roky vyznal :)

Jinak receno, tech mnoho odstavcu lze shrnout do jedine vety. Provozovatele centra jsou neschopni idioti a stepan burda je uber blb.

V normalnim pripade bych totiz ocekaval, ze provozovatel sklapne paty, bude drzet hubu, a 24/7 makat na tom, aby se neco takovyho uz nikdy nestalo.

Email na centru mám tuším od roku 2000, kdy jsem si ho na střední škole založil. Jednou se mi to tam stalo také, takže někdy mezi lety 2000 - 2004. Pravda, tam byl proxy server natolik agresivní, že pokud se stránka načetla v tehdejším IE 5.5 na jinak šnečím připojení rychle, tak byla vždy zoufale neaktuální :)

Nicméně tohle by se jim fakt stávat nemělo...