The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Опубликован первый черновик стандарта Strict Transport Secur..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Опубликован первый черновик стандарта Strict Transport Secur..."  +/
Сообщение от opennews (??) on 21-Мрт-16, 14:46 
Комитет IETF (Internet Engineering Task Force), занимающийся развитием протоколов и архитектуры Интернет, опубликовал (https://tools.ietf.org/html/draft-margolis-smtp-sts-00) первый черновой вариант спецификации SMTP Strict Transport Security (SMTP STS), подготовленной экспертной группой из представителей компаний Google, Yahoo, Comcast, Microsoft и LinkedIn. SMTP STS реализует механизм, позволяющий почтовым службам информировать  клиента, установившего соединение через незащищённый канал связи, о возможности установки защищённого TLS-соединения, применения различных схем проверки сертификатов и  определения политики отклонения сообщений, которые не могут быть доставлены безопасно.


По своей сути SMTP STS близок к протоколу HSTS (https://ru.wikipedia.org/wiki/HSTS) (HTTP Strict Transport Security), который позволяет администратору web-сайта
указать на необходимость обращения только по HTTPS и автоматизировать проброс на HTTPS при изначальном обращении по ссылке на HTTP. Только вместо HTTPS и HTTP, объектами действия SMTP STS являются STARTTLS и SMTP. Отличия  SMTP STS  от похожего механизма DANE (https://ru.wikipedia.org/wiki/DANE) (DNS-based Authentication of Named Entities) сводятся к тому, что DANE проводит аутентификацию  через DNSSEC, в то время как SMTP STS полагается на инфраструктуру открытых ключей  с удостоверяющими центрами. Эталонная реализация SMTP STS подготовлена (https://github.com/mrisher/smtp-sts/) для почтового сервера Exim и может быть применена без модификации исходных текстов.


URL: https://news.ycombinator.com/item?id=11320680
Новость: http://www.opennet.dev/opennews/art.shtml?num=44079

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Опубликован первый черновик стандарта Strict Transport Secur..."  +3 +/
Сообщение от Аноним (??) on 21-Мрт-16, 14:46 
> Google, Yahoo, Comcast, Microsoft и LinkedIn.

собрались главные велосипедостроители и решили замутить очередной костыль

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Опубликован первый черновик стандарта Strict Transport Secur..."  +1 +/
Сообщение от Аноним (??) on 21-Мрт-16, 15:50 
Нет, главные знатоки, как другим жить, с кем говорить и о чем
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

6. "Опубликован первый черновик стандарта Strict Transport Secur..."  +5 +/
Сообщение от Нимано on 21-Мрт-16, 16:10 
> Нет, главные знатоки, как другим жить, с кем говорить и о чем

А так же каким ДЕ, браузером, плагинами к нему, версией ядра и системой инициализации пользоваться. Только я не понял, к чему тут опеннетчиков упоминать? o_O


Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

2. "Опубликован первый черновик стандарта Strict Transport Secur..."  +/
Сообщение от Аноним (??) on 21-Мрт-16, 15:04 
Непонятно нихрена. Если у меня постфикс работает только через starttls, накой эта хрень нужна?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Опубликован первый черновик стандарта Strict Transport Secur..."  –1 +/
Сообщение от Moomintroll (ok) on 21-Мрт-16, 15:15 
The STARTTLS extension to SMTP [@!RFC3207] allows SMTP clients and hosts to establish secure SMTP sessions over TLS. In its current form, however, it fails to provide (a) message confidentiality — because opportunistic STARTTLS is subject to downgrade attacks — and (b) server authenticity — because the trust relationship from email domain to MTA server identity is not cryptographically validated.

While such "opportunistic" encryption protocols provide a high barrier against passive man-in-the-middle traffic interception, any attacker who can delete parts of the SMTP session (such as the "250 STARTTLS" response) or who can redirect the entire SMTP session (perhaps by overwriting the resolved MX record of the delivery domain) can perform such a downgrade or interception attack.

Ну и далее по тексту: https://github.com/mrisher/smtp-sts/blob/master/spec.md

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Опубликован первый черновик стандарта Strict Transport Secur..."  +1 +/
Сообщение от Аноним (??) on 21-Мрт-16, 15:26 
примерно понятно, но всё равно похоже на кривой костыль
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

8. "Опубликован первый черновик стандарта Strict Transport Secur..."  +/
Сообщение от Sw00p aka Jerom on 21-Мрт-16, 17:05 
>>any attacker who can delete parts of the SMTP session

ну пусть человек по середине удаляет 250 STARTTLS - постфикст не примет соединение если стоит smtpd_tls_security_level = encrypt

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

14. "Опубликован первый черновик стандарта Strict Transport Secur..."  +1 +/
Сообщение от None (??) on 21-Мрт-16, 20:58 
Ну решишь ты эту задачу одним параметром в конфиге и что?
А тут - новый протокол, комитеты, заседания, фуршеты, такие бюджеты корпоративные осваиваются...
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

19. "Опубликован первый черновик стандарта Strict Transport Secur..."  +/
Сообщение от Sw00p aka Jerom on 22-Мрт-16, 17:49 
> А тут - новый протокол, комитеты, заседания, фуршеты, такие бюджеты корпоративные осваиваются...

Новый протокол ? да я только рад этому, и давно нуно списать смтп на покой. в место того чтобы толкать эту фигню - лучше бы дейн тлс продвигали бы. днссек поголовно имплементировали бы.



Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

21. "Опубликован первый черновик стандарта Strict Transport Secur..."  –1 +/
Сообщение от . on 23-Мрт-16, 05:59 
Му-ха-ха :-) Д***л, smtp никто не трогает. Они упорядочили танцы вокруг starttls и всио, мучайсо! :-р
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

22. "Опубликован первый черновик стандарта Strict Transport Secur..."  +/
Сообщение от Sw00p aka Jerom on 23-Мрт-16, 15:30 
>> Они упорядочили танцы вокруг starttls

а тут по подробонее, что это там упорядочили?

>>Д***л, smtp никто не трогает.

взаимно Д***б

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

17. "Опубликован первый черновик стандарта Strict Transport Secur..."  +/
Сообщение от Аноним (??) on 22-Мрт-16, 08:28 
никто не запретит быть шифрованному каналу от тебя до этого типа, а от типа до отправителя - не шифрованному.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

18. "Опубликован первый черновик стандарта Strict Transport Secur..."  +/
Сообщение от Sw00p aka Jerom on 22-Мрт-16, 17:47 
smtp_tls_security_level = verify

какая разница, суть в том, что отправитель должен верефицировать получателя

принимать и отправлять только по тлс - вырезай не вырезай start tls - без установки тлс ничего не приментся и не отправится.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

10. "Опубликован первый черновик стандарта Strict Transport Secur..."  +/
Сообщение от Admino (ok) on 21-Мрт-16, 17:32 
А почту от других пользователей ты не получаешь?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

12. "Опубликован первый черновик стандарта Strict Transport Secur..."  +/
Сообщение от Аноним (??) on 21-Мрт-16, 17:57 
получаю, и старттлс все могут
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

7. "Опубликован первый черновик стандарта Strict Transport Secur..."  +4 +/
Сообщение от Sailfish (ok) on 21-Мрт-16, 16:55 
Для веба, несомненно, актуальнее. Но почему бы и нет.
А то, что нелюбимые вами корпорации присутствуют, то это, наоборот, хорошо -- даёт некую гарантию, что один и тот же стандарт будут использовать все вместо кучи вендорных расширений протокола.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Опубликован первый черновик стандарта Strict Transport Secur..."  +/
Сообщение от dr Equivalent (ok) on 21-Мрт-16, 17:30 
К сожалению, никаких гарантий это не дает :(
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

11. "Опубликован первый черновик стандарта Strict Transport Secur..."  +/
Сообщение от Sailfish (ok) on 21-Мрт-16, 17:42 
Ну, уж они-то хотя бы будут следовать, раз сами договорились? :-)
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

13. "Опубликован первый черновик стандарта Strict Transport Secur..."  +6 +/
Сообщение от Аноним (??) on 21-Мрт-16, 18:01 
> Ну, уж они-то хотя бы будут следовать, раз сами договорились? :-)

Микрософт будет следовать чему-то кроме того, что шепчут ему грибы?

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

15. "Опубликован первый черновик стандарта Strict Transport Secur..."  +/
Сообщение от None (??) on 21-Мрт-16, 21:04 
> Для веба, несомненно, актуальнее. Но почему бы и нет.
> А то, что нелюбимые вами корпорации присутствуют, то это, наоборот, хорошо --
> даёт некую гарантию, что один и тот же стандарт будут использовать
> все вместо кучи вендорных расширений протокола.

Я так понимаю, всё идёт к тому, что без валидного сертификата отправить что либо на @gmail.com и т.п. нельзя будет.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

24. "Опубликован первый черновик стандарта Strict Transport Secur..."  +/
Сообщение от scorry (ok) on 24-Мрт-16, 12:27 
Можно подумать, что получение валидного сертификата сейчас составляет какую-то трудность.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

16. "Опубликован первый черновик стандарта Strict Transport Secur..."  +/
Сообщение от Ан (??) on 21-Мрт-16, 21:30 
То что тут пытаются что-то стандартизировать не даст ровным счётом ничего. В почтовых серверах полно своих особенностей у всех вендоров.
А как показала история на примере OpenGL даже 1 стандарт не гарантирует того что каждый вендор не будет тянуть одеяло на свою половину.
Хорошо конечно что эти гиганты договариваются, но остальным от этого ни холодно ни жарко.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

25. "Опубликован первый черновик стандарта Strict Transport Secur..."  +/
Сообщение от scorry (ok) on 24-Мрт-16, 12:30 

> В почтовых серверах полно своих особенностей у всех вендоров.
> А как показала история на примере OpenGL даже 1 стандарт не гарантирует
> того что каждый вендор не будет тянуть одеяло на свою половину.

Как только с особенного сервера перестанет доходить почта до другого, не особенного, админы со скоростью, превышающей световую, понесутся исправлять неисправленное. Причём помогать им будет пистон полуметровой, как минимум, длины, вставленный в необходимое технологическое отверстие кем-то вроде CTO или CEO.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

20. "Опубликован первый черновик стандарта Strict Transport Secur..."  +/
Сообщение от Аноним (??) on 23-Мрт-16, 00:36 
SMAP / IMAP

SMTP и  POP3 не нужны

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "Опубликован первый черновик стандарта Strict Transport Secur..."  +/
Сообщение от Онаним on 25-Мрт-16, 20:18 
В принципе да (для клиент-серверного общения я бы вообще оставил только IMAP - пусть бы клиент просто клал исходящую почту в специальную Outbox-папку и никаких SMTP ему не надо), но учитывая уровень кривизны и разнообразие реализации того же IMAP в разных клиентах, на практике я до сих пор предпочитаю использовать POP3 там где это уместно.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру