The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"В сервисе Let's Encrypt произошла утечка email-адресов части..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В сервисе Let's Encrypt произошла утечка email-адресов части..."  +/
Сообщение от opennews (??) on 13-Июн-16, 23:53 
Некоммерческий удостоверяющий центр Let’s Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, сообщил (https://community.letsencrypt.org/t/email-address-disclosure...) об инциденте, в результате которого произошла утечка 383 тысяч адресов электронной почты пользователей сервиса (около 1.9% от общей пользовательской базы).


Утечка произошла из-за некорректной организации массовой рассылки уведомления об изменении условий предоставления сервиса. Недоработка в скрипте рассылки привела к тому, что к телу письма добавлялись данные о других получателях (прикреплялось от 0 до 7618 email), т.е. получатель письма мог увидеть сведения о других пользователях.


URL: https://community.letsencrypt.org/t/email-address-disclosure...
Новость: http://www.opennet.me/opennews/art.shtml?num=44597

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "В сервисе Let's Encrypt произошла утечка email-адресов части..."  –28 +/
Сообщение от Аноним (??) on 13-Июн-16, 23:53 
предпочитаю использовать startssl, от него куда меньше пафоса
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "В сервисе Let's Encrypt произошла утечка email-адресов части..."  +25 +/
Сообщение от Аноним (??) on 14-Июн-16, 00:54 
А можно какое-нибудь сравнение удостоверяющих центров по уровню пафоса? Желательно с наглядным представлением в нормализованных единицах.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

13. "В сервисе Let's Encrypt произошла утечка email-адресов части..."  +/
Сообщение от Аноним (??) on 14-Июн-16, 09:35 
Ну, LE - это половина микропафоса, а Старт - примерно четверть.

Зато не получить серт на несколько поддоменов домена, зато риск остаться без серта, если проект им кажется коммерческим... И т.д.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

18. "startssl"  +/
Сообщение от имхо on 14-Июн-16, 12:46 
Несколько — это сколько? Оказалось что сейчас выдают на 5 (под)доменов и 6й автоматом к первому — www добавляет (у меня так получилось когда сделал сертификат на пять доменов). А также в этом году стали поддерживать кириллические (idn) домены. Конкуренция?

PS. Пользуюсь и тем и другим (а даже глобалсигном, когда бесплатно EV раздают :)

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

42. "В сервисе Let's Encrypt произошла утечка email-адресов части..."  +1 +/
Сообщение от Онаним on 15-Июн-16, 17:11 
> Зато не получить серт на несколько поддоменов домена, зато риск остаться без серта, если проект им кажется коммерческим... И т.д.

Это у кого такая хрень? У LE?

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

4. "В сервисе Let's Encrypt произошла утечка email-адресов части..."  +/
Сообщение от Crazy Alex (ok) on 14-Июн-16, 01:01 
И всё надо делать руками через веб-мордочку.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

20. "В сервисе Let's Encrypt произошла утечка email-адресов части..."  –5 +/
Сообщение от пох on 14-Июн-16, 13:14 
какой ужас, да, руками надо что-то делать, аж раз в году.

Если вам дороги ваши данные (или данные ваших пользователей) - ни в коем случае не делайте ничего руками, надо все доверить кривым скриптам, написанным альтернативно-одаренными, желающими осчастливить человечество.
Даже когда они явно вам демонстрируют свои охренительные умения как писать скрипты, так и вообще использовать технологию (как будто сразу было непонятно) - все равно продолжайте этим пользоваться.

Единственная полезная ниша для летсэнкрипта - это создание шума - чтобы то, что на самом деле стоит прятать, не выглядело заметным на фоне тонн обычного порнотраффика, "зашифрованного" только потому, что ну вот же галочка, и "оно же бесплатно". За это им, конечно, особое спасибо.

Для всего остального есть либо платные (если ваш проект приносит какие-то деньги - никакого ужаса в этом нет) либо собственные сертификаты (если у вас тыща виртуалок, пошифровать все не "хочется", а "есть серьезная прична", нет никаких поводов не завести свой CA - в котором лично ты будешь уверен, что он не подарит свой ключ левым людям).
Ну и startssl для ограниченного числа хомячков, где протухание сертификата не является катастрофой, просто мелким разовым неудобством, за избавление от которого нет смысла платить.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

22. "В сервисе Let's Encrypt произошла утечка email-адресов части..."  +4 +/
Сообщение от Crazy Alex (ok) on 14-Июн-16, 14:34 
Ну вот когда я поднимаю хост я не думаю "а может, мне здесь не нужно шифрование, давай telnet подниму", даже если это хост в домашней локалке. Я просто стандартно леплю sshd. Точно так же мне в голову не придёт поднимать ftp - будет или webdav over https или sftp.

Ровно так же когда я что-то архивирую в облако я не собираюсь каждый раз решать - а есть ли там что-то такое, что надо шифровать? - я просто шифрую всё и сплю спокойно.

Так и с Let's Encrypt - это хорошая страховка для того, чтобы не забыли добавить https там, где вдруг оказалось что-то, что надо прикрыть. Да, руками делать что-то, что может быть автоматизировано - плохая идея. Особенно если раз в год - либо забудешь сделать, либо забудешь, как делал, либо этот год закончится в самый неподходящий момент.

А насчёт скриптов - я что-то не видел реальных претенизий/багов/уязвимостей  у них - одни невнятные стоны.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

24. "В сервисе Let's Encrypt произошла утечка email-адресов части..."  –2 +/
Сообщение от пох on 14-Июн-16, 15:01 
> Ну вот когда я поднимаю хост я не думаю "а может, мне здесь не нужно шифрование, давай
> telnet подниму"

телнет в фрюниксах - штука _отдельная_, требующая совершенно отдельных телодвижений (и отдельно замысловато ломаемая, причем, в виду отстутствия к нему интереса, опасная). Поэтому да, ненюжен.
А так - да, с цисками, к примеру, это довольно обычно - "у нас все закрыто acl'ями/управление изолировано от транспорта и на входе отдельный файрволлNG/etc, при этом половина железа с npe-лицензиями и один хрен там крипты не будет, поэтому, для единства конфигурации принимается поддержка telnet везде, и ssh - на поименно названных устройствах".
Один хрен там векторов атак мильен, и перехват телнета самая последняя и неудобная в списке.

> Точно так же мне в голову не придёт поднимать ftp - будет или webdav over https или sftp.

вот странно - я везде поднимаю именно ftp. Именно потому что он значительно безопаснее, с точки зрения владельца хоста, а не сервиса, и эффективнее тоже (и можно закрытый ssl, а можно с opie-паролями). И мне нужны очень веские причины, чтобы завести на хосте sftp для тех, кому я не мог бы просто так дать шелл.

Но даже оставляя все это на личное усмотрение - чем плох self-signed или own CA для _таких_ случаев ?
Кроме того, что вот да, нету возможности быстро-быстро-не-включая-мозгов поставить пять пакетиков из стремного репозитория (желательно .deb без подписи) и пойти чай пить (если только ты уже их сам не нарисовал и в свой личный репо не сложил ;-)

> Особенно если раз в год - либо забудешь сделать, либо забудешь, как делал, либо этот
> год закончится в самый неподходящий момент.

еще раз - startssl/одиночные сертификаты с ручным обновлением раз в год - это для либо единственного-любимого, либо "а, серт протух? Ну и нажми "все равно открыть", через месяц вернусь, обновлю.
Для того за что платят деньги, нужно обзаводиться _своей_ инфраструктурой и _своими_ скриптами, и вот тут летсэнкрипт, увы, совершенно бесполезен, и даже вреден - заставляет тратить время и силы еще и на объяснения, почему обязательно надо делать свое.

> А насчёт скриптов - я что-то не видел реальных претенизий/багов/уязвимостей  у них -
> одни невнятные стоны.

ну вот, а новость-то эта о чем?
Ты во-первых, не знаешь самого главного - что за скрипты (а так же что там за человеки и стандарты безопасности) с _той_ стороны, а то что вот видно - оно явно между очень плохо и совсем отвратительно.
Во-вторых, те кто могли бы всерьез разобраться - скорее всего, просто не интересуются, у них-то точно давно свой CA настроен.

По сути вся система веб-ssl никуда не годная, конечно - начиная от "доверенных центров", которым доверять нельзя категорически.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

27. "В сервисе Let's Encrypt произошла утечка email-адресов части..."  +1 +/
Сообщение от Crazy Alex (ok) on 14-Июн-16, 16:15 
К.О.: self-signed плох тем, что на него исключения добавлять надо, вестимо. то же и со своим  CA - нормально, пока доступ строго внутри организации, где можно его везде запихать. Если речь идёт о том, чтобы на сайт мог заходить кто-то сторонний - то не самое радостное решение. А делать "только для своих" опять чревато тем, что вдруг окажется, что ходит на него кто-то ещё.

А насчёт безопасности - эта новость к собственно сертфикатам имеет отношения ровно ноль. И да, я не знаю, что там с той стороны. Как не знаю, что с той стороны у StartSSL или, допустим, гугла, который сто лет как аналогичным образом проверял владельца домена для гуглоаппсов - без каких-либо проблем. И пофиг - пока я не видел ни одной новости вида "ааа, клиента летсенкрипт взломали из-за кривых скриптов", а времени прошло немало и куча людей им пользуется. За let's encrypt, по крайней мере, более-менее известные игроки стоят, в отличие от StartSSL. Я ж его не вместо корпоративного CA предлагаю - а именно вместо подобных левых конторок или, паче, вместо нешифрованного http.

Что до "доверенных центров" - надо просто понимать, в каком контексте им можно доверять. Как и в любых вопросах безопасности - первое - модель угроз. Для коммерции, допустим - никаких проблем. Для того, чтобы гарантированно отсечь разных недохакеров - тем более. А если в шпионов играешь - ну да, другие меры нужны, кто б спорил.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

30. "В сервисе Let's Encrypt произошла утечка email-адресов части..."  –1 +/
Сообщение от пох on 14-Июн-16, 17:14 
> self-signed плох тем, что на него исключения добавлять надо

if security _is_ issue - надо поудалять все идиотские "доверенные центры" сразу и отовсюду. Ну да, ну да, ни один модный-современный браузер в таком режиме работать не сможет, и даже причину на экране не покажет, но это, в общем-то, вторичная проблема.
Если нет - next-next-next-ok-упс...восстановите пожалуйста 167й vde - ну надо пользователю нажать на одну галочку больше, и что с того?

Внутри корпорации - ну, там помимо веба еще в ста местах нужны сертификаты, начиная от wifi и заканчивая vpn. И да, желательно более-менее доверенные. Нет бабла на intermediate ca кого-нибудь приличного, значит, ставим везде свой, еще одна галочка в системе авторазлива помимо ста тыщ и так имеющихся, в чем проблема-то и чем тут LE помог бы?
У меня вот и на некоторые веб-сервисы доступ по сертификату, ага, юзверьскому.

> А делать "только для своих" опять чревато тем, что вдруг окажется, что ходит на него
> кто-то ещё.

ну и нажмет "доверять всегда", в чем проблема-то? Скорее уж у него корпоративной политикой окажется прибито использование MSIE 8й версии без автообновлений сертификатов, и LE'шные помечены как неизвестный CA.

> И пофиг - пока я не видел ни одной новости вида "ааа, клиента летсенкрипт взломали из-за
> кривых скриптов"

так и не увидишь - взломали-то не клиента летсенкрипт, а сперли очередные логины-пароли от очередного втентаклиттера у конечного юзверя, который вообще ничего ни про какие сертификаты не знает и знать не хочет.

> Что до "доверенных центров" - надо просто понимать, в каком контексте им можно
> доверять. Как и в любых вопросах безопасности - первое - модель угроз. Для коммерции,
> допустим - никаких проблем.

после того как уже несколько раз их ловили на раздаче ключей "уважаемым людям" (у которых без особого труда их могло скопировать любое количество менее уважаемых и совсем неуважаемых, ибо те крайне плохо понимают, что это такое и зачем это надо хранить в сейфе на обесточенной флэшке) не говоря уже об истории технически незамутненных динозав...diginotar? Are you serious?
И cert pinning придумали вовсе не в [анти]шпионском ведомстве, а те, кому, казалось бы, "нечего скрывать от партии". Чего это они, действительно?

Единственный контектст, в котором им можно доверять - это "если там зелененькое - значит такая (не та самая, а _такая_) лавка правда имеет подпись и печать, похожие на настоящие, и кто-то с дипломом нотариуса как-то раз видел их плохой скан в ворде вложенном в pdf вложенный в tiff и присланный с неведомого мэйла в мэйлре"

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

33. "В сервисе Let's Encrypt произошла утечка email-адресов части..."  –1 +/
Сообщение от Crazy Alex (ok) on 14-Июн-16, 19:59 
Да пойми ты две вещи:
1) оно не для корпораций, во всяком случае, сейчас. Соответственно, все разговоры о покупке intermediate ce, политиках IE и подобном - не в тему.
2) HTTPS - не абсолютная защита ни разу. Но на порядок лучше вообще не шифрованного HTTP - и ровно в этом смысл летсенкрипта - чтобы можно избавиться от нешифрованного HTTP. Что означает - это должно делаться с минимальной морокой.
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

40. "В сервисе Let's Encrypt произошла утечка email-адресов части..."  –2 +/
Сообщение от пох on 15-Июн-16, 11:46 
> Да пойми ты две вещи:
> 1) оно не для корпораций, во всяком случае, сейчас

упс, ннниипоел? У тебя лично столько "на всякий случай, не включая мозг, пошифрованных просто чтоб было" серверов, что нужна вот такая автоматизация да еще и нельзя использовать самодельные CA при этом?

Мне казалось, оно затевалось как раз для взрослых (называешься ты при этом корпорацией или "добровольной некоммерческой инициативой" - при этом совершенно неважно, уже пора и за EV сертификатом, и за своим im ca если не прям щас, то в перспективе. Стойка с серверами доступными произвольной публике (иначе опять не нужны несамодельные CA) всяко на порядок дороже) - у кого большие фермы и просто не осилить руками все делать.

> 2) HTTPS - не абсолютная защита ни разу. Но на порядок лучше
> вообще не шифрованного HTTP - и ровно в этом смысл летсенкрипта

ну, я только вчера товарищу в соседней ветке объяснял, да, зачем нужен https там где "нечего скрывать". И, собственно, с этого и начал в первом же комменте - главная заслуга летсэнкрипта именно в этом - чтобы у героических рыцарей плаща и кинжала голова пошла кругом от невозможности отследить продажу молочных пакетов и засечь переговоры бабок о погоде и ревматизме, и на этом фоне то что на самом деле надо прятать - было каплей в море.

Стоит ли в этом участвовать своими собственными ресурсами - отдельный личный вопрос, на фоне данной новости мой ответ - резко отрицательный. Но у меня есть и im ca, и инфраструктура для собственных доверенных сертификатов, и раз в год зайти на startssl перегенерить пяток сертификатов на нужные, но не коммерческие проекты мне тоже несложно.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

5. "В сервисе Let's Encrypt произошла утечка email-адресов части..."  +2 +/
Сообщение от anonim12332 on 14-Июн-16, 01:11 
Есть еще wosign, у которого сертификат на 3 года взять на несколько доменов.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

10. "В сервисе Let's Encrypt произошла утечка email-адресов части..."  +3 +/
Сообщение от Аноним (??) on 14-Июн-16, 05:40 
только не сделать автопродление и не автоматизировать получение сертификатов на новые домены
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

16. "В сервисе Let's Encrypt произошла утечка email-адресов части..."  +/
Сообщение от Аноним (??) on 14-Июн-16, 10:30 
А главное - пафоса ещё больше, поэтому не всем подойдёт.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

17. "В сервисе Let's Encrypt произошла утечка email-адресов части..."  +1 +/
Сообщение от Ilya Indigo (ok) on 14-Июн-16, 11:12 
Китайцы уже давным-давно бесплатно дают только на год.
Причём на сайте у них написано, что на 3, но когда дело доходит до оформления заказа и символической оплаты, то оказывается, что при сроках на 2 и 3 года, оплата не такая уж и символическая, а вполне материальная.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

19. "В сервисе Let's Encrypt произошла утечка email-адресов части..."  –2 +/
Сообщение от Аноним (??) on 14-Июн-16, 13:02 
- У китайцев условия меняются со временем. На днях товарищ делал бесплатно на 2 года. Хуже что их CRL-сервера далеки и не особо шустры. OCSP stapling до них иногда отваливается. Поэтому, китайский сертификаты не особо годны для боевых серверов.

- StartTLS требовал авторизацию по паспорту.

- Let’s Encrypt поставь-нашу-шнягу-с-зависимостями-на-каждый-свой-сервер и молись каждые 3 месяца тоже идут лесом.

Собственно, выбирать не из чего.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

29. "В сервисе Let's Encrypt произошла утечка email-адресов части..."  +3 +/
Сообщение от ZiNk (ok) on 14-Июн-16, 16:43 
> Let’s Encrypt поставь-нашу-шнягу-с-зависимостями-на-каждый-свой-сервер и молись каждые 3 месяца тоже идут лесом.

Вот тут - https://github.com/diafygi/acme-tiny - один маленький пистоновый скрипт. Можно ввернуть в любимую башелапшу и всунуть в cron/systemd time unit по вкусу. Есть ещё кучка клиентов по вкусу.

Но если руки растут из того же места, что и ноги, то тогда беда-печаль, да.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

34. "В сервисе Let's Encrypt произошла утечка email-адресов части..."  +1 +/
Сообщение от CHERTS email(??) on 14-Июн-16, 20:58 
Пару дней назад получал у WoSign, на 3 года без проблем, а так примерно каждую неделю беру у них 1 сертификат, тоже проблем нет.
С OCSP stapling в последних версиях nginx (наверно с 1.9.x) тоже проблем нет, использую такой хак:
для сайтов:
server {
        listen XXXX:443 http2 ssl;
        server_name yyyy.ru;
....
        resolver 8.8.8.8 8.8.4.4 valid=300s;
        resolver_timeout 5s;
        ssl_stapling on;
        ssl_stapling_verify on;
        ssl_trusted_certificate /etc/nginx/ssl/wosign-ca.pem;
        ssl_stapling_responder http://127.0.0.1:9001/request/;
...
}

в основном nginx.conf

http {
....
        server {
                listen 127.0.0.1:9001;
                server_name ocsp.localhost;
                resolver 8.8.8.8 8.8.4.4 valid=300s;
                resolver_timeout 5s;
                location / {
                        return 503;
                }
                location ~ ^/request/(.*)$ {
                        allow 127.0.0.1;
                        deny  all;
                        proxy_pass http://ocsp6.wosign.com/ca6/server1/free/$1;
                }
        }
}

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

38. "В сервисе Let's Encrypt произошла утечка email-адресов части..."  +2 +/
Сообщение от . on 15-Июн-16, 11:31 
> С OCSP stapling в последних версиях nginx (наверно с 1.9.x) тоже проблем
> нет, использую такой хак:

ну и чем этот хак поможет в случае таймаута этой штуки, на которую люди и жаловались:

>  proxy_pass http://ocsp6.wosign.com/ca6/server1/free/$1;

? Правильный ответ - ничем.

А тотальная зависимость работы твоего сервера от доступности и неподмененности ns'ов гугля - это вот правильно, это верно. Товарищ майор одобряет.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

21. "В сервисе Let's Encrypt произошла утечка email-адресов части..."  +1 +/
Сообщение от Аноним (??) on 14-Июн-16, 13:27 
Пять дней назад сделали бесплатный на три года у этих китайцев как раз. У них так часто и так сильно меняются правила сервиса?
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

45. "В сервисе Let's Encrypt произошла утечка email-адресов части..."  +/
Сообщение от Ilya Indigo (ok) on 16-Июн-16, 00:08 
Видимо да.
Сегодня зарегистрировал аж 5 доменов на 3 года. Действительно на 3 года и бесплатно в автоматическом режиме быстро легко и удобно.
Только вот я не понял чем бесплатный домен Domain Control verification который предлагается на 1 год, отличается от обычного, который предлагают на 3 года?
И ещё я генерировал запрос оной коммандой
h=host && p=path && sudo openssl genrsa -out $p/ssl.key/$h.key 4096 && sudo openssl req -new -sha512 -key $p/ssl.key/$h.key -out $p/ssl.csr/$h.csr && cat $p/ssl.csr/$h.csr

И я наивно предполагал, что он в итоге получится 4096 с sha512, но в итоге он 2048 с sha256.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

2. "В сервисе Let's Encrypt произошла утечка email-адресов части..."  +3 +/
Сообщение от federix (ok) on 14-Июн-16, 00:15 
да и фиг с ним
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "В сервисе Let's Encrypt произошла утечка email-адресов части..."  +/
Сообщение от КЭП on 14-Июн-16, 02:45 
Они там не слышали про Bcc: (Blind carbon copy)?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "В сервисе Let's Encrypt произошла утечка email-адресов части..."  +/
Сообщение от alex (??) on 14-Июн-16, 03:16 
и почему нельзя просто циклом пройтись и отправить письмо каждому адресату отдельно?
не ручками ж поди отправить нажимают
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "В сервисе Let's Encrypt произошла утечка email-адресов части..."  +/
Сообщение от КЭП on 14-Июн-16, 03:27 
Распределение очереди для ускорения отдачи большими пачками в очередь MTA.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "В сервисе Let's Encrypt произошла утечка email-адресов части..."  +/
Сообщение от Какаянахренразница (ok) on 14-Июн-16, 05:32 
Спам из каминг.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "В сервисе Let's Encrypt произошла утечка email-адресов части..."  +3 +/
Сообщение от Аноним (??) on 14-Июн-16, 06:50 
там адреса навроде admin@domain, какая разница спаму?
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

35. "В сервисе Let's Encrypt произошла утечка email-адресов части..."  +1 +/
Сообщение от Какаянахренразница (ok) on 14-Июн-16, 22:09 
> там адреса навроде admin@domain

Шобы, значить, при потере контроля над доменом потерять всё сразу? Ну-ну...

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

37. "В сервисе Let's Encrypt произошла утечка email-адресов части..."  +/
Сообщение от . on 15-Июн-16, 11:26 
угу, я надысь порадовался, что у меня этот самый мэйл @соседний домен.
Забавное в этом то что a) стырить _оплаченый_ и _непоэкспайрившийся_ домен у меня попытался _регистратор_ b) и этого регистратора зовут, оппа - networksolutions.com  (там, похоже, уже не только весь менеджмент, но и владельцы - совсем-совсем индусские и совсем-совсем тупые. Стырить у них не вышло бы в любом случае, но, весьма вероятно, неделю-две ничего бы у меня нормально не работало. Но звоночек, да - какими бы регалиями ни была обвешана организация и какие бы за ней не числились прошлые заслуги - от такого поворота ты никогда не застрахован.)


Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

11. "В сервисе Let's Encrypt произошла утечка email-адресов части..."  +/
Сообщение от КЭП on 14-Июн-16, 05:40 
Ага тестировать почту не нужно перед отправкой в локальном окружении...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "В сервисе Let's Encrypt произошла утечка email-адресов части..."  –1 +/
Сообщение от Аноним (??) on 14-Июн-16, 09:36 
А че - не плохой способ оплаты сертификатов, вы нам базу адресов - мы вам сертификаты по дешевке.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "В сервисе Let's Encrypt произошла утечка email-адресов части..."  –5 +/
Сообщение от qwerty (??) on 14-Июн-16, 09:57 
и чего?
Сервис предлагается как есть?
Хотите что то? платите деньги, вы же теперь в капиталистический стране.    
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "В сервисе Let's Encrypt произошла утечка email-адресов части..."  –1 +/
Сообщение от rediska (ok) on 14-Июн-16, 14:57 
> Хотите что то? платите деньги, вы же теперь в капиталистический стране.

если гулаг и всякие тормозиллы начали форсить этот хттпс, то пусть теперь раздают всем сертификаты :) мой сайт прекрасно обходился 16 лет без хттпс, и вдруг, ВНЕЗАПНО он стал небезопасным, хотя никакие приватные данные не отправляется (регистрации-то нет, ага).
не вижу смысла платить за то что мне не нужно.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

25. "В сервисе Let's Encrypt произошла утечка email-адресов части..."  +2 +/
Сообщение от Аноним (??) on 14-Июн-16, 15:03 
так там ненадо платить
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

28. "В сервисе Let's Encrypt произошла утечка email-адресов части..."  +1 +/
Сообщение от Crazy Alex (ok) on 14-Июн-16, 16:16 
Ну вот они и раздают.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

31. "В сервисе Let's Encrypt произошла утечка email-адресов части..."  +2 +/
Сообщение от пох on 14-Июн-16, 18:15 
> раздают всем сертификаты :) мой сайт прекрасно обходился 16 лет без
> хттпс, и вдруг, ВНЕЗАПНО он стал небезопасным, хотя никакие приватные данные
> не отправляется (регистрации-то нет, ага).

в стране где уже реальные люди реально сидят за "лайк", вообще-то странно не понимать, что приватными данными является сам факт того, что кто-то с конкретного айпишника в конкретный момент зашел на конкретную страничку твоего сайта (а не "серия недешифрованного мусора улетела в направлении сервера где-то далеко", как это выглядело бы в случае https).
А учитывая общее идиотское движение в сторону ipv6 с его "засвети свой mac-адрес всему миру" - там не только айпишник.

> не вижу смысла платить за то что мне не нужно.

ну вот для тебя и сделали бесплатное. Обычного бесплатного качества, наслаждайся.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

32. "В сервисе Let's Encrypt произошла утечка email-адресов части..."  +/
Сообщение от Аноним (??) on 14-Июн-16, 19:12 
>А учитывая общее идиотское движение в сторону ipv6 с его "засвети свой mac-адрес всему миру" - там не только айпишник.

Пофиксили уже. Везде по умолчанию генерируется дополнительный временный адрес, с него система и лезет в сеть.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

36. "В сервисе Let's Encrypt произошла утечка email-адресов части..."  +1 +/
Сообщение от mario (??) on 15-Июн-16, 10:29 
Ядро Linux "по умолчанию" use_tempaddr ставит в 0.
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

41. "В сервисе Let's Encrypt произошла утечка email-адресов части..."  +/
Сообщение от пох on 15-Июн-16, 11:57 
> Ядро Linux "по умолчанию" use_tempaddr ставит в 0.

да это, вроде, и в официальных документах (в смысле, на v6, не ядро) именно так и озвучено, и я не слышал, чтобы тут что-то меняли - mac preferred, generated optional, ничего нового десять лет как нету, и в ведре линукса тоже. И опять же - попадешься-то не ты, кому "нечего скрывать", а твой пользователь, в миру человек может хороший и грамотный, да вот подобными тонкостями, в силу совсем других профессиональных навыков, не обремененный.

И, в общем-то, опять же - живем-то в стране, где и айпишники упорно пытаются привязать к паспорту (а используя места, где еще не проверяют - ты подставляешь владельца). Так что шифруем щательней - пока всех не обязали использовать зарегистрированный на госуслугах "правильный" сертификат, хехехе.

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

49. "В сервисе Let's Encrypt произошла утечка email-адресов части..."  +/
Сообщение от tacitusdef (??) on 22-Июн-16, 10:19 
Это вы про США?
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

26. "В сервисе Let's Encrypt произошла утечка email-адресов части..."  –4 +/
Сообщение от Sw00p aka Jerom on 14-Июн-16, 15:15 
а недавно гамноскрипт на баше запилили ))

пс: думал серьёзная контора будет, а на деле как всегда.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

39. "В сервисе Let's Encrypt произошла утечка email-адресов части..."  +/
Сообщение от 5kbps (ok) on 15-Июн-16, 11:32 
Пришло ТО САМОЕ письмо, ~1200 мыл. Слил всё на пастбин ^^
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

43. "В сервисе Let's Encrypt произошла утечка email-адресов части..."  –1 +/
Сообщение от пох on 15-Июн-16, 17:44 
ну и где ссылка-то? Жядный, да?

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

44. "В сервисе Let's Encrypt произошла утечка email-адресов части..."  +/
Сообщение от 5kbps (ok) on 15-Июн-16, 18:13 
Осиль поиск по пастбину.
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

47. "В сервисе Let's Encrypt произошла утечка email-адресов части..."  –1 +/
Сообщение от пох on 16-Июн-16, 14:55 
"тосамоеписьмо" что-то не нашлось.
P.S. одни цифирки - это оно? Жаль, придется отказаться от подобных мэйлов на будущее.

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру