Tip:互联网社会的下水道-邮件系统的良心建设

2014-07-23 23:42:58 +08:00
 mengzhuo
最近搞34nm,发现电子邮件系统的水其实非常深

然后发现了防止邮件系统中间人攻击的STARTTLS协议
和一个推广STARTTLS的网站

https://starttls.info

测了一圈国内知名网站,(某数字,某度,某企鹅,某易,某狐)全部不支持STARTTLS,
也就是说大家的邮件在和*国内服务商*之间传递时是明文的,没有任何隐私可言,
运营商和某宝想看就看,想获得帐号就获得帐号,让我想起诸多*权人士,没准是和国内人士通信时暴露了自己....

相比之下,某乎和v2ex因为用了Google Apps,所以没有啥问题....

和现在的社会真是高度吻合啊,帝都高楼四处建,暴雨之后各种淹.
-----
我只能呵呵,然后继续添加STARTTLS模块去了
4007 次点击
所在节点    程序员
23 条回复
est
2014-07-24 00:05:49 +08:00
邮件系统水相当深啊。coremail
mengzhuo
2014-07-24 00:10:05 +08:00
@est

一想到原来邮件不是这么保密的,就想到那么多私密图都让国宝的人看了...
唉...

coremail这分数

https://starttls.info/check/coremail.cn

还是自签名的...噗
SoloCompany
2014-07-24 00:55:35 +08:00
@mengzhuo 你确定是自签名的?没有其它工具的情况下,也可以用 curl 来检查服务器是什么证书
ehs2013
2014-07-24 06:07:21 +08:00
QQ 邮箱是支持这个功能的,使用 Live Domain 的域名邮箱除了证书域不匹配也没什么大问题
mengzhuo
2014-07-24 07:14:01 +08:00
@SoloCompany

自签名导致无法验证的话和没有加密,其实是一样的
中间人攻击照样搞定...

@ehs2013

嗯,QQ确实支持...原来这网站还会用上次的查询结果...得刷新一下.
nopy
2014-07-24 08:59:37 +08:00
刚才在QQ上分享34nm.com 发现被安全联盟拦截了…去申诉一下吧:)
SoloCompany
2014-07-24 09:11:56 +08:00
@mengzhuo 我的意思不是说自签名安全,而是说不是自签名啊,可能只是域名不匹配,你真的验证过?
ajsky
2014-07-24 09:22:37 +08:00
邮件的水相当深 折腾过一段时间的邮件 国内的几个免费的基本上没安全的
mengzhuo
2014-07-24 10:48:40 +08:00
@nopy

破安全联盟
提交申请个https都不认识,
硬是要http://开头,
然后域名也是www.XXX
然后这货竟然也在做伪EV认证,欺负国人见识浅是吧%……
话说QQ浏览器是吃了多少回扣,才肯做这个屎一样的功能

34nm已经全部升级成SSL了
mengzhuo
2014-07-24 10:53:19 +08:00
@SoloCompany

我没有亲自写代码去验证,但是按照那个网站的结果,自签名确实会影响得分
域名不匹配时因为他们懒吧,Google, Apple, IBM等一流大厂都能通过
a2z
2014-07-24 12:30:50 +08:00
就算邮件服务器之间用了tls,想看还是能看到内容。打个电话就能把你邮箱整个复制一份发过去了。要想安全用PGP。
NemoAlex
2014-07-24 13:45:34 +08:00
安全联盟就是互联网黑社会,要给保护费才行
Herac1es
2014-07-24 16:02:43 +08:00
谷歌的透明度报告显示国内邮件确实基本上不加密http://www.google.com/transparencyreport/saferemail/?hl=zh-CN
ProfFan
2014-07-24 19:39:25 +08:00
@mengzhuo 话说QQAvatar是不是您的作品啊,关注博客很久了呢
mengzhuo
2014-07-24 20:10:51 +08:00
@ProfFan
对啊,是我大学时候写的
RangerWolf
2014-07-24 20:22:31 +08:00
@Herac1es 看了google的透明度报告 专门看了163的~ 数字基本上是100% 不知道这是否代表安全? 不知道自己理解错了没有
Herac1es
2014-07-24 21:33:51 +08:00
@RangerWolf 这个报告刚出来那会我专门搜了腾讯网易,那时候都是0%。可能现在改了
mengzhuo
2014-07-24 22:26:43 +08:00
@Herac1es

QQ确实100%通过了,得了A


163证书有问题


sohu,baidu,360,aliyun集体FAIL



RangerWolf
2014-07-25 10:07:03 +08:00
@mengzhuo 曾经网易到我校校招的时候,说qq的邮箱系统还是他们创建的。。。
@Herac1es 多谢
julyclyde
2014-07-25 22:47:31 +08:00
服务器间通信加密意义不大。有能量窃听的照样有能力解密
服务器要的是吞吐量

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/124192

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX