ФСБ будет читать переписку пользователей Mail.ru, Gmail.com
На модерации
Отложенный
Федеральная служба безопасности (ФСБ) России получит возможность просматривать переписку пользователей крупнейших российских и зарубежных почтовых сервисов. Об этом говорится в соответствующем проекте приказа Минкомсвязи.
Документ предусматривает установку к 1 июля 2014 года операторами связи спецоборудования для перехвата и хранения интернет-трафика в течение не менее 12 часов. Представители российских спецслужб будут иметь доступ к перехваченным данным.
В приложении к приказу перечислены сервисы, для которых поддерживается отбор и передача на пульт управления информации.
Как передает ИТАР-ТАСС, в данный список вошли: Mail.ru, Yandex.ru, Rambler.ru, Aport.ru, Rupochta.ru, Hotbox.ru, ICQ (российские сервисы), а также Gmail и Yahoo!
(зарубежные сервисы). По данным агентства, соединения с серверами Gmail и Yahoo! шифруются - применяется расширение HTTPS.
Общественное обсуждение проекта приказа Минкомсвязи заканчивается сегодня. Отмечается, что текст документа был удален с сервера раскрытия правовой информации.
Добавим, что летом этого года бывший сотрудник американских спецслужб Эдвард Сноуден раскрыл информацию о том, что АНБ США тайно перехватывало почтовую переписку американских и иностранных граждан. Эта информация вызвала большой резонанс и возмущение общественности во многих странах.
Комментарии
1. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.
2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.
Вова и его подельники уже забили на Конституцию?
вскорее всего ни ФСБ а ЧумО Медведев ....
Ведь они днями и ночами - "все для народа!!!"
"Канистуция", как говаривал Рафик Нишанович (быший главный узбек), у нас похерена полностью и никто ее соблюдать не собирается...
Так какой смысл ее читать?
Ага, и на все законы, в том числе неписанные. Типа, от имени государства можно творить любую хрень.
Им надо лишь официально получить этот контроль над стадом.
мужчина в бронзе, полный властности;
под фиговым листочком спрятан
огромный орган безопасности.
"Это же элементарно, Ватсон!" А вы, небось, возомнили, что они они будут мусолить письма вашей тёти про рецепты блинов на масленицу???
Поставят дорогущие компы, запустят программы по отсеву фраз по ключевым фразам и адью!!! На спецслужбы у путина деньги всегда найдутся!
Рогозин с метеоритами бороться собрался, Шойгу - с космополитами, а обустраивать Россию и бороться с криминалом - некому. Так было в России - СССР - всегда.
ТОЛЬКО ПОЛИТИЧЕСКИЙ СЫСК!
Интересно, как будет изворачиваться Конституционный суд, пытаясь оправдать этот закон ?!
Ведь они днями и ночами - "все для народа!!!"()
Да ладно , если бы они хоть тюрьмы строили бы , а то сейчас готовятся выпустить всех воров и казнокрадов (они вписались в "экономику" чмокалки и рыжего) , а на их места посадят тех кто "не вписался" и требует социального равенства и защиты от этой власти !
Этот клубок просто так не поймёшь и не размотаешь!
там есть, что мусорить?
веселые западные журналюги так и делали последнее время
в каждое письмо вставляли "пакет" ключей типа террорист, ваххабит, убить обаму и т.д....
это чтоб анб скучно не было...
Просто теперь появится совершенно законное основание привлечь ЛЮБОГО по 282 статье...
А то... ...раньше как бэ... ...неудобно...
Специально заведу ящик на каком-нибудь просматриваемом сервисе и буду ежедневно трижды в день отправлять самой себе сообщения "Путин, бомба, Кремль".
Присоединяйтесь к флешмобу, пусть у них оборудование погорит от напруги!
Вообще, парадокс: в IE ли, в Опере или в Гугеле, - если послал запрос на светильники, к примеру; с последующим отбором по двум и более вкладкам, - то эти светильники начинают тебя преследовать во всех без исключения всплывающих окнах...
Как баннерная реклама может отслеживать содержимое защищённых страниц?
Вопрос...
ФСБешники все одинаковы. По кр мере такое сложилось впечатление.
Пусть знают, что мы о них думаем!
Чтобы иллюзий не питали!
Негодяи!
Сталин, скорее всего, величайшая фигура 20 века, и самый эффективный тормоз для жидосионской оккупации планеты. Путлер это мерзавец на службе воров-олигархов
.. а это как Вертухай посмотрит, можно и ноу-хау якобинцев применить, чтоб Вы долго не мучались)))()
Вижу что для вас эта тема очень родная , а спец. портала нет ! А вот мне нет !
Поэтому отвечаю на неё в последний раз :
судьба играет злые шутки независимо от того что кто-то , что-то планирует ! Проверено на собственном опыте !
Всё таки "зёрна надо отделять от плевел" !
"Неужели ещё не поняли, что щукарь создать хочет жидосталинофашизм..?"
Здесь вы на одну доску поставили жидов , Сталина , фашистов !
Это вы называете :
"Аптекарь отвечает Якобинец на комментарий Сегодня в 10:03 #
Кто не может понять смысл предложения простого, тот не поймёт вообще нечего."
Оригинально ! Я понял так как написано , а не то что вы имели ввиду в своих мыслях !..
)спасибо.. но я про гильотину(детище якобинцев).. и кушать не хочется, а Вы про что?)))
А я про общую направленность ваших комментов !
Согласитесь что такой настрой бывает не у каждого :
"Alex_Kot отвечает Якобинец на комментарий 31.10.2013 в 11:21 #
. для Вас точно уже готов штрафной изолятор на время отсидки)))"
"Alex_Kot отвечает Якобинец на комментарий 31.10.2013 в 17:42 #
. а это как Вертухай посмотрит, можно и ноу-хау якобинцев применить, чтоб Вы долго не мучались)))"
И это всё "про гильотину" вы написали , или про моё будущее , по вашему разумению ?
"Бабушка Прасковья" есть агент ФСБ в интернете. После каждой предумышленно сочинённой критической фразы с превеликим удовольствием заносит в список лично им выявленных диссидентов по десятку электронных адресов опасных антипутинистов, благосклонно отозвавшихся на его интернет-провокацию.
Да они скорее пошлют на 3 буквы, чем дадут доступ к перепискам пользователей.
Ради забавы. Они этим и занимаются.
Разве может стать общедоступной база штрафников ГИБДД? Конечно же нет! Или все-таки стала?
Зачем писать комментарии на темы, в которых не смыслите?
Просто засрать обсуждение и потопить значимые ответы в море спама?
Несколько десятков активных персонажей так поступают со многими темами.
Все, кто прочитает эти строки — не вступайте в полемику с троллями, просто ничего не отвечайте, несмотря на то, что они пишут.
Да и DNS-сервера все забугром.
Трудно будет
Для молодых и неопытных недорослей типа тебя, напоминаю про великую песню В. Бутусова : "Скованные одной цепью"!!! Послушай на досуге, может мозги заработают!
А для затравки, приведу небольшой текст из этой песни:
"...и если есть те кто приходит к тебе
найдутся и те кто придет за тобой
также скованные одной цепью
связанные одной целью
скованные одной цепью
связанные одной... "!!!
Вот же понабрали студенток по объявлению .....
http://www.youtube.com/watch?v=070P9UuOoT8
Новости так и не хватает смелости прокомментировать???
Передай инструкторам, что я разочарован свежим помётом!!! Раньше и посмелее и поадекватнее были!!! А сейчас ......
Но почитай, просвятись! Может головка заработает!! http://newsland.com/news/detail/id/1271144/
DK1971 отвечает Airdefence на комментарий Вчера в 6:16 #
"... Для молодых и неопытных недорослей типа тебя..." !!!
Но для справки, вы совершенно не правы в своих рассуждениях. Если вкратце, то протокол https обеспечивает шифрование именно с помощью сертификата, сертификат же в свою очередь, это набор из открытого и закрытого ключей, но при этом, эти ключи еще и сами подписаны сертификационным центром, что гарантирует их изначальную подлинность.
Модификация пакета невозможна в пути, ибо при обмене между клиентом и сервером устанавливается защищенное соединение, и вся информация идет внутри этого соединения, если попытаться нарушить соединение, сервер просто разорвет его, ну или клиент разорвет.
Обмен ключам по https проходит по протоколу RSA при этом ничего не передается в открытую, да и не важно это, ибо с начало предается открытый ключ, который и так в открытом доступе.
На свой у вас не получится заменить ключ, ибо он тоже имеет подпись, которой его подписала выдавшая организация, подделать эту подпись нельзя.
Дальше про падение и прочее, у вас полный бред, который я даже не хочу комментировать.
Ну и вали к ним.
Меня вербовали без всякого конкурса, не в какой-то там ФСБ, а в сам КОМИТЕТ ГОСУДАРСТВЕННОЙ БЕЗОПАСНОСТИ СССР!!!
Надеюсь, вы поняли о чём я.
Я вежливо деликатно отказался, он попросил уничтожить письмо, что я и выполнил добросовестно и о чем жалею, прекрасный бы был сувенир на память.
Привет вам от МО ПРО.
Без конкурса, только беседа и медкомиссия, а зетем школа КГБ.
И как же сейчас формируется 100-150 на место? Расскажи!
Прежде чем вас пригласить вашу подноготную всю проштудировали.
И таких как ты не один десяток был.
Ну в общем и хорошо что вы не прошли.
Кого попало туда Родину защищать не берут. ЦРУшники то-же не дураки, а мы лучше!
Так будет благозвучнее.
Сейчас также, а поэтому нельзя говорить о количестве претендентов на место.
Вот только роль протекции и блата возросла неимоверно, а посему кадры попадают и такие, которых нельзя на пушечный выстрел подпускать.
А почему вообще предложили, думаю дело не только в хороших анкетных данных.
У них досье на моих предков может быть и сейчас хранится, а это они обожают!
Кроме этой фразы добавят "новальный" ( с вариациями),"мы здесь власть", "не забудем не простим" и всю болотную муру вроде хутина с "ПУЕМ" . Ну и конце списка obana !
А, если Вы на Володину подпись намекаете, то много лет спустя мне она попала в руки, на одной деловой бумаге Мэрии г. СПб, но увы, увы - ксерокопия :-(((, на Сотсби не катит :-(((.
После того, как ваши роботы переберут "тонны словестной руды, единого слова ради", распечатка этих единых слов (1%-1,5%), ляжет на служебные столы живых людей, и может быть даже людей с высшим образованием и званиями :-).
Делают вид, что никогда и нигде этим не занимались.
Тогда вам не о чем беспокоиться :)))
Вывод: или они дрочат, или собираются нас задрочить.
А что вы имели в виду?
У вас явные психологические отклонения. Обратитесь к доктору.
1. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.
Если вы верите в конфиденциальность интернета - то тогда вас выше написанное не касается :)
ЗЫ
Никому не нужна унылая переписка обычных обывателей. Будут работать по конкретному объекту. Так что если не собираетесь никого взрывать, продовать на органы или насиловать, то никому ваша почта не нужна.
Когда их прощают, они возвращаются.
"Общественное обсуждение проекта приказа Минкомсвязи заканчивается сегодня."
Внезапно. Что это за такое обсуждение общественное, если представители общественности - граждане страны о нём узнали только сегодня?
"АНБ США тайно перехватывало почтовую переписку американских и иностранных граждан."
США значит у нас плохие, раз за гражданами следят, а своим типа можно? Беспредел.
Конституция РФ Глава 2 ст.23 п2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.
ФЗ РФ "Об оперативно-розыскной деятельности". Суд даёт разрешение при проведении оперативно-розыскного мероприятия и возбуждённом уголовном деле.
Ну что, теперь можете ставить ещё больше минусов, разумность и объективность не в почёте на этом ресурсе.
Просматриваться будут все ресурсы указанных сервисов, среди которых преступная переписка не занимает и тысячных долей процента.
Понятие "судебное решение" встречается в ГПК РФ и в АПК РФ, в УПК РФ существует только понятие "приговор". Читаем что такое судебное решение: «Постановление суда первой инстанции, которым дело разрешается по существу» ГПК РФ Ст. 194 п. 1. В АПК РФ определение схоже, но оно нас не интересует, так как касается юр. лиц.
Ст. 199 п. 1 ГПК РФ: "Решение суда принимается немедленно после разбирательства дела."
После, а не во время и уж тем более не до возбуждения дела.
Из всего этого следует, что ФЗ РФ "Об оперативно-розыскной деятельности" как-то не увязывается с другими нормативно-правовыми актами, и в первую очередь с Конституцией РФ. Да и не совсем понятно что такое "судебное разрешение", его нет ни в ГПК РФ, ни в УПК РФ.
P.S. Ситуация то в принципе не нова, у нас множество законодательных актов друг другу противоречит. Но всё-таки, основной зако...
Во-вторых, массовая прослушка и вскрытие корреспонденции давно уже стали системой в России, а решения судов по этому вопросу - редким исключением.
Теперь вот решили кое-что добавить в "законы", чтобы ещё удобнее было шпионить за своими гражданами.
1) "Запрещается создание и деятельность общественных объединений, цели или действия которых направлены на насильственное изменение основ конституционного строя и нарушение целостности Российской Федерации, подрыв безопасности государства, создание вооруженных формирований, разжигание социальной, расовой, национальной и религиозной розни."
2) "Конституция Российской Федерации и федеральные законы имеют верховенство на всей территории Российской Федерации."
3) Все равны перед законом и судом.
В конституции написано, что граждане обязаны соблюдать законы РФ, и в КОНСТИТУЦИИ опять таки НАПИСАНО, В КАКИХ СЛУЧАЯХ ПРАВА МОЖНО ОГРАНИЧИВАТЬ (сори за капс). Есть законы которыми структуры руководствуются в своей работе. Я вам их приводил. Вот ещё если интересно ст. 186 УПК РФ, ст. 6–8 ФЗ от 12.08.1995 №144-ФЗ.
Никаких противоречий с конституцией или одного закона другому нет.
А вы читали предстоящий закон? Сомневаюсь. Или вы работает в гугле?))
Статья 23:
1. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.
2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений.
Если бы по каждому прослушиванию какого-то гражданина было бы возбуждено уголовное дело и вынесено разрешение суда на прослушивание телефонных переговоров, перлюстрацию почтовых отправлений, никакого бы возмущения граждан не было, как не было бы и нужды принимать такой закон...
В Конституции РФ всё-таки говорится именно о судебном решении по части ограничения прав на тайну личной переписки и частной жизни (статья которую Вы привели (23 п. 2)). Так же об ограничении говорится в ст. 55 п. 3 и в ст. 56 п.1, 3 Конст. РФ.
В ст. 55 п. 3 говорится об ограничении прав и свобод посредством ФЗ, в целях защиты конст. строя, нац. безопасности, прав и законных интересов других лиц.
Ст. 56 п. 1 говорит нам об ограничении прав и свобод в случае ЧС, что нам не особо интересно.
Ст. 56 п. 3 рассказывает о правах и свободах, которые не ограничиваются никогда. А вот тут интересно. В списке присутствует ст. 23, правда только п. 1. Но в п. 1 говорится о неприкосновенности частной жизни, личной и семейной тайны, защиты своей чести и доброго имени, что уже касается обсуждаемой нами проблемы, так как переписка в Сети как раз и может содержать в себе подобную информацию (личная и сем. тайна и т.п.). И здесь вопрос, как ФСБ будет фильтровать всё это не просматривав? Да никак, по крайней мере я ...
В ст. 186 УПК РФ нам интересны пункты 1-2. В первом сказано, что прослушка ведётся на основании судебного решения, если это может быть полезно у. делу. Здесь никаких противоречий.
Во втором пункте говориться о том, что прослушка может вестись по заявлению потерпевшего или его близких, при отсутствии такого заявления - на основании судебного решения, опять же. Но прослушка по заявлению - нарушение ст. 23 п.2, так как в ней сказано, что она может вестись только по решению суда, разве нет?
В ст. 6 говориться, что при оперативно-розыскной деятельности может проводиться прослушка всего и вся, но как мы выяснили выше, такое возможно только по решению суда. Если оно есть, проблем с Конст. РФ никаких, а вот по заявлению потерпевшего и без решения суда - сомнительно.
Ст. 7, здесь об основаниях для проведения опер.-розыск. мероприятий, оно понятно и логично, нас не интересует.
Ст. 8 Процитирую интересующую нас часть:
"...Проведение оперативно-розыскных мероприятий, которые ограничивают конституционные права человека и гражданина на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, передаваемых по сетям электрической и почтовой связи, а также право на неприкосновенность жилища, допускается на основании судебного решения и при наличии информации:..."
При наличие какой информации не стал перечислять, так как стоит союз "и", а не "или". То есть, судебное решение необходимо всё равно.
Операторы ничего, кроме зашифрованного трафика собрать не смогут.
HTTPS — это не расширение, как неверно написано в заметке, а шифрование трафика при передаче с помощью http-соединения.
Дешифрация происходит непосредственно на почтовом сервисе. И да — физически серваки с информацией размещаются наверняка не в США, но и не в РФ, это гарантированно
Поэтому все, что могут власти — попросить предоставлять им доступ. На что им могут отказать и наверняка откажут. И что тогда? Будут блокировать ресурсы? На каком основании?
Первое же такое решение суда будет оспорено без шансов для властей.
ЗЫ
Спасибо что в ответе на Конституцию не стал ссылаться)))
Что там секретного на Олимпиаде может быть?
"Сбор инфы будет проводится операторами связи, а не зарубежными владельцами сервисов."
Повторить про то, что кроме зашифрованного трафика, операторы ничего не соберут?
И еще вот не могу немножко подумать — расскажите, что конкретно сказано в приказе Минкомсвязи про компьютеры пользователей?
P.S. И что же такое https, если не шифрование, и в чем, по вашему, состоит его отличие от http?
Имеет смысл пара ключей — приватный и публичный. Публичный ключ знают все. Но без своей пары этот ключ ничего не значит. А теперь объясните про то, как вы собираетесь узнать приватный ключ сервиса?
Подменяя пакет, вы будете использовать свою пару, вот только сертификат не подтвердят, потому как для хитрожопых придумано, что сертификат выдается только при указании публичного ключа сервиса.
Центры сертификации тоже купите или заставите обманывать, направив бумажку из Минкомсвязи?))
Мне вот по барабану ТОР, но интересно, что же такого можно прочитать в описании?
Сервера гугла размещаются именно в америке и никто этого не скрывает.
А если куки передаются только по https (что есть истина для почтовых сервисов), то вы не сможете при сниффинге даже их прочитать.
http://ru.wikipedia.org/wiki/Сертификат_открытого_ключа
И уж если про "верно написано", то неужели только Gmail и Yahoo используют https? Скажу даже так — если любой сервис не использует https для передачи данных, то он подлежит вымиранию и пользоваться им никто не будет. А уж приписка "По данным агентств"...
И Yandex, и даже Mail используют и обязаны использовать https.
А про то, где физически находятся сервера — какая разница? Многие российские сайты хостятся на серверах по всему миру, и в Америке в том числе.
http://ru.wikipedia.org/wiki/Сертификат_открытого_ключа
Куки никуда не передаются, их создает ваш браузер. И сниферы тут вообще не при делах.
"Кстати ключ шифрования для тора как получали -- по интернету или по почте. Если по интернету так где у вас уверенность в том что оператор связи не забрал ключ шифрования отправителя себе а вам выдал другой, и теперь все пакеты у себя на компьтерах перешифровывает. Кстати посмотрите как выполняется операция TracerT,"
И кстати, его нет смыла подделывать вообще, ибо он открытый )))) это просто набор символов в текстовом документе с определенной хешь суммой.
https никто не обязан использовать.
Куки передаются вместе с запросом. И если сервис ставит для кук параметр secure (ничего не напоминает?), то сниффер не сможет даже их прочитать.
И насчет открытия доп. страниц. Вы путаете теплое и мягкое. Куки позволяют опознавать меня, но данные при передаче все равно шифруются. И расшифровать их можно только зная мой приватный ключ. А с этим беда, и даже всемогущий провайдер не может знать этот самый дурацкий ключ. Так что прикинуться мной он все равно не сможет, увы...
А вот насчет обязательства использовать https, то есть такая штука — "Соглашение о конфиденциальности информации". И проистекает оно из требований Конституции. А теперь подумайте, если сервис не использует защиту данных при передаче, то он не обеспечивает должным образом защиту моей конфиденциальной информации.
И если дело об утечке дойдет до суда, то едва ли представители сервиса скажут, что про шифрование слышат впервые))
Имея вши куки можно простым curl спарсить всю вашу почту за считанные секунды, а выглядеть будет как будто вы ее просмотрели через браузер. Причем это делаться будет по зашифрованному канал ))
Если есть желание, можете сам проверить как это работате на вокнтакет, через то же https соединение.
curl -s --ssl -L -b C:\stopwar --data-urlencode email=ваш_логин --data-urlencode pass=ваш_пароль https://login.vk.com/?act=login
Так вы авторизуетесь под собой вконтакте (надеюсь не попортит код ньюсленд).
А так вы сможете на основание уже сформированных печенек делать все что угодно, с любого компьютера с вашей страницей
url -s --ssl -L -b C:\stopwar --data-urlencode https://vk.com/im
в примере выше, посмотреть все ваши сообщения.
Так что надо только стырить у вас печеньки, и делай с ней что хош.
Кстати, в интернете вы можете найти скрипты сбора почты через курл именнос гмэйл...
Дело до суда не может дойти, ибо они вам ничего не должны, шифровать что то или защищать, это их право а не обязанность. Яндекс вон вообще пишет, что может в любой момент запретить вам использование его сервисами, потереть все ваши аккаунты и информацию в его сервисах, без объяснения каких либо причин.
Так то ж из другой оперы:) Для того фишинговые сайты и создаются тоннами — ловить на невнимательности и тащить эту сладкую пару.
P.S. Кстати, при нормальном построении сервиса ничего вам воровство кук не даст.
"3.2. В отношении персональной информации пользователя сохраняется ее конфиденциальность, кроме случаев добровольного предоставления пользователем информации о себе для общего доступа неограниченному кругу лиц."
"3.4. При обработке персональных данных пользователей Яндекс руководствуется Федеральным законом РФ «О персональных данных»."
А вот и закон:
"Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий."
Слово "обязан" видите?)
Интересно, но скажу, что неинтересно, а то не получу ничего)
Вот использование этих же кук, уже без ввода пароля к аку просмотр ленты новостей.
curl -s --ssl -L -b /tmp/vk-cookie http://vk.com/feed
В моих виндовых примерах НЛ вырезал все слеши.
Тут то дело не в паре, и нет тут никакого воровства, это только пример. Пример для создание куки, а потом их использования. Но в реальной жизни куки просто у вас стырят, и так же через вашу сессию будут просматривать ваш ящик на гмэйле.
И фишинговые сайты имеют место быть, и на уровне провайдера вы их вообще не различите, провайдеру то не составит труда экранировать на один хоп DNS под свой адрес, а дальше пустить вас на настоящий сайт. Но проще через любой легальный сервис запиндюрить вам скрпитец тырящий куки, да хоть через тот же провайдерский личный кабинет.
Воровство кук всегда дает доступ к сайту в 100% из 100% если это делается быстро, какой бы сервис защищенный не был.
Персональные данные, это четко регламентированный набор, это ФИО номера документов, адреса и т.д. Ваша переписка таковой не является. Персональные данные, да он должен защищать, тем более их вы обязаны предоставить в полном виде и без подлога, если хотите пользоваться сервисами.
И какое то не то вы соглашение читаете.
2.4. Персональная информация Пользователя, содержащаяся в учетной записи Пользователя, хранится и обрабатывается Яндексом в соответствии с условиями Политики конфиденциальности (http://legal.yandex.ru/confidential/).
2.3. Яндекс оставляет за собой право в любой момент потребовать от Пользователя подтверждения данных, указанных при регистрации, и запросить в связи с этим подтверждающие документы (в частности - документы, удостоверяющие личность), непредоставление которых, по усмотрению Яндекса, может быть приравнено к предоставлению недостоверной информации и повлечь последствия, предусмотренные п. 2.2 Соглашения. В случае если данные Пользователя, указанные в предоставленных им документах, не соответствуют данным, указанным при регистрации, а также в случае, когда данные, указанные при регистрации, не позволяют идентифицировать пользователя, Яндекс вправе отказать Пользователю в доступе к учетной записи и использовании сервисов Яндекса.
Пока вы не укажите данные все свои, вы вообще на птичий правах.
2.9. Прекращение регистрации. Яндекс вправе заблокировать или удалить учетную запись Пользователя, а также запретить доступ с использованием какой-либо учетной записи к определенным сервисам Яндекса, и удалить любой контент без объяснения причин, в том числе в случае нарушения Пользователем условий Соглашения или условий иных доку...
Это как?)) Стырить куки, записанные для документов одного сайта, невозможно, открыв документ с другого.
Ну если только я поставлю типа новую версию флеш-проигрывателя для просмотра порнухи, в которую вмонтировано все, что хошь)))
"Воровство кук всегда дает доступ к сайту в 100% из 100%"
Абсолютно не так — все зависит от того, как устроен сервис.
Не нужно комментировать то, что Яндекс написал, читайте закон, потому как в суде закон всегда важнее оферты. И в случае разногласий пофигу, что там в оферте написано.
http://www.commandlinefu.com/commands/view/3386/check-your-unread-gmail-from-the-command-line
Можете достать у себя из браузера куки, и не авторизуясь по второй части скрпита получить почту. И вы ее получите )))
Пункт 1 ст. 3 Закона о персональных данных содержит довольно широкое определение, согласно которому персональные данные - это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его:
- фамилия;
- имя;
- отчество;
- год, месяц, дата и место рождения;
- адрес;
- семейное, социальное, имущественное положение;
- образование;
- профессия;
- доходы;
Почта к этим данным не относится, ваши файлы хранящиеся на яндекс диске тоже, ваши запросы в поисковике тоже. Надо же понимать, что яндекс это еще и платежная система, где для вывода денег нужны именно персональные данные, так называемый яндекс паспорт, вот его они защищать обязаны. Остальное по своему усмотрению.
Вот, что говорит закон:
Статья 3. Основные понятия, используемые в настоящем Федеральном законе
В целях настоящего Федерального закона используются следующие основные понятия:
1) персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
Слова "любая информация" и "в том числе" ничего не говорят?
Наберите в поисковике "где находятся cookies" и найдите где хранит их браузер которым пользуетесь вы.
Именно куки позволяют сохранить автризацию в том же контакте, кода вы закрываете и открываете браузер (это касается браузеров с многозакладочной системой, Opera, Firefox, хром и т.д.).
Что же касается скриптов, то обычная джава выполняющаяся на вашем компьютере способна на это и еще целая куча всяких разных методов. А скрипт вы выполните, как нечего делать и даже не моргнет. Находясь например в личном кабинете провайдера, или играя в игру на mail или запуская фильм вконтакте.
Если атака будет идти из места откуда вы не ждете, вы все сделаете как от вас хотят, еще и в тех поддержку будет звонить провайдера и говорить что у вас не получается )))
Не зависит это от того, как устроен сервис. Безопасность можно обеспечить, но это потребует от вас постоянных телодвижений. Есть 3 основных вида защиты от такого, это уменьшение жизни кукисов, это запрет сессии с другого ip, э...
https протокол прикладного уровня.
Оперторы связи имеют возможность перехватывать трафик на более низком уровне, на котором данные не шифруются. Подробнее не раскажу, не хочу вспоминать институт и читать Таненбаума)
ЗЫ
При чём тут приказ минкомсвязи? есть ФЗ.
ЗЫЫ
И вообще не понимаю в чём тут новость, всегда читали и слушали, всегда будут читать.
Во-вторых, с помощью Javascript невозможно стырить куки, не относящиеся к домену, с которого загружен документ. И вообще получать доступ к документу с другого домена. Это называется политикой безопасности. Кроме того, Javascript не имеет права работать с файловой системой и взаимодействует с файлами исключительно с помощью соответствующих API (типа FileReader и т.п.), и они базируются на механизме выбора файлов пользователем вручную. С помощью скриптов невозможно ничего "стырить", если пользователь не выберет этот файл сам.
В третьих, количество закладок не имеет никакого отношения к кукам (не понимаю, к чему это вообще было сказано).
В четвертых, куки передаются всегда при запросе документа, если они относятся к этому документу.
В-пятых, куки могут передаваться только по протоколу https и тогда сниффер лишен вообще шансов на получение этой малополезной инфы.
Вопрос — какая польза от этого трафика? Абсолютно этот же шифрованный код провайдер так и так получит и от меня, и от сервиса. Каждый день получает. Это вообще его работа — передавать трафик.
А вот про перехват-таки вспомните, потому что сказочно звучит. Шифрование происходит у меня, трафик уходит уже зашифрованный, а кто-то на линии может читать нешифрованные данные? Сказочно...
Для примера. Я отправляю груз, а транспортная компания по пути срывает пломбы и ковыряется в нем? Сказочно...
Кстати да — сервисы читают содержание сообщений. Тот же Google не скрывает того, что анализирует почту.
А сыр-бор видимо из-за того, что хочется анализировать всем. Особливо чиновникам вороватым.
Я вам тут предложил на выбор 2 способа как это можно сделать, и к каждому способу по несколько методов реализации.
Речь у нас шла о https, приватный ключ находится не у вас, а на сервере, у вас в браузере встроены публичные ключи и доверенные центры сертификации. Да и не в ключах дело, ибо они не нужны вообще.
Если у вас потырить куки, ничего расшифровывать не надо, ибо все будет получаться в открытом виде, по тому же https как будто это делаете вы. Я думал вы это уже поняли, а оказывается нет. Нафига спрашивается я вам приводил примеры с контактом.
Джава выпоняется на вашей машине, и флешь выполняется на вашей машине, и html5 выполняется на вашей машине, и делать через них можно все что угодно, в том числе и с файловой системой. Какой политикой безопасности )))) вся безопасность обеспечивается разработчиком кода, нет никаких технических ограничений на любое взаимодействие с вашим компьютером, тем более подписанных скрпитов.
Весь код взаимодействует с системой через windows API это не имеет отношения к теме вообще, он для этого и сделан.
Выбор файла, это всего лишь наполнение переменной содержимыми пути. Если ты знаешь путь заранее, то спрашивать ничего не надо у пользователя.
Многозакладачные браузеры такие как фаирфокс опера, хром, после закрытия и открытия сохраняют вкладки и авторизацию на сайтах. Это просто был как пример использования кук.
Куки позволяют сохранить авторизаци, какие то настройки сайта, и еще всякую мелочь. Причем с одного с...
Любая нечего не говорят, ибо на самом деле не любая. Ни ip, ни ваша почта, ни логины где бы то ни было, ни ники, или еще что то, не являются персональными данными, и их никто не обязан защищать, а иначе пришлось защищать бы все на свете.
Прочтите http://www.ispdn.ru/publications/omarov.pdf можете еще тоже самое в консультанте прочесть.
Сделайте пример, который "легко потырит" у меня куки. Я честно обещаю зайти.
HTML5 вообще не выполняется — это язык разметки.
Какая джава?)) Если речь идет про Javascript, то ему категорически запрещено работать самостоятельно с файловой системой.
Какие еще подписанные скрипты?))
Сделайте страницу, которая сделает с моей файловой системой. Я зайду.
Еще раз — напишите пример, который тырит абсолютно файл. Я сообщу адрес этого файла, зайду на сгенеренную вами страницу, а вы сообщите мне его содержание. Идет?
Если все пишется в одну кучу, то что означают параметры path, domain? Не знаете таких?))
В общем, все в куче — кони, люди... Никаких средств стырить у меня доступ в почту, кроме фишинга или тупо взлома, у вас нет. Точка.
Во всех почтовых системах, контактах, фейсбуках, загрузчик изображение или на джаве, или на флеше. Самостоятельно ни один язык программирования не работает файловой системой, так же не одна программа не работает с оборудованием напрямую, все это работает через windowds API но это тонкости не имеющие отношения к делу ВООБЩЕ НИКАКОГО.
Про подписи и доступ читайте тут http://svitter.ru/?p=43 надо еще, ищите сами.
Зайдите в яндекс почту, нажмите прикрепить аттачь. Вуаля! Джава поработала с вашей файловой системой )))
Я не умею писать на джаве, я питон и перл программист. Могу вам на питоне сделать экзешник, который отправит файлик. Если согласны, давайте почту в и путь в личку я вышлю.
Что пишется в одну кучу?
Вы трудный человек ))) У меня средств нет, а у провайдера их полно.
Вы мне куки киньте, и я стырю вашу почту )))
Во всех современных сервисах используется <input type="file" multople> + FileReader API + XMLHttpRequest (progress). Flash используют только для старых ослов. И о какой блин джаве вы постоянно толкуете? Java??? Причем тут она вообще.
О каком windows API вообще идет речь и причем тут работа с оборудованием? Мы же о о краже кук вроде говорили.
Ничего никто не сможет отправить без ведома пользователя. Пока он не выберет вручную файлы, ничего не будет. Это что, не ясно до сих пор?
Причем тут вообще exe и веб? Каким боком тут бинарные исполняемые файлы?..
Я уже написал - создайте страницу, которая, по вашим громким словам, потырит у меня куки и получит доступ к почте. А я зайду. Тырьте ради бога. про экзешники забудьте - ни один человек в здравом уме ничего качать и запускать не будет.
Я не сделаю страницу такую, я не джава программист, а если бы и сделал, то у меня нет сертификатов для подписи, для тихого запуска аплета. У провайдеров все это есть, поэтому для них это не проблема. Да и заставить запустить вас что то, провайдеру не составит труда, просто сказав что без этого не будет работать интернет.
Что же касается доступа к файлам только по средствам джавы, это не так, есть такая возможность в html5 и без дополнительных средств http://www.html5rocks.com/ru/features/file_access вот прочтите в первоисточнике, там же и демки есть.
Джава притом http://xdan.ru/Working-with-files-in-JavaScript-Part-2-FileReader.html
))) вы не понимаете что такое windows api и причем тут языки, я не могу вам этого объяснить, хотя я уже не раз пытался.
Но скажу вам еще раз, все функции доступа к работают через FileSystemObject который является часть windows api, тот же FileReader работает через него, и иначе работать оно не может, если только не в режиме нулевого кольца.
Без ведома отправить можно, главное подписать аплет доверенным сертификатом, например от microsoft, выбирать какие то файлы руками тоже не обязательно http://www.sql.ru/forum/1023553-1/mozhno-li-appletom-zagruzit-fayl-na-server-programmno-bez-v...
В HTML5 нет и никогда не будет никаких средств работы с файловой системой, а все новые и имеющиеся API реализованы с помощью Javascript. Чтобы понять — отключите в браузере выполнение сценариев на странице и проверьте свой же пример. А также попробуйте воспользоваться хоть GeoLocation, хоть XMLHttpRequest, хоть FileReader etc.
Я не могу серьезно обсуждать фронт-енд, когда постоянно упоминают слова «джава» и «апплеты», которые к вебу уже давно не имеют никакого отношения))
Java — серьезный язык, на котором пишутся апплеты. Правда для запуска апплетов у пользователя требуется VMJ, и сервера нужны тоже особые (TomCat например). В 1990-х годах до появления Javascript апплеты еще использовались, но в настоящее время ни один серьезный сервис уже не использует апплеты (в том же HTML5 выкинули этот тэг).
Особенно доставило про отличие HTML5 от HTML4)
Самое главное отличие — HTML5 перестал относиться к семейству SGML и уникальные принципы обработки ошибок теперь закреплены официально. Это значит, что XML и HTML не относятся к одному классу и ошибки обрабатывают по-разному.
Я понял бы еще обсуждение — относится ли XSLT к программированию или нет. Но про HTML... Увольте))
Я вам дал ссылку на сайт разработчиков html5 где есть методы доступа через джаву и через джаваскрпит, и без нее, что еще вам надо?
И чем вам не нравятся слова джава и аплеты? И почему это они не имеют отношения к вебу? Вот целая страничка примеров аплетов на джаве http://docs.oracle.com/javase/tutorial/deployment/applet/index.html
Джава выполняется у вас на компьютере, постпредствам джавамашины которую вы ставите с сайта оракла. Выше я вам дал ссылку как раз на такие аплеты. Выполнение джавы на сервере вообще не имеет никакого отношения к данной теме.
В html не выкинули тег, а просто заменили, как раз наверное для таких как вы, что любят за слова цепляться )))) ведь в этом теге вставлялись не только джава аплеты, но и актив икс, и флеш и пдф и прочее.
Аплеты используются и сейчас, причем пачками, постоянно и везде. Например все web vnc консоли всех виртульных сред сделаны на аплетах, да и так они используются повсеместно.
2. Java не имеет отношения к вебу.
В спецификации HTML5 нет ничего про Java, Flash, ActiveX, .NET etc. и быть не может. Просто потому, что это — проприетарные технологии.
3. Вы удивитесь, но если в браузере установлен плагин для обработки содержания с соответствующим content-type, то в embed это содержание и отобразится. Например, я могу показать документ Word в embed при наличии плагина. Будете утверждать, что Word — это веб?))
4. Апплеты используются до сих пор застарелыми разработчиками, которые считают нормой требовать установки дополнительных программных средств и никогда не делавших что-то для мобильных версий.
Всевозможные API, Canvas etc. — это Javascript.
И я вам говорю, что HTML5 — просто язык разметки. Но вы меня упрекаете в том, что я не хочу видеть то, что смогли увидеть вы, хотя ни опытом, ни знаниями в это области не обладаете.
Вы приводите в пример мультизагрузчик, который, по-вашему, реализуется исключительно с помощью Flash, а я говорю, что с появлением новых API уже как несколько лет так никто не делает.
Вы постоянно говорите про Java, не делая различий с Javascript, хотя это вообще разные языки, работающие в разной среде. Приводите в пример апплеты, хотя ни один серьезный сервис уже много лет не использует их.
Вопрос — почему я должен верить вам и соглашаться, если ваше представление о фронт-енде бессистемно и туманно?
А теперь расскажите, почему Perl — это язык отчетов и где это закреплено? А также что такое "язык отчетов", что это значит и где написано?
2. Джава имеет отношение к вебу, и имеет предостаточно, притом я вам кинул целую страницу примеров. Вам этого недостаточно? Тогда еще раз прочтите про то, что такое джава http://java.com/ru/download/whatis_java.jsp
Вы не читали спецификацию, все там есть http://www.w3ctutorial.com/html5-tags/tag-object и всегда было.
3. Вы не понимаете что пишите )))
4. Аплеты работают везде, именно поэтому требуется установка джавы. Джава используется когда нужна независимость от браузера и кросплатформенность. Все банковское ПО работает на аплетах, все ПО по налоговой отчетности, все автоинсталяторы драйверов, например на сайте intel (есть на джаве, есть на актив икс), много игрушек работает на джаве, http://sourceforge.net/ работает на джаве. Удалите джаву, и походите по сайтам, вы сами все увидите ))) это же так просто.
А то что половина GNU дистрибутивов на нем работает, ну это так, мелочи )))
Java — это не веб. Этот язык иметт опосредованное отношение к интернету. На некоторых серверах используют модули, написанные на C++, но это не значит, что этот язык имеет отношение к вебу, не так ли?)
Боюсь, что это вы не понимаете, что пишЕте. Продукты сторонних компаний никогда не входят в открытые спецификации W3C.
Если вы не понимаете, как происходит обработка контента с помощью embed (object), то поясню — обязательно нужно указывать атрибут type, в котором и указывается MIME-тип содержимого. Если есть модуль в браузере, способный обработать такой тип контента, то он его и обработает.
Абсолютно все нужные мне сайты, которые я использую, не требуют установки виртуальной машины Java.
Язык крутой, и за регулярки огромное спасибо Уоллу. Но мы же не о нем.
Ссылкой на форум где идет спор, является ли html языком программирования, я хотел показать, что не все так однозначно мыслят как вы. А примером перла, на ваши переводы аббревиатуры html я хотел показать, что название мало что говорит о сути, тем более когда названию десятки лет. Жаль что вы цепляетесь за слова, а не пытаетесь понять смысл сказанного.
Не так, совсем не так.
Я вам дал ссылку на официальный туторел, где черным по английски приводится список объектов тега. Вы спорьте с разработчиками, расскажите им про пропиетарность, узнайте у них почему все объекты под которые создавался тег пропиетарные.
То, что все нужные вам сайты не используют java, совершенно ничего не значит. Я вам дал ссылку на джавовый опеннет, расскажите им, что они устарели, и нормальные сайте так не делаются.
Поэтому я и написал про джаву.
Про html и видение, я вам уже ответил. Вы меня опять не поняли в этом посте, в предыдущем я разжевал.
Про API вообще я не про то писал, перечитайте еще раз сообщения.
Говоря джава, я говорю Java, это вы говорите мне про Javascript и я не понимаю почему.
Вы не должны мне верить, вы могли бы уже погуглить, и прочитать самостоятельно все про кражу куки с помощью Java и вашего любимого Javascript, но почему то этого не делаете, пытаясь убедить меня что это невозможно )))
Но давайте же я расскажу свою мысль. Кража куки через Javascript тема очень заезженная и старая как мир, вы можете сами набрать в гугле "кража cookies javascript" и убедится в том, что тысячи рецептов есть и готовых скриптов. Но т.к. Javascript интерпретируется браузером, то все возможности кражи упираются именно в него, ну или в сайт (что мы не рассматриваем, ибо нужный нам сайт gmail). Для подобной атаки нужна определенная подготовка и удача, ибо нужен не обновленный браузер, причем определенный.
Вот тут то и хороша Java, которая зависит только от вашего доверия источнику аплета и наличию подписи аплета, о чем я уже 100500 раз написал. Вас не защитит ни антивирус, ни последняя вресия браузера, ничего, если вы запустите аплет.
Java создана вовсе не для веба. Тот факт, что вместо exe, написанных на C++, кто-то использует апплеты, написанные на Java, не делает их частью веб.
Сайт, на котором меня просят скачать и установить что-то, тут же идет лесом.
А уж про сайты, открываемые на мобильных устройствах и тем более не позволят совершать подобные необдуманные действия.
Я не захожу ни в какой личный кабинет провайдера, а оплачиваю исключительно средствами интернет-банкинга. На котором также нет никаких апплетов, а есть СМС-служба, что однозначно подтверждает мою личность.
Вы описываете устаревшие решения, причем очень давно. И никаких кук с помощью Javascript вы не украдете. Могли бы в IE5, и до если не установлены патчи (примерно от 2002 г.).
Я постоянно упоминаю Javascript, потому он стал наряду с HTML и CSS частью минимального набора, поддерживаемого браузером, поскольку почти все API (кроме нативного проигрывания медиа-потока) реализуются именно с помощью этого языка. Если вы отключите в браузере выполнение сценариев, то все API идут лесом.
Мне искренне жаль, что поверхностное образование и каша в голове очень распространены в рунете.
В том то и дело, что подписанный аплет не будет ничего спрашивать. Да и даже если будет спрашивать, если это будет личный кабинет вашего провайдера, он не пойдет лесом ))) Еще лет 7 назад самоподписные ssl имели такое же отношение, а сейчас оно везде, даже у банков некоторых встречается такая тема.
И тут еще одно преимущество джавы, оно позволит выполнится и стырить куки с любого мобильного устройства где есть машина, а есть она под любую систему.
Помимо сайтов провайдера есть еще куча сайтов которым вы безоговорочно доверяете и от которых не ждете каких то вредоносных действий, и опять же, не забываем про подпись аплета.
Читайте сами, мне уже надоело спорить об очевидных вещах ))) наберите в гугле, и вы увидите кучи рецептов на любые версии любых браузеров.
Про поверхностное то образование это хорошо, мы с вами потратили 2 дня только на то, что бы вы поняли для чего надо куки воровать, и перестали говорить про https )))
И не хожу я на сайт провайдера. Приходят СМС о сроке оплаты для продления и я через интернет-банкинг оплачиваю, для чего также используется служба СМС-сообщений.
Поэтому перестаньте уже про провайдера — это тупик.
Не нужно путать мягкое и теплое, поскольку SSL/TLS является открытым стандартом. Про Java, Flash и пр. это сказать нельзя, потому как это — проприетарные технологии, и рассчитывать на их поддержку на любых платформах разработчик не может.
И еще раз — я не запускаю никакие апплеты ни на каких сайтах. Тем более не скачиваю exe.
Повторю, хотя уже честно надоело... Java не имеет прямого отношения к вебу. Это — абсолютно самостоятельный язык, который может использоваться для совершенно разных целей.
Если вспомнить начальную тему, то я утверждал, что провайдер ничего, кроме шифрованного трафика не соберет. А вы постоянно говорите про какие-то тайные возможности провайдера, включая ту же кражу кук.
Неужели из всего обсуждения непонятно, что не стырите вы ничего у меня, будь вы хоть провайдер, хоть суперпровайдер.
Никаких исполняемых файлов я не скачаю и никаких апплетов не запущу.
Я утверждаю, что ни Perl, ни PHP, ни Java, ни Python не являются необходимой частью веба. Есть описанный в спецификации обмен http-сообщениями между клиентом и сервером.
Нет абсолютно никаких требований, на чем будет написан исполняемый код как клиента, так и сервера. Хоть на C++, хоть на Java. Нет никакой разницы для клиента, отдается ли ему содержание статичного документа, или это содержание формируется "а лету" с помощью тех же Perl или PHP. Клиенту по барабану, какой сервер с ним общается, будь то IIS или Unix, или nginx etc.
Первоначально веб — это HTML, URI, HTTP.
Впоследствии к языку разметки добавился язык стилевой разметки и язык программирования. Хотя их поддержка не является требованием к клиенту.
Никаких требований по поддержке различных программных продуктов от сторонних, пусть даже и известных компаний нет и быть не может. Вы рекламируете Oracle, кто-то впишется за Adobe, но суть не меняется — поддержка их продуктов необязательна и более того, современные серьезные сервисы их...
Использование параметра secure в связке с отправкой запроса по https не позволяет перехватить куки при сниффинге.
А поскольку я не скачиваю непонятно что и, тем более, не запускаю это, то эту информацию вы у меня не получите. Ну никак.
Не понимаю — что вы обсуждаете и с какой целью? А также не пойму, причем тут провайдеры?
В вашем случае может и тупик, но в массе своей это очень даже не тупик, да и у провайдеров и так хватает средств при необходимости сделать что угодно с компьютером пользователя. У провайдеров есть куча софта сделанного по них, например плееры для iptv, или DC++ клиенты, или висящие в трее информаторы о балансе и т.д. Помимо этого, провайдер имеет все средства для редиректа вас на свою фековую страницу того же gmail или вконтакте и изъятия таким образом ваших паролей. Вариантов масса, надо только захотеть.
Тем не менее, Java есть на вех платформах и пропиетарность той или иной технологии не имеет никакого отношения к теме.
Питон тоже не имел никогда никакого отношения к вебу, но на данный момент он один из самых востребованных языков в этой сфере.
Украсть куки невозможно, поскольку я не скачиваю и не запускаю никакого говнософта, тем более от провайдера.
Простой сниффинг ничего не даст, поскольку куки тоже зашифрованы.
Остается только обмануть меня, подсунув страницу, которая:
– будет выглядеть абсолютно так же
– будет иметь именно тот адрес, что я и указал
– сертификат будет тот же, что и для "правильного" домена
Я не являюсь экспертом по части сертификатов SSL, поэтому не могу уверенно сказать, осуществима или нет их подмена. Однако, можете представить себе последствия скандала, если кто-то из провайдеров это осуществит технически?
P.S. Слова "Java есть на вех платформах" не значат ничего, потому как верно говорить, установлена или нет VMJ на конкретном устройстве.
Мне еще раз написать, что на моем компьютере не установлена VMJ?
Я вам привел массу примеров, и заострил внимание на Jave, ибо при правильном подходе, ничего не надо там запускать, скачивать и прочее.
Провайдеры при всем, работают то органы наши через них, и они самые уязвимые на всей цепочки, ибо к ним можно прийти и надавить, к тому же они подчиняются нашим законам, и не могут не подчиняться, ибо их деятельность лицензируется.
Не являются, и что? Дальше то что? Вы говорите, что Java не часть веба, и что дает это утверждение нам с практической точки зрения? Оно не работает? Оно работает не как надо? Или что?
Вам хочется убедить меня, что тег <object> создавался для.... а, ну точно, а для чего тогда создавался тег <object> ))))) И почему же у w3 назначение тега одно, а в вашей голове другое? Вы наверное лучше знаете чем w3 ))))
ssl не надо подменять, в этом нет смысла никакого.
Ну у вас не установлена, для вашего нагибания другие методы )))
Куки не шифруются, они вообще никак не защищаются в вашем понимание, на них только накладываются некоторые ограничения, о которых я уже писал. Ваш любимый параметр secure всего лишь передает печеньку по тому же https, о чем я вам уже писал 2 раза. Да, вашим любимым снифером не перехватить, но я то и не говорил про такой метод, я в самом начале вам сказал, что задача утащить куки уже у вас с компьютера.
Вы все никак не можете принять возможность кражи через Java ну или через ваш любимиый джаваскрипт, хотя наработок по подобным методам полно и каждый день находятся новые дырки.
Ну да ладно.
Давайте по фейкам.
Сделать страницу идентичной нет проблемы.
С адресом даже заморачиватья не надо, это же вконтактовский фек с заменой адреса в хосте. Провайдер может сделать редирект по адресу назначения одной лишь строчкой в правилах файрвола, и адрес и все на свете будет как надо. В конце концов, они на быстром кэше DNS могут вообще экранировать целую зону, на один хоп, если вы пользуетесь DNS провайдера, если нет, см. выше.
...
А зачем вы заострили внимание на Java? Потому, что что-то читали про нее? Ни один серьезный сервис апплеты не использует, чего вы тычете постоянно их в обсуждение?
Провайдер может только сниффить (опять пояснять, что это?). Ну надавите, и что? Что дальше-то?
Ах да... Вы же не в курсе что это, не написали ни строчки на Javascript, и никогда не использовали в работе те самые API, про которые упоминаете...
Еще раз — отключите наконец использование сценариев и поймите, что все современные API реализуются только с помощью Javascript.
Покажите мне реальный пример кражи кук с помощью Javascript. Если не покажете, считаю все написанное на эту тему демагогией.
О каком файрволле идет речь? О том, что ставлю я и настраиваю также я? Причем тут провайдер?
Покажите замену адреса в строке браузера. Реальный рабочий пример.
Про защиту говорил вы, но вы не пожелали разобраться что же это такое, это никак не шифрование, я вам уже писал о том, что это. Поищите по моим сообщениям, или в гугле.
Я вам ответил уже на этот вопрос http://newsland.com/news/detail/id/1270798/#comment_18352433
Аплеты используют, сервисы такой серьезности, что вы их даже не видели ))) я вам даже примеры приводил.
)))) я вам уже 100 раз объяснял что и как может провайдер, и снифинг я даже не затрагивал.
Все предложения поставить неведомый говнософт от провайдера идут лесом.
Именно поэтому я повторю еще раз — провайдер может сниффить, это да. Но залезть внутрь увы...
https://www.google.ru/search?client=opera&q=%D0%BA%D1%80%D0%B0%D0%B6%D0%B0+cookis+javasript&sourceid=opera&ie=utf-8&oe=utf-8&channel=suggest#channel=suggest&newwindow=1&psj=1&q=%D0%BA%D1%80%D0%B0%D0%B6%D0%B0+cookie+javascript
Можете обратится на античат, вам за 20 баксов сделают.
Речь идет о пограничных маршрутизаторах провайдера.
У всех "взрослых" провайдеров это пример всегда показывается когда у вас кончаются деньги на счету. При открытие любого адреса вместо содержимого показывается сообщение о кирдыке денег. Делается это как раз правилами файрвола, все же маршрутизаторы работают так или иначе на nix.
Ладно, java у вас нет, софт вы не ставите, на сайт провайдера не ходите. Но а как же быть с фейками? )))
То, что вы считаете подменой адреса и пр. — попробуйте вбивать разные несуществующие адреса на любом сайте. Там тоже будет выдаваться одна и та же страница для 404 ошибки. Чудеса))
Провайдер также может выдавать что-то свое при обнулении баланса. Кстати, мой не выдает. Наверное, Акадо — "детский" провайдер...
Вы же повторяете то, что провайдер может выдать фишинговую страницу с целью украсть логин/пароль. Я не могу со 100% уверенностью утверждать, возможно ли это, но если даже возможно, то это — прямой путь к такому количеству исков, что работа провайдера будет остановлена и лицензия будет изъята.
Провайдер делает редирект на шлюзе на страничку про баланс, это делается редиректом портов на исходящий трафик. 80 порт перекидывается на какой то другой, где у него веб сервер с этой страничкой, или где просто стоит заглушка и перекидывает на голую картинку, у всех по разному. Но при этом ничего не мешает сделать вместо странички о балансе полную копию контакта, или gmail. Все точно так же как и с вирусами, которые правят файл host, только тут все делается не на вашей машине а на шлюзе провайдера.
Акадо это вообще шарашка, отключайтесь быстрее ))) У них это, до сих пор свичи в грозу выгорают по всему району? ))))
Это возможно на 146% и это работает почти у каждого провайдера, и почти в каждой конторе, которая ограничивает своих сотрудников в интернете.
У провайдера ничего и никто не изыми, ибо вы прочитайте заголовок статьи то, и подумайте в контексте чего это все может делается и по чьёму указанию.
На заре становления HTML для внедрения контента были придуманы несколько элементов:
text/html — iframe
image/jpeg, image/png, image/gif — img
application/x-java-... — applet
Уже тогда было ясно, что могут появляться разные виды контента со своим MIME-type. По этой причине и появился «универсальный» элемент для внедрения — object. В компании Netscape реализовали свой — embed.
И хотя второму предрекали смерть, но он не только выжил, но и вошел в спецификацию HTML5.
Для обоих элементов необходимы 2 параметра:
type — тип контента
data — указание контента (object)
src — указание контента (embed)
За обработку контента отвечают модули (плагины по-другому), которые вызываются к работе на основании анализа списка navigator.mimeTypes. В IE за это отвечают ActiveX объекты, что порождает известные проблемы не только с определением поддержки типа контента, но и его обработки. Например, для application/x-shockwave-flash в ActiveX-объекте не предусмотрена обработка атрибута data в элементе object.
Отсылать искать за вас ваши же аргументы не только грубо, но и однозначно выдает некомпетентность.
Если вы не сделаете страницу, зайдя на которую я отдам вам свой куки для другого домена, то продолжать разговор нет смысла.
Да потому что вы пихаете куски текста скопированные отовсюду, даже не пытаясь понять написанного. Пытаетесь доказывать совершенно неверные, но желаемые вами принципы.
Про теги, про печеньки, про ssl и прочее )))
Вы вспомните с чего начался разговор ))) Вы говорили что украсть куки невозможно, я захотел с вами поговорить, а надо было слать сразу в гугл, что бы вы поняли, что это не только возможно, но еще и массово применяется.
)))) вы опять пишете фразу "зайдя на которую я отдам вам свой куки для другого домена" которая перечеркивает все то, что я вам пытался объяснить, показав что вы так и не поняли что такое куки, для чего они, и зачем их воровать.
Я уже если честно устал объяснять одно и тоже по сто раз )))
Копирую?))) Официальным документом W3C считается спецификация HTML 4.01, в которой элемент object описан неверно, что исправили в HTML 5. Но это ведь вас не касается, человек без опыта работы во фронт-енде?))
Про куки — еще раз, сделайте страницу, я зайду. Крадите как хотите.
Если я не скачаю и не запущу исполняемый файл, никто и ни за что их не получит.
Вы разводите демагогию и постоянно отправляете что-то искать. Делами слова подтверждайте.
Я отлично понимаю, что такое куки. То вы утверждаете, что куки не всегда передаются, то что они не шифруются с параметром secure, но учите и учите тому, что не знаете.
Провайдеры могут многое, очень многое, я вам почти все описал.
Лично я могу сделать только исполняемый ехе или скриптовый файл.
Конечно отправляю, ибо в подтверждение моих слов есть тысячи страниц с готовыми рецептами, из них десятки рецептов, которые я даже не затронул, ибо отношения к провайдерам они не имеют, но работают эффективно, чему доказательство тысячи стыренных аков вконтакте, учеток на мэйл, яндексе и gmail.
Куки не всегда предаются, есть такое и я вам это написал когда перечислял методы защиты от их кражи, этим пользуются банки.
Они не шифруются вообще никак, они только могут передаваться оп https вместе с трафиком.
Параметр secure вообще никакого отношения не имеет к шифрованию, он описывает только некоторые ограничения на куки, их срок жизни, их использование, их работу с субдоменами и т.д. Это косвенная защита, но не самих кук, а их использования.
))) вы бы наконец прочли бы, не пришлось бы учит...
Кем это считается? Вот у них последняя не драфт версия http://www.w3.org/TR/2013/REC-its20-20131029/#html5-global-approach
Я вам ссылку давал и туторела той же даты, что и эти стандарты.
Взрыв смертницы в Волгограде - это отсутствие результатов в их работе. Некогда им.
http://www.znak.com/urfo/news/2013-10-30/1013642.html
Опубликовать не могу, толерантные жиды заминусили.
Все разведки Мира - читают, а наши - нет!
Я в это не верю!
Тогда, за что им платят зарплату?
А вам это заечм?
Вы спросили - я ответил.
Так зачем вам это?
Вы конкретно какую уйню имели ввиду, когда интересовались списком серверов freeФСБ?
"Зуб даю-век воли не видать" скажут?
Это всемирная крупнейшая сеть, и сраное ФСБ для него - сомнительная шарашка из банановой республики.
И вы готовы предположить, что GMail так макнет в дерьмо свою репутацию для всего мира, чтобы поучаствовать в мышиной возне этой конторки, на которую GMailу глубоко нас..ть?
Что-то сомнительно...
И главное а остальных как?
Так что слухи о цивилизованности сильно завышены.
Потом появятся статьи за ненормативную лексику в частной переписке, ну а за экстримизьм
токо так привлекать будут
имеющая своего командира и своего шпиона
(на шпионе он особенно настаивал)"
(М.Е. Салтыков-Щедрин. История одного города.)
Мало еще разоблачаем коварные идеологические диверсии госдепа!
А электронную почту надо сделать удобнее (ну всё же для людей). Все фримайлы в свободном доступе надо закрыть. Захотел написать электронное письмо, позвонил по телефону и соответствующий сотрудник сам наберёт письмо. Заодно и проверит.
Думаю, у большинства пользователей мобильных платформ хватит сообразительности этого не делать.
глядишь и комп. грамотность людей подрастёт ...
Большой Брат уже "...давно читает письма, заглядывая мне через плечо."
"Я не люблю холодного цинизма,
В восторженность не верю, и еще -
Когда чужой мои читает письма,
Заглядывая мне через плечо."
В. Высоцкий
Где конституционные права гражданина и человека????
Это когда ж такое в СССР-России было, все о чем вы написали.....права человека, свободное дыхание и т.д.?
1. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.
2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения."
Или Конституция РФ уже не является основным законом государства и может подменяться всяческими ведомственными бумажками по усмотрению майоров прониных ???
например OpenPGP.
свободное, бесплатное ПО.
ставится на компьютер пользователя отправителя и получателя.
Шифрует письмо перед отправкой и в интернет идет уже зашифрованное.
Есть и другие варианты.
при выборе размера ключа, скажем, 2048 - перехватившие это письмо держиморды будут расшифровывать смысл вряд ли менее нескольких ближайших тысячелетий.. Именно тысячелетий.
Но давайте усложним их задачу и будем менять ключи с некоторой периодичностью.
Пусть читают. Хоть все гастарбайтеры мира.
да у правителей и черноты...
другие почты...
теперь осталось подождать когда нам всем чипы начнут вживлять
В черновиках можно будет оставлять сообщения напрямую ФСБ.
А нечерножопое население опасности не представляет. Да и вымирает довольно быстро.
"Уважаемый абонент!
Данный ресурс заблокирован
Доступ к сайту ограничен в соответствии с Федеральными законами №114-ФЗ от 25.07.2002 (О противодействии экстремистской деятельности), №436-ФЗ от 29.12.2010 (О защите детей от информации, причиняющей вред их здоровью и развитию), №149-ФЗ от 27.07.2006 (Об информации, информационных технологиях и о защите информации) и Постановлением Правительства РФ от 26.10.2012 №1101.
По всем возникшим вопросам, касающимся работы ресурса, обращайтесь к уполномоченным представителям Роскомнадзора и МинЮста."
Вот такие дела. Если так дальше пойдёт, то от интерзета мне придётся уходить, потому как порнографии на сайте http://via-midgard.info/ нет, зато есть слова, обличающие нелегитимную сионошовинистическую власть в России. Кстати, данная власть нарушает Конституцию России от 1993-го года:
"Статья 29
1. Каждому гарантируется свобода мысли и слова."
http://www.ridus.ru/news/53089/
(Как обойти блокировку запрещенных сайтов)
Однако, неприятно зело.
(Чем сильней бьют-тем больше недовольных!)
Чем вызвал недовольство властей Макспарк???
Охуеть как чтут Конституцию власти,
Но нет ничего важнее для органов,
Чем приказы министра связи.