Мы же вас предупрежали!

[vitus_wagner]

Полгода назад я написат ругательный пост про LetsEncrypt. С общим смыслом "С изделием людей, которые так пишут, нельзя иметь дело там, где это касается безопасности".

Как показала практика, не только с изделием, но и с сервисами нельзя иметь дело.

Ибо вот.

Для того, чтобы написать софт для рассылок, который помещает явным образом в письмо адреса всех получателей, надо обладать знаниями о функционировании электронной почты на уровне типичной секретарши.

Comments

[tzirechnoy.livejournal.com]

Ну, не обязательно пользоваться их софтом. Я в итоге нашёл bash-скриптик, который сам всё делает с openssl.

PS Там, судя по деталям, дело не в незнании основ e-mail, а именно в баге реализацыи. Какую-то переменную не почистили...

[vitus_wagner]

Если грамотно проектировать, там просто не могло быть такого, чтобы список адресов был в общем пространстве памяти с формирующимся текстом письма.

[inkelyad.livejournal.com]

Здравый смысло говорит, что тут даже не нужно что-либо проектировать. Менеджеров списков рассылки уже написано в достаточном количестве, чтобы свой велосипед не изобретать.

[vitus_wagner]

Использовать готовый инструмент вместо того, чтобы кодировать всякую фигню заново, это и есть грамотное проектирование.

[besm6.livejournal.com]

Ну, в совсем общем пространстве памяти они все же будут. Если из адресной книги берется и адрес для отправки (аргумент функции отправки), и имя для обращения (тело письма), и их комбинация для заголовка To:

А дальше достаточно перепутать имя переменной при передаче в шаблон тела. Или помочь редактору программы его перепутать (если, например, это IDE с подсказкой имен или автодополнением - выбрал не тот вариант, и привет, и в подстановке в шаблон даже хаскель не спасет).

[besm6.livejournal.com]

Знаешь, Витус, это смотря сколько безопасности тебе надо.

Какой из приличных сервисов сертификации (в смысле, тех, чей сертификат CA не надо ставить юзеру отдельно) позволяет получить сертификат на имя хоста в домене, в котором ты контролируешь только этот веб-сервер (доступный снаружи по HTTP и HTTPS, и больше никак)?

Админов домена не контролируешь - пулемет не выдают, а без массовых расстрелов с ними вменяемого взаимодействия не получается.

LetsEncrypt позволяет. Да, это несекьюрно. Зато работоспособно, и уже позволяет не светить паролями к серверу в открытом канале.

[vitus_wagner]

Ну если у тебя есть еще и почта на этот домен, то startssl.com - позволяет.

Но при таком раскладе лучше не держать на такой машине каких-либо http-сервисов, которые требуют аутентификации.

[besm6.livejournal.com]

У меня ситуация такая, какая есть. Админы - как обычно в большой конторе. С большим трудом удалось добиться прямого проброса портов. Они все пытались пустить через обратный прокси, но им очень лень было возиться с сертификатами. Организовывать мне на это доменное имя почту ради startssl никто не будет. Покупать сертификат там, где покупают на VPN, тоже никто не будет, во всяком случае за вменяемое время.

startssl, кстати, хочет не любого, а админского email из домена. Хотя соглашается и на этот домен, и на родительский. Нормальная security measure, но в моей ситуации, натурально, не работает. А LetsEncrypt работает, и задачу "не светить в Интернет конфиденциальную информацию, включая доменные пароли" решает.

[grey-kristy.livejournal.com]

startssl.com и без почты позволяет

Я вообще не понимаю весь этот хайп вокруг LetsEncrypt. Есть же уже бесплатные ssl сертификаты, и на год, а не не месяц

[grey-kristy.livejournal.com]

А wosign.com на 2 года выдает

[vitus_wagner]

Это не сертификат, это китайская подделка ;-)

[dreams4rent.livejournal.com]

Уязвимость удостоверяющего центра StartSSL позволяла получить сертификат для чужого домена (http://www.opennet.ru/opennews/art.shtml?num=44708)
Да, StartSSL это серьезная контора, не то что этот хипстерский LE.

[dreams4rent.livejournal.com]

Тут дело какое: они СА и их сертификат в доверенных у всех основных браузеров. Если они нифига не понимают в безопасности и потеряют свои ключи, то некая третья сторона, эти ключи нашедшая, сможет выпускать сертификаты для вашего домена не зависимо от того, пользуетесь вы их сервисом или нет. Поэтому отказ от использования их сервисов не снижает риска.
Так почему бы и не пользоваться? Удобно, быстро, комфортно. Мой адрес почты они никому не скажут, потому что я им его не давал. Что еще может утечь?

[besm6.livejournal.com]

Снизить риск можно, выкинув их сертификат из доверенных у себя. Он не в код браузера зашит, а всего лишь в дистрибутиве раздается, механизм выкидывания есть.

[dreams4rent.livejournal.com]

Выкидывание их из доверенных поможет только на подконтрольных вам машинах.
А вот у HPKP и TLSA есть шанс помочь и другим пользователям.

[anonim-legion.livejournal.com]

У меня не хватило желания и упорства продолжить начатый недавно у вас срач, про гнилое айти.

Скажу примерно так - больше чем уверен, что персонажи с LetsEncrypt заработали не на одну квартиру в Москве, а на 10. Потому что оплата от уровня знаний и качества работы не зависит.

[beldmit.livejournal.com]

В Коммунивере рассылку со всеми получателями в CC тоже можно было сделать, и один раз сделали.

В общем, не самый сильный аргумент.