Pull to refresh

Comments 43

первые две мысли:
1)а причем тут FF? в самом хроме можно тоже самое сделать(редактировать стили и тп)
2)вроде уже давно доказано что можно сохранить, то что приходит на комп пользователя. как то не открытие.

Открытие тут это наглость, зная что никакой безопасности нет, начертить мелом линию, сказать что есть закон запрещающий переходить линию другим и сказать что это безопасность.
А можно вообще сфотографировать экран.

Например, можно вскрыть замок на входной двери, но мы ведь квартирную дверь запираем, тем не менее.
Так тут речь идёт о пластиковой двери которая закрывается просто табличкой «не входить» а не о стальной двери с замками для взлома которой нужно приложить некислые усилия.
Так тут речь идёт о пластиковой двери которая закрывается просто табличкой «не входить» а не о стальной двери с замками для взлома которой нужно приложить некислые усилия.

Даже в данном случае для «взлома» нужно приложить «некислые усилия», ведь в первую очередь расчёт на то, что «обычный пользователь» не знает и не умеет пользоваться такими инструментами как DevTools. А от умеющих ими пользоваться расчёт на закон DMCA.

Так, что пример был верен:
можно вскрыть замок на входной двери, но мы ведь квартирную дверь запираем, тем не менее.

Взломщики/специалисты тем и отличаются от обычных граждан/пользователей, что осведомлены о методах обхода защиты в виде железной двери и уж тем более замка. И соответственно для них любая такая «железная дверь» сравнима с «пластиковой дверью и табличкой „не входить“».

Возможно защита действительно слаба или недостаточна, но это защита. И не будем забывать, что у любой защиты есть свои минусы и узкие места, которые рано или поздно будут известны неопределённому кругу лиц. Это просто такая же истина как для программиста то, что нельзя устранить 100% багов: рано или поздно всплывут новые причём в непредсказуемых условиях.

Не бывает идеального решения — бывает достаточное решение.
В чём я не прав? К стати ниже уже указали, что эта защита связана конкретно с тем, чтобы не дать доступ к сообщению после определённого временного интервала (ну и до подтверждения доступа), однако до истечения этого интервала считается, что получатель по умолчанию доверенное лицо.
Вами все описано логично и понятно. Наверное у кого-то просто настроение плохое. Бывает.
В чём я не прав?

В том, что умение нажать на F12 и прочитать CSS — это уровень не специалиста, а продвинутого юзера.
«Специалист» в данном контексте был использован как обобщение категории имеющей инструмент и умеющей им пользоваться. Возможно слово было подобрано не сильно подходящее, ведь такой же пример как вы привели можно привести и по поводу взломщиков. Умение взять болгарку и просто распилить засовы — это уровень любого у кого есть эта самая болгарка.

Однако если ты умеешь читать CSS и знаешь о медиа-запросах в нём — это уже некие специальные/специфичные знания. Такими же специфичными знаниями в случае со взломщиком будет знание расположения засовов или любые другие знания, которые могут позволить так или иначе открыть дверь. Расчёт же обычно делают скорее на обычного пользователя.
Однако если ты умеешь читать CSS и знаешь о медиа-запросах в нём — это уже некие специальные/специфичные знания.

Мы все начинали с «Народа»…

Со сравнением с болгаркой — согласен.

Ну строить защиту базируясь на неосведомленности юзеров, так себе защита. Я могу написать маленький is сниппет, который нужно просто скопировать в F12-DevTools консоль. Защита снята.


Браузер априори не очень хороший клиент для доставки DRM информации.

Ну строить защиту базируясь на неосведомленности юзеров, так себе защита.

Однако от этого не уйти — любая защита базируется на отсутствии инструментов и достаточных знаний.

Я могу написать маленький js сниппет, который нужно просто скопировать в F12-DevTools консоль.

Можете, от этого нельзя защититься или по крайней мере сложно. Но опять таки у вас есть инструмент (DevTools) и знания, с помощью которых вы делаете инструмент для остальных, избавляющий их от необходимости знаний. В конечном итоге всё-равно есть инструмент (js сниппет).

А ещё ни что не мешает вам добавить в js сниппет XSS, о котором не будут знать потенциальные пользователи вашего сниппета в виду отсутствия знаний связанных с программированием.

Наверное именно по этому у того же Facebook'а в консоли выводят предупреждение (которое тоже является своего рода защитой):
Остановитесь! Эта функция браузера предназначена для разработчиков. Если кто-то сказал вам скопировать и вставить что-то здесь, чтобы включить функцию Facebook или «взломать» чей-то аккаунт, это мошенники. Выполнив эти действия, вы предоставите им доступ к своему аккаунту Facebook.
Подробнее на www.facebook.com/selfxss.

Браузер априори не очень хороший клиент для доставки DRM информации.

Не хуже любого другого, да возможно больше векторов атаки, но DRM так же как и любая защита не идеальна и вполне обходима, даже если используется какой-то другой клиент (не браузер) — главное наличие знаний.

Я Вам больше скажу. Гмайл очень здорово читается даже через w3m.

Гугл в своём репертуаре, как загибать http так это за безопасность, как называть безопасностью запрет на печать письма на компьютере клиента при отображении на нём — же, так это тоже безопасность.
А дальше Гугл поступает просто:
1) защищённое письмо можно открыть только через Гугл хром, в котором нельзя отключить стили
2) блокируется принтскрин.
3) включается DRM режим на видеовыходах, если есть активный vga, высвечиваем страшную надпись и ничего не показываем, плюс чёрные списки видеоустройств, чтобы не было проекторов, телевизоров, и несертифицированных приборов.
4) включается камера у компьютера, которая проверяет фотографию человека у экрана, детектирует средства фотовидеосъемки
5) на уровне хрома включить анти-отладку и детектирование виртуальных машин.
Что ещё забыл?
Слабое место остаётся, это контроль вебкамеры.
Что ещё забыл?

Избирательно отключить POP3 и IMAP для «конфиденциальных» писем?
И что там с «simple HTML view» для подобных писем? Тоже копирование отключается?
У целевого пк может не быть камеры для контроля
Съемка экрана может вестись без использования клавиши принт скрин — по расписанию, или вообще в видеофайл
Съемка экрана может вестись — с помощью любой камеры, даже 35мм плёночной :)

Никак. Нужен подход типа как при сдаче экзамена GRE. Спец центр, с выделенными компьютерами, охраной и досмотром.


По другому никак :/

А принтскрин блокируется браузером или как? Интересно, существуют ли какие-нибудь средства, позволяющие на принтскрине оставлять «черные прямоугольники» на месте определённых окон?
Например, видеоплееры выводят изображение в режиме overlay, и простой скриншот захватить изображение не может. Большинство браузеров уже умеет работать с видеокартой.
С другой стороны куча софта для стриминга, тот же fraps, умеет захватывать такое изображение из игр.
UFO landed and left these words here
Откуда у компьютера возьмётся камера? Это слишком редкий девайс

Я не понимаю смысл претензий в статье. Почему здесь обсуждается то, что получатель может сохранить что-то (а если он запомнит? вот ужас-то какой!)?


На мой взгляд данная функция сделана для того, чтобы возложить контроль за удаление писем на сервис. Например вы выслали какую-то конфиденциальную информацию письмом и вы не хотите чтобы потом, в случае взлома ящика, эти письма обнаружились у получателя. Звонить после каждого письма и спрашивать — "Ты удалил письмо? Точно?" — это идиотизм, а так вы можете не особо париться. Функция защиты от копирования это скорее подсказка о том, что данное письмо лучше никуда не сохранять


Юз-кейз вполне понятен после всех эти новостей о взломе почтовых ящиков сотрудников предвыборных штабов в США — он дает вам возможность контроля над информацией на аккаунте получателя, чтобы таких "сливов" при взломах не происходило.


При этом задача тут очевидно не в защите от сознательного вредителя, который может фоткать монитор и ему пофиг какие у вас там защиты. Тут идет защита от человеческого фактора

Отличное объяснение положительной стороны вопроса. Его бы лучше видеть в самой статье, а то в ней как-то все желтушно однобоко получается (и ощущение, будто только Firefox на такое способен).
Вы были бы правы. если бы гугл это так и преподносил. Но statement гугла при создании такого письма «Пользователи не смогут переслать, скопировать, скачать или распечатать это письмо»© Это явное введение в заблуждение — ибо смогут — и то и другое и третье и четвертое, о чем собственно статья и говорит.

А в глобальном смысле вещь полезная. И даже не с точки зрения забывчивости, а с точки зрения ответственности. Одно дело случайно переслать письмо, другое дело выполнить намеренные действия по снятию защиты на пересылку. Но нужна, конечно, доработка — как и техническая, так и по формулировкам.
Вы были бы правы. если бы гугл это так и преподносил.

Возможно это для вас сюрприз, но гугл именно так и преподносит эту функцию. Нажимаете «Подробнее», и открывается страница support.google.com/mail/answer/7674059?hl=ru на которой чётко указано:
Примечание. Эти ограничения позволяют защититься от случайной пересылки конфиденциальной информации, но не гарантируют полной защиты от вредоносного ПО и злоумышленников, которые могут скопировать ваше письмо или прикрепленные файлы.

Так что претензии к гуглу по поводу этого режима имеют необоснованный характер.
гугл именно так и преподносит эту функцию. Нажимаете «Подробнее»,
Нет. Перед «подробнее» стоит фраза «Пользователи не смогут переслать, скопировать, скачать или распечатать это письмо»©, то что по «подробнее» меняется смысл на противоположный — это просто еще один косяк гугла, т.к. подробности не должны менять смысл.

не гарантируют полной защиты от вредоносного ПО и злоумышленников,
Пустая фраза, т.к. полной защиты никто и никогда гарантировать не может.
Нет. Перед «подробнее» стоит фраза «Пользователи не смогут

Между пользователями и злоумышленниками, использующими методы обхода ограничения, есть разница. Без дополнительных телодвижений по обходу ограничений, действительно,
«Пользователи не смогут переслать, скопировать, скачать или распечатать это письмо»

С трудом представляю себе, как можно все правильно провернуть в браузере. От принтскрина и скринрекорда ничего не спасет. А текст? Ну что можно сделать с текстом, чтобы его ну никак нельзя было вытянуть из кода страницы? Рисовать в canvas? Но его тоже можно правой кнопкой сохранить. Как вариант, можно на странице расположить сотню канвасов и рисовать текст фрагментированно, чтобы было сложнее вытянуть данные. Хотя я не уверен, что сохранение страницы целиком не сохраняет и содержимое канвасов — не проверял. Но тем не менее. Любой, кто владеет кнопкой PrtSc, а это почти все, сможет сохранить себе сообщение навсегда, как бы Google не старался.

А текст? Ну что можно сделать с текстом, чтобы его ну никак нельзя было вытянуть из кода страницы?

Использовать подобный метод: https://mess.now.sh/.

Правда это не избавляет от:
Любой, кто владеет кнопкой PrtSc, а это почти все, сможет сохранить себе сообщение навсегда, как бы Google не старался.

Но всё-таки выше уже указали, что задача скорее защитить от получения информации после определённого срока, а до его истечения никакой защиты не предусматривается. Это как временная ссылка, доступная в течении 15 минут: в этот временной промежуток по ней может пройти кто угодно и сколько угодно раз, но вот после истечения временного промежутка перейти по ней невозможно.

Я в восторге. Кажется, до подобного не додумался бы никогда) Возможно, стоит взять на вооружение. Формально, он должен поддерживать любой язык? Главное, чтобы исходный шрифт имел кириллицу?

Поддерживает любой язык, главное чтобы в шрифте имелся набор необходимых символов. Этот метод никак не завязан на язык он работает только с символами, его задача просто поменять их начертания местами и зная такую таблицу перестановки вернуть новый текст и шрифт с её учётом.

Кажется, было бы лучше, если бы использовались не только имеющиеся символы, но и любые другие; также чтобы на один визуальный символ могло быть более 1го кода; и использовать лигатуры, создавая из двух символов один. Последнее, кажется, реализовать сложнее всего. Но первые два вполне. Надо попробовать поковырять библиотеку. Там меньше сотни строк кода, должно быть несложно разобраться

Я так понимаю ситуацию с expire time у писем — нормальная ситуация, что отправляющее и принимающее лицо являются априори допущенными к конфиденциальной информации, также принимающему лицу, вероятно, нужно использовать такую информацию. Пускай например паспортные данные. Время истечения предоставляет возможность своевременно их обработать, после чего они исчезнут. Если в дальнейшем кто-то хакнет сервер (или придет новый сотрудник с злыми намерениями), а ветка писем на принимающей стороне не удалена, то данные утекут. Expire механика в данном случае позволяет их защитить.


Альтернативой можно представить зашифрованные архивы, но они как правило являются вектором атаки с malware и не все почтовые сервисы их любят. Плюс при большом желании можно попробовать расшифровать архив (пару лет назад брутфорсил 5 значный пароль от архива и весьма успешно).


В этом контексте со стороны google неприятно, что письма хранятся в открытом виде для сервера. Но в общем если базовая механика выполняется, то уже профит есть.


Запрет на печать в данном случае воспринимается как поле private в с++. Ты можешь обойти такой запрет, но лучше этого не делать.

если не работает менюшка по ПКМ (правой кнопке мышки) — можно нажать shift+ПКМ (на ff 100% работает)
Хотя в Gmail нет кнопки «Сохранить» или «Скачать письмо», но в браузере такая кнопка есть и она нормально работает на конфиденциальных письмах.

Во-вторых, письмо на самом деле не удаляется полностью — оно продолжает храниться в папке «Отправленные» у отправителя, то есть на серверах Google.

Безумие какое-то. Почему все эти люди считают, что почта Google == веб-интерфейс Gmail? Когда успели отменить IMAP/POP3 и почтовые клиенты?
Безумие какое-то. Почему все эти люди считают, что почта Google == веб-интерфейс Gmail? Когда успели отменить IMAP/POP3 и почтовые клиенты?
Нене, не так, Вы не вкурили.
Не «почта гугл=вебинтерфейс гмаил», а «секретное письмо=веб-интерфейс гмэил».
Там же сказано "Пользователи сторонних сервисов (не Gmail) получат код доступа по электронной почте.", т.е. если Вы качаете по imap/pop3, то Вы увидите не текст секретного письма, а ссылку для его открытия на гмыльном сервисе. Поскольку в самом письме текста нет, просто ссылка. Если Вы открываете письмо через гмыльный сервис, то он эту ссылку распознает и показывает как текст письма (при наличии доступа).
Когда успели отменить IMAP/POP3 и почтовые клиенты?

Поэтому используйте почтовые клиенты, подписывайте и шифруйте свои сообщения (SMIME). И все с вашей перепиской будет в порядке.

Почитал я тут справку, что приложена к новости:
Примечание. Эти ограничения позволяют защититься от случайной пересылки конфиденциальной информации, но не гарантируют полной защиты от вредоносного ПО и злоумышленников, которые могут скопировать ваше письмо или прикрепленные файлы.

Довели до абсурда и начали громить.

Ну раз на то пошло, добавьте в название Блокчейн, ИИ и можно ещё BurgerKing. Цель статьи собрать просмотры, что можно судить даже из названия. И как говорится: держите нас в курсе.

Only those users with full accounts are able to leave comments. Log in, please.

Information

Founded
1996
Location
Япония
Website
www.globalsign.com
Employees
Unknown
Registered