Лучшие статьи и кейсы стартапов
Включить уведомления
Дадим сигнал, когда появится
что-то суперстоящее.
Спасибо, не надо
Вопросы Проекты Вакансии
Сервис email-маркетинга
Рекомендуем
Продвинуть свой проект
Лучшие проекты за неделю
31
Эбиа

Эбиа

www.ebia.ru

23
Enlite

Enlite

enlited.ru

22
YAGLA

YAGLA

yagla.ru

15
likearea

likearea

smm.li

15
SE Ranking

SE Ranking

seranking.ru

14
Cookiezz

Cookiezz

cookiezz.com.ua

13
Venyoo

Venyoo

venyoo.ru

12
Perezvoni.com

Perezvoni.com

perezvoni.com

12
Reader

Reader

Интернет-журнал о современных технологиях.

Показать следующие
Рейтинг проектов
Подписывайтесь на Спарк в Facebook

Почему эксперты по безопасности предпочитают устаревшие почтовые клиенты

156 0 В избранное Сохранено
Авторизуйтесь
Вход с паролем
Почему многие специалисты по компьютерной безопасности предпочитают использовать для общения устаревшие email-клиенты. Разбираемся в нашем новом материале.

В нашем блоге мы много пишем о создании email-рассылок и работе с электронной почтой. Многие люди пользуются email, но ИТ-специалисты здесь несколько выделяются — у них есть свои предпочтения по стилю общения, кроме того, некоторые из них используют не самые популярные у широких масс инструменты.

К примеру, многие ИБ-эксперты до сих пор работают с почтовым клиентом mutt, предшественником которого был консольный клиент elm. Издание Motherboard опубликовало материал о причинах такой любви к устаревшим средствам общения, а мы подготовили его адаптированный перевод.

Четверть века назад чтобы проверить электронную почту, нужно было использовать мейнфрейм и работать консольным почтовым клиентом вроде elm или pine. Сегодня, многие эксперты по безопасности всё еще используют и советуют mutt.

Кристофер Согхоян (Christopher Soghoian), главный технический специалист ACLU (American Civil Liberties Union, Американский союз защиты гражданских свобод), сообщил, что он является «несчастным пользователем mutt».

«Тот факт, что я использую mutt, не означает, что мне это нравится», – пишет Кристофер. – «Я терпеть его не могу. Я мечтаю о лучшем решении, но пока не нашел его».

Так почему же пользователь, заботящийся о своей безопасности, должен работать с mutt?

«Просто – значит надёжно», – говорит Марек Тузински (Marek Tuszynski) из Tactical Technology Collective – неправительственной организации, обучающей активистов и репортёров средствам цифровой конфиденциальности и безопасности. «В общем, консольные инструменты имеют более простой дизайн, состоят из меньшего количества строк кода без уязвимостей (Java, Flash и т.д.). Всё это повышает безопасность программы в целом (меньше ошибок, выше стабильность)».

«Я не хочу, чтобы мой почтовый клиент использовал движок рендеринга или интерпретатор JavaScript,» – пишет Согхоян. – «Чем меньше возможностей для атаки, тем лучше».

Если верить OpenHub.net, mutt запускается всего лишь на сотне тысяч строк кода, тогда как Thunderbird вместе с Enigmail состоят почти из миллиона. В браузере Firefox их 14 миллионов, а Chromium, база для Google Chrome с открытым исходным кодом, состоит из 17,4 миллионов строк кода.

Количество уязвимостей, найденных в mutt за последние 10 лет, ничтожно мало по сравнению с уязвимостями в браузерах вроде Firefox и Chrome и почтовых клиентах, таких как Outlook и Thunderbird.

Как говорит Согхоян, «(Mutt) не является веб-браузером, поэтому он и не имеет такого огромного количества уязвимостей для атак, как веб-браузер».

В наши дни, когда организованные атаки на пользователей становятся обычным делом, максимизация безопасности устройствеа конечного пользователя является важной для многих. В дополнение к mutt, технически подкованные пользователи переходят на консольные OTR чат-клиенты, такие как xmpp-клиент от Адама Лэнгли.

Протокол Off-the-Record Messaging (OTR) предлагает функции для шифрования чата, которых, судя по документам Сноудена конца 2012 года, было достаточно, чтобы избежать массовой слежки. Однако проблема безопасности на стороне конечного пользователя состоит в том, что Pidgin и Adium, два наиболее популярных OTR чат-клиента, основаны на библиотеке libpurple, безопасность которой находится под вопросом.

b_57206385d6f2c.jpg

По данным Сноудена, правительство США не смогло взломать сообщения, закодированные с использованием протокола OTR

«Да, я использую xmpp-клиент Jabber для переписки», – пишет Согхоян. «Но к нему у меня также двойственное отношение. Мне нравится, что он написан на Go, не использует libpurple и не имеет различных ненужных дополнений типа эмодзи. Но его пользовательский интерфейс ужасен. Жду не дождусь, когда кто-нибудь создаст для него графический интерфейс».

Но повышение безопасности негативно влияет на юзабилити, и это плохо – ведь неважно, насколько безопасна платформа, если ею никто не будет пользоваться. Программы со сложными консольными командами используются только технически подкованными пользователями. Появится ли когда-нибудь надёжное и безопасное средство общения для массового пользователя?

b_5720639330eef.jpg

Хmpp-клиент веселее, чем кажется

«Я в восторге от Ricochet: у него нет центрального сервера и утечек метаданных», – пишет Согхоян.– «Но он ещё не готов к запуску и даже не был основательно протестирован».

«Pond (ещё одно детище Адама Лэнгли) – также отличный проект и пример того, как может выглядеть безопасный почтовый сервис будущего», – добавляет Согхоян. «К сожалению, Адам не хочет, чтобы люди использовали pond, и у Адама не очень много времени для работы над ним. Если бы pond находился в активной разработке и был готов к запуску, я бы с радостью обменял на него электронную почту и pgp».

Однако Тузински отмечает, что безопасность на стороне конечного пользователя зависит не только от используемых инструментов. «Для нас важно уделять внимание не только цифровой безопасности информации», – пишет он, – «но и безопасности пользователя: физической и психологической. Проблема, которую нужно решить, является более широкой, чем просто выбор между приложением с консольным или графическим интерфейсом».

Другие материалы по теме email в блоге «Печкина»:
+2
Добавить в избранное Сохранено
Авторизуйтесь
Вход с паролем
Комментариев еще не оставлено
Выбрать файл
Читайте далее
Загружаем…
Блог проекта
Расскажите историю о создании или развитии проекта, поиске команды, проблемах и решениях
Написать
Личный блог
Продвигайте свои услуги или личный бренд через интересные кейсы и статьи
Написать