1. Приветствуем Вас на неофициальном форуме технической поддержки XenForo на русском языке. XenForo - новый и перспективный форумный движок от бывших создателей vBulletin.

Шифрование личной переписки

Тема в разделе "Для новичков", создана пользователем Дима Полстянко, 23 июл 2011.

Загрузка
  1. Дима Полстянко

    Дима Полстянко Местный

    Регистрация:
    22.12.10
    Сообщения:
    197
    Симпатии:
    12
    Версия XF:
    1.1.3
    Подскажите личная переписка шифруется ? админ может читать личку ?
     
  2. TAIFUN

    TAIFUN Человек

    Регистрация:
    27.09.10
    Сообщения:
    2.121
    Симпатии:
    1.560
    Версия XF:
    1.5.9
    Не шифруется
    conversation_message.png
     
  3. Дима Полстянко

    Дима Полстянко Местный

    Регистрация:
    22.12.10
    Сообщения:
    197
    Симпатии:
    12
    Версия XF:
    1.1.3
    хех, а как сделать шифрованную ? Можно ? Возможно ?
     
  4. arelav

    arelav Местный

    Регистрация:
    07.06.11
    Сообщения:
    166
    Симпатии:
    353
    Версия XF:
    1.1.0 Final
    В этом нет никакого смысла, даже если бы информация была зашифрована, при необходимости ее прочесть достаточно будет скопировать в поле пароля пользователя свой пароль, зайти под этим пользователем и прочесть... так что админ - есть админ, и вы должны доверять ему, или не писать крамольные высказывания ;) ...

    Кроме того существует аддон для чтения, тут где-то мелькала о нем инфа...
     
  5. infis

    infis Местный Команда форума

    Регистрация:
    27.06.11
    Сообщения:
    5.525
    Симпатии:
    3.321
    Версия XF:
    1.5.9
    Возможно. Но к движку форума (любому, не обязательно XenForo) это не имеет никакого отношения.
    Администратор не сможет прочитать зашифрованное сообщение ни при каких раскладах. И пароль пользователя тут совершенно не при чем, так как при использовании системы шифровании ключи хранятся не на сервере, а у самих пользователей. Так что смысл может и быть. Вот только использовать форумные лички для этого, как минимум, неудобно. Уж лучше e-mail, либо чат с поддержкой шифрования (например, Jabber).

    Изучайте системы шифрования типа PGP, и будет вам счастье.

    P.S. Шифровать можно лишь данные, передаваемые на сервер и расшифровывать их при получении с сервера. Сам сервер в принципе не должен иметь возможности шифровать/расшифровывать сообщения, иначе теряется сама суть использования шифрования личной переписки. Конечно же, это не относится к случаю, когда сам сервер выступает в качестве участника переписки.
     
  6. arelav

    arelav Местный

    Регистрация:
    07.06.11
    Сообщения:
    166
    Симпатии:
    353
    Версия XF:
    1.1.0 Final
    1. личка предусматривает в этом движке подсоединение других участников переписки, а где 3 и более участника, это уже не конфиденциально, так как на крайний случай пальцы в двери еще никто не отменял - декодируется на ура ;)
    2. какой здравомыслящий админ будет себе на сервер, для увеличения головной боли, ставить возможности шифрования, чтобы приютить какую нибудь организацию радикалов-террористов к примеру?!

    3. я знаю что такое PGP, от этой информации счастливее не стал :) При помощи этого метода шифрования форум не нужен, так как понадобится клиентское ПО (хотя и средствами JS можно реализовать), в обратном случае придется сервер задействовать как участника сего действа, что в свою очередь уже снова будет выступать дырявым звеном... Да и с кириллицей там проблемки, если участники переписки не знают что такое кодировка исходного материала...
    4. про безопасность я знаю не по наслышке, и могу с уверенностью заявить: на сегодняшний день не существует ни единой системы коммуникации, которая дает 100% гарантию. Далее не по теме, а для информации: самое дырявое звено - GSM , так как не только не защищено, а еще занимается постоянной записью всех разговоров без исключения, и хранятся ваши голоса еще несколько месяцев на серверах компаний...

    ПЫСЫ: по этому вопросу мог бы целую лекцию прочесть, но как я понимаю, тут и без меня знатоков-криптографов хватает ;) В общем форум и шифрование данных нужен только для параноиков, но не админам (см.п.2), или закрытый форум для группы злоумышленников...
     
    TAIFUN нравится это.
  7. Дима Полстянко

    Дима Полстянко Местный

    Регистрация:
    22.12.10
    Сообщения:
    197
    Симпатии:
    12
    Версия XF:
    1.1.3
    чё накинулись волки ) просто интересно было ))

    а на самом деле в силу специфики мне нужно решение которое позволяло бы в случае если слижут базу с ксюхой не дать возможности злоумышленникам ознакомиться с текстом лички и самое главное со сканами файлов которые будут в файловом хранилище
     
  8. arelav

    arelav Местный

    Регистрация:
    07.06.11
    Сообщения:
    166
    Симпатии:
    353
    Версия XF:
    1.1.0 Final
    если есть доступ к базе, то тут уже полностью руки будут развязаны у тех, кто к ней поимел доступ. Вот пример: имея доступ не обязательно брать базу и бежать, а продолжить наблюдение за участниками уже с расширенными правами, так как можно добавить себе прав к примеру, заменить часть кода, и никто не увидит в ближайшее время (очень мало админов занимается ежедневным мониторингом своих ресурсов, это трудоемкое занятие), подменить собой твоего оппонента, и только дождаться, когда ты мне пришлешь ключик к примеру (это упрощенно)...

    Если проломились на сервер - пиши пропало :)

    Защита может быть только относительной, то есть от лентяев, кому нужно, - будьте уверены, найдут способы информацию получить, и способов очень много, как высокотехнологичных так и дедовских.
     
  9. infis

    infis Местный Команда форума

    Регистрация:
    27.06.11
    Сообщения:
    5.525
    Симпатии:
    3.321
    Версия XF:
    1.5.9
    Ну и нужно учесть, что часто куки хранят в базе. Т.е., имея доступ к базе, можно "поиметь" любого пользователя с текущей сессией. Именно так и ходят под админом, не зная его пароль, а также не расширяя себе права. В общем, внешне будет совсем не видно даже для админа.
    О том и речь, что спасение утопающих - дело рук самих утопающих. Если пользователю нужно шифровать, он это будет делать, независимо от сервера. Шифрование на сервере в данном случае просто не нужно. Если уж сильно хочется защитить траф от перехвата, то либо HTTPS, либо пресловутые VPN или L2TP, например.

    P.S. И вообще, хватить бредить относительно шифрования приватной информации в форумном движке :)
    Лучшая защита базы - постоянный мониторинг изменения файлов на сервере, плюс отсутствие средств удаленного доступа к базе в паблике (хотя бы .htaccess настроить на phpMyAdmin, если таковой используется). Я вообще практикую пользовать SSH для доступа к базе и fail2ban на сервере. Естественно, сие будет работать далеко не на всех хостингах, но на VDS/VPS обычно работает без проблем. Пример настройки SSH для проброса портов тут.
     

Поделиться этой страницей