Шифрование личной переписки

Подскажите личная переписка шифруется ? админ может читать личку ?

 

Не шифруется

 

хех, а как сделать шифрованную ? Можно ? Возможно ?

 

В этом нет никакого смысла, даже если бы информация была зашифрована, при необходимости ее прочесть достаточно будет скопировать в поле пароля пользователя свой пароль, зайти под этим пользователем и прочесть... так что админ - есть админ, и вы должны доверять ему, или не писать крамольные высказывания ...

Кроме того существует аддон для чтения, тут где-то мелькала о нем инфа...

 

Возможно. Но к движку форума (любому, не обязательно XenForo) это не имеет никакого отношения.

Администратор не сможет прочитать зашифрованное сообщение ни при каких раскладах. И пароль пользователя тут совершенно не при чем, так как при использовании системы шифровании ключи хранятся не на сервере, а у самих пользователей. Так что смысл может и быть. Вот только использовать форумные лички для этого, как минимум, неудобно. Уж лучше e-mail, либо чат с поддержкой шифрования (например, Jabber).

Изучайте системы шифрования типа PGP, и будет вам счастье.

P.S. Шифровать можно лишь данные, передаваемые на сервер и расшифровывать их при получении с сервера. Сам сервер в принципе не должен иметь возможности шифровать/расшифровывать сообщения, иначе теряется сама суть использования шифрования личной переписки. Конечно же, это не относится к случаю, когда сам сервер выступает в качестве участника переписки.

 

1. личка предусматривает в этом движке подсоединение других участников переписки, а где 3 и более участника, это уже не конфиденциально, так как на крайний случай пальцы в двери еще никто не отменял - декодируется на ура
2. какой здравомыслящий админ будет себе на сервер, для увеличения головной боли, ставить возможности шифрования, чтобы приютить какую нибудь организацию радикалов-террористов к примеру?!

3. я знаю что такое PGP, от этой информации счастливее не стал При помощи этого метода шифрования форум не нужен, так как понадобится клиентское ПО (хотя и средствами JS можно реализовать), в обратном случае придется сервер задействовать как участника сего действа, что в свою очередь уже снова будет выступать дырявым звеном... Да и с кириллицей там проблемки, если участники переписки не знают что такое кодировка исходного материала...
4. про безопасность я знаю не по наслышке, и могу с уверенностью заявить: на сегодняшний день не существует ни единой системы коммуникации, которая дает 100% гарантию. Далее не по теме, а для информации: самое дырявое звено - GSM , так как не только не защищено, а еще занимается постоянной записью всех разговоров без исключения, и хранятся ваши голоса еще несколько месяцев на серверах компаний...

ПЫСЫ: по этому вопросу мог бы целую лекцию прочесть, но как я понимаю, тут и без меня знатоков-криптографов хватает В общем форум и шифрование данных нужен только для параноиков, но не админам (см.п.2), или закрытый форум для группы злоумышленников...

 

чё накинулись волки ) просто интересно было ))

а на самом деле в силу специфики мне нужно решение которое позволяло бы в случае если слижут базу с ксюхой не дать возможности злоумышленникам ознакомиться с текстом лички и самое главное со сканами файлов которые будут в файловом хранилище

 

если есть доступ к базе, то тут уже полностью руки будут развязаны у тех, кто к ней поимел доступ. Вот пример: имея доступ не обязательно брать базу и бежать, а продолжить наблюдение за участниками уже с расширенными правами, так как можно добавить себе прав к примеру, заменить часть кода, и никто не увидит в ближайшее время (очень мало админов занимается ежедневным мониторингом своих ресурсов, это трудоемкое занятие), подменить собой твоего оппонента, и только дождаться, когда ты мне пришлешь ключик к примеру (это упрощенно)...

Если проломились на сервер - пиши пропало

Защита может быть только относительной, то есть от лентяев, кому нужно, - будьте уверены, найдут способы информацию получить, и способов очень много, как высокотехнологичных так и дедовских.

 

Ну и нужно учесть, что часто куки хранят в базе. Т.е., имея доступ к базе, можно "поиметь" любого пользователя с текущей сессией. Именно так и ходят под админом, не зная его пароль, а также не расширяя себе права. В общем, внешне будет совсем не видно даже для админа.

О том и речь, что спасение утопающих - дело рук самих утопающих. Если пользователю нужно шифровать, он это будет делать, независимо от сервера. Шифрование на сервере в данном случае просто не нужно. Если уж сильно хочется защитить траф от перехвата, то либо HTTPS, либо пресловутые VPN или L2TP, например.

P.S. И вообще, хватить бредить относительно шифрования приватной информации в форумном движке
Лучшая защита базы - постоянный мониторинг изменения файлов на сервере, плюс отсутствие средств удаленного доступа к базе в паблике (хотя бы .htaccess настроить на phpMyAdmin, если таковой используется). Я вообще практикую пользовать SSH для доступа к базе и fail2ban на сервере. Естественно, сие будет работать далеко не на всех хостингах, но на VDS/VPS обычно работает без проблем. Пример настройки SSH для проброса портов тут.