V2EX = way to explore V2EX 是一个关于分享和探索的地方
Sign Up Now For Existing Member Sign In
请不要在回答技术问题时复制粘贴 AI 生成的内容
This topic created in 4295 days ago, the information mentioned may be changed or developed.
最近搞34nm,发现电子邮件系统的水其实非常深
然后发现了防止邮件系统中间人攻击的STARTTLS协议
和一个推广STARTTLS的网站
https://starttls.info
测了一圈国内知名网站,(某数字,某度,某企鹅,某易,某狐)全部不支持STARTTLS,
也就是说大家的邮件在和*国内服务商*之间传递时是明文的,没有任何隐私可言,
运营商和某宝想看就看,想获得帐号就获得帐号,让我想起诸多*权人士,没准是和国内人士通信时暴露了自己....
相比之下,某乎和v2ex因为用了Google Apps,所以没有啥问题....
和现在的社会真是高度吻合啊,帝都高楼四处建,暴雨之后各种淹.
-----
我只能呵呵,然后继续添加STARTTLS模块去了
然后发现了防止邮件系统中间人攻击的STARTTLS协议
和一个推广STARTTLS的网站
https://starttls.info
测了一圈国内知名网站,(某数字,某度,某企鹅,某易,某狐)全部不支持STARTTLS,
也就是说大家的邮件在和*国内服务商*之间传递时是明文的,没有任何隐私可言,
运营商和某宝想看就看,想获得帐号就获得帐号,让我想起诸多*权人士,没准是和国内人士通信时暴露了自己....
相比之下,某乎和v2ex因为用了Google Apps,所以没有啥问题....
和现在的社会真是高度吻合啊,帝都高楼四处建,暴雨之后各种淹.
-----
我只能呵呵,然后继续添加STARTTLS模块去了
Supplement 1 Jul 24, 2014
starttls.info的测试不公开
http://www.checktls.com/perl/TestReceiver.pl
这个公开测试结果
QQ确实100%通过了,得了A
163证书有问题
sohu,baidu,360,aliyun集体FAIL
http://www.checktls.com/perl/TestReceiver.pl
这个公开测试结果
QQ确实100%通过了,得了A
163证书有问题
sohu,baidu,360,aliyun集体FAIL
 | 1 est Jul 24, 2014 via Android 邮件系统水相当深啊。coremail |
 | 2 mengzhuo OP @est 一想到原来邮件不是这么保密的,就想到那么多私密图都让国宝的人看了... 唉... coremail这分数 https://starttls.info/check/coremail.cn 还是自签名的...噗 |
 | 3 SoloCompany Jul 24, 2014 @mengzhuo 你确定是自签名的?没有其它工具的情况下,也可以用 curl 来检查服务器是什么证书 |
 | 4 ehs2013 Jul 24, 2014 QQ 邮箱是支持这个功能的,使用 Live Domain 的域名邮箱除了证书域不匹配也没什么大问题 |
| 5 mengzhuo OP |
 | 6 nopy Jul 24, 2014  1 刚才在QQ上分享34nm.com 发现被安全联盟拦截了…去申诉一下吧:) |
| 7 SoloCompany Jul 24, 2014 via Android @mengzhuo 我的意思不是说自签名安全,而是说不是自签名啊,可能只是域名不匹配,你真的验证过? |
 | 8 ajsky Jul 24, 2014 邮件的水相当深 折腾过一段时间的邮件 国内的几个免费的基本上没安全的 |
| 9 mengzhuo OP @nopy 破安全联盟 提交申请个https都不认识, 硬是要http://开头, 然后域名也是www.XXX 然后这货竟然也在做伪EV认证,欺负国人见识浅是吧%…… 话说QQ浏览器是吃了多少回扣,才肯做这个屎一样的功能 34nm已经全部升级成SSL了 |
|
 | 11 a2z Jul 24, 2014 就算邮件服务器之间用了tls,想看还是能看到内容。打个电话就能把你邮箱整个复制一份发过去了。要想安全用PGP。 |
 | 12 NemoAlex Jul 24, 2014 安全联盟就是互联网黑社会,要给保护费才行 |
 | 13 Herac1es Jul 24, 2014 谷歌的透明度报告显示国内邮件确实基本上不加密http://www.google.com/transparencyreport/saferemail/?hl=zh-CN |
 | 16 RangerWolf Jul 24, 2014 @Herac1es 看了google的透明度报告 专门看了163的~ 数字基本上是100% 不知道这是否代表安全? 不知道自己理解错了没有 |
| 17 Herac1es Jul 24, 2014 via iPad @RangerWolf 这个报告刚出来那会我专门搜了腾讯网易,那时候都是0%。可能现在改了 |
| 19 RangerWolf Jul 25, 2014 |
 | 20 julyclyde Jul 25, 2014 via iPad 服务器间通信加密意义不大。有能量窃听的照样有能力解密 服务器要的是吞吐量 |
| 21 mengzhuo OP @julyclyde SMTP支持客户端直接发送的, 如果没有加密只有呵呵呵了. 有能力窃听国内这些服务器,运算能力肯定全国第一的某墙到现在也没整好SSL/TLSv1,可见难度还是很大的. 吞吐量? 那点加密握手数据比起邮件本身可小多了. 再说了,时刻需要保证安全完整,不被窃听的通讯是IT界的常识. |
Select Language