Записки на полях

Я прочитал ссылку сразу. Я всегда читаю твои ссылки. И принимаю к сведению. Навальный так говорит на каждом митинге, и с каждым разом все лучше и лучше. Агитировать, говоришь. Агитировать -- это как раз внушать людям свои мысли. Вместо их. Делать их дураками. Навальный этим успешно занимается. Ты видел его программу? Посмотри в его блоге. Единственная его цель -- смена власти. Точка. Не переговоры, не компромисс -- смена. Любой ценой. "Победы Путина в первом туре быть не должно." И не важно, как проголосует народ. Не должно, и все тут.

И раз я читаю твои ссылки, почитай и ты мою. Чтобы развеять немного иллюзий. http://nstarikov.ru/blog/13249#more-13249
Вся информация там проверяма по другим источникам.

From:

ну я всё равно думаю, что истина где-то посередине.

Стариков кстати - то ещё "проект". Похлеще Навального будет. Там очень много всех утверждений базируется на взломе почты Навального. Это был очень мощный ход, особенно с подписью DKIM от яху - даже самые яростные сторонники Навального начали задумываться. Я не успокоился пока сам не проверил, что Яху криво исплементировали DKIM, можно подписать любой контент им. Это как с фальсификацией выборов - достаточно 90 фальшивых протоколов - и для меня это не выборы. Достаточно высказываний на основании взломаной почты навального, со вставкой письма - и для меня Стариков не аргумент. Он кстати комерческий деректор первого канала в питере, что тоже не придаёт ему весу в моих глазах.

Агитация - это естественно, это способ заинтересовать и увлечь своими идеями. Какие есть альтернативы то? Просвещение - это тоже агитация. Любая дискуссия - это тоже агитация двух сторон.

Но в общем опять мы переместились в копание в чужом белье, вместо того, чтобы предлагать, как ситуацию то исправлять в России. Или ты счиаешь что проблемы, на которых ездит Навальный (кто бы он ни был) - не существуют? Надо переставать уже коментировать, как тебе не нравится Навальные, а придумать как использовать существующую гражданскую энергию в мирных целях излечения страны.

From:

Ты думаешь, что взлом почты -- это провокация, и на самом деле вся переписка фальсифицирована?

Стариков -- не аргумент, он транслятор. Он приводит некоторые вполне проверяемые факты

From:

нельзя сказать, какая часть почты фейк, какая реальная. Но основной аргумент - подписаное цифровой подписью письмо Белковского Навальному - фейк, хотя по началу он заставил задуматься даже сотрудников роспила и всех нормальных людей. Я успокоился только после личной проверки подписи подделаного письма.
Это была очен мощная продуманная акция.

From:

Но сам Белковский-то подтверждает подлинность переписки. Правда, не совсем понятно, искренне или прикалывается.

From:

Письмо-фэйк -- в студию, а также доказательства того, что оно фэйк.

From:

Письмо - "фейк"? :))

http://sporaw.livejournal.com/100977.html

Я выложил "комплект проверяльщика", т.к. уже достали.
(С подписанными письмами с *вложениями*; т.е. письма с вложениями тоже проходят проверку DKIM подписи).

Все письма с DKIM проходят проверку. Абсолютно.

From:

Я ошибался в своих предположениях, запостить через веб морду, как через смтп, у меня не получилось. Моё высказывание выше совершенно не верно.

У вас хороший "комплект проверяльщика", только вы сами то его проверяли, в смысле изменить заголовки пытались?
From: Date: Subject - это тело письма, тоесть оно посылается с самим телом письма, и никакого отношения к достоверности не имеет. Важно найти строку Received, изменение которой ломает DKIM, это и является доказательством времени отправления и ip адрес отправителя, проставляемое яху-сервером перед подписыванием. В случае отправления через веб-морду яху у меня не получилось, так же, поменять заголовок From - бэкенд проверяет это поле из запроса.

From:

Первая строка Received снизу подписана.
Проверял. Собственно, она присутствует в списке тэгов на подпись.

From:

Date, From, Subject - в SMTP это всё идёт после комманды Data, и никак не относится к MAIL FROM, RCPT TO, которые собственно и определяют кто авторизуется и куда отправится письмо.

Высказывание
"Важным аспектом является включение содержимого полей Date (дата), Subject (тема письма), From (от кого письмо), To (кому письмо), а так же Received (первое вхождение -- считается снизу; оно включает в себя дату и время получения письма, устанавливаемые почтовым сервером, а не клиентом, в момент получения письма) и др. технических полей, явно характеризующих сообщение. Список формируется на основе того, какие поля присутствуют в данный момент в письме. Если бы в приведенных примерах писем были бы еще какие-либо поля, которые не предполагают изменения на транзитных почтовых серверах, они тоже попадали бы в подпись в соответствии со стандартом DKIM - RFC6376 (разделы 5.4, 5.4.1; предыдущие редакции: RFC5672, RFC4871)."
истинно, лишь при учёте конкретной имплементации яху веб бэкенда, который проверяет From/To, не давая подделать заголовки (по крайней мере я не нашёл дыры в бэкенде, позволяющей это сделать).

From:

> Date, From, Subject - в SMTP это всё идёт после комманды Data, и никак не относится к MAIL FROM, RCPT TO, которые собственно и определяют кто авторизуется и куда отправится письмо.

Да, но ни в одной web-службе нельзя зайти под user@domain.com, а отправить с from another-user@domain.com или another-user@another-domain.com. Это возможно сделать только через SMTP. Поэтому соответствие "From:" однозначно (на всех таких службах - mail.ru, yandex, google, yahoo и др.)

From:

Я тут мысль двояко (некорректно) сформулировал.

Правильно читать так:

Да, но ни в одной web-службе нельзя зайти под user@domain.com, а отправить с from another-user@domain.com или another-user@another-domain.com. Это возможно сделать только через сторонние SMTP, но тогда не будет DKIM-подписи от этого домена. Поэтому соответствие "From:" однозначно (на всех таких службах - mail.ru, yandex, google, yahoo и др.).

From:

Это возможно сделать и через смтп яху. В SMTP указывается отправитель и получатель в SMTP командах MAIL FROM, RCPT TO. Заголовки письма FROM/TO никак к этому не относятся.

Там возникает другая проблема, в моём тесте яховский верифаер пишет
signature identity: @yahoo.it
verify result: pass
вместо
signature identity: boleggio@yahoo.it
verify result: pass
Можно ещё поковыряться в этом, но не вижу смысла - всё равно через веб морду не работает.

DKIM яху не вписывает после этого
http://lamproie.livejournal.com/109341.html?thread=796189#t796189
Хотя я детально не разбирался, всё равно через веб морду как это сделать - я не знаю.

From:

> Это возможно сделать и через смтп яху. В SMTP указывается отправитель и получатель в SMTP командах MAIL FROM, RCPT TO. Заголовки письма FROM/TO никак к этому не относятся.

Это я знаю. Я почему-то подумал, что проверка на соответствие производится в т.ч. и поля From из данных, передаваемых далее. Т.е. не только MAIL FROM. Этот момент не проверял и детально не рассматривал, но он сути дела не меняет в данном случае.

Учту все.

From:

Хорошо, ну Subject то как минимум можно любой запостить. "To" можно тоже любой запостить, получив копию письма на "Cc". Кстати, Date, наверное тоже не проверяется.

Я это к тому, что у вас хороший пост - просто вот это высказывание не совсем корректно.

From:

Но я учту Ваше замечание в этом контексте и, возможно, дополню текст дополнительными разъяснениями.

From:

Вот, кстати, история про раскрытие почты Навального. Там не только про это, довольно интересно: http://readers.lenta.ru/articles/2011/12/16/politrash/

From:

ИМХО - это была ХОРОШО спланированая акция, со всеми полиТреш-ами и прочим, наверное первая удачная для кремля. Причём раньше крмель вообще интернет во внимание не принимал, я думаю теперь всё будет по-серьёзному, через пару месяцев.

From:

fat-crocodile.livejournal.com

то есть те, кто против -- это "проекты"
а за -- простой честный человек.
аргументы -- просто имхо

мне кажется это подозрательная ассимметрия.

From:

Мы не знаем, чей проект Навальный (Если проект?). Но с его оппонентами для меня всё достаточно понятно (по крайней мере хакер хелл - это очевидно проект, ещё раз повторюсь - достаточно удачный). Глаз режет блог "хакера" в рускоязычном домене, такие сутки не живут - при первой жалобе хостер обязан снести.

From:

Как можно подделать DKIM от яху?

From:

Подделать можно не DKIM - можно подписать любой контент и заголовки с ним - я проверил через SMTP.
http://lamproie.livejournal.com/109341.html
Через веб морду надо разбираться, там какие-то временные токены выписываются

From:

Словом, как подделать письмо, посланное через веб-морду, вы не знаете. А smtp не в счёт.

From:

Я потыркался - с лёту мне не далось. Я сам писал веб морду к подобной почтовой системе, там очевидно не должно быть проблемы, просто надо разобраться, как бэкенд выписывает временные ключики.
Для меня главной загадкой было - как подписать всё письмо, с техническими заголовками? Оказалось что яху игнорирует все заголовки до тела письма, вставляй всё что хочешь. После выявления этого, я искренне потерял интерес к проблеме, хотя там есть ещё несколько вопросов.

From:

По-моему, очевидно, что если веб-морда написана грамотными программистами, то письмо с левыми заголовками с неё послать нельзя. Яху игнорирует заголовки, но отметку, было ли послано письмо через http, всё же вставляет.

From:

Попробую завтра доковырять веб интерфейс. По крайней мере, в форме есть поле "From", которое постится на бэкенд.

From:

Ну то, что есть теоретическая возможность подделать письмо, не означает, что оно на самом деле было подделано.

From:

Ну, пока что даже теоретической возможности нам не предложили. SMTP не в счёт, этот момент не раз обсуждался уже.

From:

ндя, мои идеи не прокатили - бэкенд проверяет отправителя, что-то такая очевидность мне не пришла сразу голову. Никаких очевидных дыр обойти эту проверку я не нашёл, так что забирю свои слова обратно, посыпая голову пеплом.

конечно остаётся масса вариантов подделки письмо, но уже далёких от очевидности и нетривиальных для проверки - типа кражы приватного ключа или сговора с сотрудником яхи или нахождения коллизей rsa-sha256. Но это уже совершенно другое дело.

From:

В общем, проще признать, что переписка истинная. С твоей точки зрения это, впрочем, мало что меняет. Но я еще раз хочу подчеркнуть, при всех проблемах, которые есть сейчас, при определенном недовольстве властью, эти проблемы и недовольства пытаются использовать в своих целях силы, которым люди абсолютно по барабану, это чистая борьба за власть, деньги, передел сфер влияния, в том числе и в кремлевской верхушке. Как можно использовать недовольство людей в своих целях недавно написал Кара-Мурза, прочитай, там немного http://sg-karamurza.livejournal.com/109760.html). В марте нам готовят "оранжевый" сценарий, Навальный об этом говорит открытым текстом в своей "программе". И не дай Бог у них получится.

На этом предлагаю дискуссию завершить.

From: