Az utóbbi 6 hónapban használtad az Outlook S/MIME funkcióját? Élj a gyanúperrel, hogy a leveled nem titkosítva került elküldésre

 ( trey | 2017. október 12., csütörtök - 12:06 )

A Fake Crypto fantázianévre keresztelt Outlook S/MIME bug részleteit itt olvashatod.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Microsoft, mert megérdemled!

--
zrubi.hu

Megneztem nalam mukodott rendesen.

Jóhát ahol a smiley egy J betű wingdings fonttal, ott ne várjunk csodákat. :)

--
arch,debian,retropie,osmc,android,windows

Mondjuk elég hihetetlenül hangzik a dolog.

Ha valaki életében egyszer veszi a fáradtságot, hogy egy wireshark-ot elindítson, azonnal észreveszi, hogy gond van.

Hogy nem jött ez eddig elő? Hogy ment át a tesztelésen? Nincsenek hivatalos security szakemberek a Microsoftnál, akiknek az lenne a dolga, hogy ilyen ne legyen?

A Nokia például fizetett szakembereknek, hogy törjék fel a WAP szervert, másnap felvették a lóvét, mert egy délután elég volt a teljes kommunikáció lehallgatására. Javítást kiadták, ennyi.

Egyetemi diploma munkára hasonlít az egész probléma, hogy Szergej benézte a preview-t... Egyáltalán minek küld preview-t a levélben?

"Hogy ment át a tesztelésen? Nincsenek hivatalos security szakemberek a Microsoftnál, akiknek az lenne a dolga, hogy ilyen ne legyen?"

Ahogy már fentebb írtam, a MSFT kirúgta a dedikált tesztelős több ezer emberét 3,5 éve. Sajtóhír is volt róla. Azóta az Insiderek a tesztelők. Azaz te meg én. És még fizetést se kapunk érte.
--

Ide nem elég egy QA részleg. A QA-nak fogalma sincs róla, hogy mit jelent az, amikor valami biztonságos. Ide szakember kell.

A Nokia WAP szerver ott vérzett el, hogy a 128 bájtos random számot az egyik ügybuzgó finn az időből számolta ki valami huncut algoritmus alapján.
Securityre lefordítva a 128 bájtos randomszámot feltöltötte a 4 bájtos idővel (32-szer beleírta), valami "okossággal" fűszerezve.

A szakember ránézett:
- szerinted mikor indult a szerver?
- erre tippelek
- akkor ez lehet a 128 bájtos random kulcs...
Nokia WAP szerver titkosítás : élt fél órát.

Az indiai QA-s Kumarnak a legkevesebb fogalma sem lesz arról, hogy valami biztonságos-e, vagy sem.
Nem kell mindent ennyire átvizsgálni, de az email security teszteléséhez szerintem illett volna szakember.