還是決定轉過來記著
原文來自ptt google板 [討論] Gmail收外部信…怎麼放心把密碼交出去呢? 討論串
作者 Aligu1009 (=.=) 看板 Google
標題 Re: [討論] Gmail收外部信…怎麼放心把密碼交出去呢?
時間 Fri Feb 23 16:35:47 2007
───────────────────────────────────────
: 推 maxisam:嘿嘿嘿 google將一統天下 XD 02/22 17:27
: 推 litthe:其實當你開始使用網路之時..就沒啥網路隱私可言.. 02/22 17:29
: → litthe:與其擔心google,更該擔心每日增加的各式木馬.. 02/22 17:30
: 推 JFCC:因為也沒有什麼重要的信啊 @@ 02/22 18:09
: 推 hydexhyde:以前還在用yahoo收外部pop3信件時,我就告訴yahoo囉 02/22 18:20
: → hydexhyde:看你信不信任嘛...畢竟你也可以選擇不要用 02/22 18:21
: 推 antontw:你也可以問,你怎麼放心把信放在 google 上面呢? 02/22 21:18
: 推 alicekey:不放心的話,不要用google的服務囉... 02/22 21:38
: 推 bookmusic:這裡有個相關的影片 http://masterplanthemovie.com/ 02/22 22:20
: 推 OldSu:也只能選擇要用或不要用吧 沒其他選擇了 02/22 22:32
: 推 chichuan1229:即使用ISP附的mail,也不一定比較安全吧!!?? 02/22 23:57
這和信件重要與否,或者isp安不安全 (信會不會被偷看) 無關
我要說的重點在:為什麼會放心把密碼交出去?
事實上,做得夠好的mail server,應該是連root都看不到使用者密碼的
密碼已被單向加密,登入時先將密碼加密運算後再跟加密後的結果做比對的
所以,即使是root,看得到的應該也只有 "加密後" 的密碼
如果忘了密碼,只能由root重新設定新密碼,但無法得知舊密碼為何
但用了gmail fetch mail的功能
就一定得把原始密碼告訴google
而這個密碼很可能連提供你信箱的單位都不知道!
我個人而言,常用的密碼就兩三組
大部份的人應該根我差不多 (有些人說不定只有那一千零一組…)
信件也許不重要,但其實間接的把一堆其他帳號的密碼也都告訴google了
心中實在有幾分忐忑啊
--
※ 發信站: 批踢踢實業坊(ptt.cc)
=============================================
作者 Zilch (暱稱是什麼?) 看板 Google
標題 Re: [討論] Gmail收外部信…怎麼放心把密碼交出去呢?
時間 Fri Feb 23 17:12:40 2007
───────────────────────────────────────
※ 引述《Aligu1009 (=.=)》之銘言:
: 這和信件重要與否,或者isp安不安全 (信會不會被偷看) 無關
: 我要說的重點在:為什麼會放心把密碼交出去?
: 事實上,做得夠好的mail server,應該是連root都看不到使用者密碼的
: 密碼已被單向加密,登入時先將密碼加密運算後再跟加密後的結果做比對的
: 所以,即使是root,看得到的應該也只有 "加密後" 的密碼
: 如果忘了密碼,只能由root重新設定新密碼,但無法得知舊密碼為何
其實還有一個問題
root 不需要知道密碼還是看得到你的信 XD
真的要從加密後的結果得到密碼也不是不可能
只是時間多久的問題
(不提還有 rainbow table 這種用空間換取時間的玩意兒)
: 但用了gmail fetch mail的功能
: 就一定得把原始密碼告訴google
: 而這個密碼很可能連提供你信箱的單位都不知道!
: 我個人而言,常用的密碼就兩三組
: 大部份的人應該根我差不多 (有些人說不定只有那一千零一組…)
: 信件也許不重要,但其實間接的把一堆其他帳號的密碼也都告訴google了
: 心中實在有幾分忐忑啊
所以如果要用這功能請單獨設定該帳號的密碼吧 :)
密碼太多記不住怎麼辦?
呃,目前我是用密碼管理軟體啦
當然這要小心密碼檔不要隨意外流@_@
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 220.135.85.142
※ 編輯: Zilch 來自: 220.135.85.142 (02/23 17:14)
推 Aligu1009:我在意的不是信件被偷看而是其他帳號的密碼被知道啊 02/23 19:14
→ Aligu1009:有帳號密碼 就可能可以做"看信"之外的事了 orz... 02/23 19:16
推 Zilch:除了單獨設定該帳號密碼沒辦法啦… 02/23 19:56
推 kenshieh:有心的服務商(mail service provider) 02/24 02:21
→ kenshieh:看你密碼並不是難事,只要寫個小監聽程式, 編碼前記錄即可 02/24 02:22
→ kenshieh:要用這些service, 就不要擔心這些問題, 不然就通通不要用 02/24 02:22
推 demintree:我覺得不能像樓上的看法這麼消極,如果真的覺得沒差的話 02/24 02:59
→ demintree:為何大家在登入時還是prefer用https這個protcol呢... 02/24 02:59
→ demintree:只不過google fetch mail需要明碼記憶這個問題是無解的 02/24 03:00
→ demintree:能做的只有相信google(包括相信不會被破解)和不相信而已 02/24 03:01
==========================================
作者 PsMonkey (痞子軍團團長) 看板 Google
標題 Re: [討論] Gmail收外部信…怎麼放心把密碼交出去呢?
時間 Sat Feb 24 06:13:03 2007
───────────────────────────────────────
※ 引述《Aligu1009 (=.=)》之銘言:
: 能利用Gmail收外部信
: 再透過Gmail強大的擋垃圾信機制擋掉惱人的垃圾信當然很棒
: 但是,為什麼各位敢把其他信箱的密碼告訴google呢?
: 小弟我就是因為不想把其他的帳號密碼告訴google
: 而遲遲不敢使用fetch mail功能的人啊....
這一串看下來... 恩...
雖然我只會寫程式,不會搞駭客的東西
但是,單純就以寫程式的角度而言...
「只要 Server 有心,想知道都可以知道」
有人(好像就是原 po)提到單向加密
其實單向加密只是當 server 被 hack 後
被取得密碼檔也沒辦法反推真正的密碼
但是,只要搞個監聽程式(反正都 hack 了)
只要 user 登入時候抓一下
還不是要什麼有什麼(恩... 這有點嘴砲... [逃])
說真的,對這種問題(或是對這種客戶)
最中肯的建議還是「那就不要用吧」
因為擔心是擔心不完的...
(就像存款,卡片會遺失、密碼會被偷窺
運氣不好遇到有問題的銀行還會被擠兌
那你為啥還為了那稀少的利息,把錢放在別人家 XD)
反過來講,google 要拿你的信箱密碼幹麼?
gmail 有安全性的問題都可以變成一般人看得到的新聞了
(M$... 那不是新聞,出現頻率可能跟天氣預報沒兩樣)
他透漏你的密碼(也不用透漏,被盜用就夠了)
對 google 絕對只有損、沒有益處
除非你的帳號密碼有什麼超高的重要價值
例如破解了就可以知道古文明之謎之類的
不然,坦白說,如果我是 google
我還怕你把密碼告訴我咧... XD
--
侃侃長論鮮窒礙 首頁:http://www.psmonkey.idv.tw
眾目睽睽無心顫 Blog:http://ps-think.blogspot.com
煢居少聊常人事
殺頭容易告白難 歡迎參觀 Java 版(@ptt.cc)精華區 \囧/
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 61.228.195.92
推 Zilch:監聽程式要擺在使用者端才行吧? 02/24 15:05
推 chris:推薦這篇文章。 02/24 20:50
推 jark41:我怕你把密碼告訴我 03/05 11:50
============================================
作者 davidyu (davidyu) 看板 Google
標題 Re: [討論] Gmail收外部信…怎麼放心把密碼交出去呢?
時間 Sat Feb 24 11:34:08 2007
───────────────────────────────────────
呃...那你怎麼敢用電腦?
從你打密碼開始,你的密碼就經過了鍵盤,主機板,CPU,網路卡,作業系統,ISP,
Router,等等等......你全部每一層都信任嗎?(幫助中國建立GFW的)Cisco能信任嗎?
邪惡大本營的M$能信任嗎?這裡面隨便有一層要偷竊你的密碼都是易如反掌。
我敢用,是因為我沒什麼重要的資料放在電腦上,是因為我信任這些公司。同理,你也
可以想想看為什麼你敢用電腦。
※ 引述《Aligu1009 (=.=)》之銘言:
: 能利用Gmail收外部信
: 再透過Gmail強大的擋垃圾信機制擋掉惱人的垃圾信當然很棒
: 但是,為什麼各位敢把其他信箱的密碼告訴google呢?
: 小弟我就是因為不想把其他的帳號密碼告訴google
: 而遲遲不敢使用fetch mail功能的人啊....
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 24.6.168.117
→ davidyu:well, 這就是為什麼中國還是要發展自己的 CPU 的主要原因 02/24 11:35
推 JFCC:默默推=.= 02/24 11:44
推 JohnRoyer:的確……有杞人憂天的感覺 02/24 13:40
推 icepop:默推=.= 03/03 13:25
===========================================
作者 davidyu (davidyu) 看板 Google
標題 Re: [討論] Gmail收外部信…怎麼放心把密碼交出去呢?
時間 Sat Feb 24 12:19:19 2007
───────────────────────────────────────
講到 trust, 就不得不提一下這個很有名的故事:
故事的主角是 Ken Thompson,他是 Turing Award 得主,也是發明 C 語言和 UNIX 的關鍵人物,目前在 Google 工作(這樣就和這個板有關了 ;-)。
這個故事是這樣的。Thompson 寫過一個很有趣的程式,是一個特別的 C compiler。如果你對 compiler 的知識還算熟悉的話,應該知道 C 的 compiler 是可以用 C 來寫的這是一個雞生蛋,蛋生雞的問題,不過我們的確是用 C 來寫 C compiler。
Thompson 的 compiler 之所以特別,是他在其中偷偷藏了一個 bug。UNIX 有一個程式叫 login,它是負責核對使用者帳號和密碼的程式。Thompson 的 compiler 如果發現它在 compile 一個 UNIX 的 login 程式時,它會在比對密碼的時候,偷偷加入一筆萬用密碼。如此一來,用這個 compiler 產生出來的 UNIX,都會有這個「漏洞」在。你會說這個只要檢查 compiler 的程式碼就可以發現了。沒錯,所以 Thompson 的 compiler還有一個神奇的功能。這個 compiler 如果發現它在 compile 一個 compiler 的時候,它會把它本身的這個「神奇功能」放到 compiler 裡頭,所以用這個 compiler compile出來的 compiler (我知道這有點難懂 XD)也都會帶有這個神奇功能。之後,他再用compiler 把本身自己 compile 一次後,就可以把神奇功能從程式碼裡面隱藏起來,只有從 binary 才看的出端倪。
這會造成一個問題,就是你即使有原始碼,你也沒辦法確保你的程式是可以信任的。你要能夠確定你的程式是可靠的,唯一的辦法就是全部從頭來。如果你把這個問題過度延深,你就會發現你可能要從 CPU 的電晶體開始設計,才有辦法「保證」你的程式是完全符合你的意思在執行。
所以,信任,不是見簡單的事。
喔.....我還想補一句「電腦是很危險的,你還是回去用算盤吧」...XD
p.s. 詳細的故事可以在這邊找到 http://www.acm.org/classics/sep95/
標題 Re: [討論] Gmail收外部信…怎麼放心把密碼交出去呢?
時間 Fri Feb 23 16:35:47 2007
───────────────────────────────────────
: 推 maxisam:嘿嘿嘿 google將一統天下 XD 02/22 17:27
: 推 litthe:其實當你開始使用網路之時..就沒啥網路隱私可言.. 02/22 17:29
: → litthe:與其擔心google,更該擔心每日增加的各式木馬.. 02/22 17:30
: 推 JFCC:因為也沒有什麼重要的信啊 @@ 02/22 18:09
: 推 hydexhyde:以前還在用yahoo收外部pop3信件時,我就告訴yahoo囉 02/22 18:20
: → hydexhyde:看你信不信任嘛...畢竟你也可以選擇不要用 02/22 18:21
: 推 antontw:你也可以問,你怎麼放心把信放在 google 上面呢? 02/22 21:18
: 推 alicekey:不放心的話,不要用google的服務囉... 02/22 21:38
: 推 bookmusic:這裡有個相關的影片 http://masterplanthemovie.com/ 02/22 22:20
: 推 OldSu:也只能選擇要用或不要用吧 沒其他選擇了 02/22 22:32
: 推 chichuan1229:即使用ISP附的mail,也不一定比較安全吧!!?? 02/22 23:57
這和信件重要與否,或者isp安不安全 (信會不會被偷看) 無關
我要說的重點在:為什麼會放心把密碼交出去?
事實上,做得夠好的mail server,應該是連root都看不到使用者密碼的
密碼已被單向加密,登入時先將密碼加密運算後再跟加密後的結果做比對的
所以,即使是root,看得到的應該也只有 "加密後" 的密碼
如果忘了密碼,只能由root重新設定新密碼,但無法得知舊密碼為何
但用了gmail fetch mail的功能
就一定得把原始密碼告訴google
而這個密碼很可能連提供你信箱的單位都不知道!
我個人而言,常用的密碼就兩三組
大部份的人應該根我差不多 (有些人說不定只有那一千零一組…)
信件也許不重要,但其實間接的把一堆其他帳號的密碼也都告訴google了
心中實在有幾分忐忑啊
--
※ 發信站: 批踢踢實業坊(ptt.cc)
=============================================
作者 Zilch (暱稱是什麼?) 看板 Google
標題 Re: [討論] Gmail收外部信…怎麼放心把密碼交出去呢?
時間 Fri Feb 23 17:12:40 2007
───────────────────────────────────────
※ 引述《Aligu1009 (=.=)》之銘言:
: 這和信件重要與否,或者isp安不安全 (信會不會被偷看) 無關
: 我要說的重點在:為什麼會放心把密碼交出去?
: 事實上,做得夠好的mail server,應該是連root都看不到使用者密碼的
: 密碼已被單向加密,登入時先將密碼加密運算後再跟加密後的結果做比對的
: 所以,即使是root,看得到的應該也只有 "加密後" 的密碼
: 如果忘了密碼,只能由root重新設定新密碼,但無法得知舊密碼為何
其實還有一個問題
root 不需要知道密碼還是看得到你的信 XD
真的要從加密後的結果得到密碼也不是不可能
只是時間多久的問題
(不提還有 rainbow table 這種用空間換取時間的玩意兒)
: 但用了gmail fetch mail的功能
: 就一定得把原始密碼告訴google
: 而這個密碼很可能連提供你信箱的單位都不知道!
: 我個人而言,常用的密碼就兩三組
: 大部份的人應該根我差不多 (有些人說不定只有那一千零一組…)
: 信件也許不重要,但其實間接的把一堆其他帳號的密碼也都告訴google了
: 心中實在有幾分忐忑啊
所以如果要用這功能請單獨設定該帳號的密碼吧 :)
密碼太多記不住怎麼辦?
呃,目前我是用密碼管理軟體啦
當然這要小心密碼檔不要隨意外流@_@
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 220.135.85.142
※ 編輯: Zilch 來自: 220.135.85.142 (02/23 17:14)
推 Aligu1009:我在意的不是信件被偷看而是其他帳號的密碼被知道啊 02/23 19:14
→ Aligu1009:有帳號密碼 就可能可以做"看信"之外的事了 orz... 02/23 19:16
推 Zilch:除了單獨設定該帳號密碼沒辦法啦… 02/23 19:56
推 kenshieh:有心的服務商(mail service provider) 02/24 02:21
→ kenshieh:看你密碼並不是難事,只要寫個小監聽程式, 編碼前記錄即可 02/24 02:22
→ kenshieh:要用這些service, 就不要擔心這些問題, 不然就通通不要用 02/24 02:22
推 demintree:我覺得不能像樓上的看法這麼消極,如果真的覺得沒差的話 02/24 02:59
→ demintree:為何大家在登入時還是prefer用https這個protcol呢... 02/24 02:59
→ demintree:只不過google fetch mail需要明碼記憶這個問題是無解的 02/24 03:00
→ demintree:能做的只有相信google(包括相信不會被破解)和不相信而已 02/24 03:01
==========================================
作者 PsMonkey (痞子軍團團長) 看板 Google
標題 Re: [討論] Gmail收外部信…怎麼放心把密碼交出去呢?
時間 Sat Feb 24 06:13:03 2007
───────────────────────────────────────
※ 引述《Aligu1009 (=.=)》之銘言:
: 能利用Gmail收外部信
: 再透過Gmail強大的擋垃圾信機制擋掉惱人的垃圾信當然很棒
: 但是,為什麼各位敢把其他信箱的密碼告訴google呢?
: 小弟我就是因為不想把其他的帳號密碼告訴google
: 而遲遲不敢使用fetch mail功能的人啊....
這一串看下來... 恩...
雖然我只會寫程式,不會搞駭客的東西
但是,單純就以寫程式的角度而言...
「只要 Server 有心,想知道都可以知道」
有人(好像就是原 po)提到單向加密
其實單向加密只是當 server 被 hack 後
被取得密碼檔也沒辦法反推真正的密碼
但是,只要搞個監聽程式(反正都 hack 了)
只要 user 登入時候抓一下
還不是要什麼有什麼(恩... 這有點嘴砲... [逃])
說真的,對這種問題(或是對這種客戶)
最中肯的建議還是「那就不要用吧」
因為擔心是擔心不完的...
(就像存款,卡片會遺失、密碼會被偷窺
運氣不好遇到有問題的銀行還會被擠兌
那你為啥還為了那稀少的利息,把錢放在別人家 XD)
反過來講,google 要拿你的信箱密碼幹麼?
gmail 有安全性的問題都可以變成一般人看得到的新聞了
(M$... 那不是新聞,出現頻率可能跟天氣預報沒兩樣)
他透漏你的密碼(也不用透漏,被盜用就夠了)
對 google 絕對只有損、沒有益處
除非你的帳號密碼有什麼超高的重要價值
例如破解了就可以知道古文明之謎之類的
不然,坦白說,如果我是 google
我還怕你把密碼告訴我咧... XD
--
侃侃長論鮮窒礙 首頁:http://www.psmonkey.idv.tw
眾目睽睽無心顫 Blog:http://ps-think.blogspot.com
煢居少聊常人事
殺頭容易告白難 歡迎參觀 Java 版(@ptt.cc)精華區 \囧/
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 61.228.195.92
推 Zilch:監聽程式要擺在使用者端才行吧? 02/24 15:05
推 chris:推薦這篇文章。 02/24 20:50
推 jark41:我怕你把密碼告訴我 03/05 11:50
============================================
作者 davidyu (davidyu) 看板 Google
標題 Re: [討論] Gmail收外部信…怎麼放心把密碼交出去呢?
時間 Sat Feb 24 11:34:08 2007
───────────────────────────────────────
呃...那你怎麼敢用電腦?
從你打密碼開始,你的密碼就經過了鍵盤,主機板,CPU,網路卡,作業系統,ISP,
Router,等等等......你全部每一層都信任嗎?(幫助中國建立GFW的)Cisco能信任嗎?
邪惡大本營的M$能信任嗎?這裡面隨便有一層要偷竊你的密碼都是易如反掌。
我敢用,是因為我沒什麼重要的資料放在電腦上,是因為我信任這些公司。同理,你也
可以想想看為什麼你敢用電腦。
※ 引述《Aligu1009 (=.=)》之銘言:
: 能利用Gmail收外部信
: 再透過Gmail強大的擋垃圾信機制擋掉惱人的垃圾信當然很棒
: 但是,為什麼各位敢把其他信箱的密碼告訴google呢?
: 小弟我就是因為不想把其他的帳號密碼告訴google
: 而遲遲不敢使用fetch mail功能的人啊....
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 24.6.168.117
→ davidyu:well, 這就是為什麼中國還是要發展自己的 CPU 的主要原因 02/24 11:35
推 JFCC:默默推=.= 02/24 11:44
推 JohnRoyer:的確……有杞人憂天的感覺 02/24 13:40
推 icepop:默推=.= 03/03 13:25
===========================================
作者 davidyu (davidyu) 看板 Google
標題 Re: [討論] Gmail收外部信…怎麼放心把密碼交出去呢?
時間 Sat Feb 24 12:19:19 2007
───────────────────────────────────────
講到 trust, 就不得不提一下這個很有名的故事:
故事的主角是 Ken Thompson,他是 Turing Award 得主,也是發明 C 語言和 UNIX 的關鍵人物,目前在 Google 工作(這樣就和這個板有關了 ;-)。
這個故事是這樣的。Thompson 寫過一個很有趣的程式,是一個特別的 C compiler。如果你對 compiler 的知識還算熟悉的話,應該知道 C 的 compiler 是可以用 C 來寫的這是一個雞生蛋,蛋生雞的問題,不過我們的確是用 C 來寫 C compiler。
Thompson 的 compiler 之所以特別,是他在其中偷偷藏了一個 bug。UNIX 有一個程式叫 login,它是負責核對使用者帳號和密碼的程式。Thompson 的 compiler 如果發現它在 compile 一個 UNIX 的 login 程式時,它會在比對密碼的時候,偷偷加入一筆萬用密碼。如此一來,用這個 compiler 產生出來的 UNIX,都會有這個「漏洞」在。你會說這個只要檢查 compiler 的程式碼就可以發現了。沒錯,所以 Thompson 的 compiler還有一個神奇的功能。這個 compiler 如果發現它在 compile 一個 compiler 的時候,它會把它本身的這個「神奇功能」放到 compiler 裡頭,所以用這個 compiler compile出來的 compiler (我知道這有點難懂 XD)也都會帶有這個神奇功能。之後,他再用compiler 把本身自己 compile 一次後,就可以把神奇功能從程式碼裡面隱藏起來,只有從 binary 才看的出端倪。
這會造成一個問題,就是你即使有原始碼,你也沒辦法確保你的程式是可以信任的。你要能夠確定你的程式是可靠的,唯一的辦法就是全部從頭來。如果你把這個問題過度延深,你就會發現你可能要從 CPU 的電晶體開始設計,才有辦法「保證」你的程式是完全符合你的意思在執行。
所以,信任,不是見簡單的事。
喔.....我還想補一句「電腦是很危險的,你還是回去用算盤吧」...XD
p.s. 詳細的故事可以在這邊找到 http://www.acm.org/classics/sep95/
沒有留言:
張貼留言