» »

Gmail in preveranti: pike so pomembne

Gmail in preveranti: pike so pomembne

Slo-Tech - Gmail ima že dobrih deset let ne preveč znano, a nikakor skrito funkcijo zanemarjanja pik. V elektronskih naslovih sicer lahko imamo piko, a jo Gmail ignorira. V resnici jih je lahko več, a bodo vsa sporočila letela na isti naslov. Tako so ime.priimek@gmail.com, imepriimek@gmail.com ali ime.pri.imek@gmail.com vse isti aliasi. To možnost številni uporabniki s pridom uporabljajo pri registraciji na preizkusne brezplačne strani (denimo v časnike, ki mesečno ponujajo omejeno kvoto brezplačnih člankov), saj lahko z istim elektronskim predalom registrirajo navidezno različne elektronske naslove.

V zadnjem času pa so omenjeno nestandardno funkcijo, ki je večina ostalih ponudnikov nima, začeli izrabljati prevaranti. Eden izmed načinov zlorabe je registracija na Netflixu. Če ugotovijo, da ima ime.priimek@gmail.com registriran račun pri Netflixu, registrirajo svoj račun pri Netflixu z naslovom imepriimek@gmail.com. To lahko storijo, ker Netflix ne preverja veljavnosti elektronskega predala (prevarant nima dostopa do tega elektronskega predala). Potem prevarant vnese številko kreditne kartice za enkratno uporabo, zažene Netflix, ki preveri veljavnost kartice, nato pa kartico prekliče. Ko bo čez nekaj tednov Netflix poizkusil zaračunati ogledano, bo številka kartice neveljavna. Poslal bo elektronsko pošto na imepriimek@gmail.com, do katerega ima seveda dostop prvotni legitimni uporabnik. Če ta ne bo pozoren, bo mislil, da je res nekaj narobe z njegovimi podatki, zato bo vnesel številko svoje kreditne kartice.

To pa ni edini način, kjer je mogoče Googlovo piko zlorabiti. Včasih predvsem olajša večje prevare, saj se prevarantom ni treba truditi z registracijo več elektronskih predalov, temveč preprosto uporabijo enega, ki mu dodajajo pike. Večina storitev namreč to razume kot različne naslove, čeprav pošta leti skupaj. Ena skupina prevarantov je na tak način uspela pridobiti 48 kreditnih kartic pri štirih ameriških bankah in ustvariti 65.000 dolarjev škode. Načinov je še več, denimo oddaja lažnih davčnih napovedi, pošiljanje zahtevkov o spremembi naslova na pošto itd.

Mimogrede, Gmail ima še dve podobni funkciji. Vse, kar sledi znaku + v elektronskem naslovu, Gmail ignorira. Tako je naslov ime.priimek+prodaja@gmail.com povsem enak kot janeznovak@gmail.com.Prav tako pa zaradi težav z imenom v nekaterih državah domena googlemail.com še vedno preusmerja pošto na gmail.com.

58 komentarjev

strani: « 1 2

gruntfürmich ::

t-2 tudi malo meša _ in .
"Namreč, da gre ta družba počasi v norost in da je vse, kar mi gledamo,
visoko organizirana bebavost, do podrobnosti izdelana idiotija."
Psiholog HUBERT POŽARNIK, v Oni, o smiselnosti moderne družbe...

Gagatronix ::

A dejansko obstajajo ljudje, ki uporabljajo privzet providerjev e-mail naslov?

Mavrik ::


Mimogrede, Gmail ima še dve podobni funkciji. Vse, kar sledi znaku + v elektronskem naslovu, Gmail ignorira. Tako je naslov janez.novak+prodaja@gmail.com povsem enak kot janeznovak@gmail.com


Em, to je del email standarda in bo vse za + ignoriral vsak ponudnik.
The truth is rarely pure and never simple.

tony1 ::

WTF? 8-O

"V elektronskih naslovih sicer lahko imamo piko, a jo Gmail ignorira. V resnici jih je lahko več, a bodo vsa sporočila letela na isti naslov. Tako so janez.novak@gmail.com, janeznovak@gmail.com ali ja.nez.novak@gmail.com vse isti aliasi."

pegasus ::

Ogromen del storitev na internetu je zgrajen s predpostavko, da so email naslovi unikatni in da en naslov predstavlja eno osebo. Moderni email ponudniki to kršijo in tako povzročajo glavobol praktično vsem. Paglavci, ki si zastonj zrihtajo netflix, so še najmanjši problem ...

c3p0 ::

Imamo tudi "+ notation", torej janez.novak+netflix in janez.novak+fb bo vse letelo v isti mbox. Ne velja le za gmail.

tony1 ::

pegasus je izjavil:

Ogromen del storitev na internetu je zgrajen s predpostavko, da so email naslovi unikatni in da en naslov predstavlja eno osebo. Moderni email ponudniki to kršijo in tako povzročajo glavobol praktično vsem. Paglavci, ki si zastonj zrihtajo netflix, so še najmanjši problem ...


Kristus, pa saj imamo za to RFCje?

Ne? :|

BigWhale ::

Gagatronix ::

tony1 je izjavil:

pegasus je izjavil:

Ogromen del storitev na internetu je zgrajen s predpostavko, da so email naslovi unikatni in da en naslov predstavlja eno osebo. Moderni email ponudniki to kršijo in tako povzročajo glavobol praktično vsem. Paglavci, ki si zastonj zrihtajo netflix, so še najmanjši problem ...


Kristus, pa saj imamo za to RFCje?

Ne? :|


mm888mb ::

Čakaj malo...

to pomeni, da če je moj mail ime.priimek@gmail.com potem nekdo na imepriimek@gmail.com dobiva kopijo VSE moje pošte?

c3p0 ::

Ne dobiva, ker ga ne more registrirat.

Gagatronix ::

mm888mb je izjavil:

Čakaj malo...

to pomeni, da če je moj mail ime.priimek@gmail.com potem nekdo na imepriimek@gmail.com dobiva kopijo VSE moje pošte?


Ne. Tvoj mail je imepriimek@gmail.com ker protokol ignorira pike.

tony1 ::

Na bruhanje mi gre. Brez heca. :D

_Hammer_ ::

Omenjena fukcionalnost večkrat prav pride, res pa da malo ve za to in se čudi, kako je to mogoče.

DeeJay ::

tony1 je izjavil:

WTF? 8-O

"V elektronskih naslovih sicer lahko imamo piko, a jo Gmail ignorira. V resnici jih je lahko več, a bodo vsa sporočila letela na isti naslov. Tako so janez.novak@gmail.com, janeznovak@gmail.com ali ja.nez.novak@gmail.com vse isti aliasi."


To je že od nekdaj tko.
Pošlji si email na i.m.e.p.r.i.i.m.e.k@gmail.com pa ga boš dobil :)

Ta fora s + je pa tud super. Vedno ko se registriraš na neko stran dodaš naprimer ime.priimek+slotech@gmail.com in pol ko dobiš kak spam iz nekega XY emaila in vidš da ti je poslal na +slotech, veš da je al: slotech bil shekan, al pa so prodal bazo emailov :)

Zgodovina sprememb…

  • spremenil: DeeJay ()

tony1 ::

Ja, od nekdaj... Sam, e-pošte nismo izumili z Gmailom :P

DeeJay ::

tony1 je izjavil:

Ja, od nekdaj... Sam, e-pošte nismo izumili z Gmailom :P


Ja sorry ... od leta 2004 dalje. Men je to od nekdaj :)

Key Quest ::

Problem niti ni v zastonj Netflixu, kot pa v tem da Netflix pretenta uporabnika da vnese podatke svkje bancne martice v tuj uporabniskk naslov.

Uporabnik ::

Torej Netflix ne preverja pristnosti e-maila (potrditveni link preden se lahko sploh prijaviš)... their fault.

DexterBoy ::

Osebno imam abc.xyz@gmail naslov, ampak vsa obvestila od fejsiča dobivam od uporabnika, ki ima abcxyz@gmail elektronski naslov :)
Zadnje čase še obvestila od banke, akcijsko ponudbo Opel vozil...
Priznam pa, da sploh nisem vedel za to pismeno "nefunkcionalnost" :))
Ko ne gre več, ko se ustavi, RESET Vas spet v ritem spravi.
http://www.avtofil.si/

AndrejO ::

pegasus je izjavil:

Ogromen del storitev na internetu je zgrajen s predpostavko, da so email naslovi unikatni in da en naslov predstavlja eno osebo. Moderni email ponudniki to kršijo in tako povzročajo glavobol praktično vsem. Paglavci, ki si zastonj zrihtajo netflix, so še najmanjši problem ...

Milsim, da si našel napačnega krivca. "Moderni email ponudniki" ne kršijo ničesar in tudi ničesar nikoli niso kršili.

Problem je v tem, da so ogromen del storitev na internetu zgradili paglavci, ki nimajo pojma o identiteti ali upravljanju identitete, kar je videti na tem in na množici drugih težav, ki so jih ustvarili v svoji blaženi nevednosti.

In kar se tiče nevednosti ... X.400 in X.500. Če bi namesto "standardi so težki, mi znamo bolje" v sobi sedel še kakšen odrasel, te in podobnih težav danes ne bi bilo. Seveda pa tudi Internet ne bi bil takšen, kot je.

Težave so rešljive tudi v decentralizirani arhitekturi, samo rešitve so neprimerno bolj kompleksne. V tem vidim svojevrstno ironijo, glede na to, da je bil en izmed razlogov za ignoriranje že obstoječih standardov ravno njihova domnevna kompleksnost.

Give some, take some.

pegasus ::

AndrejO je izjavil:

Problem je v tem, da so ogromen del storitev na internetu zgradili paglavci, ki nimajo pojma o identiteti ali upravljanju identitete, kar je videti na tem in na množici drugih težav, ki so jih ustvarili v svoji blaženi nevednosti.
To drži. Politično/filozofsko vprašanje sedaj je, kaj je manjše zlo: ali sprejeti to nevednost kot dejstvo in nastalo stanje sprejeti kot standard ter priloagoditi mail storitve tako, da bo en mail naslov == en uporabnik dejansko držalo, ali pa spustiti čredo whitehat majstrov nad vse možne storitve na netu, ki uporabljajo email kot username, da jih preverijo in javno razbobnajo vse ranljive.

Podobna scena se sedaj dogaja v odnosu client-server. Desetletja je veljalo, da je to zanesljiv odnos in vse client aplikacije so bile desetletja razvijane z mnenjem, da server nikoli ne laže in ni nikoli zloben. Sedaj pa se pojavlja vedno več hackov in exploitov, kako lahko zloben server poganja neželeno kodo na klientu, ki mu slepo zaupa. In dilema je tu ista ...

Ja, decentraliziranost vsega je rešitev, ampak kot si pravilno ugotovil, komplicirana rešitev. In v naravi ljudi je, da vsaka nova generacija, ki pride, nastopi z "mi znamo to bolje" odnosom ... Kako to popravit, ne vem. Nimamo več cehov, kjer bi vajenci spoštovali mojstre in cenili njihovo znanje ...

Zgodovina sprememb…

  • spremenil: pegasus ()

no comment ::

Key Quest je izjavil:

Problem niti ni v zastonj Netflixu, kot pa v tem da Netflix pretenta uporabnika da vnese podatke svkje bancne martice v tuj uporabniskk naslov.

In kako se uporabnik registrira v tuj Netflix account?

Kaboom ::

Problem je predvsem v tem, da to ni dovolj znana funkcija. Saj ko dobiš v svoj ime.priimek@gmail inbox sporočilo naslovljeno na ime.pri.imek@gmail ti je to jasno vidno, le ignorirat ne smeš. Še posebej, ko se gre za finance.
Če se zatakne - pritisni močneje. Če se zlomi - bil je skrajni čas za nakup novega.

pegasus ::

Ma, ko sem jaz začel štrikat mail serverje, še niti rfc2821 ni bil zunaj. In sem kmalu potem obupal nad mailom, ker enostavno ni kompatibilen z ljudmi. Danes se ne sekiram več in počnem bolj zanimive in produktivne reči, ki zahtevajo bolj nečloveško komunikacijo in so zato veliko bolj obvladljive ;)

BigWhale ::

pegasus je izjavil:

Ma, ko sem jaz začel štrikat mail serverje, še niti rfc2821 ni bil zunaj. In sem kmalu potem obupal nad mailom, ker enostavno ni kompatibilen z ljudmi. Danes se ne sekiram več in počnem bolj zanimive in produktivne reči, ki zahtevajo bolj nečloveško komunikacijo in so zato veliko bolj obvladljive ;)


Mail je bil definiran ze z RFC822, jaz sem se takrat lih dobr zacel uciti brat. ;>

vahid ::

pegasus je izjavil:

Ogromen del storitev na internetu je zgrajen s predpostavko, da so email naslovi unikatni in da en naslov predstavlja eno osebo. Moderni email ponudniki to kršijo in tako povzročajo glavobol praktično vsem. Paglavci, ki si zastonj zrihtajo netflix, so še najmanjši problem ...


Jaz sem se bolj modern, pozrem vse email naslove. Vse. Vsi redirectani na skupen account. In kamorkoli se registriram izgleda naslov, npr. za slo-tech.com kot hash(slo-tech.com+salt)@mojadomena.io . Razlog je pa hudo preprost, ce dobim spam na ta naslov, tocno vem, kdo je bil ali vdrt ali pa je prodal svojo bazo emailov. It works like a charm.

Zacnem dobivat prevec sranja od nekoga?

null: /dev/null
hash(slo-tech.com+salt): null


Works like a charm. Neomejene registracije kamorkoli, 0 spama,...

Hebes gmailove pike, tisto je za amaterje ;) Americani imajo enako storitev tudi za stevilke kartic. Samo se to bi rabil.

Zgodovina sprememb…

  • spremenilo: vahid ()

Iatromantis ::

DexterBoy je izjavil:

Osebno imam abc.xyz@gmail naslov, ampak vsa obvestila od fejsiča dobivam od uporabnika, ki ima abcxyz@gmail elektronski naslov :)
Zadnje čase še obvestila od banke, akcijsko ponudbo Opel vozil...

Jaz imam isto težavo, kup mailov nepovezanih z menoj, ampak pripadajo neki ženski, vrj iz ZDA, ki ima email enak mojemu, a s piko.

c3p0 je izjavil:

Ne dobiva, ker ga ne more registrirat.

Sem stestiral, vrj na googlu res ne moreš registrirat več "ime.priimek", če je "imepriimek" že registriran, a nisem prepričan.

Zakaj potem vseeno dobivam njene emaile? Razumem, da lahko na drugih servisih registriraš enak email, kot je moj, le s piko... a tudi to ne razloži, kako da je v druge servise vpisala "ime.priimek@gmail.com" in ne "ime.priimek@any_other_mail_provider.com" - če pa na gmailu naj ne bi bilo možno registrirat emaila s piko, če le-ta že obstaja brez pike?

MrStein ::

Ne more nekaj@gmail.com in ne.kaj@gmail.com pripadati dvema osebama.
Gre za en račun. Razen če oba poznata geslo in souporabljata.

pegasus je izjavil:

Ogromen del storitev na internetu je zgrajen s predpostavko, da so email naslovi unikatni in da en naslov predstavlja eno osebo.

assumption is the mother of all f ups
Teštiram če delaž - umlaut dela: ä ?

Zgodovina sprememb…

  • spremenil: MrStein ()

MrStein ::

Mavrik je izjavil:


Mimogrede, Gmail ima še dve podobni funkciji. Vse, kar sledi znaku + v elektronskem naslovu, Gmail ignorira. Tako je naslov janez.novak+prodaja@gmail.com povsem enak kot janeznovak@gmail.com


Em, to je del email standarda in bo vse za + ignoriral vsak ponudnik.

Ne bodo vsi, ker se eni ne držijo standardov.

Plus veliko... paglavcev... sploh ne bo sprejelo email s plusom, ker to ja "ni veljaven email naslov" (razne registracije računov in podobno)
Teštiram če delaž - umlaut dela: ä ?

DeeJay ::

Iatromantis je izjavil:

DexterBoy je izjavil:

Osebno imam abc.xyz@gmail naslov, ampak vsa obvestila od fejsiča dobivam od uporabnika, ki ima abcxyz@gmail elektronski naslov :)
Zadnje čase še obvestila od banke, akcijsko ponudbo Opel vozil...

Jaz imam isto težavo, kup mailov nepovezanih z menoj, ampak pripadajo neki ženski, vrj iz ZDA, ki ima email enak mojemu, a s piko.

c3p0 je izjavil:

Ne dobiva, ker ga ne more registrirat.

Sem stestiral, vrj na googlu res ne moreš registrirat več "ime.priimek", če je "imepriimek" že registriran, a nisem prepričan.

Zakaj potem vseeno dobivam njene emaile? Razumem, da lahko na drugih servisih registriraš enak email, kot je moj, le s piko... a tudi to ne razloži, kako da je v druge servise vpisala "ime.priimek@gmail.com" in ne "ime.priimek@any_other_mail_provider.com" - če pa na gmailu naj ne bi bilo možno registrirat emaila s piko, če le-ta že obstaja brez pike?


To je nemogoče. Noben drug človek na svetu ne more imet gmail računa z istim nazivom/imenom (pike nimajo veze).
Če imata enako ime, lahko folk pač predvideva, da uporablja ta email, ker v večini primerov si vsak nardi ime.priimek@gmail.com.
V Sloveniji imajo ziher največ težav Janezi Novaki :) Tist, ki ga je naredil prvi na gmailu, ziher dobi en kup mailov, ki so namenjeni drugim Janezom :)

russ ::

Ok, meni ni jasen zadnji korak pri tej prevari. Kam uporabnik vnese številko svoje kreditne kartice? Pravi uporabnik se mora prijavti v Netflix, da popravi podatke. Torej se prijavi s svojim email naslovom (janez.novak@gmail.com) in geslom. S tem pride v svoj profil in podatki tam so ok. V lažni profil on niti ne more dostopati. Ali sem kaj spregledal? :|

DeeJay ::

Lahko da je link, ki ga netflix pošlje na email, že generiran tako, da ti odpre samo okno za updejtanje kartice, brez vsakršnih loginov.

m3k ::

DeeJay je izjavil:

...V Sloveniji imajo ziher največ težav Janezi Novaki :) Tist, ki ga je naredil prvi na gmailu, ziher dobi en kup mailov, ki so namenjeni drugim Janezom :)

7aNeZ.N0vaK@gmail.com :P
Kako pogosta sta vaše ime in vaš priimek?
Mirko tipka na radirko ////

MrStein ::

Velike in male črke ne razlikuje. ;)
Teštiram če delaž - umlaut dela: ä ?

AndrejO ::

pegasus je izjavil:

AndrejO je izjavil:

Problem je v tem, da so ogromen del storitev na internetu zgradili paglavci, ki nimajo pojma o identiteti ali upravljanju identitete, kar je videti na tem in na množici drugih težav, ki so jih ustvarili v svoji blaženi nevednosti.
To drži. Politično/filozofsko vprašanje sedaj je, kaj je manjše zlo: ali sprejeti to nevednost kot dejstvo in nastalo stanje sprejeti kot standard ter priloagoditi mail storitve tako, da bo en mail naslov == en uporabnik dejansko držalo, ali pa spustiti čredo whitehat majstrov nad vse možne storitve na netu, ki uporabljajo email kot username, da jih preverijo in javno razbobnajo vse ranljive.

Moj odgovor je jasen: kdor ne prebere dokumentacije, je prvi odgovoren za fsck-up, ki ga ustvari. Morda mu je še kdo pomagal, ampak v prvi vrsti je drek naredil tisti, ki dela nekaj na pamet.

V konkretnem primeru je vse, kar je v naslovu levo od znaka @, stvar lokalnega šerifa in kakršnakoli ugibanja glede tega, kaj se lokalnem šerifu dogaja v glavi, so vedno napačna. Kdor si misli, da lahko bere misli, je že naredil napako, ki se bi ji lahko izognil.

vahid ::

AndrejO je izjavil:

pegasus je izjavil:

AndrejO je izjavil:

Problem je v tem, da so ogromen del storitev na internetu zgradili paglavci, ki nimajo pojma o identiteti ali upravljanju identitete, kar je videti na tem in na množici drugih težav, ki so jih ustvarili v svoji blaženi nevednosti.
To drži. Politično/filozofsko vprašanje sedaj je, kaj je manjše zlo: ali sprejeti to nevednost kot dejstvo in nastalo stanje sprejeti kot standard ter priloagoditi mail storitve tako, da bo en mail naslov == en uporabnik dejansko držalo, ali pa spustiti čredo whitehat majstrov nad vse možne storitve na netu, ki uporabljajo email kot username, da jih preverijo in javno razbobnajo vse ranljive.

Moj odgovor je jasen: kdor ne prebere dokumentacije, je prvi odgovoren za fsck-up, ki ga ustvari. Morda mu je še kdo pomagal, ampak v prvi vrsti je drek naredil tisti, ki dela nekaj na pamet.

V konkretnem primeru je vse, kar je v naslovu levo od znaka @, stvar lokalnega šerifa in kakršnakoli ugibanja glede tega, kaj se lokalnem šerifu dogaja v glavi, so vedno napačna. Kdor si misli, da lahko bere misli, je že naredil napako, ki se bi ji lahko izognil.


Ne samo levo, tudi desno. Vsakdo bi moral imeti svoj email server, svoj disk space, svoko domeno. Nujno, da ni vse prepusceno lovkam raznih ponudnikov uslug. V preteklosti so ze obstajali mainframi (centralizacija) in je zaradi oderuhov slo v "osebne racunalnike" (decentralizacijo). Ker zabita mularija ne studira zgodovine in se iz nje ne uci (https://www.newyorker.com/news/news-des... ), spet nastajajo centralizirani "mainframi" (cloud) in spet bo slo v decentralizacijo, samo vse napake je treba spet ponoviti.

Zgodovina sprememb…

  • spremenilo: vahid ()

pegasus ::

AndrejO je izjavil:

vse, kar je v naslovu levo od znaka @, stvar lokalnega šerifa
Ja, za protokole in računalnike to drži ... a ljudje to dojemajo kot "nekdo(pri)nekje", torej kot enoznačni identifier za določeno osebo. Lahko ugotovimo, da je originalni zajeb v UI, kar ne spremeni dejstva, da moramo sedaj upravljati z dvema različnima vidikoma iste zgodbe. V tem trenutku si ne upam več trditi, da ju je še možno združit nazaj v en vidik.

Saul Goodman ::

vahid je izjavil:

pegasus je izjavil:

Ogromen del storitev na internetu je zgrajen s predpostavko, da so email naslovi unikatni in da en naslov predstavlja eno osebo. Moderni email ponudniki to kršijo in tako povzročajo glavobol praktično vsem. Paglavci, ki si zastonj zrihtajo netflix, so še najmanjši problem ...


Jaz sem se bolj modern, pozrem vse email naslove. Vse. Vsi redirectani na skupen account. In kamorkoli se registriram izgleda naslov, npr. za slo-tech.com kot hash(slo-tech.com+salt)@mojadomena.io . Razlog je pa hudo preprost, ce dobim spam na ta naslov, tocno vem, kdo je bil ali vdrt ali pa je prodal svojo bazo emailov. It works like a charm.

Zacnem dobivat prevec sranja od nekoga?

null: /dev/null
hash(slo-tech.com+salt): null


Works like a charm. Neomejene registracije kamorkoli, 0 spama,...

Hebes gmailove pike, tisto je za amaterje ;) Americani imajo enako storitev tudi za stevilke kartic. Samo se to bi rabil.


ampak ti si pa res kul. :-P a so vsi spammerji braindead? če kdo, oni vedo kaj pomeni +beseda v mail naslovu. kje je problem popucat vse kar je med +in@? z en komando imaš popucano bazo.

catch-all naslov je tud super - enkrat bo spemer stestiral tvojo domeno, ugotovil, da so maili dostavljeni na karkoli@tvojadomena.io in navalil kot svinja v buče. provider bo jokal od sreče.

ja, privacy.com bi si pa tudi sam želele v EU.

tony1 ::

Morda to nekoč bo realen problem, trenutno pa tako smart spemerjev še ni in takšen ukrep se ne zdi nesmiselen...

jype ::

Saul Goodman je izjavil:

ampak ti si pa res kul. :-P a so vsi spammerji braindead? če kdo, oni vedo kaj pomeni +beseda v mail naslovu. kje je problem popucat vse kar je med +in@? z en komando imaš popucano bazo.
Nobenih plusov nima v e-mail naslovih. Preberi, kaj je napisal.

AndrejO ::

pegasus je izjavil:

AndrejO je izjavil:

vse, kar je v naslovu levo od znaka @, stvar lokalnega šerifa
Ja, za protokole in računalnike to drži ... a ljudje to dojemajo kot "nekdo(pri)nekje", torej kot enoznačni identifier za določeno osebo. Lahko ugotovimo, da je originalni zajeb v UI, kar ne spremeni dejstva, da moramo sedaj upravljati z dvema različnima vidikoma iste zgodbe. V tem trenutku si ne upam več trditi, da ju je še možno združit nazaj v en vidik.

Zanimiv primer si izbral, ker je verjetno večini ljudi res "logično", da je pri naslovih tipa "janez_novak@" in "janez.novak@" in "janeznovak@" verjetno govora o isti osebi. Pogosto se pri takšnih primerih ljudje tudi radi zatipkamo in glej ga zlomka ... nenadoma postane čisto človeško, da je lahko več različno napisanih naslovov privede ne samo do iste osebe, temveč tudi do istega poštnega nabiralnika.

Nezaslišano, mar ne?

Je pa problem, če se nekdo potem v svojem mehurčku razmišljanja (in vsi živimo v takšnih lastnih mehurčkih v katerih se nahajajo različna spoznanja) odloči tak podatek uporabiti, kakor da je govora o unikatnem osebnem identifikatorju.

Mislim, da združevanja v en vidik ni potrebno zasledovati. Naslovi lahko živijo svoje življenje, identitete svoje in morda bo nekega dne celo moj digitalni podpis neodvisen od mojega e-poštnega naslova. Saj veš ... nekako tako, kot moja osebna izkaznica velja neodvisno od tega, na kateri naslov mi operater pošilja račune. Bo potrebno nazaj v prihodnost, očitno.

vahid ::

Saul Goodman je izjavil:

vahid je izjavil:

pegasus je izjavil:

Ogromen del storitev na internetu je zgrajen s predpostavko, da so email naslovi unikatni in da en naslov predstavlja eno osebo. Moderni email ponudniki to kršijo in tako povzročajo glavobol praktično vsem. Paglavci, ki si zastonj zrihtajo netflix, so še najmanjši problem ...


Jaz sem se bolj modern, pozrem vse email naslove. Vse. Vsi redirectani na skupen account. In kamorkoli se registriram izgleda naslov, npr. za slo-tech.com kot hash(slo-tech.com+salt)@mojadomena.io . Razlog je pa hudo preprost, ce dobim spam na ta naslov, tocno vem, kdo je bil ali vdrt ali pa je prodal svojo bazo emailov. It works like a charm.

Zacnem dobivat prevec sranja od nekoga?

null: /dev/null
hash(slo-tech.com+salt): null


Works like a charm. Neomejene registracije kamorkoli, 0 spama,...

Hebes gmailove pike, tisto je za amaterje ;) Americani imajo enako storitev tudi za stevilke kartic. Samo se to bi rabil.


ampak ti si pa res kul. :-P a so vsi spammerji braindead? če kdo, oni vedo kaj pomeni +beseda v mail naslovu. kje je problem popucat vse kar je med +in@? z en komando imaš popucano bazo.

catch-all naslov je tud super - enkrat bo spemer stestiral tvojo domeno, ugotovil, da so maili dostavljeni na karkoli@tvojadomena.io in navalil kot svinja v buče. provider bo jokal od sreče.

ja, privacy.com bi si pa tudi sam želele v EU.


Zaenkrat pride mogoce 1 spam mail preko rspamdja. Tako, da ne skrbi, tudi ce honeypot naslove izklopim (kjer mi spammerji sami ucijo filter), ne bo hudega. Pa ta trmasti po x mailih taganih kot spam dobijo svoje mesto v firewall tabelici, tako, da tudi tu ne bo hudega. Kje si pa pluse nasel pa ne vem, ampak garantiram ti, da od zunaj nobenega mail naslova ne bos locil od pravega. Tole se grem od preden je gmail obstajal, tako, da, recimo, da vem kaj delam ;)

Mail server vsem toplo priporocam, je prava osvoboditev vsega registracijskega dreka, ki ga webmasterji stresajo po nas. ;)

Zgodovina sprememb…

  • spremenilo: vahid ()

MrStein ::

AndrejO je izjavil:


morda bo nekega dne celo moj digitalni podpis neodvisen od mojega e-poštnega naslova.

X.509 podpis ni odvisen od email naslova.
A misliš kaki drugi podpis?
Teštiram če delaž - umlaut dela: ä ?

AndrejO ::

MrStein je izjavil:

AndrejO je izjavil:


morda bo nekega dne celo moj digitalni podpis neodvisen od mojega e-poštnega naslova.

X.509 podpis ni odvisen od email naslova.
A misliš kaki drugi podpis?

V neodvisnost bom začel verjeti, ko se bo pojavil vsaj en e-poštni odjemalec, ki ne bo kričal, da je podpis neveljaven, če pošto pošiljam iz kakšnega drugega naslova in ne iz tistega, ki si ga je sigenca zabila v glavo, da ga hoče imeti vpisanega in overjenega kot del moje digitalne identitete.

Kar IMO povzame obe težavi z današnjim pristopom, ki se ga od sredine 90. naprej še ni "saniralo".

Kot to velja za NF z njegovo slabo implementacijo identitete, danes ne obstaja nikakršen tehničen razlog več, da se overitelji in izdelovalci odjemalcev obnašajo tako, kot se.

pegasus ::

Kako bomo torej rešili svet? Unikaten IPv6 /64 segment na vsako osebo?

AndrejO ::

pegasus je izjavil:

Kako bomo torej rešili svet? Unikaten IPv6 /64 segment na vsako osebo?

Trenutno aktualno razmišljanje gre v smeri tega, da je globalno unikatna digitalna identiteta le redko potrebna, če sploh.

Ko je to enkrat jasno, se lahko vprašamo o obsegu lokalno unikatnih identitet (je unikatnost omejena na državo, na podjetje, na storitev, ...) in interakcije med njimi.

Interakcija mora postati standardizirana (oauth2 je en pristop, potrebni bodo tudi drugi), zato da naslednji Netflix ne bo rekel "daj mi e-mail" ampak bo rekel, "daj mi željeno identiteto", na strani ponudnika identitete pa bo zagotovljena lokalna unikatnost.

To posameznikov ne bo omejilo, da bi imeli več računov, oz. več različnih identitet, bodo pa te identitete na strani NF in podobnih strogo ločene na način, ki bo preprečeval njihovo avtomatično povezovanje in hkrati tudi preprečeval slučajno zlorabo katere izmed teh identitet, dokler bo ponudnik identitete seveda skrbel za njihovo varnost.

Zgodovina sprememb…

  • spremenil: AndrejO ()

kuall ::

Pozabili ste dodat za jasnost:
Če ta ne bo pozoren, bo mislil, da je res nekaj narobe z njegovimi podatki, zato bo vnesel številko svoje kreditne kartice v prevarantov netflix račun.
Kak pa se lahko prvotni uporabnik prijavi v prevarantov netflix račun? Potrditveni email ima nek login key v svojem urlju, ki te avtomatično prijavi v stran, če imaš tisti url.

Slabo razlagate.

Personanonim ::

DexterBoy je izjavil:

Osebno imam abc.xyz@gmail naslov, ampak vsa obvestila od fejsiča dobivam od uporabnika, ki ima abcxyz@gmail elektronski naslov :)
Zadnje čase še obvestila od banke, akcijsko ponudbo Opel vozil...
Priznam pa, da sploh nisem vedel za to pismeno "nefunkcionalnost" :))


Evo,enak problem pri meni...
"The internet - like a training camp for never amounting to anything."

oglaf.com

Zgodovina sprememb…

strani: « 1 2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Gmail in preveranti: pike so pomembne (strani: 1 2 )

Oddelek: Novice / Omrežja / internet
585654 (312) MrStein

To uporabniško ime je že zasedeno..

Oddelek: Loža
222364 (338) Ganon
»

isto ime v gmailu - latinica oz. cirilica

Oddelek: Pomoč in nasveti
9548 (260) jype
»

spletna trgovina problem !

Oddelek: Informacijska varnost
12747 (356) System
»

Kje so dobili moj mail?

Oddelek: Omrežja in internet
242920 (1267) berlusconi

Več podobnih tem