Пилять, откуда берутся такие фантасты?

1. Приходит новый менеджер за крутые бабки.

2. Необходимо произвести впечатление бурной деятельности.

3. Поскольку нилуя, кроме втыкать в эксель, не умеет - начинает ставить опыты над IT и говорить умные слова типа аутсорсинг.

4. Нанимается типа аутсорсинговая контора, которая за полгода с успехом доводит худо-бедно работавшую структуру до полного п-ца.

5. Нашему менеджеру это уже неинтересно - он в поиске новой работы.

Анонимус с Украины, который уже заипался общаться с этими сраными аутсорсерами и приходящими админами, у которых время реакции на инцидент и уровень тупизны стремится к бесконечности.

На этом фоне большинство авторов открытого софта выглядят электровениками, потому что раздупляются по письму какого-то неизвестного им пендаля в течение дня и проявляют к его проблемам (на которые им, в общем, должно быть глубоко пох) самое живое участие.

> Пилять, откуда берутся такие фантасты? Фантасты все на Украине остались :)

> 3. Поскольку нилуя, кроме втыкать в эксель, не умеет - начинает ставить опыты над IT и говорить умные слова типа аутсорсинг.

Не... он еще умеет продать себя за крутые бабки, а это далеко не каждому дано ...

> 4. Нанимается типа аутсорсинговая контора, которая за полгода с успехом доводит худо-бедно работавшую структуру до полного п-ца.

Не знаю как на Украине, но во всем остальном цивилизованном мире принято заключать контракты, в которых оговариваются допустимые сроки реакции на возникновения инцедентов и штрафные санкции за срыв этих сроков. Да, стоимость такого аутсорсинга будет выше, но если стремиться получить самый дешевый контракт, то и получите то что иеете...

> 5. Нашему менеджеру это уже неинтересно - он в поиске новой работы.

Ну что я могу сказать? "Тщательнее" нужно менеджеров выбирать...

А разве не логичнее юзверей нагорбатить обязанностью втыкать "аналогичную херню"? У нас это именно так во всяком случае.

> как только найду способ добавлять дисклэймеры не ломая подписи

а вставить эту байду в шаблон письма не пробовал? или такой вариант неприемлим?

>Обновления drweb рекомендуют ставить раз в полчаса

а что толку? хоть раз в пять минут, все равно они не так уж часто обновляют

>Даже если один или два из них отвалятся, то этого кроме меня и еще двух админов никто не заметит.

улыбнул =)

зы: еще парочку прикрути, а то не дай бох тебя паимеют

> от 20 до 300 компьютеров. Если меньше, то гораздо выгоднее платить приходящему толковому админу.

а толковость у него на лбу написана? а если что то отвалится у него на двух конторах одновременно?

формулировать надо так: за внешний суппорт платят те кому простой бизнес-процессов не критичен =)

>а не зарплату своим бесдельникам, которые играют весь день в counter-strike на работе

во во. и пожарных уволить. целыми днями нифига не делают в карты режутся. и охрану тоже нафик

> По статистике на мой хост в сутки от 1 до 50 атак молодых хакеров ))) И баранам невдомек, что рута получить впрямую во фри невозможно

новоадмины поколения пепси отжигают =)

>Finders Keepers Ltd, 226 Banbury Road, Summertown, Oxford OX2 7BY

загнивающая страна

> Не исключено что туплю а подписывается случаем не текст самого письма ? Тогда если его мультипартным сделать так и приаттачить можно что угодно.

Bingo!

> Bingo!

В смысле хню сморозил ? Я просто сразу говорю с парсингом писем сталкивался, с SMTP сталкивался, но не админ и сильно так в это дело не рублю...

в смысле ты прав - приаттачить можно что угодно.

> загнивающая страна

Живущая, заметим, не за счёт продажи нефти, газа и никеля, а за счёт мозгов и рук своих граждан.

> Живущая, заметим, не за счёт продажи нефти, газа и никеля, а за счёт мозгов и рук своих граждан.

И ещё я бы с радостью сравнил уровень загнивания их провинции с уровнем загнивания российской.

> приаттачить можно что угодно.

Ага! Ясно! Просто что-то странную проблему из этого там сделали...

> Письмо подписывается на стороне клиента и идет на сервер. Сервер вырезает эту подпись и переподписывает письмо уже с дисклеймером.

Я конечно понимаю, что вы так выкрутились, но это сюр. Это противоречит самому смыслу цифровой подписи. Уже не говоря про наличие ключей _всех_ пользователей на серваке, что делает его очень слабым звеном в системе безопасности, подписывается фактически не то письмо, которое послал отправитель, причём отправитель никак не контролирует реальное содержание письма.

Вы там у себя хоть осознаёте, что такая технология обработки почты даёт юридический шанс корреспондентам отпереться на суде от своей подписи?!

> Доступа на сервер ни у кого нет - где тут дыра?

Дыра уже в нарушении технологии ЭЦП. Почитай закон об электронной цифровой подписи. При такой технологии у вашей организации юридически корректной является только одна ЭЦП: так сказать штампик о том, что письмо действительно выпущено из вашей фирмы. Про какой-нибудь возможный почтовый эксплоит я уж не говорю.

> С другой стороны согласен, что не очень надежно и если найдем решение как добавлять дисклеймер не ломая подписи, то переделаем.

Не найдёте вы в принципе такого решения ибо в самой постановке задачи имеется противоречие. Подпись цифровая ставится на _письмо_ отправителя, удостоверяя отправителя и неизменность текста. А вы _меняете_ текст. Максимум вы можете прикреплять исходное письмо, не вырезая из него ЭЦП как вложение к новому письму с дисклеймером и подписывать получившееся новое письмо _новой_ эцп.

P.S. А почему бы вам не установить шаблоны на всех почтовых программах, а на серваке не добавлять ничего, а проверять на наличие дисклеймера и не выпускать письма без него? По-моему, это корректнее.

Очень правильно. Единственный разумный (и идеологически совместимый с идеей цифровой подписи) способ - в приказном порядке обязать сотрудников добавлять disclaimer к своим подписям. На клиентской стороне. Все остальное - костыли и кривизна.

>Кстати про Kaspersky и DrWeb. У меня один знакомый работал в ДрВебе, так он там занимался тем, что сканил файлы КАСПЕРСКИМ, и если тот находил вирь, тогда уже он расковыривал файл и добавлял сигнатуру в базу Веба.

Кстати, у меня один знакомый работал в КАВ. Так они сканировали файлы дрвебом, и если он находил вирус, добавляли сигнатуру в касперскую базу. А ещё один знакомый работал в макафи, так они ...

своих - врядли. а насчет нефти, ты наивный думаешь чего они в ирак полезли? =)

женщине пальто подал - в суд. разве это нормальная страна? а вспомните скандал с п!;сами и мелкосовтом

> В первую очередь нужно смотреть документацию, во вторую - читать исходники и лишь >в третью можно тратить (или не тратить) время на то, чтобы менять почтовую систему.

Документацию видел на ftp://ftp.kaspersky.com/beta/ks_smtpgw/doc/. Где исходники?

Поскольку коммерческий софт, исходников доступных нет

>своих - врядли. а насчет нефти, ты наивный думаешь чего они в ирак >полезли? =)

Нынче это называется - установление демократии....

> Я конечно понимаю, что вы так выкрутились, но это сюр. Это противоречит самому смыслу цифровой подписи. Уже не говоря про наличие ключей _всех_ пользователей на серваке, что делает его очень слабым звеном в системе безопасности, подписывается фактически не то письмо, которое послал отправитель, причём отправитель никак не контролирует реальное содержание письма.

Нет не делает, потому что ключ на сервере сам зашифрован личным ключем пользователя. После получения сообщения создается секрет вроде бы алгоритмом Diffy-Hellman-а и этим секретом подписывается письмо как секретным ключем. Паблик кей создается на основе паблик ключа сервера и секретного ключа пользователя, т.е. из того же самого секрета. Вроде бы так, если чего-то не путаю - это не я лично делал... Да геморой, но работает не плохо...

> Дыра уже в нарушении технологии ЭЦП. Почитай закон об электронной цифровой подписи.

здесь всем глубоко пофиг российский закон о цифровой подписи.

> P.S. А почему бы вам не установить шаблоны на всех почтовых программах, а на серваке не добавлять ничего, а проверять на наличие дисклеймера и не выпускать письма без него? По-моему, это корректнее.

Корректнее, не спорю, но это предложение было отвергнуто.

> После получения сообщения создается секрет вроде бы алгоритмом Diffy-Hellman-а и этим секретом подписывается письмо как секретным ключем. Паблик кей создается на основе паблик ключа сервера и секретного ключа пользователя, т.е. из того же самого секрета.

ну, я же говорю - кулибины! наворотили так, что и сами не понимают, что там делается. вы можете сколько угодно и как угодно тусовать какое угодно количество ключей, но если это делается не отправителем письма - это _не_ электронная подпись.

типичная ошибка дилетантов - "если уж для нас ниче непонятно, че там делается, значит это супер секьюрно".

> это _не_ электронная подпись.

Золотые слова! Это может выглядеть как электронная подпись, пахнуть как электронная подпись - но таковой не будет являться никогда, ибо не идет с клиента. Это примерно как подпись начальника, сделанная рукой секретарши (даже с ведома самого начальника).

> Паблик кей создается на основе паблик ключа сервера и секретного ключа пользователя, т.е. из того же самого секрета. Вроде бы так, если чего-то не путаю - это не я лично делал... Да геморой, но работает не плохо...

Вот ты поскипал мои слова про возможность отправителя отпереться от своего письма, а напрасно. Смысл в том что, отправитель заведомо не знает, что там вместо него наподписывают и сможет заявить на суде, что это хитрая программа чего-то там изменила в тексте или вообще вместо него отправила. И я бы на месте судьи принял его точку зрения, если экспертиза покажет, что подпись могла бы сделана на сервере для текста, неконтролируемого заявителем.

> здесь всем глубоко пофиг российский закон о цифровой подписи.

Ну ладно, а как насчёт признания подписи недействительной?

> Корректнее, не спорю, но это предложение было отвергнуто.

Ну и ССЗБ те кто отвёрг, не знаю какой важности в смысле исполнения и денег документы посылаются у вас, но это чревато, по описаным причинам. Причём обрати внимание, я не стал анализировать ваши алгоритмы и прочие подробности, не надо ничего взламывать, дыра имеет место и дыра концептуальная.

> своих - врядли. а насчет нефти, ты наивный думаешь чего они в ирак полезли? =)

А они со Штатами давно повязаны. Куда Буш, туда и Блер - деваться некуда :)

В Ставрополье менты жгут траву, чтобы торчкам не досталась...

... очень похоже, что пипл с ЛОР-а был на каком-то Linux OpenAir-е в тех краях ;)

>Ну и ССЗБ те кто отвёрг, не знаю какой важности в смысле исполнения и денег документы посылаются у вас, но это чревато, по описаным причинам. Причём обрати внимание, я не стал анализировать ваши алгоритмы и прочие подробности, не надо ничего взламывать, дыра имеет место и дыра концептуальная.

anonymous_incognito, а как вы себе представляете дисклеймер в охренительно важных "в смысле исполнения и денег" документах?

Т.е. посылает бигбосс письмо с какой-то важной инфой, а в конце дисклеймер "КорпорацияРогаИКопыта не имеет никакого отношения к той херне, что написана параграфом выше. Это всё сраный спам" ?

Поймите одну простую вещь - дисклеймер, он для частной переписки. И компании совершенно насрать, воспримут ли частную эл. подпись сотрудника за настоящую. Там же, где нужна нормальная электронная подпись - никаких дисклеймеров нет и быть не может.

Подумайте, у кого в голове дыра.

Dimentiy, спасибо за поддержку. И в самом деле пока подпись нужна только для частной переписки и ей мало кто пользуется всерьез. Все важные документы до сих пор передаются и подписываются на бумаге при личных встречах даже в западных компаниях. Кроме того гораздо проще подписать документ и вложить его в виде аттача при острой необходимости и тогда ни один дисклеймер его не попортит...

А сервер подписей мы все же снесем - уже почти удалось убедить шефа в его ненужности. Спасибо всем за обсуждение!

> anonymous_incognito, а как вы себе представляете дисклеймер в охренительно важных "в смысле исполнения и денег" документах?

А слона я и не приметил. :)

Тогда об чём и речь, тогда цифровая подпись не очень-то и нужна, а так баловство для привыкания к ней.

Маладцы! Победа здравого смысла над технологией - это всегда приятно:)

Для milter тоже есть Kaspersky, так что кому что нравится.

> В чём проблема-то? Неужели так сложно к проходящему письму в самый конец что-то добавить, вы меня удивляете батенька.

Про multipart-MIME слышали?