Vlákno názorů k článku Mlynář: přestávám věřit... od Milan Berka - Chtěl bych upozornit na následující věc: V poslední...

Chtěl bych upozornit na následující věc:
V poslední době po síti chodí spousta virů a jiných nevyžádaných věcí. Považuji za problém ISP s tím něco dělat.
NENÍ PŘECE MOŽNÉ ÚČTOVAT ZA PŘENESENÁ DATA, pokud klient tyto data nemůže ovlivnit a on skutečně nemůže ovlivnit, co mu přiteče po drátě na jeho PC nebo router ze sítě.
Paradoxně pak i např. ISP může zvyšovat trafic klienta tím, že mu do drátu bude cpát nesmyslná data, klient je sice zahodí odmítne na FW, ale přes drát projdou a u ISP se započítají.

Je třeba se zamyslet, co s tím dělat. Např. na sítí GPRS Eurotelu trvá v průměru 3 minuty, než na mne někdo pošle virus BLASTER, ok. nemám problém, ale ty data na mne lezou a pokud je počítaný trafik, jsou mi i účtovány...

A jak ma ISP poznat co tam chces pustit a co ne ? Nemusi jit jenom o viry, staci primitivni ping (nebo jiny) flood. Internet je mnohem zakernejsi zalezitost nez pouhe virove maily :)

Rek bych ze prave o to tu de, on to poznat nemuze, takze zaroven ani nemuze zajistit, ze nebudu dostavat data ktera nechci = pocitani prenesenych dat je jeden velky nesmysl.

Vsak si muzete koupit takovou pripojku, kde se data nepocitaji :-)

No, myslím že zakázat na straně ISP přílohy typu .pif, .scr nebo i .exe by zase takový problém nebyl. A bylo by po problému s drtivou většinou virů. Nebo znáte někoho, kdo cíleně posílá užitečný .pif ??? :o))

Tak to by tedy problem byl. Mate vubec predstavu, jak funguje mail? Toto "jednoduche" stripovani by velmi zvysovalo zatez mail serveru a to vubec nemluvim o preposilani na nejaky content filter nebo AV,
Nehlede na to, ze nekteri lide exe chteji, tak proc by se meli prizpusobovat blbejsi a zrejme nesvepravne vetsine?
Jedna vec je filtrovat maily u nejakeho portalu s jednim vstupnim bodem a obemem prenosu smtp trafficu v radu desitek mega a neco jineho na pateri.

dan

Pokud jsou ti, co exe potrebuji, ti chytrejsi, urcite umi pracovat se zipem nebo jinym kompresnim formatem. Posilani exe souboru je nutnosti akorat tak pro kreteny, co se nenauci pouzivat ani WinZip.

Kdyby aspon pocitali jen downstream...

A nebo kteří posílají samorozbalovací archivy. Proč se přizpůsobovat lidem, kteří umožňují šíření virů?

Třebas protože je to váš klient, který to prostě jinak poslat neumí i když mu to po telefonu 15 minut vysvětlujete?

A jak dokaze udelat samorozbalovaci archiv, kdyz to neumi zabalit normalne? Mozna jste mel na mysli spis lidi, kteri neumi archiv ROZBALIT. Ale to take neni nic tezkeho, kliknout pravym tlacitkem mysi na soubor a vybrat prislusnou akci z kontextoveho menu naucite i prumerne chapave sedmilete dite behem chvilky...

A muzes mi ty chytraku rict jakej je rozdil mezi zazipovanym a nezazipovanym virem ?????

Pokud totiz uzivatel usoudi, ze prilohu chce videt tak ji spusti i kdyby byla trikrat zabalena.

Navic se nenech mylit, hodne casto se jedna o viry, ktere vyuzivaji chyby v zabezpeceni Outlooku pri nahledu a nemusis tim padem na nic vubec kliknout.

Situace, ktera se skutecne stala.

Ladim s klientem jakysi problem s tiskem za jakychsi obskurnich race conditions. Klient umi dostat vystup na tiskarnu do exe souboru (zabali mu to jeho virtualni tiskovy driver). Ten exe je ve skutecnosti samorozbalovaci zip, ktery ma v sobe jeden gif.

On to rozbalit normalne neumi, vytahnout z nej ten obrazek take neumi. Je to obchodnik, ne pocitacovec.

Kdybych vedle nej sedel tak ho to jiste snadno naucim, ale jeho kancelar je od me 3/4 hodiny cesty autem. Po telefonu to fakt neni jednoduche - zvlast kdyz nevidim, co ma na obrazovce. Co mam delat?

Jiny pripad. Klient ma paranoidni mailovy server, ktery veskere EXE v prilohach pro jistotu zahazuje. Dokonce i takove, ktere jsou obsazeny v ZIPu. Proste ten zip vykosti a misto nej da textovy soubor s napisem "je tu virus". Drobny problem je v tom, tam virus 100% neni, je to .NETove exe ktere jsem prave zkompiloval na ciste masine a ten klient ho opravdu chce - je to posledni patch k aplikaci, kterou pro nej vyvijim. Jiste to jde vystavit na ftp, nebo na nejakou zabezpecenou stranku, ale ten exe ma par bajtu a stejne budu muset posilat mail s oznamenim o novem patchi a odkud jde downloadnout. Proc ho rovnou nepripojit k tomu mailu?

Treba proto, ze ne kazdej spravce povazuje za samozrejmy hodit do image instalace taky nakej archivacni program.

A jak uz tu nekdo psal dolej, tyhle kecy jsou jen vymluvy lidi, co neumi cist.
Jestli se nekdo zaloguje jako admin a pak si pusti exac primo z prilohy, je to jen jeho blbost.

User se na prilohu bud podivat chce, nebo nechce - jedina moznost, na kterou patrne tyhle orezavani smerujou, je posilat to v takovym formatu, kterej BFU nerozlouskne.
Takze kvuli kazde blbosti zavola PowerBFU, kterej mu to otevre (a pocitac zaviruje odborne;-))

Jinak doufam, ze podobny vystrelky prilis agilnich ISP skonci tam, kde kdysi oblibena proxy cache. Samozrejme nejlip transparentni.

Jinak by me zajimalo, jestli se nekdy doziju stavu, kdy ISP pochopi, ze si kupuju prenosovy pasmo. A tedy ze (prekvapive) predpokladam, ze bity, ktery poslu na danou IP tam taky dojdou (pokud mozno v puvodnim stavu). A ze bity urceny mymu pocitaci na nej taky dojdou (rovnez v puvodnim stavu).
Teda ja jsem ale narocnej spotrebitel, co...

jeste me napadlo, ze by si kazdej ISP mohl udelat gigantickej portal a nikam jinam by uzivatele nepustil. Ostatne user je blbej a na internetu, raji zlocincu, hackeru, crackeru a podobne verbeze mu hrozi samy nebezpeci.

Tak ho pred nim uchranime a jeste usetrime za konektivitu ven. My prece nejlip vime, co uzivatel potrebuje. A co pouziva. A ze potrebuje nebo pouziva neco jinyho? - to je asi blbej, nebo neni nahodou dokonce nebezpecnej? - eliminovat!

P.S. cinani jsou sraci - otocme to a povolujme jen explicitni obsah. To je jistejsi...

Doporučuji takový malý trik, zabírající na většinu mailových antivirů. Přejmenuj příponu, třeba xex místo exe a uživateli doporuč zpětné přejmenování.

To je pravda, trik je to pekny. Asi ho take zacnu pouzivat. Diky :-).

Ma ale jedno omezeni - druha strana musi byt schopna menit extenze souboru. Coz u "delniku kancelarskych stolu" nemusi byt splneno.

V tom pripade popisovanem vyse (paranoidni mailer) jsem to nakonec vyresil poslanim pres web.

Odpovedel jsi si sam. Pokud se otevre v nahledu zip, je to neco jineho, nez kdyz se "otevre" exe soubor. Samorozbalovaci archiv ma navic tu nevyhodu, ze prestoze byl puvodne neskodny, po ceste se muze zavirovat - klasicky pripad sdileni her mezi mladezi. A jeste k tomu u zipu existuje sance, ikdyz asi ne moc velka, ze nez to uzivatel rozzipuje a spusti, zazije osviceni a rozmysli si to.

Ja samozrejme chapu, ze se snazite vyjit zakaznikovi vstric. A s Vasimi znalostmi je urcite riziko spusteni prisleho cerva minimalni. Spis bych se bal povolit prijem exe souboru tem obchodnikum.

Jedno ale nechapu. Predpokladam, ze vetsina obchodniku umi ovladat rychlovarnou konvici, pravdepodobne take mobilni telefon a obvykle maji i ridicsky prukaz a umi si v pripade potreby zapnout svetla a sterace. Jak je potom mozne, ze jim dela problem naucit se par jednoduchych ukonu na pocitaci? Dusevni lenost je to, nic jineho.

Spis bych se bal povolit prijem exe souboru tem obchodnikum.

Neni az tak velky problem kdyz se to filtruje na pocitaci toho obchodnika. Neni obvykle az tak velky problem, kdyz se to filtruje na vstupu do LANky. Velky problem ale je, kdyz to filtruje uz ISP! A prave po tom volal puvodni prispevek na ktery jsem reagoval.

Psalo se v nem vice mene neco v tomto smyslu "zakazme posilani exe priloh u vsech ISP, stejne je nikdo nepouziva k nicemu rozumnemu".

A s tim si dovolim nesouhlasit. Nektere firmy maji napriklad nastaveny mailer tak, ze prilohy s exe se implicitne odmitaji. Odesilateli prijde mail s upozornenim, ze pokud to opravdu mysli vazne at tu prilohu posle na "attachment_admin@example.com", ktery ji rucne prohledne a pokud to neni virus/spam/blbost tak ji preposle adresatovi.

To je pro mne ok. Implicitni potlacovani, ale nikoliv striktni zakaz. Dokazete si ale predstavit, ze tohle by delal ISP pro vsechny sve klienty? Ja tezko. Zakaz priloh v mailu primo na urovni ISP je vice skody nez uzitku. Uroven toho, co se filtruje totiz 100% nebude vyhovovat vsem. Maji se filtrovat jen .exe a .pif a .scr? Maji se filtrovat .zip, ktere obsahuji .exe? Maji se filtrovat vsechny .zip? Maji se filtrovat vsechny .doc a .xls (mohou obsahovat makroviry)? Urcite by nejaky ISP zapnul tohle vsechno s velkym humbukek a kampani ve stylu "Absolutni bezpecnost" :-/

Tak s timto prispevkem souhlasim takrka bezezbytku. Filtry by mely byt nainstalovane az u uzivatelu, protoze to je uzivatel, kdo vi (nebo by mel vedet), co potrebuje a co ne. ISP k tomu ucinne a bezbolestne prostredky stejne nemaji, jak tady nekdo poznamenal. U provozovatelu mailovych sluzeb by bylo vhodne, aby si clovek mohl filtrovani zvolit a klidne bych ho nechal standardne zapnute. A uzivatelum je potreba porad opakovat, ze exe soubory posilat nemaji, a ze sfx archivy jsou na draka...

Jsem rad, ze jsme se shodli :-)

Jinak by me zajimalo, jestli se nekdy doziju stavu, kdy ISP pochopi, ze si kupuju prenosovy pasmo

Myslim, ze vetsine ISP to chape. Nebo Vam nejaky ISP modifikuje provoz? BYlo by dobre jmeno takoveho ISP zverejnit, abychom si mohli dat pozor.

Bud ho dokopat k instalaci VNC nebo pouzit windowsi remtoe desktop ci co tam maj.

No, implicitni nastaveni ve Windows casto byva "skryt pripony u znamych typu" (nebo tak nejak). Takze chtit na dalku po nekom, aby menil priponu, muze taky pusobit ruzna nedorozumeni. Skoro bych to opravdu videl na vystaveni souboru na webovou stranku a odeslani linku. Bez ohledu na velikost souboru.

Navíc v okamžiku, kdy to zkusí, objeví se varování: "Pokud změníte příponu souboru, je možné, že soubor nepůjde použít." Osobně ale jsem proti posílání souborů mailem. Protokol SMTP na to nebyl konstruován a ani trochu se k tomu nehodí.

Osobně ale jsem proti posílání souborů mailem. Protokol SMTP na to nebyl konstruován a ani trochu se k tomu nehodí.

Jistě existují lepší způsoby, ale že by se nehodil vůbec?

Proč tedy existuje standard MIME?

MIME je rozšíření, které se SMTP, striktně vzato, nemá moc společného. Vzniklo především proto, aby bylo možné vůbec klasifikovat, co je obsahem mailu, a proto, aby bylo možné nějakým univerzálním způsobem poslat něco jiného než sedmibitový text. Samozřejmě umožňuje i posílání souborů prostřednictvím SMTP, ale nemůže řešit principiální problémy SMTP, např.:

• e-mail není interaktivní služba; pošlete-li mailem (velký) soubor, musíte počítat s možností, že může někde několik hodin čekat, možná i několikrát; bude-li se posílat hodně velkých souborů, klade to nároky na úložný prostor MTA; proto mnoho z nich omezuje velikost mailů
• posíláte-li soubor pomocí SMTP, počítejte s tím, že obvykle posíláte nejméně třetinu navíc
• protokoly určené k přenášení (potenciálně dlouhých) souborů, např. HTTP nebo FTP, disponují prostředky, které v případě spadlého spojení umožňují začít od místa, kde k přerušení došlo; u SMTP jsem na nic podobného zatím nenarazil

Ten nemuze odstranit to zakladni omezeni, ze maximalni velikost dopisu, kterou MTA prenest MUSI je 64kB. Vetsi dopis muze kterykoliv MTA po ceste odmitnout prepravit. Stejne tak MIME nemuze odstranit to, ze (E)SMTP je puvodne protokol textovy (US-ASCII), sedmibitovy a dodnes je zarucena kompatibilita se sedmibitovymi prenosovymi cestami. Pri prenosu binarnich dat muze kdekoliv po ceste dojit k prekodovani a tim zbytecnemu narustu velikosti souboru. Tim nerikam, ze to je takova vada, ze kvuli tomu pouzivat nelze - jen tvrdim, ze to je dalsi duvod, proc SMTP protokol pro prenos vetsich binanrnich dat neni vhodny.

Tvrdy nezrusitelny omezovani useru je mi proti srsti, tak to neberte jako obhajobu.

Nicmene dokud takhle budou admini blbnout, muzete soubory posilat bez pripony.
A pokud to projde, tak s prilozenym batakem.

Aneb proc delat veci jednoduse, kdyz odpornici chteji, abysme je delali slozite...

pokud jde o tu proxy cache, byvaly doby, kdy s tim experimentovali i ti nejvetsi dial-up ISPs. Bohuzel (bohudik) je RFC moc nesraly, takze je to nakonec zakaznici, rostouci naroky na spravu a klesajici ceny za konektivitu donutili zrusit.
Z tech malejch nevim, slysel jsem (jedna pani povidala), ze proxinu vnucuje svejm zakaznikum naka lokalni kabelovka z ostravy.

Ovsem orezavat prilohy, nebo provadet dalsi "bezpecnostni" extempore ... no nic. Jeste by za to mohli chcit priplatit - ze se o nas tak hezky staraj:-))

Nikdo vas preci nemuze donutit odebirat sluzby, ktere nechcete - ledaze by nikdo onu sluzbu bez te pridane nezadouci hodnoty nenabizel nikdo. A tak spatne na tom jeste zdaleka nejsme. Uz jste uvazoval o zmene ISP ?

Zrovna takovy pripad resim: Atlas orezava viry z doslych e-mailu, aniz by mel uzivatel moznost toto nastaveni zrusit. Kdyz jsem si stezoval, napsali mi, ze to tak delaji spravne. Tak mi tedy reknete, ktery jiny poskytovatel freemailu zde nabizi pristup pres IMAP a zvetseni schranky na zadost uzivatele.
:-)

Karle,
musis si vybrat, zda chces sluzbu zadarmo, bez jakychkoliv garanci nebo sluzbu za penize, kde si muzes neco urcovat :-) Poskytovatele freemailu nejsou jedinymi poskytovateli postovnich sluzeb.

Ba prave. Cekal jsem, ze se nekdo ozve. Puvodni prispevek, na ktery odpovidam, znel: "ledaze by nikdo onu sluzbu bez te pridane nezadouci hodnoty nenabizel nikdo" atd. Pokud tedy hledam poskytovatele e-mailoveho boxu 1. s IMAPem, 2. ochotneho zvetsit na pozadani schranku a 3. zadara, tak mi proste vychazi, ze to tu bez te pridane hodnoty skutecne nikdo nenabizi. Prece cenova hladina (jestli se to tak da rict, kdyz je 0) je dost podstatnym atributem sluzby.

Cenova hladina ovsem neurcuje sluzbu. Pokud ano, pak bys musel srovnavat svoji devitku s vysavacem, protoze urcite nejaky vysavac stoji podobne jako Tvoje devitka. Troufam si tvrdit, ze bys bys mel porovnavat funkcnost. A nasledne vybirat z tech nabidek, ktere funkcnost specifikuji (jinak Ti hrozi, ze doma budes vysavat pistoli a na svoji ochranu budes s sebou nosit vysavac - coz je docela neprakticke).

Ostatne, co je to cenova hladina? Jak je definovana? V procentech ceny? V tom, ze je neco zadarmo a neco za penize?

Asi jsem se blbe vyjadril (po pravde receno, necekal jsem, ze se z toho rozvine debata). Cenovou hladinou jsem myslel rozdeleni podle druhu zakaznika, ktery by o to mohl mit zajem. Pocinaje obycejnym clovekem a konce vystrednim milionarem.

Cena se mozna da oddelit od ostatnich vlastnosti nejakeho zbozi v ekonomickych teoriich, ale kdyz jdu neco koupit, tak pochopitelne posuzuji cenu v kontextu s ostatnimi vlastnostmi. Takze chci koupit nejakou sluzbu a moje pozadavky jsou na pocatku sestaveny tak, jak jsem je nahore napsal. Pokud napriklad nejake kriterium prekroci mez, od ktere uz pro me sluzba neni pouzitelna, tak je po kseftu. Takhle by ale asi moc kseftu nenadelal nikdo, protoze skoro vsechno se zda bud moc drahe, nebo je mizerna nejaka jina vlastnost, takze nakonec vzdycky musi dojit ke kompromisu. No, a cena je proste kriterium, jako kazde jine. Muzu podle sveho uvazeni hybat s pro mne nejvyssi prijatelnou cenou, jako s nejmensi prijatelnou velikosti mailboxu. To uz se spis odlisuji vlastnosti, ktere se meni spojite (cena, objem), a vlastnosti, ktere se meni skokem (IMAP je/neni, filtrace viru je/neni).