Messages posted by: BlackParade

freakmind wrote:

Mình nghĩ có một số lý do chính :
- Đề phòng client không hỗ trợ SSL
- Performance (cost cho server encrypt...)
- Không ai để home page là https cả vì chắc chắn là người dùng sẽ gõ thiếu
- Chỉ dùng được 1 domain trên 1 ip với https

Cái màu vàng này hay à nha. Bạn giải thích một chút được không?

bean2604 wrote:

bác cài win ảo, ko bao giờ đụng vào nó trừ khi giao dịch với tiền. e tin là ko thằng nào trộm cắp được cái gì trong win ảo của bác, nếu cẩn thận hơn thì dùng hệ điều hành ảo khác ngoài windows

Đấy là bạn tin như thế, còn thực tế lại là chuyện khác.
Mình nghĩ vẫn còn vài cách để người khác có thể sử dụng trái phép tài khoản email của bạn ngoài những khả năng bạn đã đề cập. Ví dụ như:

- Sniff cookies: Cách này có thể vào đọc và gửi mail nhưng không có tác dụng đối với một số trường hợp đòi hỏi nhập password, cookies cũng không tồn tại lâu nên mỗi lần cần sử dụng hòm thư của bạn, người ta lại phải sniff lại, đồng thời cũng không thể chiếm đoạt hoàn toàn hòm thư của bạn được.

- Sniff password: với password thì người ta có toàn quyền đối với hòm thư của bạn. Tùy theo khả năng của họ mà có thể lợi dụng bạn được đến đâu.

Hai cách trên thường được thực hiện trong mạng LAN. Bạn có thể tìm hiểu thêm với google (thêm từ khóa Arp Spoofing)

- Sử dụng cơ chế recover password của gmail

- Các biện pháp non-technical: nhìn trộm lúc bạn gõ password (Shoulder surfing), đoán password...

- Và nhiều cách khác mình chưa nhớ ra smilie

sharkvn10 wrote:

cụm từ này mình cũng chưa nghe nói,nếu có thì cho mình học hỏi tí nha,kiểm tra tính toàn vẹn bằng chữ ký số điện tử mình thấy rất hay,áp dụng rất nhìu trong các nghành bảo mật

Bạn xem ở đây (9.3.3. Digital signatures: Integrity in public-key systems)

http://gdp.globus.org/gt4-tutorial/multiplehtml/ch09s03.html

Mô hình kiểm tra tính toàn vẹn được thể hiện rất rõ ràng:

http://gdp.globus.org/gt4-tutorial/multiplehtml/images/security_concepts_digitalsig.png