Wojciech Puchar pisze:
>> 10 lat temu mi było wszystko jedno kto obsługuje smtpd, obecnie uważam że
>> dostep do portu 25 powinien być dla osób które _umieją_ zmienić login
>> neostrady _sami_ (co najmniej takie umiejętności). W przeciwnym wypadku
>> krzywdzą siebie i innych.
>
> Twój (i połowy ludzi którzy się na ten temat wypowiadają) problem to jest
> przypisywanie sobie prawa mówienia innym co mają robić, tylko dlatego, że
> uważasz ich (generalnie słusznie) za mniej wiedzących od siebie.
> [...]
Tak, dokładnie tak. Jako osoba, która pracuje tu i ówdzie, wykonuje
takie i inne zlecenia uważam, że każdy szanujący się administrator może
a nawet jego obowiązkiem jest uzurpować sobie prawo do jedynej słusznej
linii postępowania.
Niezależnie, czy administrujesz sieciami rozległymi, czy też tylko tymi,
które są przeznaczone dla malućkich musisz mieć świadomość zysku/straty.
Zyskiem jest uniemożliwienie działania botnetów, tak jak to działo się
dotychczas. Moim zdaniem można byłoby pójść nawet o krok dalej. np
zabronić uwierzytelnić się klientom na porcie 25, bo w końcu po to jest
port 587 czy 465. TPSA wymusiła niejako na operatorach pocztowych
rekonfigurację MTA umożliwiającą skorzystanie z wyżej wymienionych portów.
Klienci, często sami nie wiedzą, czego chcą, a co więciej nie mają
wiedzy ani świadomości tego, co są w stanie sami zepsuć, albo co jest w
stanie zepsuć ktoś inny, korzystając z ich niewiedzy. Osobą, która ma
ich w ten, czy inny sposób uświadomić, jest właśnie Administrator, który
dysponuje wiedzą, umiejętnościami i co więcej świadomością swoich
poczynań. Właśnie jako administrator musisz wiedzieć lepiej od swoich
klientów co jest potrzebne a czasem wręcz niezbędne do "prawidłowego"
korzystania przez nich z sieci. TPSA wykonała ruch w dobrym kierunku
blokując port 25 i co więcej, nawet wprowadzając swoich klientów w błąd,
że takie ustawienie jest obligatoryjne, choć może być to nieco
upierdliwe. Moim zdaniem strzeliłeś głupotę, co starają się Tobie inni
przekazać, że "odbezpieczyłeś" im ów port, zamiast skonfigurować serwer
pocztowy do obsługi wysyłania poczty tak, aby mogli skorzystać z nowego
"lepszego" sposobu.
a teraz przykład z innej bajki.
W pewnej firmie stoi sobie kontroler domeny. Hasła leżą sobie w LDAPie i
co więcej dzięki temu można było skonfigurować inne usługi aby z nich
korzystały. W tym momencie dostęp był regulowany parą użytkownik/hasło,
ale był pewien szkopuł. Dostęp do niektórych usług odbywał się w sposób
nieszyfrowany w związku z czym podsłuchując ruch można było uzyskać
dostęp do rzeczy, do których dostępu się mieć nie powinno. klienci po
wejściu na stronę bez SSL otrzymują stosowny komunikat i są
przekierowywani na HTTPS'a. Uważasz, że wymuszenie korzystania z SSL w
tym przypadku było błędem w sztuce?
Rafał Prasał.
Received on Mon Dec 7 12:10:02 2009
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Mon 07 Dec 2009 - 12:40:02 MET