[nazwa.pl] Informacje od nazwa.pl

[itomek]

4 minuty temu, patrys napisał:

a Wy to ogłaszacie jaki ficzer

 

Nasza firma nie wymyśliła SMS-ów, a jedynie wykorzystuje je jako nośnik do przekazywania haseł jednorazowych przy autoryzacji 2FA.  Zatem owym "ficzerem" jest to, że oferujemy zabezpieczenie 2FA dla poczty przez WWW oraz dla poczty w programie pocztowym (IMAP4/POP3) na komputerze, smartfonie i tablecie.

[patrys]

Czyli macie świadomość, że SMSy nie są bezpieczne, ale i tak to wdrożyliście.

Ok ; )

[itomek]

4 minuty temu, patrys napisał:

Czyli macie świadomość, że SMSy nie są bezpieczne, ale i tak to wdrożyliście.

 

Zadam jeszcze raz pytanie, co jest wg Ciebie lepszym gwarantem bezpieczeństwa korespondencji e-mail: 

 

a) silne hasło

b) silne hasło + zabezpieczenie 2FA z kodem wysyłanym SMS-em

 

Będę wdzięczny za konkretną odpowiedź.

[patrys]

Nie wiem po co drążysz ; )

 

To ja odpowiem prostym wynikiem z google, bo nie będziemy już sobie dawali filmów z konferencji bezpieczeństwa: https://www.techrepublic.com/article/top-5-reasons-not-to-use-sms-for-multi-factor-authentication/

 

[itomek]

30 minut temu, patrys napisał:

Nie wiem po co drążysz ; )

 

Chciałbym po prostu poznać zdanie eksperta - czy lepszym zabezpieczeniem jest silne hasło, czy silne hasło + 2FA z kodem wysyłanym za pomocą SMS?

[patrys]

Napisałem już w tym wątku, reasumując:

To jest 2FA więc jest bezpieczniejsze od samego hasła, ale jest też dziurawe przez sposób transportu kodu i można to obejść.

 

Nawet wystarczy wpisać w wyszukiwarce twittera: 2fa sms

https://twitter.com/search?q=2fa sms&src=typed_query

 

Ostatni raz już piszę, miłego dnia ; )

[mck]

Godzinę temu, itomek napisał:

Zadam jeszcze raz pytanie, co jest wg Ciebie lepszym gwarantem bezpieczeństwa korespondencji e-mail: 

 

a) silne hasło

b) silne hasło + zabezpieczenie 2FA z kodem wysyłanym SMS-em

Pytanie w stylu "Czym lepiej jeść zupę: nożem czy widelcem?"

[itomek]

9 minut temu, patrys napisał:

To jest 2FA więc jest bezpieczniejsze od samego hasła

 

Dziękuję za odpowiedź.

[l3szcz]

W dniu 8.08.2022 o 15:34, itomek napisał:

 

Dziękuję za odpowiedź.

Jesteś bardzo wybiórczy Tomku bo wyciąłeś praktycznie całe wyjaśnienie Patrysia. 

[itomek]

Zabezpieczenie 2FA, jakie wprowadziliśmy, aktualnie umożliwia korzystanie z kodów SMS. Natomiast po zalogowaniu do CloudHosting Panel możecie zobaczyć, że metoda autoryzacji wybierana jest z... listy rozwijanej  A lista rozwijana ma to do siebie, że już jest w trakcie rozbudowy.
 

Dla wszystkich zainteresowanych powiem tylko, że pracujemy nad dodatkowymi metodami autoryzacji, w tym TOTP. Zatem ostatecznie każdy, kto nie chce korzystać z 2FA dzięki SMS-om, znajdzie u nas alternatywę, którą niedługo wprowadzimy. 

 

 

Edytowane 9 Sierpnia 2022 przez itomek

[l3szcz]

Brak / SMS = wybór jak miedzy dżumą a cholerą

[itomek]

1 minutę temu, l3szcz napisał:

Brak / SMS = wybór jak miedzy dżumą a cholerą

 

A mogę wiedzieć, jakie dodatkowe zabezpieczenie 2FA dla poczty oferujesz swoim klientom, którzy chcą odbierać pocztę za pomocą Thunderbird'a?

[st220]

Czytając te coraz większe marketingowe fikołki przedstawiciela "lidera branży" coraz bardziej mi się chce śmiać.

Podsumowując całość patrząc z boku już można ustalić jak to jest zrobione.
1. W 99% jestem pewna że rozwiązanie jest oparte o freeradius i jego otp. Patrząc po sposobie szukania programisty systemowego przez "lidera" wątpię żeby napisali coś własnego.

2. Dlaczego tylko sms? Typowa nazwa jest typowa, na czym można zarobić gdzie wszyscy mają to gratis tam się zarabia. Jakakolwiek próba tutaj innego wytłumaczenia tylko bardziej pogrąża firmę.

Czy to rozwiązanie ma inne opcje? Oczywiście że ma.

Jakie rozwiązanie byłoby innowacyjne na lokalnym rynku? Własna aplikacja, a tak wyszło jak zawsze.

[itomek]

Godzinę temu, st220 napisał:

Czy to rozwiązanie ma inne opcje? Oczywiście że ma.

 

Wspomniałem o tym w poprzedniej odpowiedzi. W tej chwili wprowadzona jest autoryzacja przez SMS. Trwają prace nad kolejnymi metodami autoryzacji, w tym TOTP. Nie jest to jednak trywialne, bo dotyczy kluczowej usługi, jaką jest e-mail. Zatem każde wdrożenie w tym zakresie wymaga wielopoziomowych testów. Myślę, że osoby, które nie ufają SMS-om także będą mogły wkrótce znaleźć coś dla siebie, jeżeli chodzi o metodę autoryzacji  

Godzinę temu, st220 napisał:

Jakie rozwiązanie byłoby innowacyjne na lokalnym rynku?

 

Unikalnością rozwiązania jest autoryzacja dostępu do poczty przez IMAP4/POP3, która w wygodny sposób zabezpiecza korespondencję prowadzoną z wykorzystaniem programów typu Thunderbird czy Outlook. Rozumiem, że każdy może oczekiwać innej metody autoryzacji. Już teraz klienci obsługujący swoją pocztę w nazwa.pl otrzymują znacznie więcej. Po wprowadzeniu kolejnych metod autoryzacji, wszyscy zainteresowani będą mogli skorzystać z takiego rozwiązania, które im personalnie najbardziej odpowiada.

[st220]

Godzinę temu, itomek napisał:

Unikalnością rozwiązania jest autoryzacja dostępu do poczty przez IMAP4/POP3, która w wygodny sposób zabezpiecza korespondencję prowadzoną z wykorzystaniem programów typu Thunderbird czy Outlook.

Tylko właśnie powyżej opisałam w jaki sposób to zrobić, nie jest to unikatowe rozwiązanie. Trzeba wyjść spoza swojej bańki jacy to my wspaniali jesteśmy, bo prawda jest gdzie indziej.

 

Godzinę temu, itomek napisał:

Już teraz klienci obsługujący swoją pocztę w nazwa.pl otrzymują znacznie więcej.

Tak? Limity na kontach z powodu minimalnego rozmiaru skrzynki? (To samo tyczy baz danych.) W czym usługa jest lepsza od gigantów typu google workspace czy outlook, pominiając oczywisty fakt polskojęzycznej pomocy technicznej.

[l3szcz]

20 godzin temu, itomek napisał:

 

A mogę wiedzieć, jakie dodatkowe zabezpieczenie 2FA dla poczty oferujesz swoim klientom, którzy chcą odbierać pocztę za pomocą Thunderbird'a?

Ja dopóki nie jestem pewien, że rzeczywiście rozwiązanie jest intuicyjne i bezpieczne to wolę nie wypuszczać na proda.  

[itomek]

Unikalność rozwiązania, jakie nazwa.pl zaoferowała użytkownikom poczty wprowadzając zabezpieczenie 2FA, polega udostępnieniu takiej formy dodatkowej ochrony poczty e-mail, która kompleksowo obejmuje zarówno webmail, jak i połączenia z pocztą przez program na komputerze lub urządzeniu mobilnym (IMAP4/POP3). Nie narzucamy przy tym użytkownikom konieczności korzystania z jednej aplikacji do odbioru poczty, nie tworzymy też dla nich kolejnej aplikacji do jej odczytu, bo szanujemy ich dotychczasowy wybór i przyzwyczajenia. Zgodzę się z st220, że nie wymyśliliśmy e-maili i nie wymyśliliśmy SMS-ów czy innych metod autoryzacji. Ale potrafimy to wszystko "złożyć w jedną całość" i przekazać użytkownikom pocztę chronioną znacznie lepiej, niż tylko samym hasłem.

 

Dodatkowa ochrona dostępu do skrzynki poczty elektronicznej jest bardzo ważna. Zdajemy sobie sprawę z tego, że jedno rozwiązanie, jakim jest autoryzacja SMS, może nie być idealną propozycją dla każdego - ktoś chce mieć aplikację z powiadomieniami PUSH, a jeszcze inna osoba chce mieć offline'owo generowane hasła TOTP, kolejna osoba będzie akceptowała tylko klucze sprzętowe U2F itd.

 

Jak napisałem kilka komentarzy wyżej, nie ustajemy w rozwoju tej konkretnej funkcjonalności, jaką jest zabezpieczenie 2FA. Myślę, że osoby które śledzą rynek hostingu wiedzą, że w nazwa.pl mocno stawiamy na szeroki zakres dostępnych dla klientów opcji, starając się wyjść na przeciw większości pojawiających się oczekiwań. Prowadzone są dalsze prace nad kolejnymi metodami autoryzacji, które niedługo będziemy wprowadzać. Wiem, że zadowolimy nimi szerokie grono odbiorców. 

[patrys]

12 godzin temu, itomek napisał:

Unikalnością rozwiązania jest autoryzacja dostępu do poczty przez IMAP4/POP3, która w wygodny sposób zabezpiecza korespondencję prowadzoną z wykorzystaniem programów typu Thunderbird czy Outlook.

Korespondencje to może zabezpieczać PGP lub S/Mime, a to jedynie może próbować zabezpieczyć autoryzacje.

A czemu próbować, to już napisałem wcześniej ; )

+ jak padnie Wam API do tych smsów to support będzie miał wesoło.

[itomek]

4 minuty temu, patrys napisał:

a to jedynie może próbować zabezpieczyć autoryzacje.

 

I to jest zadanie zabezpieczenia 2FA dla poczty 

 

5 minut temu, patrys napisał:

+ jak padnie Wam API do tych smsów to support będzie miał wesoło.

 

Tutaj nie ma obaw, są wdrożone odpowiednie procedury na wypadek wielu losowych sytuacji tego typu. 

[l3szcz]

9 minut temu, itomek napisał:

Unikalność rozwiązania, jakie nazwa.pl zaoferowała użytkownikom poczty wprowadzając zabezpieczenie 2FA, polega udostępnieniu takiej formy dodatkowej ochrony poczty e-mail, która kompleksowo obejmuje zarówno webmail, jak i połączenia z pocztą przez program na komputerze lub urządzeniu mobilnym (IMAP4/POP3). Nie narzucamy przy tym użytkownikom konieczności korzystania z jednej aplikacji do odbioru poczty, nie tworzymy też dla nich kolejnej aplikacji do jej odczytu, bo szanujemy ich dotychczasowy wybór i przyzwyczajenia. Zgodzę się z st220, że nie wymyśliliśmy e-maili i nie wymyśliliśmy SMS-ów czy innych metod autoryzacji. Ale potrafimy to wszystko "złożyć w jedną całość" i przekazać użytkownikom pocztę chronioną znacznie lepiej, niż tylko samym hasłem.

 

Dodatkowa ochrona dostępu do skrzynki poczty elektronicznej jest bardzo ważna. Zdajemy sobie sprawę z tego, że jedno rozwiązanie, jakim jest autoryzacja SMS, może nie być idealną propozycją dla każdego - ktoś chce mieć aplikację z powiadomieniami PUSH, a jeszcze inna osoba chce mieć offline'owo generowane hasła TOTP, kolejna osoba będzie akceptowała tylko klucze sprzętowe U2F itd.

 

Jak napisałem kilka komentarzy wyżej, nie ustajemy w rozwoju tej konkretnej funkcjonalności, jaką jest zabezpieczenie 2FA. Myślę, że osoby które śledzą rynek hostingu wiedzą, że w nazwa.pl mocno stawiamy na szeroki zakres dostępnych dla klientów opcji, starając się wyjść na przeciw większości pojawiających się oczekiwań. Prowadzone są dalsze prace nad kolejnymi metodami autoryzacji, które niedługo będziemy wprowadzać. Wiem, że zadowolimy nimi szerokie grono odbiorców. 

Tomku, przepraszam za dosadność ale skończ z tym bełkotem. Nie wiem kto jest u was copywriterem ale po pierwsze - zwolnijcie go, po drugie praktycznie próbujesz wybrnąć przez korzystanie z jakiejś marketingowej gadki, która nijak się ma do wiedzy. 

[Tweedlex]

Ja nie rozumiem po co robicie z tego taką aferę. Według mnie to 2FA za pomocą SMS to super pomysł.

Wymieńcie firmy na polskim rynku hostingowych, które posiadają pełne 2FA, a nie tylko dla poczty poprzez WWW. albo firmy co posiadają backup poczty w formie usługi (w większości hostingów nawet nie ma dostępu do plików poczty z konta hostingowego).

 

Wiadomo że koszty dla klienta będą ogromne ale też trzeba pamiętać w jakich klientów to celuje, np. w szpitale, urzędy, które to wymagają 99.99% dostępności, antyddos dla poczty, HA i jakieś inne duperele, które hosting musi spełniać. Mnie nie obchodzi czy taki klient płaci za pocztę 1000 zł rocznie czy 10 000 zł miesięcznie, ponieważ to jest ich decyzja i lepiej takiej takiej decyzji nie podważać.

 

Oczywiście można zrobić to wszystko samemu, a nie płacić tysiące za usługę ale w większych jednostkach nawet 5 000 zł rocznie za pocztę to grosze (koszt utrzymania takiej poczty lokalnie wyjdzie dużo więcej). Sam takich przenosiłem (lecz do home.pl) po awarii regiony.pl związanej z pożarem OVH oraz tym, że regiony.pl się zamykają.

[l3szcz]

2 godziny temu, Tweedlex napisał:

Ja nie rozumiem po co robicie z tego taką aferę. Według mnie to 2FA za pomocą SMS to super pomysł.

Wymieńcie firmy na polskim rynku hostingowych, które posiadają pełne 2FA, a nie tylko dla poczty poprzez WWW. albo firmy co posiadają backup poczty w formie usługi (w większości hostingów nawet nie ma dostępu do plików poczty z konta hostingowego).

 

Wiadomo że koszty dla klienta będą ogromne ale też trzeba pamiętać w jakich klientów to celuje, np. w szpitale, urzędy, które to wymagają 99.99% dostępności, antyddos dla poczty, HA i jakieś inne duperele, które hosting musi spełniać. Mnie nie obchodzi czy taki klient płaci za pocztę 1000 zł rocznie czy 10 000 zł miesięcznie, ponieważ to jest ich decyzja i lepiej takiej takiej decyzji nie podważać.

 

Oczywiście można zrobić to wszystko samemu, a nie płacić tysiące za usługę ale w większych jednostkach nawet 5 000 zł rocznie za pocztę to grosze (koszt utrzymania takiej poczty lokalnie wyjdzie dużo więcej). Sam takich przenosiłem (lecz do home.pl) po awarii regiony.pl związanej z pożarem OVH oraz tym, że regiony.pl się zamykają.

Właśnie ze względu na koszta i brak bezpieczeństwa co już wyjaśnił Patryś wyżej

A decyzje o kosztach jak najbardziej dobrze jest podważać jeśli w tle chodzi o możliwość zysku dla klienta. 

Edytowane 10 Sierpnia 2022 przez l3szcz

[darekm]

23 godziny temu, Tweedlex napisał:

(w większości hostingów nawet nie ma dostępu do plików poczty z konta hostingowego).

 

 

a wiesz co klient potrafi zrobić jak ma   dostęp do tego ;(

Edytowane 11 Sierpnia 2022 przez darekm

[itomek]

Ponieważ dyskusja toczy się w wątku na temat naszych usług na wstępie zaznaczę, że w nazwa.pl przez FTP użytkownik hostingu nie widzi poczty. Wyklucza to po pierwsze technologia cloud, którą stosujemy, gdzie klastry serwerów pocztowych są niezależne od serwerów FTP, a po drugie pozwala to na spełnienie zasad związanych z ochroną danych osobowych w firmach, które korzystają z naszej poczty. Webmaster nie musi mieć dzięki temu uprawnień dostępu do danych osobowych pracowników czy klientów.

 

Pokażę Wam, jak za pomocą CloudHosting Panel można w dowolnym wykonać kopię zapasową dowolnej grupy danych - w tym np. poczty. Wystarczy zaznaczyć checkbox (1) i określić (2) przez ile dni kopia ma być przechowywana w chmurze (wpisanie "0" oznacza brak limitu czasowego przechowywania kopii). Informacyjnie system podaje statystykę, jaką przestrzeń dyskową aktualnie na hostingu zajmuje wybrana grupa danych (3). Jeżeli wszystko się zgadza, wystarczy kliknąć przycisk rozpoczęcia wykonywania kopii (4).

 

 

Kiedy mamy już utworzoną kopię, możemy ją bardzo szybko przywrócić. Przywracanie utworzonej kopii jest tak samo proste, jak jej wykonanie. W przypadku poczty e-mail przywracanie danych na skrzynkę polega na dograniu do niej brakujących wiadomości. Aby przywrócić dane z kopii skrzynek poczty elektronicznej, wchodzimy w wykaz kopii i wybieramy tę datę kopii, która nas interesuje. Wyświetlona zostanie lista kont e-mail, których dane zostały umieszczone w tej kopii. 

 

 

Teraz trzeba wskazać określoną skrzynkę (lub skrzynki) i rozpocząć proces przywracania:

 

 

Brakujące maile zostaną dograne na skrzynkę i po zakończeniu procesu przywracania są od razu dostępne. Zarówno tworzenie kopii zapasowej danych, jak i jej przywracanie można wykonać w dowolnym momencie. Dane kopii zapasowych przechowywane są w osobnym Data Center, zgodnie z regułami bezpieczeństwa, jakimi powinny cechować się backupy.

 

 

[theqkash]

Posty dotyczące SSH i poczty (nie związane z nazwa.pl) zostały wyłączone do: