[Flug] Domande su Mixmaster

Gianni Bianchini giannibi@firenze.linux.it
Dom 1 Dic 2002 22:14:33 CET


On Sun, Dec 01, 2002 at 05:35:29PM +0100, Francesco Poli wrote:

> 1) come fa un remailer anonimo di tipo mixmaster a verificare che una
> richiesta di destination-block provenga effettivamente dal mittente
> dichiarato nelle intestazioni? In altre parole un malintenzionato
> potrebbe forgiare un messaggio con intestazioni contraffatte e bloccare
> l'indirizzo di un ignaro utente di Internet, negandogli cosi` la
> possibilita` di ricevere posta dal remailer?

Questa possibilita' in effetti c'e', ma e' regolabile da un parametro
di configurazione di mixmaster e puo' essere disabilitata. In ogni
caso mixmaster manda un messaggio di avvenuto bloccaggio all'indirizzo
bloccato, per cui il destinatario riceve comunque notifica di
esclusione e puo' prendere provvedimenti contattando l'admin.
Se l'opzione e' disabilitata, la richiesta finisce solo in una mailbox per
l'amministratore, in attesa che egli la evada, magari chiedendo
conferma.

> 2) peggio ancora, come fa nel caso di richiesta di blocco di indirizzi
> aggiuntivi? Che garanzie ci sono che un malintenzionato non blocchi
> indirizzi altrui?

Idem.

> 3) peggio ancora (al quadrato!), come fa nel caso di richiesta di blocco
> di un dominio? Se un malintenzionato invia un messaggio spacciandosi per
> root@dominio_vittima.com oppure postmaster@dominio_vittima.com (con
> intestazioni contraffatte) e blocca tutto il dominio? E se comincia a
> bloccare un numero enorme di domini, paralizza il remailer?

Non mi risulta che l'opzione di bloccaggio automatico venga onorata in
questo caso, per cui richieste di questo tipo vengono solo inviate
all'attenzione dell'admin.

> 4) la RAB soffre di problemi analoghi?

Da http://www.paracrypt.com/remailerabuse/rab.htm :

-Only the owner of an email address can add his/her own email address
to the Blocklist. This is done through a verification email which is
sent after the initial email submition on the website.

> Se pensate che mi debba spostare su e-privacy o su tech, ditemelo
> pure...

E-privacy e' la piu' indicata. Se vuoi...

Ciao.
Gianni.

--
   Gianni Bianchini - giannibi@firenze.linux.it
   768D/C5D54F84    - "In God we trust. Everyone else we verify using GPG."



Maggiori informazioni sulla lista flug