Comments 93
писец.
на хабре что, одни идиоты?
а как по вашему должен зранить пароли СБОРЩИК почты? если они будут в закрытом виде — то он и залогиниться на сервер не сможет.
на хабре что, одни идиоты?
а как по вашему должен зранить пароли СБОРЩИК почты? если они будут в закрытом виде — то он и залогиниться на сервер не сможет.
Понятно, что хранить придется в открытом, проблема в том, что он их показывает
Сборщик отдавать никому в открытом виде обратно не должен. Уже обсуждалось в предыдущем топике.
Но зачем сразу в форме выдавать вбитый реальный пароль?
Выводили бы «mypassword» и проверяли, если не изменили поле и оно все еще с тем же значением — значит смены пароля не было.
Это действительно показатель «легкого» отношения к безопасности клиентов.
Выводили бы «mypassword» и проверяли, если не изменили поле и оно все еще с тем же значением — значит смены пароля не было.
Это действительно показатель «легкого» отношения к безопасности клиентов.
Сборщик должен хранить пароли в ЗАКРЫТОМ виде, но используя двустороннее шифрование (то есть с возможностью расшифровки), это конечно не панацея, но добавит проблем взломщику. А в форме смены пароля должно быть вообще что-нибудь типа VALUE="##do-not-change-saved-password##" (но уж никак не пароль!). Ну и https конечно нужен.
да… на хабре много идиотов… обычно их коменты не видны…
Как вы сможете использовать данную уязвимость для атаки какого-то конкретного почтового ящика?
Зная, что мы сидим с жертвой на одном и том же спутнике — просеять эфир.
Проснифит трафик со свитча.
Да как угодно. Подойти к кпомпу, когда жертва залогинилась в почту и отвлеклась, и посмотреть — повреждения не требуется.
Проснифит трафик со свитча.
Да как угодно. Подойти к кпомпу, когда жертва залогинилась в почту и отвлеклась, и посмотреть — повреждения не требуется.
«Подтверждения ввода мастер пароля», я хотел сказать.
Да, но точно так же вы можете отснифать пароль, который передает жертва POST-запросом при логине на mail.ru.
И все-же я спрашивал, как перехватить какой-либо конкретный пароль.
Взять, например, мой ящик — zepps@list.ru. Если в личку вышлете мне мой пароль, тогда все будет понятно.
Взять, например, мой ящик — zepps@list.ru. Если в личку вышлете мне мой пароль, тогда все будет понятно.
Этот топик не про сам взлом почтовых ящиков на мейл.ру, а про его последствия. И да, я не хакер.
Я так полагаю, что этот коммент минусуют те, кто любит рассуждать о том, как элементарно хакаются ящики на mail.ru и то что это может сделать даже пенсионерка. Но как только им предлагается попробовать самим это сделать, то это предложение задевает за живое.
Вопрос не в том на сколько сложно или просто вскрыть ящик на мейл.ру, вся соль в том что если такое случиться жертва лишится всех аккаунтов с которых собирается почта с помощью этого самого мейл.ру.
в упор не могу понять — что такого в хранении пароля на странице, на которую можно попасть уже зная пароль?
только не надо рассказывать про инет-кафе, где можно узнать пароль зазевавшегося посетителя, отошедшего покурить и
не закрывшего окно почты. это из другой оперы.
паранойя у некоторых товарищей иногда просто зашкаливает.
только не надо рассказывать про инет-кафе, где можно узнать пароль зазевавшегося посетителя, отошедшего покурить и
не закрывшего окно почты. это из другой оперы.
паранойя у некоторых товарищей иногда просто зашкаливает.
Ок вот объяснение на пальцах.
Есть аккаунт А@mail.ru, B@yandex.ru, C@rambler.ru и тд.
Аккаунт A@mail.ru является главным и собирает почту c аккаунтов B@yandex.ru и C@rambler.ru.
Человек получает доступ к аккаунту A@mail.ru и с помощью данной недоработки получает доступ к B@yandex.ru и C@rambler.ru, потому что сервер mail.ru вернул их пароли в открытом виде в форму.
Есть аккаунт А@mail.ru, B@yandex.ru, C@rambler.ru и тд.
Аккаунт A@mail.ru является главным и собирает почту c аккаунтов B@yandex.ru и C@rambler.ru.
Человек получает доступ к аккаунту A@mail.ru и с помощью данной недоработки получает доступ к B@yandex.ru и C@rambler.ru, потому что сервер mail.ru вернул их пароли в открытом виде в форму.
Если человек получил доступ к аккаунту A@mail.ru, то остальные пароли ему уже не нужны, ибо вся интересующая его почта и так уже на A@mail.ru собрана. :)
логично :)
Но все же согласитесь, что вред от того когда пароль отдается в открытом виде больше, чем от просто собранных писем.
Можно сейчас кучу ситуаций придумать, но зачем?
Но все же согласитесь, что вред от того когда пароль отдается в открытом виде больше, чем от просто собранных писем.
Можно сейчас кучу ситуаций придумать, но зачем?
Одно дело читать письма, и совсем другое — на них отписывать (-;
> ибо вся интересующая его почта и так уже на A@mail.ru собрана
А если человека интересует не пришедшая уже сейчас почта, а та, что придёт позже? Например, пользуясь приведёнными адресами предположим, что на B@yandex.ru зарегистрированы домены/хостинги и можно запросить восстановление пароля для доступа в административные интерфейсы, а на C@rambler.ru — чисто гипотетически, аккаунт paypal с авторизованной кредиткой. На получение всех этих данных потребуется накое-то время, так что владелец адресов, обнаружив взлом A@mail.ru, вполне может успеть поменять пароли к ящикам, чтобы сборщик от mail.ru ничего не получил. Если же злоумышленник может посмотреть пароли к другим ящикам, то велика вероятность, что истинный владелец ничего поменять уже не успеет.
А если человека интересует не пришедшая уже сейчас почта, а та, что придёт позже? Например, пользуясь приведёнными адресами предположим, что на B@yandex.ru зарегистрированы домены/хостинги и можно запросить восстановление пароля для доступа в административные интерфейсы, а на C@rambler.ru — чисто гипотетически, аккаунт paypal с авторизованной кредиткой. На получение всех этих данных потребуется накое-то время, так что владелец адресов, обнаружив взлом A@mail.ru, вполне может успеть поменять пароли к ящикам, чтобы сборщик от mail.ru ничего не получил. Если же злоумышленник может посмотреть пароли к другим ящикам, то велика вероятность, что истинный владелец ничего поменять уже не успеет.
вот тебя несет то, ты сам вчитайся в свои посты, ты чего-то не понимаешь видемо в этой жизни…
речь не о том как легко хекаеца ящик или не хекаеца на мейл.ру
а данная уязвимость поможет нам если мы уже имеем доступ к ящику на котором настроен сборщик =\
вооообщем вы не в теме…
речь не о том как легко хекаеца ящик или не хекаеца на мейл.ру
а данная уязвимость поможет нам если мы уже имеем доступ к ящику на котором настроен сборщик =\
вооообщем вы не в теме…
можно пригласить Вас на http ссылку в которой будет фрейм с адресом настроек мейлрушного сборщика. Если у тебя куки от мейлру сохранились и бразуер автоматом залогинится — через JS самого документа выдрать parent.password.value. Все этом можно сделать размером 1х1 и даже не заметишь.
Да не только же в сниффинге дело. А ещё в том, что при угоне одного ящика взломщик может запросто получить реквизиты нескольких других.
Если вы сидите с жертвой рядом, на одном спутнике или можете получить доступ к свитчу, можно просто поснифать POP3-трафик и узнать пароли от любой почтовой системы. А еще можно трояна на машину поставить и узнать ваще все :)). Во всех остальных случаях описанная вами «уязвимость» бесполезна.
Вывод: безопасность она не уменьшает.
Вывод: безопасность она не уменьшает.
Не совсем так. Если у человека настроен собиратель почты, то пароли от других ящиков по pop3 с его машины никуда не передаются как бы.
Если чел ходит в почту через web, то в момент логина mail.ru переключается на https, так что пароль их ящика вы прослушкой не утянете, а вот остальные пароли- запросто. А если человек ходит через проксик, то они еще и на диске окажутся.
Ну а ситуацию с угоном пароля от ящика на mail.ru уже разбирали.
Так что безопасность уменьшается и еще как.
Если чел ходит в почту через web, то в момент логина mail.ru переключается на https, так что пароль их ящика вы прослушкой не утянете, а вот остальные пароли- запросто. А если человек ходит через проксик, то они еще и на диске окажутся.
Ну а ситуацию с угоном пароля от ящика на mail.ru уже разбирали.
Так что безопасность уменьшается и еще как.
о да! Помню времена своей «рыбалки» на тарелке. Помимо мега потока порева, еще можно было страницы получать, причем нередко с закрытых частей сайтов и с паролями :)
трояном пошарить в кеше браузера, снифить трафик… да в конце концов пользователь может сам сохранить себе страницу а она потом попадет не в те руки
пароль передается открытым текстом, достаточно снифернуть трафик мейлрушника и получить пароли к его сборщикам.
Во фрейме на любом сайте сделать ссылку на эту страницу, если юзер залогинен, то из родительского фрейма яваскриптом читаем пароль
интересно, мне одному мозолит глаза написание «майл»?
мэйлру вообще мало о чем заботится. эталон кривизны просто. лагает все, что может…
Проблемы нет. Покажите мне хоть одного у кого таким образом украли пароль от почты…
Кто следующий на очереди? Rambler? Или где еще держат почту хомячки, не осилившие Gmail?
Не понимаю в чем проблема.
Если трафик слушается, то пароль отснифят еще когда он на сервер идет.
Если браузер или ОС заражен, то его стырят в момент ввода.
Если ни то и ни другое, то что плохого в том, что сервер вернул пароль обратно?
Где он может засветится.
Сервер отдал пароль пользователю который его и так знает.
Заглядывание из-за плеча не в счет, так можно что угодно взломать.
Работа без https это в 100 раз большая дыра чем, то что сервер возвращает пароль обратно.
Если трафик слушается, то пароль отснифят еще когда он на сервер идет.
Если браузер или ОС заражен, то его стырят в момент ввода.
Если ни то и ни другое, то что плохого в том, что сервер вернул пароль обратно?
Где он может засветится.
Сервер отдал пароль пользователю который его и так знает.
Заглядывание из-за плеча не в счет, так можно что угодно взломать.
Работа без https это в 100 раз большая дыра чем, то что сервер возвращает пароль обратно.
Бесплатное оно и в Африке бесплатное!
Извините, у меня ещё осталось 50 приглашений на Gmail, может поделиться с вами?
Gmail умнее )
Снифферы, троян шарит в кэше… Как все сложно.
Злоумышленнику достаточно встроить на свою страницу скрытый iframe с адресом win.mail.ru/cgi-bin/rpop, с помощью js нажать на кнопку «изменить», и с помощью него же вытащить из поля значение пароля.
Злоумышленнику достаточно встроить на свою страницу скрытый iframe с адресом win.mail.ru/cgi-bin/rpop, с помощью js нажать на кнопку «изменить», и с помощью него же вытащить из поля значение пароля.
UFO just landed and posted this here
В позапрошлом-прошлом году ставил с mail.ru эксперимент, сутью которого было выяснить, откуда там берутся такие неразгребаемые горы спама.
Подопытный ящик имел название вроде zakaz-archilib@mail.ru.
Информация о ящике нигде не публиковалась.
Ящик не вскрывался пол года.
Через пол года в ящике было порядка 450 спам-сообщений…
PS.Вы всё еще пользуетесь mail.ru?
Подопытный ящик имел название вроде zakaz-archilib@mail.ru.
Информация о ящике нигде не публиковалась.
Ящик не вскрывался пол года.
Через пол года в ящике было порядка 450 спам-сообщений…
PS.Вы всё еще пользуетесь mail.ru?
mail уже не удивляет данными дырами
пароль — SerezhenkaZverev? :D
это уже клиника, ребята ))
это уже клиника, ребята ))
>Пользователи Майл.ру, привет!
Привет! :D
Привет! :D
Параша ваш Мэил.ру, не первое тому подтверждение
Был у меня корпоративный почтовый акк для переписки с узким кругом коллег.
Спама на нем за 3 года было от силы пару писем в день.
Неделю назад послал мыло коллеге у которого акк на мейлру.
Буквально через пару дней после этого корпоративный акк накрыло волной спама.
Спама на нем за 3 года было от силы пару писем в день.
Неделю назад послал мыло коллеге у которого акк на мейлру.
Буквально через пару дней после этого корпоративный акк накрыло волной спама.
Я еще у mail.ru нет IMAP…
да у маила много недостатков. Однако мой первый ящик появился именно там, и теперь использую его для регистрации на различных форумах, где не жалко засветить адрес
А еще у них есть очень малоизвестная версия сайта без рекламы
А еще у них есть очень малоизвестная версия сайта без рекламы
а еще есть pro.mail.ru оО
а на mail.ua с этим всё в порядке:
Я тоже использую мэйл.ру в основном для регистрации на форумах или любых других сайтах. Для личной почты использую gmail. =)
Поправлено? Главная страница:
form name=«Auth» method=«post» action="http://win.mail.ru/cgi-bin/auth" style=«overflow: hidden;»
…
input type=«submit» value=«Войти» tabindex=«6» class=«submit»
/form
Разве submit не в открытом виде пойдёт?
У яндекса вроде на этот счёт ровно:
form action=«passport.yandex.ru/passport?mode=auth...;retpath=http://mail.yandex.ru» method=post onsubmit=«return (window.navigator.yHTTPSsupport? secureForm(this): true);»
А вот у хабра как? Может кто пояснит, пасс разве не в открытом виде летит:
form action="/ajax/auth/" method=«post» class=«register register_form tm-form ajax» name=«login»
form name=«Auth» method=«post» action="http://win.mail.ru/cgi-bin/auth" style=«overflow: hidden;»
…
input type=«submit» value=«Войти» tabindex=«6» class=«submit»
/form
Разве submit не в открытом виде пойдёт?
У яндекса вроде на этот счёт ровно:
form action=«passport.yandex.ru/passport?mode=auth...;retpath=http://mail.yandex.ru» method=post onsubmit=«return (window.navigator.yHTTPSsupport? secureForm(this): true);»
А вот у хабра как? Может кто пояснит, пасс разве не в открытом виде летит:
form action="/ajax/auth/" method=«post» class=«register register_form tm-form ajax» name=«login»
Sign up to leave a comment.
Ограбление по-дилетантски-2 или о том, как Mail.ru хранит пароли