Ограбление по-дилетантски-3 или те же яйца, только в профиль

Информационная безопасность*

Добрый вечер Хабр!
Мне снова есть, что рассказать. Наверное, Вы помните мои предыдущие топики (1,2) на тему хранения\передачи паролей в открытом виде? Найденные мною прорехи были спешно залатаны, но правильных выводов никто так и не сделал (из технического персонала компаний). Поэтому Вы и читаете этот топик.

Как я и обещал, я решил проверить еще какой-нибудь популярный почтовый сервер услугой сборщика почты. Выбор пал mail.qip.ru. Почему? Да потому, что это достаточно старая и известная многим Почта.ru, но под другой вывеской.

1. Хм. Всплывающее окошко на AJAX отпугнет почти любого диллетанта. Но не меня =)

2. Почти без надежды смотрю в исходный код и вдруг обнаруживаю там заготовку для вплывающего окошка на слоях, заботливо помеченную авторами кода. Меня тип поля для ввода пароля, а волшебный браузер Опера помогает применить результат к прямо активной странице

3. Вуаля, все как на ладони

4. Вспоминаю про Яндекс.Почту и ее новый интерфейс НЕО.

5. Код страницы уже не такой читабельный, но принцип его работы схожий. Я нахожу заготовку, меняю тип поля, применяю…

6. -Фиаско, фиаско!- кричал пьяный попугай.

Что там говорил тов.kukutz:

Каким образом? Интерфейсом classic пользуется меньше процента пользователей Яндекс.Почты. Для эксплуатации уязвимости нужно одновременно:

А интерфейсом НЕО пользуются оставшиеся 99%?

UPD Яндекс проблему устранил.

+16

2 февраля 2010, 17:30

Jeditobe 138,6

комментарии (52)

AddRemover 2 февраля 2010, 17:34 #

чОрт, и где вы берете такие ацкие пароли?

AddRemover 2 февраля 2010, 17:48 # ↑

подумал я, учитывая товарищей из «паролей» предыдущих двух серий.

Jeditobe 2 февраля 2010, 19:18 # ↑

Реальные мальчишки и девчонки еще и не такие ставят!

AddRemover 2 февраля 2010, 20:12 # ↑

Ну про школоту в курсе ;)
Но вы то, вы! Я ведь правильно понимаю, что все примеры — вымышленные?

BarsMonster 2 февраля 2010, 19:41 # ↑

Что-то в коде не вижу паролей, вижу что браузер вставляет локально запомненный пароль (а его переть и так просто)…

damnerd 2 февраля 2010, 21:45 # ↑

document.getElemenyById('id-password').value = 'l33t ha><0r';

vvivan 2 февраля 2010, 17:35 #

Ну хорошо, а что это там дает? Да, можно увидеть пароль, который вводит пользователь при вас… Не такая уж это большая уязвимость… Не вводите пароль при чужих людях, и всего делов. Или я чего-то не понимаю?

dohlik 2 февраля 2010, 18:00 # ↑

Данный пароль «пришел» с сервера вместе с остальной частью страницы. Причем не в https, если я правильно понимаю.

Jeditobe 2 февраля 2010, 19:09 # ↑

Конечно же https нет.

sdvn 2 февраля 2010, 18:04 # ↑

Если передача шла не по SSL каналу, то значить пароль прошел в открытым текстом. И как следствие, злоумышленик — юный xakep может перехватить данные пароли.

4dmonster 2 февраля 2010, 17:43 #

В общем-то это проблема наследственная. В Оконных интерфейсах традиционно за звёздочками/кружочками «стояли» символы паролей, собственно на это и рассчитаны большинство програм-показывалок сохраннёных паролей. Я пользовался такими что-бы вспомнить пароли оутглюк-экспресса.
Тут концептуальная уязвимость воспроизведена в инете, что делает её применимее.
Может надо поступать в традициях консольных программ — ввод пароля никак себя не проявляет.

Только учесть при правке учётки — что если пароль пуст — значит остаётся старый пароль.

Jeditobe 2 февраля 2010, 19:11 # ↑

Одно дело локальное приложение, другое — сетевое!

Золотое правило безопасности в сети — пароли назад выдаче не подлежат, ни в каком виде.

Nc_Soft 2 февраля 2010, 19:29 # ↑

иначе и быть не может, если хранится не пароль, а хэш

j1nn 2 февраля 2010, 20:37 # ↑

по-хорошему, сервер и знать эти пароли не должен… запоминаем хеш, при вводе делаем тем же образом хеш и сравниваем с запомненным.
все сайты, присылающие старый пароль на мейл, вызывают у меня оторопь и недоверие.

j1nn 2 февраля 2010, 20:37 # ↑

опять забыла рефрешнуть перед написанием коммента :\

smmurf 2 февраля 2010, 20:41 # ↑

Знать пароли для сбора почты сервер должен в открытом виде. С хешем на другой сервер не залогинишься.

rdolgov 2 февраля 2010, 19:25 # ↑

я работаю в небольшом ISP поверьте примерно 5% юзеров не в состоянии вообще ввести пароль.
15% в состоянии, но если нажат капс или не та расскладка, то ппц паника возникает. О каком «ввод пароля никак себя не проявляет» вы говорите? Яндекс почта для народа, а народ застрелится от такой хренатени.

dewil 2 февраля 2010, 21:33 # ↑

подтверждаю.
и очень часто путают схожие по написанию знаки:
l и 1
o и 0
e и l (в некоторых шрифтах, если пароль написан курсивом)

dohlik 3 февраля 2010, 09:22 # ↑

Тогда уж пусть браузер запоминает пароли (только надо мастер-пароль сделать)

betal 2 февраля 2010, 19:21 #

Как я писал раньше можно было получить пароль используя xss, посмотрю насколько тут реально.

betal 2 февраля 2010, 19:28 # ↑

Они меня добивают, на этом яндексе, все проще. Щелкаем пр.кн.мыши и открываем в новой вкладке. Смотрим код страницы. XSS действует так же.

harm 2 февраля 2010, 19:33 # ↑

Не ругайте Яндекс, он хороший, там ребятки — выпускники нашего тракторного училища, они всё прекрасно закроют и откроют новые дырки.

betal 2 февраля 2010, 19:39 # ↑

exitusletaris 2 февраля 2010, 19:22 #

Ждём топик про Рамблер.

Lucky_Student 2 февраля 2010, 19:39 # ↑

А им еще кто-то пользуется? :)

darkfrei 2 февраля 2010, 20:50 # ↑

На всякий случай держу там аккаунт, только они его зарубают каждые полгода.
Просто однажды перестает приходить с него почта, никаких предупреждений не делают. Нельзя к ним хорошо относиться.

НЛО прилетело и опубликовало эту надпись здесь

–19

note 2 февраля 2010, 19:42 #

Теперь я понимаю почему Опера настолько популярна только в СНГ…
За бугром мало кому придет в голову менять в каком-нибудь там «ВКон***те» дату рождения на 777 и искать такие детские уязвимости.

–13

note 2 февраля 2010, 19:52 # ↑

Забыл поставить тег сарказма, каюсь.

piratus 2 февраля 2010, 20:54 # ↑

и блог перепутал

le0pard 2 февраля 2010, 20:02 # ↑

Firefox+Firebug гарантирует тоже самое.
А проверять нужно все введение пользователем данные.

betal 2 февраля 2010, 20:09 # ↑

chrome тоже

Gesper 2 февраля 2010, 20:31 # ↑

даже IE8 на это вполне способен

–1

note 2 февраля 2010, 20:32 # ↑

Не о том речь «кто может, а кто нет» и в гробу я видел эти бесконечные холивары. Это был сарказм.
И раз уж пошла такая пляска, то примите к сведению — так может любой браузер из «большой пятерки», даже IE.

clumsy 2 февраля 2010, 19:57 #

Всё это, конечно, здорово. А тех, кто пользуются почтовыми клиентами типа Outlook Express, The Bat!, Thunderbird и т.д., не пугает тот факт, что их пароли к серверу при сборе почты также ходят в открытом виде?

У того же mail.ru в help'е написано: "Убедитесь, что опция Use encrypted login method (APOP) не включена."

–2

Vizakenjack 2 февраля 2010, 20:15 # ↑

они обычно не думают о безопастности, да и кому понадобится взламывать их акки?)

basilisk 2 февраля 2010, 20:28 # ↑

А вы считаете, что пароли ходят в открытом виде из-за лени создателей почтовых клиентов? А может всё таки виноваты устаревшие протоколы SMTP/POP3/IMAP4?

clumsy 2 февраля 2010, 20:37 # ↑

Почтовые клиенты как раз умеют работать с шифрованнымм методами аутентификации, обмениваться данными с сервером используя TLS и т.д. Например, с gmail можно забирать почту по POP3 используя подключение по TLS.

basilisk 3 февраля 2010, 10:36 # ↑

Угу. И я про то. И многие почтовые клиенты (из перечисленных выше The Bat!, Thunderbird, а в случае с Outlook — не знаю) поддерживают эти протоколы уже давным давно. Дело всего лишь в серверах, использующих устаревшие и небезопасные протоколы.

betal 2 февраля 2010, 20:38 # ↑

Но у Google же шифруется. Вроде через TSL и SSL шифровать можно.

dewil 2 февраля 2010, 21:42 # ↑

гугл запрещает пользоваться без SSL/TLS

zhnikita 2 февраля 2010, 20:39 # ↑

Не надо гнать на Птицу! Нормальные юзеры пользуют сервисы с SSL, так что пароли ниразу не светятся!
P.S. Прекрасно понимаю, что все перечисленные почты к таким не относятся… :-)

lany 2 февраля 2010, 20:28 #

А можно разом весь список проблемных сайтов? А то по топику на сайт — многовато как-то :-)

А реально многие пользуются сборщиками? Если ящик позволяет форвардить, имхо, настроить форвард проще и безопаснее. Конечно, я не спорю, что указанную проблему следует исправить, но, по-моему, вся идея сборщиков почты — это костыль для странных ящиков с отсутствием форварда. Это ж polling, а polling, как известно, kills.

drjohnes 3 февраля 2010, 10:12 # ↑

У многих корпоративных ящиков или у провайдеров может такого не быть.

mrspd 3 февраля 2010, 10:29 # ↑

Намного проще ввести все в одном месте, чем лазить по все ящикам и настраивать форвардинг

–1

pento 2 февраля 2010, 20:49 #

Уязвимость эта всё же больше для эпатажа, хотя конечно и имеет место.
Как уже ранее писалось в предыдущих топиках, необходимо соблюдение ряда условий, что бы её использовать в реальной жизни.

kukutz 2 февраля 2010, 20:57 #

Проблема на Яндекс.Почте устранена. И в modern-интерфейсе тоже, если что.

–7

egorinsk 2 февраля 2010, 21:04 #

Ха! Так их, по ходу там совсем бестолковые братюни в Яндексе работали :)

–3

MaxSergeev 2 февраля 2010, 21:37 #

Одного не могу понять: откуда сервисы знают пароли? Все же декларируют, что хранят исключительно хеши…

smmurf 2 февраля 2010, 22:07 # ↑

Объяснение

MaxSergeev 2 февраля 2010, 22:15 # ↑

Спасибо.

–1

FractalizeR 3 февраля 2010, 00:00 #

Не совсем понимаю, откуда такая паника? Когда вы принимаете почту в вашем любимом Email клиенте, каждый раз POP пароль улетает в сеть. А если вы оставляете любимый The Bat активным и свернутым, как большинство менеджеров, POP пароль улетает в сеть раз в пять минут. Но, почему-то никто не называет это уязвимостью протокола POP3. Если подумать, с FTP тоже самое. А еще с ICQ и YYY протоколом. А то, что все админки защищены .htaccess с типом авторизации Basic не катастрофа?

Даже если присланная страница вместе с паролем остается в кеше браузера, я не вижу тут ничего криминального. Ведь другой пользователь компьютера не должен иметь доступ в профиль вашего браузера.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.