How to become an author
Search
Write a publication
Pull to refresh

Comments 39

ничего удивительного. в любой почте можно найти разного рода уязвимости
Total votes 2: ↑1 and ↓10
Вполне согласен, уязвимости есть вообще у всего, но этот пример — это как будто узнать, что дверь лексуса можно открыть с пинка так же, как дверь запорожца.
This comment wasn’t rated yet0
двери лексуса несанкционированно открывают чаще, чем двери запорожца ;) это ведь всего лишь железо, а почтовые сервисы - детища людей, всем свойственно ошибаться, даже программистам.
This comment wasn’t rated yet0
А те же машины разве не являются детищами людей (технологов, дизайнеров, проектировщиков)? Я согласен, что их собирают не люди, но на начальных стадиях разработки ошибки ТОЖЕ возможны.
This comment wasn’t rated yet0
UFO just landed and posted this here
В гугле тоже работают обычные люди (как это ни странно :)))) Которые тоже ошибаются..
This comment wasn’t rated yet0
UFO just landed and posted this here
Или шифровать важную корреспонденцию. Правда не знаю, реально ли это делать через веб-интерфейс :)
This comment wasn’t rated yet0
угу и просить чтобы вам все корреспонденты слали почту тоже шифрованную... нереал.
This comment wasn’t rated yet0
UFO just landed and posted this here
1. Срочно полез проверять свои фильтры :)
2. Пользуйтесь IMAP.
3. Каким именно образом заделана брешь? Как вообще (вебмастеру) можно защититься от подобных атак?
This comment wasn’t rated yet0
Защита может быть разной: проверять, откуда пришел запрос, отказаться от сессий вообще, принимать какой-нибудь уникальный хэш, итд. Какой метод использовали в гугле — понятия не имею, к исходникам у меня доступа нет :) Просто было сказано, что залатали.
This comment wasn’t rated yet0
а чем поможет отказ от сессий? и где будет храниться уникальный ключ?
This comment wasn’t rated yet0
К примеру, вписывать в форму, отсылающую запрос, хидденами логин и хэш времени последней авторизации. Отказ от сессий и кукисов для особо секьюрных узлов — старое доброе (зашифрованное) sessionid GET/POST параметром :)
This comment wasn’t rated yet0
"К примеру, вписывать в форму, отсылающую запрос, хидденами логин и хэш времени последней авторизации"
получается, что эти параметры нужно будет таскать еще и во всех урлах.
"Отказ от сессий и кукисов для особо секьюрных узлов — старое доброе (зашифрованное) sessionid GET/POST параметром"
выходит, что от сессий все-таки не отказываемся :) просто страшный идентификатор будет таскаться в урлах, а не лежать в куках :)
This comment wasn’t rated yet0
получается, что эти параметры нужно будет таскать еще и во всех урлах.

Зачем их таскать? Они и так есть на каждой странице, просто для верификации вставлять их в конкретную форму.
выходит, что от сессий все-таки не отказываемся :) просто страшный идентификатор будет таскаться в урлах, а не лежать в куках :)

Отказываемся от сессии как от объекта, который в любых условиях позволяет зайти без повторной авторизации, как массив данных она вполне годится.
This comment wasn’t rated yet0
Проверка referrer — со своего сайта, или нет.
This comment wasn’t rated yet0
да не. так не получится. реферрера изменить не проблема :)
This comment wasn’t rated yet0
Не согласен. Указанный хак возможен только если нормальный пользователь сабмитит форму на сайт А с сайта Б (взломанного, или хакерского), и при том на сайе А работает живая сессия. Подчёркиваю, что пользователь это должен сделать нормальный, которого ломают. И у него нормальный браузер, который отдаёт referrer. А у себя на машине хакер может хоть все заголовки поменять — ему то не поможет хакнуть пользователя.
This comment wasn’t rated yet0
да нет. вы путаете, я могу сделать запрос к серверу gmail на стороне клиента, со всеми необходимыми хидерами.
This comment wasn’t rated yet0
Поясните, пожалуйста. Мы ведь про веб? То есть никаких exe-фалов пользователь не запускал, только чистый веб. Тут не то что заголовки, но cross-site restrictions ещё победить надо для начала. Флеш, что ли, умеет заголовки как-то менять и посылать запрос на другой сервер?
This comment wasn’t rated yet0
Нет, вряд ли. Я, конечно, с флешем мыло общался, но это совсем противоречит здравому смыслу...
This comment wasn’t rated yet0
да вот как раз флэшом и можно :)
This comment wasn’t rated yet0
Хм. Никогда не имет домена, но разве можно его просто так украсть? Т.е. домен это не такая штука, которую взял, стащил, положил в карман и требуешь за нее деньги. Он же находится у фирмы-регистратора.

Это как украсть счет в банке и сказать - он теперь мой. Если хочешь что бы он был твой, плати мне)
This comment wasn’t rated yet0
К сожалению, с доменами все намного хуже, чем со счетом в банке (заблокировал кредитку и все). Т.е. вернуть его в принципе наверно можно, но весьма небыстро.
This comment wasn’t rated yet0
UFO just landed and posted this here
UFO just landed and posted this here
В FireFox для этого и многого другого есть расширение CustomizeGoogle.
This comment wasn’t rated yet0
UFO just landed and posted this here
У меня всю жизнь жмыл по https работает.
This comment wasn’t rated yet0
Мораль проста: юзайте почтовый клиент и IMAP.

По поводу потери доменов нужно просто договоры заключать с регистратором. Тогда без подписанной мною доверенности на передачу домена никто его не уведёт.
This comment wasn’t rated yet0
Второе слово статьи - исправьте опечатку )
This comment wasn’t rated yet0
Спасибо!
Хотя у меня гмайл на собственном домене и post на gmail ни к чему бы не привёл (кроме случая адресной атаки), полезно знать о такой возможности взлома.
Постараюсь открывать важные сайты в отдельном браузере (не зря ж у меня их четыре штуки установлено).
Total votes 1: ↑1 and ↓0+1
параноик;)
с доменом аналогично.
This comment wasn’t rated yet0
А будь это МС, тут бы 99% комментов было бы негативных...
This comment wasn’t rated yet0
да ;) или после косяка майл.ру рекомендовали использовать косяки гэмайл ;)
This comment wasn’t rated yet0
UFO just landed and posted this here
Sign up to leave a comment.

Articles

Show the best of all time

Your account

Sections

Information

Services

Support
© 2006–2024, Habr