Кстати, на некоторых роутерах есть кастомная кнопка (типа «easy setup»), а в кастомной прошивке наверянка можно назначить ей какое-то другое действие. И ходить с роутера ноут включать :-)
Антон, а скажите, пожалуйста — от Mail.Ru на Ваше сообщение пришел ответ? К разработкичам-то Ваше сообщение попало, а вот ответили ли Вам благодарностью — хочу на всякий случай уточнить ;-)
Хочу сообщить, что мы закрыли описанные CSRF-уязвимости в Почте Mail.Ru — «самым правильным способом», описанном в данном посте — с помощью токена. Надо сказать, что токен уже применялся во многих критичных местах, но далеко не во всех. Теперь механизм токенов применяется во всех модифицирующих (то есть меняющих или отправляющих что-то) запросах, а также в важных запросах на получение данных (прошу прощения, если ваши боты от этого сломались).
Еще раз спасибо автору топика за замечания.
P.S. Все критичные уязвимости мы, конечно, закрываем сразу же. Но в даном случае хотелось закрыть токенами не только дырки, но и все известные нам потенциально опасные места, прежде чем публиковать этот комментарий.
Совершенно верно, услуга SMS-уведомлений предоставляется в партнерстве с операторами. С наиболее крупными в России и некоторых странах СНГ мы сразу договорились, но разумеется, есть еще много локальных операторов. Впрочем, новые операторы подключаются регулярно.
Погодите, я этого не утверждаю. Я же сказал, что мы в процессе внедрения такого предупреждения. Разумеется, мы не выкатываем такие (и почти никакие) фичи на 100% аудитории сразу (да у нас, наверное, SMS-шлюз рухнет, если одновременно 10 миллионов человек пойдут верифицировать телефоны). То есть вполне вероятно, что именно автор этого предупреждения не видел.
И разумеется, мы не считаем, что все пользуются почтой через веб (хотя таких подавляющее большинство) — иногда мы делаем информационные рассылки, чтобы их получили пользователи POP3, однако по понятным причинам не любим этим злоупотреблять.
Ну товарищи, это же не «живые ящики», а регистрации скриптами, через ботнеты. Да, у нас можно зарегистрироваться по капче, а поскольку разгадывание капчи стоит дешево — то боты регистрируются пачками. Но, честно говоря, мы контролируем ситуацию и большинство этих ботов у нас «под колпаком» ;-)
1. Тут выше писали, что саппорт обычно решает проблему в течение нескольких часов… но поскольку Вы довольно «громко» обратились, то Вас уже обрабатывает специальный сотрудник :-) Насколько я понимаю, уже все решилось.
2. Как правило, ничего не влечет, потому что (как тут верно отметили) обычно это IP из ботнета — т.е. компьютер какого-нибудь ничего не подозревающего пользователя. Причем, чаще всего, динамический. Если есть шанс улучшить ситуацию, то пишем на abuse-контакты провайдера, которому принадлежит этот IP.
Под словами «мы в процессе перехода от старой схемы к новой» я имел в виду именно то, что Вы написали. Да, мы показываем пользователям «категории 2» предложение верифицировать телефон и стать защищенными пользователями «категории 3» — причем не письмом, а именно в виде диалога в интерфейсе после входа в почту.
Пользователям из «категории 1» мы пока ничего не показываем, но скоро начнем показывать — разумеется, о них тоже хочется позаботиться и сделать их защищенными.
Если Вы посмотрите на пользовательские соглашения от других почтовых сервисов (да и многих других сайтов) — то тоже найдете там пункты об удалении за неактивность. Однако наличие такого пункта не означает, что ящики удаляют.
Да, Mail.Ru действительно раньше удалял неактивные ящики, и это было неправильно по отношению к пользователям — поэтому теперь ящики не удаляются.
Хочу сообщить, что мы закрыли описанные CSRF-уязвимости в Почте Mail.Ru — «самым правильным способом», описанном в данном посте — с помощью токена. Надо сказать, что токен уже применялся во многих критичных местах, но далеко не во всех. Теперь механизм токенов применяется во всех модифицирующих (то есть меняющих или отправляющих что-то) запросах, а также в важных запросах на получение данных (прошу прощения, если ваши боты от этого сломались).
Еще раз спасибо автору топика за замечания.
P.S. Все критичные уязвимости мы, конечно, закрываем сразу же. Но в даном случае хотелось закрыть токенами не только дырки, но и все известные нам потенциально опасные места, прежде чем публиковать этот комментарий.
И разумеется, мы не считаем, что все пользуются почтой через веб (хотя таких подавляющее большинство) — иногда мы делаем информационные рассылки, чтобы их получили пользователи POP3, однако по понятным причинам не любим этим злоупотреблять.
1. Тут выше писали, что саппорт обычно решает проблему в течение нескольких часов… но поскольку Вы довольно «громко» обратились, то Вас уже обрабатывает специальный сотрудник :-) Насколько я понимаю, уже все решилось.
2. Как правило, ничего не влечет, потому что (как тут верно отметили) обычно это IP из ботнета — т.е. компьютер какого-нибудь ничего не подозревающего пользователя. Причем, чаще всего, динамический. Если есть шанс улучшить ситуацию, то пишем на abuse-контакты провайдера, которому принадлежит этот IP.
Под словами «мы в процессе перехода от старой схемы к новой» я имел в виду именно то, что Вы написали. Да, мы показываем пользователям «категории 2» предложение верифицировать телефон и стать защищенными пользователями «категории 3» — причем не письмом, а именно в виде диалога в интерфейсе после входа в почту.
Пользователям из «категории 1» мы пока ничего не показываем, но скоро начнем показывать — разумеется, о них тоже хочется позаботиться и сделать их защищенными.
Да, Mail.Ru действительно раньше удалял неактивные ящики, и это было неправильно по отношению к пользователям — поэтому теперь ящики не удаляются.