Comments 63
Я и впрямь стал задумываться о переезде с mail.ru.
Не прошло и полугода и вот она — новая уязвимость.
shadowjack конечно mail.ru оповестили об этом.
shadowjack конечно mail.ru оповестили об этом.
Судя по блоку «Похожие посты» справа, не прошло и месяца. 8)
а программисты Яндекса видимо этим да?
www.google.com/a/yandex.ru/
www.google.com/a/yandex.ru/
У меня вопрос возник: у меня есть почта тут www.google.com/a/dezcom.org. Почтовый адрес записывается как *****@dezcom.org. Значит ли это что моя почта *****@yandex.ru расположена тоже на серверах гугл?
Может они всю почту там хостят, а на mail.ru просто обертка, местами кривая? bk.ru и list.ru тоже есть.
Ну с другой стороны можно сказать спасибо mail.ru, за то что они допускают такие баги и кто-то их находит и «выводит на чистую воду». Теперь хоть многие вебмастеры и прочие программисты не будут делать подобных косяков в своих проектах! :)
Поэтому вообще стараюсь не использовать web-интерфейсы. Всё через почтовые клиенты
Вообще есть такой софт, называется IBM AppScan, его натравливают на сайт и он выдает всякого рода уязвимости. К сожалению, он отнюдь не open source и стоит по-моему 34 000 USD за лицензию. У нас на работе используется, выдает очень подробный отчет с осмысленным текстом, как именно проводился «взлом», какого рода уязвимость и т.д. К сожалению, наш нельзя натравить на чужой сайт, а то я бы свои попробовал прогнать.
Что-то мне подсказывает, что для такой компании, как Mail.ru, купить программку за жалких (для ее уровня дохода) 34к уе — это как бе не проблема. Другое дело, лично я сомневаюсь в пользе от данной «утилиты» для проекта Mail.ru и всех его сервисов.
Тестеры обычно пишут свои наборы тестов, скрипты и т.д.
Тут такое чувство, что новую почту mail.ru выкатили в продакшн без тестирования.
Тут такое чувство, что новую почту mail.ru выкатили в продакшн без тестирования.
as usual
в последнее время я часто замечаю, что всё тестирование происходит в продакшнах, на живых клиентах и настоящими деньгами
UFO just landed and posted this here
Еще есть MaxPatrol: ptsecurity.com/
«Service Temporarily Unavailable» при попытке скачивания продукта за 34 000 USD — это печалька(
Прощу прощения за, возможно, несерьезный тон моего коммента, но блин я фигею с этиъ мейлрушечек!!!11 Еще одна уязвимость, не прошло и месяца. А они еще борятся за звание дома выской культуры быта! А они в это время, блин, пилят аську и пиарят свой агент.
На mail.ru нельзя выделять даже письма нормально. Сиди и щелкай по чекбоксам.
>>Эта винда со своими скучными обоями, меняешь их меняешь…
можно настроить сбор почты на тот же gmail и юзать short-key
А нормально — это как?
Не из праздного любопытства интересуюсь :)
Не из праздного любопытства интересуюсь :)
Нда. А поставить position: relative для блока с письмом, видимо, было никак.
Только на position:absolute, а overflow:hidden. Это бы помогло от данного вида проблемы, наверное.
А ещё бывает position: fixed, от которого никакое relative и overflow не поможет. 8)
mail.ru – было есть и будет ещё долго решето с дырками такого размера, что подходит для отсеивания футбольных мячей от баскетбольных. Невзирая на присутсвие на Хабре инженеров по безопасности mail.ru, которые недавно горячо убеждали хабраобщественность, что работа над улучшением и углублением кипит. Самое смешное, что судя по количеству плюсов, за тот комментарий, писать пламенные речи пока получается гораздо лучше, чем работать над безопасностью.
Баг исправлен. Автору поста — спасибо :)
Хм-м, а Вы уверены? 8)
Первый раз починили вылезание сверху и слева. Теперь зачинили справа и снизу. Можете повторить проблему?
Проблема описана в посте.
Вам пример кода дать? 8)
Вам пример кода дать? 8)
Пример кода из поста теперь выглядит так
Прекрасно, но ведь бывает ещё position: fixed (это, кстати, обсуждается двумя ветками комментариев выше).
Берём такой код:
<div class="alertFade" style="top: 0; left: 0; width: 100%; height: 100%; background-color: pink; z-index: 65535; opacity: 1;">
<div style="padding-top: 100px;"><h1>Привет, мейлрушники! 8)</h1></div>
</div>
Видим старое доброе:
Т.о. проблема использования существующего класса с нежелательными свойствами осталась.
Берём такой код:
<div class="alertFade" style="top: 0; left: 0; width: 100%; height: 100%; background-color: pink; z-index: 65535; opacity: 1;">
<div style="padding-top: 100px;"><h1>Привет, мейлрушники! 8)</h1></div>
</div>
Видим старое доброе:
Т.о. проблема использования существующего класса с нежелательными свойствами осталась.
С классами будем разбираться, но в ночь с воскресенья на понедельник этого лучше не делать.
;-)
Хотя есть одна идея.
Ну, можно запилить alertFade и сделать inline-овое позиционирование там, где оно нужно.
Или сделать название этого класса рандомным.
Или сделать название этого класса рандомным.
done
Счастье, радость!
Да уж, были совсем другие планы на вечер twitter.com/#!/AndrewSumin/status/125621656117985280
Да. И проблема после починки больше не повторяется. Если у вас она все равно повторяется, то, пожалуйста, сообщите.
P.S.
Еще раз спасибо, что нашли баг!
P.S.
Еще раз спасибо, что нашли баг!
меня больше парит, что письма в папке спам остаются отмеченные, как не прочитанные. И соответственного «горят» в количестве непрочитанных писем. Ну и какое-то загадочное сообщение в агенте, которое «горит» в интерфейсе и нереально доставляет. Письмо невозможно ни удалить ни прочитать.
Эх, как было бы прекрасно, если б каждый, кто находит проблему, сначала сообщал бы о ней в соответствующую компанию, а потом уже писал пост на Хабре…
Было бы прекрасно, если бы баг-репортеры получали что-нибудь за свои репорты. 8)
Вы получаете более качественный продукт :)
Делая же обзоры любых уязвимостей до их исправления, вы повышаете вероятность попадания других пользователей в нехорошую ситуацию.
Для нашей команды очень важна обратная связь. Сейчас много что меняется, многое улучшается, многое переписывается с нуля. Во время этого перерождения очень сложно не ошибиться, учитывая масштабы проекта и его возраст со всеми вытекающими из этого последствиями. И, как бы это банально не звучало, мы очень стараемся и прикладываем все возможные усилия для улучшения качества наших сайтов.
Надеюсь, что наши старания будут вознаграждены отзывами довольных пользователей, баг-репортами не очень довольных и конструктивной критикой совсем недовольных :)
Делая же обзоры любых уязвимостей до их исправления, вы повышаете вероятность попадания других пользователей в нехорошую ситуацию.
Для нашей команды очень важна обратная связь. Сейчас много что меняется, многое улучшается, многое переписывается с нуля. Во время этого перерождения очень сложно не ошибиться, учитывая масштабы проекта и его возраст со всеми вытекающими из этого последствиями. И, как бы это банально не звучало, мы очень стараемся и прикладываем все возможные усилия для улучшения качества наших сайтов.
Надеюсь, что наши старания будут вознаграждены отзывами довольных пользователей, баг-репортами не очень довольных и конструктивной критикой совсем недовольных :)
<form method="post" action="https://auth.mail.ru/cgi-bin/auth" name="Auth"… >
Хм-м?..
Хм-м?..
А, это ничего, что оно редиректит с кодом 302 сначала на
e.mail.ru/cgi-bin/start а затем на e.mail.ru/cgi-bin/login
и не дает работать по HTTPS?
e.mail.ru/cgi-bin/start а затем на e.mail.ru/cgi-bin/login
и не дает работать по HTTPS?
Мы хотим достойную, не глючную, защищенную почту! Даёшь интернет ,.ля...?
Sign up to leave a comment.
HTML/CSS-инъекция в почте Mail.Ru